EU-Datenschutz-Grundverordnung: Das bedeutet sie für Makler, Vermieter und Suchende
Mehr Schutz für persönliche Daten: Ab 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Hauptsächlich richtet sich die Verordnung an Unternehmen und somit auch Immobilienmakler, die in der EU tätig sind. Für sie gelten dann zum Teil strengere Regelungen für den Umgang mit den Daten ihrer Kunden. Doch auch private Vermieter sind von den neuen Regelungen betroffen. Schließlich verarbeiten auch sie regelmäßig Personendaten – die ihrer Mieter. Worauf Immobilienprofis und Vermieter in Zukunft achten müssen und was die neue Verordnung für Immobilien-Suchende bedeutet – ein Überblick.
In Zeiten zunehmender Digitalisierung wird Datenschutz ein immer wichtigeres Thema. Die neue EU-Datenschutz-Grundverordnung, die ab 25. Mai 2018 in allen Mitgliedsstaaten gelten wird, soll dafür sorgen, dass die Privatsphäre von Menschen besser geschützt wird. Grundsätzlich dürfen personenbezogene Daten nämlich nur dann gespeichert und verarbeitet werden, wenn der Kunde oder das Gesetz dies explizit erlaubt. Wer mit den Daten fremder Menschen arbeitet, also auch Immobilienprofis und Vermieter, muss in Zukunft einiges beachten. Aber auch Immobilien-Suchende sollten ihre Rechte kennen.
Was ist die DSGVO, wer ist betroffen?
Die EU-Datenschutz-Grundverordnung ist bereits am 24. Mai 2016 in Kraft getreten und wird am 25. Mai 2018 nach einer zweijährigen Übergangsfrist für alle EU-Staaten bindend. Grundlage für die Verordnung ist das Recht einer Privatperson an ihren eigenen Daten. Denn prinzipiell ist die Erfassung und Verarbeitung von Personendaten verboten – außer es wird ausdrücklich erlaubt oder ist für die Geschäftsbeziehung unbedingt notwendig. Das ist in Österreich auch jetzt schon so im Bundesgesetz über den Schutz personenbezogener Daten geregelt. Neu ist, dass die DSGVO in der ganzen EU gilt. Die einzelnen Mitgliedsstaaten müssen nur in speziellen Bereichen, wie zum Beispiel der Videoüberwachung, eigene nationale Regelungen schaffen.
Was ist Datenverarbeitung?
Datenverarbeitung ist das Erfassen, Übermitteln, Ordnen und Umformen von Daten zur Informationsgewinnung – im Allgemeinen mithilfe eines Computers.
Von der Verordnung betroffen sind alle, die personenbezogene Daten verarbeiten – ganz egal ob es sich um ein Unternehmen oder eine Privatperson handelt.
a) Darauf müssen Makler achten
Mit der EU-Datenschutzverordnung werden Makler, die Immobilien innerhalb der EU vermitteln, vor neue Herausforderungen gestellt. Besonders wenn es um den Umgang mit Kundendaten geht, sollten Immobilienprofis in Zukunft genau aufpassen – bei Verstößen drohen hohe Geldstrafen oder Ansprüche auf Schadensersatz. Allerdings sollte auch bedacht werden, dass es zu vielen Punkten aus der Verordnung noch keine Judikatur gibt. Wie einige Punkt am Ende gehabt werden, werden letztendlich die Gerichte entscheiden müssen.
1. Wann dürfen Immobilienprofis Kundendaten erfassen und verarbeiten?
Die Verarbeitung von Daten, also etwa das Nutzen, Speichern oder Übermitteln, ist für Makler laut Datenschutzgrundverordnung nur dann zulässig, wenn:
- Der betroffene Kunde zustimmt. Dies kann entweder schriftlich oder mündlich erfolgen – der Gesetzgeber verlangt hier keine spezielle Form. Um späteren Streitigkeiten vorzubeugen, empfiehlt sich aber die schriftliche Variante.
