Datenschutz bei Immobilienunternehmen

Datenschutz bei Immobilienunternehmen

Welche datenschutzrechtlichen Grenzen gibt es bei der Erhebung und Speicherung von Mieterdaten durch Vermieter, Verwalter oder Wohnungsgesellschaften? Bezahlbarer Wohnraum ist schon seit Jahren schwer zu bekommen, insbesondere in Ballungszentren. Dies verleitet manche Wohnungsgesellschaften bzw. Vermieter dazu, bei den Mietinteressenten in datenschutzwidriger Weise zu viele personenbezogenen Daten zu erheben und diese zu lange zu speichern, teils sogar noch lange nach Mietende. Folglich sehen sich Mietinteressente veranlasst, auch zu weitgehende Fragen zu beantworten, um überhaupt als Mieter in Erwägung gezogen zu werden. Daten, die für die Auswahlentscheidung, ob ein Mietverhältnis eingegangen wird, z. B. Gehaltsnachweise, werden mitunter noch über das Mietende hinaus aufgehoben. Wie steht es also allgemein um den Datenschutz bei Immobilienunternehmen?

Die bekanntesten Fälle

Bei einigen wenigen Immobilienunternehmen wurden datenschutzrechtliche Probleme mit der Umsetzung der DSGVO-Grundprinzipien wie Datenminimierung und Speicherbegrenzung bekannt. Diese führten auch zu Bußgeldverfahren.

Deutsche Wohnen SE

Am 30.10.2019 verkündete die Berliner Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro. Der Grund für das Bußgeld sind Prüfungen, die ergaben, dass Deutsche Wohnen SE personenbezogene Daten über die notwendige Aufbewahrungsfrist hinaus aufbewahrte. Die Berliner Datenschutzaufsichtsbehörde erwähnte ebenfalls, dass das Unternehmen auch personenbezogene Daten erhob, deren Verarbeitung gar nicht notwendig war. – Mehrere Einzelheiten können Interessenten gern der Pressemitteilung der Berliner Datenschutzbeauftragten vom 05.11.2019 entnehmen (Link). Die Entscheidung wurde wegen einer höchst umstrittenen Frage des Ordnungswidrigkeitsrechts zumindest in erster Instanz vom LG Berlin aufgehoben. Gleichwohl bleibt das datenschutzrechtliche Grundproblem der Speicherung von Mieterdaten nach Beendigung des Mietverhältnisses bestehen. –

Brebau GmbH

Der Bremer Landesdatenschutzbeauftragte verhängte ebenfalls ein Bußgeld: am 03.03.2022 von rund 1,9 Millionen Euro gegen die Brebau GmbH. Das Bußgeld begründet der Landesbeauftragte für Datenschutz und Informationsfreiheit von Bremen mit der Verarbeitung personenbezogener Daten, u. a. sensibler Natur, ohne Rechtsgrundlage. – Weitere Details können Sie der Pressemitteilung hier entnehmen. –

Kurzanalyse der Verstöße

Gehen wir auf die den beiden Fällen zugrunde liegenden Verstöße näher ein, um daraus allgemeingültige Lehren zu ziehen:

Deutsche Wohnen SE

Was entnehmen wir also der Mitteilung der Datenschutzaufsichtsbehörde im Einzelnen?

Zu lange Speicherung von Daten (Art. 5 Abs. 1 lit. e) DSGVO)

Der Deutsche Wohnen SE wurde vorgeworfen, dass das Unternehmen gegen Art. 5 Abs. 1 lit. e) DSGVO (Grundsatz der Speicherbegrenzung) verstieß. Die Immobiliengesellschaft bewahrte personenbezogene Daten über ihre Speicherfrist hinaus auf. Dies führt zum nächsten möglichen Verstoß in Bezug zu Art. 5 Abs. 1 lit. b) DSGVO (Grundsatz der Zweckbindung). Demnach gab es keinen Zweck mehr, diese Daten zu verarbeiten. Weiterführend liegt ebenfalls ein möglicher Verstoß gegen Art. 5 Abs. 1 lit. a) DSGVO (Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz) i. V. m. Art. 6 Abs. 1 DSGVO vor. Es fehlt also die Rechtsgrundlage für die Verarbeitung der nicht mehr benötigten Daten. – Mehr zu den Grundsätzen der Verarbeitung finden Sie in unserem Beitrag hier.

Informationspflicht (Art. 13 DSGVO)

Zusätzlich hatten die betroffenen Mieter wohl auch keine Kenntnis von dieser unrechtmäßigen Verarbeitung. Die betroffenen Personen – ehemalige Mieter, Käufer etc. – hätten eigentlich auf die Löschung und Vernichtung ihrer Daten vertrauen dürfen, sobald keine Rechtsgrundlage für die Verarbeitung mehr vorliegt. Man könnte also auch von einem Verstoß gegen Art. 13 Abs. 2 lit. a) DSGVO ausgehen, wonach auch über die Verarbeitungsdauer zu informieren wäre. – Genaueres hierzu behandelten wir in diesem Beitrag. –

Technische und organisatorische Maßnahmen (Art. 32 Abs. 1 DSGVO i. V. m. Art. 25 DSGVO)

Des Weiteren gab es auch den Vorwurf eines Verstoßes gegen Art. 32 Abs. 1 DSGVO, da scheinbar keine technischen oder/und organisatorischen Maßnahmen vorlagen, um die unrechtmäßige Verarbeitung der personenbezogenen Daten zu vermeiden. Dies steht in Verbindung mit Art. 25 Abs. 1 DSGVO, weil das eingesetzte Archivsystem die notwendige Löschung der personenbezogenen Daten gar nicht ermöglichte. – Mehr zu diesem Thema können Sie hier lesen. –

