Artikel erschienen am 11.07.2019
E-Paper

Datenschutz in der Immobilienverwaltung

Welche (neuen) Herausforderungen brachte die DSGVO für die Immobilienwirtschaft?

Von Jens Stanger, Braunschweig | Andreas Jahr, Braunschweig

Seit rund einem Jahr ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie unterscheidet nicht zwischen verschiedenen Branchen und richtet sich an private Unternehmen wie öffentliche Stellen in der EU. Allerdings entstehen für jede Branche spezifische „Problemfelder“, in denen sich der Umgang mit den neuen Vorschriften als besonders herausfordernd herausstellt.

Dieser Artikel beleuchtet zwei Aspekte, die Vermietern und Immobilienverwaltern in der Praxis Probleme bereiten.

Wer ist der Verantwortliche?

Nach der DSGVO gibt es immer einen „Verantwortlichen“, der personenbezogene Daten verarbeitet und der für die Einhaltung der DSGVO geradestehen muss. Wenn wir bspw. von einem Mietvertrag ausgehen, so wird dies i. d. R. der im Mietvertrag genannte Vermieter sein. In der Realität sind die Verhältnisse aber nicht immer so simpel. So gibt es häufig einen im Vertrag genannten Vermieter, daneben eine Hausverwaltung, ggf. existiert noch eine WEG-Verwaltung und dann gibt es noch alle möglichen dritten Parteien (Hausmeister, Dienstleister etc.), die alle personenbezogene Daten der Mieter erhalten.

Sind alle diese Beteiligten Verantwortliche im Sinne der DSGVO, sind nur einige verantwortlich oder sind sie ggf. gemeinsam Verantwortliche?

Auftragsverarbeiter

Die DSGVO kennt verschiedene Möglichkeiten, wie mehrere potenziell verantwortliche datenverarbeitende Stellen miteinander umgehen können. Neben dem einzelnen Verantwortlichen gibt es den sog. Auftragsverarbeiter (Art. 28 DSGVO). Bei dem Auftragsverarbeiter handelt es sich i. d. R. um einen Dienstleister, der die Daten des Hauptverantwortlichen nicht als seine eigenen, sondern als fremde Daten ansieht und durch deren Verarbeitung seine eigene Leistung erbringt.

Der Umgang mit Auftragsverarbeitern ist geregelt: Verantwortlicher und Auftragsverarbeiter schließen einen entsprechenden Vertrag, der den Umgang mit den Daten des Hauptverantwortlichen regelt und die Verpflichtung zur Einhaltung der DSGVO-Vorgaben beim Verantwortlichen belässt. Für den Inhalt dieser Verträge gibt es in der DSGVO umfangreiche Vorgaben, so- dass sich die Verträge häufig sehr ähneln.

Problematisch ist in diesem Zusammenhang lediglich noch, wann eine Auftragsverarbeitung vorliegt und wann eben nicht.

Gemeinsam für die Verarbeitung Verantwortliche

Liegt keine Auftragsverarbeitung vor, so kann es sich bei einem Dienstleister um einen „Dritten“ im Sinne der DSGVO handeln, dieser wäre selber für die Einhaltung der DSGVO verantwortlich, oder es liegt eine gemeinsame Verantwortlichkeit vor (Art. 26 DSGVO).

Bei der gemeinsamen Verantwortlichkeit für die Datenverarbeitung von zwei oder mehreren Beteiligten sieht die DSGVO vor, dass die beteiligten datenverarbeitenden Stellen einen Vertrag schließen, der abschließend regelt, wer für die Umsetzung bestimmter Aspekte der DSGVO zuständig ist. Für diese Art von Verträgen macht die DSGVO keine detaillierten Vorgaben. Es können daher beliebige Vereinbarungen getroffen werden.

Abgrenzung und Beispiele

Die Abgrenzung bereitet in der Praxis immer wieder Probleme. Die Datenschutzbehörden haben allgemeine Grundsätze entwickelt, nach denen die Abgrenzung erfolgen soll: Je mehr eine datenverarbeitende Stelle über die Art und Weise, das „ob“, das „Warum“ und das „Wie“ der Datenverarbeitung entscheidet, je eher liegt Verantwortlichkeit vor, je weniger Entscheidungsspielraum besteht, umso eher ist von einer Auftragsverarbeitung oder lediglich einem Dritten i. S. d. DSGVO auszugehen.

Auftragsverarbeiter sind beispielsweise: Systemadministratoren, sofern Zugriff auf personenbezogene Daten besteht; Aktenvernichter; Postversender, wenn diese nicht nur transportieren, sondern auch etikettieren (und ggf. eintüten); Abrechnungsunternehmen für Heizkosten.