- Wenn eine in der DSGVO selbst normierte Ausnahme vorliegt. Eine solche Ausnahme ist insbesondere gegeben, wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist – etwa, wenn der Makler mit einem Wohnungssuchenden in Kontakt tritt und diesen um seine E-Mail-Adresse bittet – beispielsweise um dem Kunden ein Exposé zuschicken zu können. In diesem Fall müssen Makler keine extra Erlaubnis vom Kunden einholen, um die Daten verarbeiten zu können.
- Wenn der Makler rechtlich dazu verpflichtet ist, Daten zu erheben – etwa durch die Regelungen zur Geldwäsche aus der Gewerbeordnung. Auch hier ist keine extra Erlaubnis vom Kunden erforderlich.
2. Wie müssen Makler jetzt mit Personendaten umgehen?
Neben den Regeln, wann eine Datenerfassung zulässig ist und wann nicht, schreibt die DSGVO auch vor, wie Unternehmen mit personenbezogenen Daten umgehen müssen:
- Die Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet werden. Das ist etwa der Fall, wenn die Daten im Rahmen einer Vertragsanbahnung erhoben wurden und in einer Kundendatenbank gespeichert werden.
- Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, beispielsweise für die Vermittlung einer Immobilie.
- Die Daten müssen sachlich richtig sein – also korrekter Name, korrekte Anschrift des Kunden.
- Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
- Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der fraglichen Personen nur so lange ermöglicht, wie dies erforderlich ist. Die Daten müssen in der Praxis also leicht zu löschen sein.
Zudem gilt das Grundprinzip der Datenminimierung. Das bedeutet, dass sämtliche erhobenen Daten auf das notwendige Maß beschränkt werden müssen. Für die Vermittlung einer Immobilie sind E-Mail, Adresse und Telefonnummer des Suchenden wohl erforderlich – seine Haarfarbe oder die Adresse seines Arbeitgebers jedoch eher nicht.
In der Praxis bedeuten die Regelungen zum Umgang mit Personendaten nicht, dass Makler alle Kundendaten löschen müssen, sobald eine Immobilie erfolgreich vermittelt ist. Die Verarbeitung von personenbezogenen Daten kann so lange erfolgen, so lange ein berechtigtes Interesse gegeben ist. Dies kann beispielsweise die Erfüllung gesetzlicher Auflagen oder die Verfolgung von Ansprüchen sein – beispielsweise wenn es Streitigkeiten um die Provision gibt. Gewisse Daten müssen sogar gemäß Paragraph 132 der Bundesabgabenordnung sieben Jahre aufbewahrt werden.
3. Neu für Makler: Informationspflichten
Neben all diesen Vorsichtsmaßnahmen regelt die DSGVO auch, dass Verbraucher immer informiert sein müssen, wenn Daten von ihnen erhoben werden. Das gilt unabhängig davon, ob der Makler eine gesonderte Erlaubnis zur Datenverarbeitung von seinen Kunden benötigt.
Sobald er Daten erhebt, muss ein Makler den betroffenen Personen laut Artikel 13 der DSGVO zum Zeitpunkt der Datenerhebung bestimmte Informationen mitteilen. Wie er das macht, ist Sache des Maklers.
Folgende Informationen müssen aber auf jeden Fall an den Kunden übermittelt werden:
- Identität des betroffenen Kunden
- Falls die Daten weitergegeben werden, die Kontaktdaten des Empfängers
- Verarbeitungszwecke und Rechtsgrundlage
- die Dauer der Speicherung
- die Rechte des Verbrauchers
Verbraucher haben das Recht auf Auskunft über die gespeicherten Daten, außerdem können sie verlangen, dass die Daten gelöscht oder berichtigt werden oder die Verarbeitung einschränken. Auch können sie ihre Einwilligung in die Datenspeicherung jederzeit widerrufen und haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Ausnahme: Der Makler ist aus rechtlichen Gründen verpflichtet, die Daten zu erheben – zum Beispiel wegen der Regelungen zur Verhinderung von Geldwäsche in der Gewerbeordnung.
