Artikel erschienen am 11.07.2019

Datenschutz in der Immobilienverwaltung

Welche (neuen) Herausforderungen brachte die DSGVO für die Immobilienwirtschaft?

Von Jens Stanger, Braunschweig | Andreas Jahr, Braunschweig

Seit rund einem Jahr ist die Europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Sie unterscheidet nicht zwischen verschiedenen Branchen und richtet sich an private Unternehmen wie öffentliche Stellen in der EU. Allerdings entstehen für jede Branche spezifische „Problemfelder“, in denen sich der Umgang mit den neuen Vorschriften als besonders herausfordernd herausstellt.

Dieser Artikel beleuchtet zwei Aspekte, die Vermietern und Immobilienverwaltern in der Praxis Probleme bereiten.

Wer ist der Verantwortliche?

Nach der DSGVO gibt es immer einen „Verantwortlichen“, der personenbezogene Daten verarbeitet und der für die Einhaltung der DSGVO geradestehen muss. Wenn wir bspw. von einem Mietvertrag ausgehen, so wird dies i. d. R. der im Mietvertrag genannte Vermieter sein. In der Realität sind die Verhältnisse aber nicht immer so simpel. So gibt es häufig einen im Vertrag genannten Vermieter, daneben eine Hausverwaltung, ggf. existiert noch eine WEG-Verwaltung und dann gibt es noch alle möglichen dritten Parteien (Hausmeister, Dienstleister etc.), die alle personenbezogene Daten der Mieter erhalten.

Sind alle diese Beteiligten Verantwortliche im Sinne der DSGVO, sind nur einige verantwortlich oder sind sie ggf. gemeinsam Verantwortliche?

Auftragsverarbeiter

Die DSGVO kennt verschiedene Möglichkeiten, wie mehrere potenziell verantwortliche datenverarbeitende Stellen miteinander umgehen können. Neben dem einzelnen Verantwortlichen gibt es den sog. Auftragsverarbeiter (Art. 28 DSGVO). Bei dem Auftragsverarbeiter handelt es sich i. d. R. um einen Dienstleister, der die Daten des Hauptverantwortlichen nicht als seine eigenen, sondern als fremde Daten ansieht und durch deren Verarbeitung seine eigene Leistung erbringt.

Der Umgang mit Auftragsverarbeitern ist geregelt: Verantwortlicher und Auftragsverarbeiter schließen einen entsprechenden Vertrag, der den Umgang mit den Daten des Hauptverantwortlichen regelt und die Verpflichtung zur Einhaltung der DSGVO-Vorgaben beim Verantwortlichen belässt. Für den Inhalt dieser Verträge gibt es in der DSGVO umfangreiche Vorgaben, so- dass sich die Verträge häufig sehr ähneln.

Problematisch ist in diesem Zusammenhang lediglich noch, wann eine Auftragsverarbeitung vorliegt und wann eben nicht.

Gemeinsam für die Verarbeitung Verantwortliche

Liegt keine Auftragsverarbeitung vor, so kann es sich bei einem Dienstleister um einen „Dritten“ im Sinne der DSGVO handeln, dieser wäre selber für die Einhaltung der DSGVO verantwortlich, oder es liegt eine gemeinsame Verantwortlichkeit vor (Art. 26 DSGVO).

Bei der gemeinsamen Verantwortlichkeit für die Datenverarbeitung von zwei oder mehreren Beteiligten sieht die DSGVO vor, dass die beteiligten datenverarbeitenden Stellen einen Vertrag schließen, der abschließend regelt, wer für die Umsetzung bestimmter Aspekte der DSGVO zuständig ist. Für diese Art von Verträgen macht die DSGVO keine detaillierten Vorgaben. Es können daher beliebige Vereinbarungen getroffen werden.

Abgrenzung und Beispiele

Die Abgrenzung bereitet in der Praxis immer wieder Probleme. Die Datenschutzbehörden haben allgemeine Grundsätze entwickelt, nach denen die Abgrenzung erfolgen soll: Je mehr eine datenverarbeitende Stelle über die Art und Weise, das „ob“, das „Warum“ und das „Wie“ der Datenverarbeitung entscheidet, je eher liegt Verantwortlichkeit vor, je weniger Entscheidungsspielraum besteht, umso eher ist von einer Auftragsverarbeitung oder lediglich einem Dritten i. S. d. DSGVO auszugehen.

Auftragsverarbeiter sind beispielsweise: Systemadministratoren, sofern Zugriff auf personenbezogene Daten besteht; Aktenvernichter; Postversender, wenn diese nicht nur transportieren, sondern auch etikettieren (und ggf. eintüten); Abrechnungsunternehmen für Heizkosten.

