Am 25.5.2018 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Das bislang in Deutschland geltende Bundesdatenschutzgesetz (BDSG) wurde überarbeitet und gilt neben den Regelungen der DSGVO auch für alle privaten Vermieter, Hausverwalter und Makler. Alle privaten Prozesse eines privaten Vermieters unterliegen dem Anwendungsbereich dieser Verordnung, und zwar unabhängig davon, ob er wenige oder viele Wohnungen vermietet.
7.1 Grundsatz der Datenminimierung
Es dürfen nur die im Zusammenhang mit dem konkreten Zweck erforderlichen Daten erhoben werden. Vor jeder Datenerhebung ist deshalb ein konkreter Zweck zu ermitteln. Danach bestimmt sich der Umfang der Datenverarbeitung. Auch der zeitliche Zusammenhang ist maßgeblich. Es geht also nicht darum, welche Daten der Vermieter möglicherweise irgendwann einmal benötigt. Vielmehr muss er sich fragen, wozu er diese Daten zum jetzigen Zeitpunkt konkret benötigt.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören unter anderem Namen und Adressdaten, Geburtsdaten, Bankdaten sowie Verbrauchsdaten.
Werden personenbezogene Daten automatisiert oder auch nicht automatisiert verarbeitet und in einem Datensystem gespeichert, müssen die Regeln des Datenschutzrechts beachtet werden. Eine automatisierte Verarbeitung liegt bereits vor beim Gebrauch eines Kopierers oder Scanners und sogar bei handschriftlichen Aufzeichnungen. Die Verarbeitung erfolgt durch das Erheben, Erfassen, Ordnen, Speichern, Verändern, Abfragen und Verwenden. Die Offenlegung erfolgt durch das Übermitteln, Abgleichen, Verknüpfen sowie Löschen bzw. Vernichten personenbezogener Daten.
7.2 Keine Datenverarbeitung ohne Rechtsgrundlage
Die Erhebung, Ablage und Weitergabe von Daten ist nur dann zulässig, wenn eine Rechtsgrundlage die Verarbeitung erlaubt. Vor allem folgende Rechtsgrundlagen können gemäß § 6 DSGVO für die Verarbeitung personenbezogener Daten herangezogen werden:
- Vertragserfüllung, das heißt, wenn die Verarbeitung für die Erfüllung des Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und die Person, deren Daten verarbeitet werden, Vertragspartner ist oder werden soll.
- Berechtigte Interessen, das heißt, wenn die Verarbeitung zur Wahrung berechtigter Interessen des verantwortlichen Vermieters oder eines Dritten erforderlich ist, sofern nicht schutzwürdige Interessen der Person, deren Daten verarbeitet werden sollen, dem entgegenstehen.
- Rechtspflicht, das heißt, wenn die Verarbeitung zur Erfüllung einer rechtlichen Pflicht des verantwortlichen Vermieters erforderlich ist.
7.3 Weitergabe von Daten an Dritte und Auftragsdatenverarbeitung
Auch die Weitergabe von Daten an Dritte wie Handwerker oder andere Mieter ist eine Datenverarbeitung und darf, wenn keine Einwilligung der Person vorliegt, laut der ihre Daten verarbeitet werden dürfen, nur erfolgen, wenn eine Rechtsgrundlage dies gestattet.
Der Dritte ist selbst verantwortlich für den ordnungsgemäßen Umgang mit den Daten. Vorsorglich sollte der Vermieter den Dritten aber verpflichten, die Daten seiner Mieter nur in dem Rahmen zu verarbeiten, zu dessen Zweck diese übermittelt wurden. Darüber hinaus muss der Vermieter seine Mieter darüber informieren, dass er Daten weitergegeben hat.
Ein Vermieter kann auch Daten durch einen Dienstleister im Rahmen eines sogenannten Auftragsdatenverarbeitungsvertrags erheben und verarbeiten lassen. Der Auftragsdatenverarbeiter erhebt, speichert und bearbeitet Daten im Auftrag und nach Weisung des für den Datenschutz verantwortlichen Vermieters. Ausschlaggebend ist, dass allein der Vermieter entscheidet, welche Daten zu welchem Zweck und in welchem Umfang verarbeitet werden. Die Entscheidungen über die technisch-organisatorischen Fragen der Datenverarbeitung kann dann auf den Auftragsdatenverarbeiter übertragen werden.
Ableseunternehmen
Eine typische Auftragsdatenverarbeitung liegt bei der Beauftragung eines Unternehmens zur jährlichen Ablesung der Verbrauchsdaten und Erstellung der Heizkostenabrechnung vor.
Der Vermieter bleibt Verantwortlicher für den Datenschutz und muss mit dem Auftragsdatenverarbeiter zwingend einen schriftlichen oder elektronischen Vertrag mit dem Inhalt des Art. 28 DSGVO abschließen. Oftmals bieten die Dienstleister selbst entsprechende Verträge an.
7.4 Verbrauchsdatenerfassung durch Messdienstleister
Beim Ablesen der Verbrauchsdaten für Heizung und Warmwasser handelt es sich um eine Datenverarbeitung; dafür braucht es eine Rechtsgrundlage. In Betracht kommt Vertragserfüllung gemäß Art. 6 Abs. 1b DSGVO, da die Datenerhebung zur Erfüllung der mietvertraglichen Abrechnungspflicht des Vermieters erforderlich ist. Die Mieter und mögliche Mitbewohner müssen über die Datenerhebung informiert werden. Dies kann entweder durch ein Informationsschreiben im Rahmen des Mietvertragsschlusses geschehen oder im Vorfeld der Ablesung durch ein entsprechendes Informationsschreiben. Da bei der Verbrauchserfassung durch einen Messdienstleister regelmäßig allein der Vermieter über die Verarbeitungszwecke...