Sobald ein Makler Kontakt mit einem Kunden aufnimmt, muss er laut DSGVO den Kunden darüber informieren, welche Daten er gespeichert hat. Bekommt ein Makler also von einem potenziellen Kunden eine Visitenkarte ausgehändigt, müsste er ihn theoretisch laut Expertenmeinung darüber informieren, sobald er die Daten in sein CRM-System einträgt.
Wichtig ist, dass der Kunde in transparenter Weise erfährt, wo seine Daten erhoben wurden, wofür und aufgrund welcher Rechtsgrundlage diese Daten verarbeitet werden. Eine bestimmte Formvorschrift für diese Informationspflichten gibt es nicht.
4. Technische und organisatorische Maßnahmen zum Datenschutz
Weiter konkretisiert die DSGVO Maßnahmen, die alle Unternehmen ergreifen müssen, um die obigen Anforderungen einzuhalten.
So müssen Unternehmen ihre Mitarbeiter im Datenschutz schulen und regelmäßig Kontrollen durchführen, ob die Datenschutzmaßnahmen auch eingehalten werden. Hierbei kann es zum Beispiel sinnvoll sein, sich von Zeit zu Zeit zeigen zu lassen, wie diese Ihre E-Mails verschicken und wo Daten abgelegt werden.
Die DSGVO beschreibt in Artikel 32 Maßnahmen, die für einen angemessenen Schutz von Kundendaten sorgen sollen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, Computersysteme müssen also beispielsweise stabil laufen und dürfen nicht fehleranfällig sein
- die Fähigkeit, die Daten bei einem physischen oder technischen Zwischenfall schnell wiederherstellen zu können
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Maßnahmen
Muss jetzt jedes Unternehmen seine Daten zwangsläufig verschlüsseln? Nicht unbedingt. Es müssen auch immer die Eintrittswahrscheinlichkeit und die Schwere des Risikos oder der Stand der Technik mit beachtet werden. Experten empfehlen aber, vor allem Daten auf Notebooks, Smartphones und Tablets zu verschlüsseln.
Die Verschlüsselung ist ohne technische Lösung nicht zu bewältigen. Das kann bei E-Mails beispielsweise die sogenannte SSL-Verschlüsselung sein, die von den meisten E-Mail-Anbietern und -Programmen unterstützt wird. Wie sich das System in der Praxis einsetzen lässt, erfahren Makler bei ihren jeweiligen Internet-Providern.
5. Datenschutzverletzungen müssen gemeldet werden
Kommt es trotz aller Vorsichtsmaßnahmen zu einer Datenschutzverletzung, müssen Unternehmen dies unverzüglich an die zuständige Aufsichtsbehörde melden – nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Ein solcher Vorfall kann beispielsweise eintreten, wenn ein Makler sein Handy verloren hat, wenn sein Computersystem gehackt wurde oder wenn bei ihm eingebrochen und ein Computer mit vertraulichen Daten gestohlen wurde. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn trotz Datenschutzverletzung kein Risiko für die Sicherheit der Kundendaten besteht. Ein solches Risiko kann beispielsweise durch eine geeignete Verschlüsselung ausgeschlossen werden. Sollte es zu Datenschutzverletzungen gekommen sein, weil zum Beispiel der Computer gehackt oder das Handy gestohlen wurde, müssen alle betroffenen Personen unverzüglich benachrichtigt werden. Zu den betroffenen Personen zählen alle, deren Daten im zum Beispiel gehackten Computer gespeichert waren.
Die zuständige Aufsichtsbehörde ist im Fall der DSGVO die österreichische Datenschutzbehörde. Zwar gibt es für die Meldung von Datenschutzverletzungen keine konkrete Formvorschrift. Die Meldung sollte dennoch gewisse Inhalte zum Verantwortlichen enthalten, also das Maklerunternehmen und einen Ansprechpartner. Empfehlenswert ist zudem die Beschreibung der Art der Verletzung – also eine Angabe zur Zahl der betroffenen Personen und Datensätze.