Keine Auftragsverarbeiter sind: Handwerker (außer sie sind in das EDV-System der Hausverwaltung eingebunden), Hauswarte, Steuerberater, Rechtsanwälte.

Zurzeit gibt es in diesem Bereich noch erhebliche Unsicherheit. Es ist für die Zukunft mit Einzelfallentscheidungen zu bestimmten Fallkonstellationen zu rechnen.

Fällt eine Datenverarbeitung in den Bereich der gemeinsamen Verantwortlichkeit, sollte der notwendige Vertrag sorgfältig ausgearbeitet werden. In diesem Bereich drohen hohe Strafgelder.

Die Einwilligung zur Datenverarbeitung

Sicherlich wurden Sie seit Einführung der DSGVO schon häufig nach Einwilligungen für diverse Datenverarbeitungen gefragt. Dabei stellt die notwendige Einwilligung nach der Gestaltung der DSGVO jedoch nur eine Möglichkeit von vielen dar. In der Regel sind die Datenverarbeitung und die Übermittlung der Daten an Dritte bereits durch andere Rechtsgrundlagen gedeckt und bedürfen keiner gesonderten Einwilligung. Diese Rechtsgrundlage sollte dem Verantwortlichen allerdings bekannt sein, da er im Rahmen der Transparenzpflichten über die einschlägige Rechtsgrundlage aufklären muss.

Rechtmäßigkeit der Datenverarbeitung

Das Leben mit einer anderen Rechtsgrundlage für die Datenverarbeitung ist viel leichter, als wenn man eine Einwilligung einholt. Kann man die Datenverarbeitung auf eine andere Rechtsgrundlage stützen (Art. 6 Abs. 1 DSGVO), so müssen die Betroffenen lediglich über die Umstände der Datenverarbeitung informiert werden. Die Einholung einer Willenserklärung des Betroffenen oder gar die Einholung einer Unterschrift, ist gar nicht nötig. Dies ist beispielsweise der Fall, wenn die Verarbeitung der Daten erforderlich ist, um den Vertrag mit dem Geschäftspartner durchführen zu können.

Entbehrlichkeit von Einwilligungen

Einwilligungen haben daneben noch den Nachteil, dass sie jederzeit widerrufen werden können. Basiert die Datenverarbeitung auf einer anderen Rechtsgrundlage der DSGVO, so ist ein Widerruf nicht möglich. Es sollte daher im Interesse der verantwortlichen Stelle sein, auf eine Einwilligung verzichten zu können. Zu beachten ist dabei allerdings, dass bei bestimmten betroffenen Personen oder bei bestimmten Datenkategorien auf eine Einwilligung leider nicht verzichtet werden kann.

Die pauschale Einholung von Einwilligungen bspw. durch Hausverwaltungen von allen Bewohnern ist aber nicht erforderlich und häufig sogar kontraproduktiv. Viel häufiger als man denkt, kann auf eine Einholung verzichtet werden. Es ist lohnenswert, Datenverarbeitungsvorgänge gründlich zu durchdenken, da in diesem Bereich häufig Kosten eingespart werden können.

Fazit

Die beiden skizzierten Problemfelder führen in der täglichen Arbeit immer wieder zu Rückfragen. Es lohnt sich, diese Fragen zügig zu klären, um sich wieder auf die „eigentliche“ Arbeit konzentrieren zu können. Häufig bieten sich nach Optimierung der eigenen Geschäftsprozesse Einsparpotenziale.

Bild: PantherMedia/Boris Franz

Ähnliche Artikel

Stiftungen

Portrait: Kriminalität 2.0

Warum IT-Sicherheit wichtig ist

Neue Technologien werden in immer kürzeren Zyk­len verfügbar. Globale Standards in der Kommunikation entwickeln und ändern sich immer schneller. Immer mehr Menschen haben Zugang zu technischen Produkten, deren Leistungsfähigkeit die der Vorgängergeneration regelmäßig übersteigt. Immer weniger Menschen verstehen diese Produkte und sind sich der Risiken bewusst, die mit deren Nutzung einhergehen.

Braunschweig 2016–2018 | Max Gießler, Braunschweig

Gesundheit

Digitale Transformation und Big Data

Was haben eigentlich die Reformation vor 500 Jahren, der wir heuer gedenken, und die digitale Transformation, die wir gegenwärtig in zunehmendem Maße erleben, gemeinsam? Die Art und Weise, wie Informationen verarbeitet und weitergegeben werden. Die Lehren Luthers hätten jedenfalls ohne den Buchdruck, den Gutenberg zuvor erfunden hatte, kaum Verbreitung gefunden. Heute leben wir gar im Zeitalter der Informations- und Kommunikationstechnologie.

Braunschweig 2017/2018 | Julius von Ingelheim, Braunschweig