Analyse der Berliner Beauftragten für Datenschutz und Informationsfreiheit

Die Berliner Datenschutzaufsichtsbehörde verhängte das Bußgeld gem. ihrer Befugnisse nach Art. 58 Abs. 2 lit. i) DSGVO. So lagen aus Sicht der DSGVO Verstöße gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO. Verstößt ein Verantwortlicher gegen die Datenschutzgrundsätze aus Art. 5 DSGVO und fehlt eine Rechtsgrundlage nach Art. 6 DSGVO, ist ein Bußgeld nach Art. 83 Abs. 5 lit. a) DSGVO von bis zu 20 Millionen Euro oder 4 % des Vorjahresgesamtumsatzes möglich.

Brebau GmbH

Im Folgenden betrachten wir, welche Datenschutzverstöße wir der Pressemeldung der Datenschutzaufsicht im Fall der Brebau GmbH entnehmen können:

Verarbeitung zu vieler und sensibler Daten (Art. 5 Abs. 1 lit. a DSGVO i. V. m. Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 2 DSGVO)

Auch bei der Brebau GmbH sehen wir einen Verstoß gegen Art. 5 DSGVO. Genauer betrachtet gegen Art. 5 Abs. 1 lit. a) – c) (Grundsatz der Datenminimierung) DSGVO. Die Wohnungsgesellschaft verarbeitete nach Feststellungen der Datenschutzaufsicht mehr personenbezogene Daten als für die Geschäftsabwicklung notwendig waren. Hinzukam, dass der Verarbeitung dieser Daten keine Rechtsgrundlage zugrunde lag und sie nicht der Erfüllung eines legitimen Zweckes dienten. Bei den Informationen zu beispielsweise der ethnischen Herkunft, der Hautfarbe, der Religionszugehörigkeit, der sexuellen Orientierung und des Gesundheitszustandes handelt es sich um besonders sensible personenbezogene Daten gemäß Art. 9 Abs. 1 DSGVO. Die Verarbeitung dieser sensiblen Daten war zur Anbahnung oder Erfüllung des Vertrages nicht notwendig. Zudem begründet diese Verarbeitung die Gefahr, dass die Daten zu unzulässig diskriminierenden Entscheidungen nach dem AGG (Allgemeines Gleichbehandlungsgesetz) genutzt werden könnten.

Informationspflicht (Art. 13 DSGVO)

Zusätzlich wurden die betroffenen Personen wohl nicht über die Verarbeitung dieser Daten informiert. Somit liegt vermutlich ein Verstoß gegen Art. 13 DSGVO vor.

Auskunftspflicht (Art. 15 DSGVO)

Des Weiteren soll das Immobilienunternehmen versucht haben, eine Auskunft über die Verarbeitung zu vermeiden. Folglich weist dies auf einen Verstoß gegen Art. 15 DSGVO hin.

Analyse des Bremer Datenschutzbeauftragten

Die Bremer Datenschutzaufsichtsbehörde verallgemeinerte den Vorfall als einen Verstoß gegen die DSGVO. Die Verstöße im Speziellen nannte sie in der Pressemitteilung allerdings nicht.

Übliche Gründe für Bußgelder bei Immobilienunternehmen

Wie auch in anderen Wirtschaftssektoren gibt es auch für die Immobilienbranche sogenannte typische Datenschutzfehler. Dies sind meist folgende:

1)     Abfrage bzw. Verarbeitung von personenbezogenen Daten vor Notwendigkeit der Kenntnis über diese Daten (Stichwort: Selbstauskunft; mehr dazu im Beitrag von RA David Seiler),

2)    Verarbeitung von für die Vermietung / den Verkauf einer Immobilie nicht notwendigen personenbezogenen Daten oder

3)    unberechtigte Weitergabe personenbezogener Daten sowie

4)    Verarbeitung personenbezogener Daten über die Aufbewahrungsfrist hinaus.

Natürlich schließt dies nicht aus, dass auch andere Datenschutzvorfälle wie beispielsweise der Fehlversand von Daten, Ransomware-Angriffe oder unberechtigtes Löschen von Daten vorkommen können. Jedoch entsteht generell der Eindruck, dass besonders die oben genannten Ereignisse im Bezug zum Datenschutz in der Vermietungsbranche häufiger vorkommen.

Fazit

Wie auch in den anderen Wirtschaftssektoren empfiehlt es sich auch in der Immobilienbranche, unbedingt auf die Einhaltung der DSGVO zu achten: Es ist also zu betrachten, welche Verarbeitungsvorgänge stattfinden oder in Planung sind. Welche Rechtsgrundlage kann der Verantwortliche dafür heranziehen? Wie kann er die Sicherheit sowie den Schutz der Daten gewährleisten? Ist eventuell eine Datenschutz-Folgenabschätzung durchzuführen? Des Weiteren muss er die Dokumentation entsprechend aktuell halten. Übrigens darf er auch die Informationspflichten nicht vernachlässigen etc.

Wir können bei der Umsetzung des Datenschutzes und damit der DSGVO beratend unterstützen. Dies gern in Form unseres Kombi-Paketes, welches die Benennung eines Datenschutzbeauftragten, die Erstellung notwendiger Dokumente in Zusammenarbeit mit Ihnen und die Beratung umfasst. Kontaktieren Sie uns dazu am besten noch heute.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.