Konsequenzen bei Verstößen gegen die DSGVO
Sollte ein Unternehmen gegen die DSGVO verstoßen, so wird in Österreich zunächst auf Verwarnungen gesetzt. Erst bei wiederholten Verstößen gegen die Verordnung sind Höchststrafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens vorgesehen. Hierbei gibt es allerdings einige Ausnahmefälle, in denen Unternehmen glimpflich davonkommen.
Makler sollten sich dennoch tunlichst mit der DSGVO beschäftigen und die Regelungen der Verordnung einhalten.
Immowelt-Software und die DSGVO
Diese Möglichkeiten haben Sie mit estateOffice und estatePro.
wir empfehlen
wir empfehlen
b) Darauf müssen Vermieter achten
Nebenkostenabrechnung, Info-Pass des Kreditschutzverbands, Fragebögen, SEPA-Lastschrift: Jeder Vermieter erhebt zwangsläufig persönliche Daten seiner Mieter oder lässt sie verarbeiten, zum Beispiel von Ablesefirmen. Aus diesem Grund trifft Vermieter die EU-Datenschutzgrundverordnung genauso wie große Wohnungsbaugesellschaften oder Hausverwaltungen.
Vermieter sollten daher in Zukunft einige Punkte im Umgang mit den Daten ihrer Mieter beachten –schlimmstenfalls drohen hohe Geldstrafen oder Schadensersatzansprüche von Mietern.
Umgang mit Mieter-Daten – die 6 wichtigsten Punkte aus der DSGVO:
1. Einwilligung einholen
Zukünftig gewinnen Einwilligungserklärungen an Bedeutung. Diese spielen aber für Vermieter nur eine kleine Rolle. Denn sie sind nur nötig, bevor es zu einem Mietverhältnis kommt. Spätestens mit Erstellen des Mietvertrages ist der Vermieter verpflichtet Daten zu erheben, um seinen rechtlichen Pflichten nachzukommen. In diesem Fall ist eine zusätzliche Einwilligung des Mieters nicht mehr nötig. Alle Daten, die allerdings vorher – also bei der Anbahnung des Mietverhältnisses – gesammelt werden, dürfen nur mit der Einwilligung des Mietinteressenten gespeichert werden. Das betrifft grundsätzlich alle Informationen, die für die Durchführung des Mietverhältnisses nicht erforderlich sind. Das kann sogar die E-Mail-Kommunikation betreffen. Wird ein Vermieter von einem Interessenten angeschrieben und plant der Vermieter diese Daten dauerhaft zu speichern, so muss er darüber informieren. Wie er das macht, bleibt dem Vermieter überlassen. Eine Möglichkeit ist, beim Beantworten der Mail die Datenschutzregelungen zu erwähnen. Während der Anbahnung des Mietverhältnisses sind die Interessenten auch berechtigt, ihre Einwilligung jederzeit zurückzuziehen. In dem Fall muss der Vermieter die Daten unverzüglich löschen.
2. Datensparsamkeit
Grundsätzlich gilt bei der Datenerfassung das Prinzip „so viel wie nötig, so wenig wie möglich“. Im Gesetzestext heißt das Datensparsamkeit beziehungsweise Datenminimierung. „Gemäß diesem Prinzip dürfen nur jene Daten erhoben werden, die für den beabsichtigten Zweck notwendig sind“, erklärt Dr. Martin Prunbauer, Präsident des Österreichischen Haus- und Grundbesitzerbund. In der Praxis bedeutet das: Für Vermieter reicht es zum Beispiel aus, Telefonnummer oder E-Mail-Adresse ihrer Mieter zu erfassen – die Religion des Mieters ist für das Mietverhältnis nicht relevant. „Vermieter sollten aus Anlass der Einführung der DSGVO ihre bestehenden Arbeitsabläufe analysieren und gegebenenfalls anpassen“, rät Dr. Prunbauer.