Keine Auftragsverarbeiter sind: Handwerker (außer sie sind in das EDV-System der Hausverwaltung eingebunden), Hauswarte, Steuerberater, Rechtsanwälte.

Zurzeit gibt es in diesem Bereich noch erhebliche Unsicherheit. Es ist für die Zukunft mit Einzelfallentscheidungen zu bestimmten Fallkonstellationen zu rechnen.

Fällt eine Datenverarbeitung in den Bereich der gemeinsamen Verantwortlichkeit, sollte der notwendige Vertrag sorgfältig ausgearbeitet werden. In diesem Bereich drohen hohe Strafgelder.

Die Einwilligung zur Datenverarbeitung

Sicherlich wurden Sie seit Einführung der DSGVO schon häufig nach Einwilligungen für diverse Datenverarbeitungen gefragt. Dabei stellt die notwendige Einwilligung nach der Gestaltung der DSGVO jedoch nur eine Möglichkeit von vielen dar. In der Regel sind die Datenverarbeitung und die Übermittlung der Daten an Dritte bereits durch andere Rechtsgrundlagen gedeckt und bedürfen keiner gesonderten Einwilligung. Diese Rechtsgrundlage sollte dem Verantwortlichen allerdings bekannt sein, da er im Rahmen der Transparenzpflichten über die einschlägige Rechtsgrundlage aufklären muss.

Rechtmäßigkeit der Datenverarbeitung

Das Leben mit einer anderen Rechtsgrundlage für die Datenverarbeitung ist viel leichter, als wenn man eine Einwilligung einholt. Kann man die Datenverarbeitung auf eine andere Rechtsgrundlage stützen (Art. 6 Abs. 1 DSGVO), so müssen die Betroffenen lediglich über die Umstände der Datenverarbeitung informiert werden. Die Einholung einer Willenserklärung des Betroffenen oder gar die Einholung einer Unterschrift, ist gar nicht nötig. Dies ist beispielsweise der Fall, wenn die Verarbeitung der Daten erforderlich ist, um den Vertrag mit dem Geschäftspartner durchführen zu können.

Entbehrlichkeit von Einwilligungen

Einwilligungen haben daneben noch den Nachteil, dass sie jederzeit widerrufen werden können. Basiert die Datenverarbeitung auf einer anderen Rechtsgrundlage der DSGVO, so ist ein Widerruf nicht möglich. Es sollte daher im Interesse der verantwortlichen Stelle sein, auf eine Einwilligung verzichten zu können. Zu beachten ist dabei allerdings, dass bei bestimmten betroffenen Personen oder bei bestimmten Datenkategorien auf eine Einwilligung leider nicht verzichtet werden kann.

Die pauschale Einholung von Einwilligungen bspw. durch Hausverwaltungen von allen Bewohnern ist aber nicht erforderlich und häufig sogar kontraproduktiv. Viel häufiger als man denkt, kann auf eine Einholung verzichtet werden. Es ist lohnenswert, Datenverarbeitungsvorgänge gründlich zu durchdenken, da in diesem Bereich häufig Kosten eingespart werden können.

Fazit

Die beiden skizzierten Problemfelder führen in der täglichen Arbeit immer wieder zu Rückfragen. Es lohnt sich, diese Fragen zügig zu klären, um sich wieder auf die „eigentliche“ Arbeit konzentrieren zu können. Häufig bieten sich nach Optimierung der eigenen Geschäftsprozesse Einsparpotenziale.

Bild: PantherMedia/Boris Franz

Ähnliche Artikel

Finanzen Steuern Recht

1 oder 0? Digitalisierung, aber richtig!

Wer heute keine Strategie hat, hat morgen kein Unternehmen mehr

Digitalisierung ist der Metatrend, der für die Zukunftsfähigkeit eines Unternehmens entscheidend werden wird. Die meisten Konzepte zur nachhaltigen Restrukturierung basieren weiterhin auf klassischen und damit kostenorientierten Ansätzen. Und genau das wird zukünftig nicht mehr funktionieren.

Hamburg 2018/2019 | Thomas Kresse, Hamburg

Gesundheit

Digitalisierung im Gesundheitswesen

Die Digitalisierung hat unser Leben verändert und wird es zukünftig immer weiter beeinflussen. Beeindruckende Entwicklungen eröffnen in diesem Bereich ständig neue Möglichkeiten. Der renommierte Philosoph Thomas Metzinger, der in seinen Forschungsarbeiten Chancen und Auswirkungen digitaler Welten untersucht, sagt dazu im „Spiegel“: „Möglich ist fast alles, sogar Roboter, die wirklich leiden.“

Braunschweig 2016/2017 | Dr. med. Mohammad-Zoalfikar Hasan, Königslutter am Elm