3. Neue Dokumentationspflicht für Vermieter
Die erhobenen Daten unterliegen umfangreichen Dokumentationspflichten. Vermieter sind ab 25. Mai 2018 verpflichtet, ein sogenanntes Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der DSGVO zu führen. Darin müssen sie alle wesentlichen Angaben zur Datenverarbeitung dokumentieren. Hierbei müssen Vermieter auch Kontaktlisten, Korrespondenz und Papier-Archive berücksichtigen.
Folgende Punkte gehören ins Verzeichnis:
- Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls eines Vertreters
- Zweck der Verarbeitung
- Kategorien betroffener Personen – für Vermieter sind das die Mieter – und der personenbezogenen Daten, also Kontaktdaten oder Verbrauchsdaten der Mieter
- Empfänger der Daten, wie zum Beispiel Ablesefirmen oder Hausverwaltungen
- vorgesehene Fristen für die Löschung der Daten
Das Verzeichnis müssen Vermieter jederzeit und vollständig der Datenschutzbehörde vorzeigen können. Liegt ein solches Verzeichnis nicht vor, kann die Behörde ein Bußgeld verhängen.
4. Datenverarbeitung im Auftrag
Sofern der Vermieter andere Firmen mit der Datenverarbeitung beauftragt, wie etwa Hausverwaltungen oder Ablesefirmen, muss diese Dienstleistung zukünftig datenschutzrechtlich abgesichert werden. Die sogenannte Datenverarbeitung im Auftrag fordert dabei spezielle Verträge zwischen Vermieter und Dienstleister, die klar festlegen, dass allein der Vermieter und nicht der Dienstleister die Datenhoheit behält. Der Dienstleister muss in diesen Verträgen auch geeignete Sicherheitsvorkehrungen nachweisen können.
5. Informationspflicht gegenüber Mietern
Aber es bestehen nicht nur Pflichten gegenüber der Datenschutz-Aufsichtsbehörde, sondern auch gegenüber den Mietern.
So müssen Vermieter ihren Mietern noch vor Mietbeginn und immer dann, wenn Daten neu verarbeitet werden, in einer klaren und einfachen Sprache und am besten schriftlich erklären, was mit deren Daten geschieht. Eine besondere Form gibt der Gesetzgeber allerdings nicht vor.
Folgende Punkte müssen in den Hinweisen aber angesprochen werden:
- Name und Kontaktdaten des Vermieters sowie gegebenenfalls seines Vertreters
- warum die Daten erhoben werden – zum Beispiel, weil sie für die Nebenkostenabrechnung relevant sind
- die Rechtsgrundlage für die Verarbeitung ihrer Daten – zum Beispiel aus vertraglichen oder steuerrechtlichen Gründen
- wie lange die Daten gespeichert werden
- ein Hinweis, dass der Mieter grundlegende Rechte im Bereich des Datenschutzes hat: das Recht auf Auskunft, auf eine Kopie der Daten, die Löschung – insofern der Vermieter rechtlich nicht verpflichtet ist, sie weiterhin zu speichern – sowie die Einschränkung der Verarbeitung
- der Mieter hat ein Beschwerderecht bei der Datenschutzbehörde
- der Mieter hat das Recht, die Einwilligung jederzeit zurückzuziehen, sofern keine anderweitige Rechtsgrundlage für die Verarbeitung – beispielsweise die Notwendigkeit zur Vertragserfüllung – besteht
- welche weiteren Empfänger die Daten erhalten können
Der Vermieter darf die Daten aber nur dann an Dritte weitergeben, wenn es ein berechtigtes Interesse dafür gibt. Das ist zum Beispiel bei den turnusmäßigen Ablesungen von Wasser-, Strom- oder Gaszähler durch die Versorger der Fall.
6. Technische Sicherheit
Je nach Art und Menge der erfassten Daten ist künftig ein bestimmtes Sicherheitslevel an die Speicherung geknüpft. Geboten sein kann unter anderem eine Pseudonymisierung oder Verschlüsselung der Daten. In der Regel betrifft dies private Vermieter aber nicht, da sie gar nicht so viele Daten speichern müssen.
Wenn der Vermieter allerdings in der Bewerbungsphase sensible Dokumente, wie die Bonitätsauskunft, anfordert, ist er dazu verpflichtet, eine gesicherte Datenübermittlung bereitzustellen.
Praxisbeispiele: Die Datenverarbeitung vor, während und nach dem Mietverhältnis
Wer nun eine Wohnung oder ein Haus vermieten will, den interessiert in der Regel, an wen er vermietet. Es dürfen aber nur für das Mietverhältnis wichtige Daten gesammelt und gespeichert werden. Also alles, was für die Anbahnung, die Dauer und das Ende der Vertragsabwicklung relevant ist. Darunter fallen Personalien, Selbstauskünfte und Abrechnungen.
Vor dem Mietverhältnis:
Reichen vor der Besichtigung der Name und eventuell Kontaktdaten wie Telefonnummer oder E-Mail-Adresse, so dürfen Vermieter nach der Besichtigung und der Willensbekundung der potenziellen Mieter zum Beispiel auch Fragen zur Zahlungsfähigkeit stellen. Stellt der Vermieter unzulässige Fragen, so dürfen die Mietinteressenten sogar lügen. Denn es besteht keine grundsätzliche Pflicht zur wahrheitsgemäßen Beantwortung. Das betrifft insbesondere die Mieterselbstauskunft, die Vermieter gern bereits zur Besichtigung einholen.
Kommt es zu einem Mietvertrag, muss der Vermieter weitere Daten seines Mieters erheben. Doch der Grundsatz der Datensparsamkeit gilt auch dabei. In der Regel werden für die Abwicklung des Vertragsverhältnisses nur der Name und die Anschrift des Vertragspartners sowie die Bankverbindung gegebenenfalls mit einer Einverständniserklärung für ein SEPA-Lastschriftmandat benötigt. In manchen Fällen ist auch die Erhebung des Geburtsdatums erforderlich, um Mieter mit gleichem Namen auseinanderhalten zu können. Darüberhinausgehende Daten dürfen nur dann erfasst werden, wenn sie für die Erfüllung des Vertrages von Bedeutung sind. Das sind zum Beispiel Daten zur Art des Einkommens oder die Anzahl der in der Wohnung lebenden Personen sowie deren familiäre Stellung zum Mieter.
Achtung: Kommt es zu keinem Mietvertrag mit einem Interessenten, so ist der Vermieter verpflichtet, die bis dahin erhobenen Daten unverzüglich zu löschen.
Während des Mietverhältnisses:
Auch nach Abschluss des Mietvertrages darf der Vermieter nicht wahllos Daten über seine Mieter erheben. Zum Beispiel dürfen Vermieter nicht einfach Fotos oder Filmaufnahmen der Mietsache ohne die Genehmigung des Mieters machen, es sei denn, sie dokumentieren damit Schäden.
Regelmäßig erhoben werden während des Mietverhältnisses Ablesewerte von Strom, Wasser und gegebenenfalls Gas. Das Ablesen übertragen Vermieter in der Regel Ablesefirmen. Welche das sind, müssen sie vor dem Ablesetermin ihren Mietern mitteilen.
Nach dem Mietverhältnis:
Zieht der Mieter aus der Mietwohnung wieder aus und beendet das Mietverhältnis, so markiert das grundsätzlich auch das Ende der Verarbeitungsbefugnis der Personendaten des Mieters. Aus dem Grundsatz der Datenminimierung und dem Erforderlichkeitsgrundsatz ergibt sich die Verpflichtung die Mieterdaten nach Vertragsende zu löschen. „Hier sind jedoch zahlreiche Aufbewahrungsfristen zu beachten, die für einen Teil der Daten relevant sind“, sagt Dr. Prunbauer. Darunter fallen beispielsweise die Bundesabgabenordnung (7 Jahre), das Mietrechtsgesetz (10 Jahre) oder das Umsatzsteuergesetz (22 Jahre). Die Löschung der dafür notwendigen Daten wird dadurch verzögert.
Auch wenn das Mietverhältnis beendet ist, bleibt der Datensch utz für ehemalige Mieter erhalten. So unterliegt das Übermitteln von Daten weiterhin der Informationspflicht. Auch wenn dabei die Einzelangaben nicht direkt an eine Person geknüpft sind. Es reicht schon die rechtliche oder technische Möglichkeit aus, die Daten mit der Person in Bezug bringen zu können.
Empfindliche Strafen sollen abschreckend wirken
Werden die Datenschutzvorschriften der DSGVO nicht eingehalten, haben Datenschutzbehörden verschiedene Handlungsoptionen. Zum einen kann die Behörde bei einem möglichen Verstoß eine Warnung aussprechen. Zum anderen kann sie ein vorübergehendes oder endgültiges Verbot der Verarbeitung sowie eine Geldbuße verhängen. Die Behörde muss dabei sicherstellen, dass die Geldbuße wirksam, verhältnismäßig und abschreckend ist. Dabei spielen die Art, Schwere und Dauer des Verstoßes eine Rolle. Aber auch ob der Verstoß versehentlich oder vorsätzlich geschah. Außerdem können betroffene Personen Schadenersatz verlangen. Dabei sollte beachtet werden, dass die Beweislast beim Verantwortlichen liegt. In einem Mietverhältnis muss der Vermieter somit nachweisen, dass er mit den Daten sorgfältig umgegangen ist.
wir empfehlen
c) Neue Rechte für Immobilien-Suchende
Auch für Immobiliensuchende bringt die neue Datenschutzverordnung einige Änderungen mit sich: In erster Linie verbessert sich ihr Schutz durch die Pflichten derjenigen, die ihre Daten erheben und speichern. Daneben gibt es aber auch neue Rechte für sie.
Wer eine Immobilie sucht, vertraut seine Daten Suchportalen, Maklern und schließlich Immobilieneigentümern an, die ihre Immobilie vermieten oder verkaufen wollen. Dabei sollten Suchende wissen: Grundsätzlich ist es verboten, personenbezogene Daten zu erheben, sie zu nutzen und sie zu speichern. Hierzu gibt es aber gesetzlich definierte Ausnahmen. Das sind die wesentlichen Ausnahmen:
- wenn Sie selbst die Erlaubnis dazu erteilen
- wenn Daten beispielsweise zur Erfüllung eines Vertrages oder rechtlicher Pflichten notwendig sind. Einen Miet- oder Kaufvertrag kann man zum Beispiel nicht anonym abschließen. In diesen Fällen dürfen Makler und Vermieter Daten verarbeiten, ohne den Mieter explizit um Erlaubnis zu fragen.
Daraus folgt für die jeweiligen Geschäftsparteien:
Makler dürfen Daten von Immobiliensuchenden ohne gesonderte Erlaubnis verarbeiten, wenn sie rechtlich dazu verpflichtet sind oder die Verarbeitung der Daten zur Vertragserfüllung notwendig ist. Damit der Makler Suchenden ein Exposé zuschicken kann, benötigt er zum Beispiel die E-Mail-Adresse. Zur Anbahnung eines Miet- oder Kaufvertrags sind ebenso einige Daten geschäftsrelevant, etwa die Anzahl der Personen, die in eine Mietimmobilie einziehen sollen, oder der aktuelle Beruf des Interessenten. Auch bestimmte Gesetze, wie das Geldwäschegesetz, verpflichten Makler, Daten von Suchenden zu verarbeiten.
Sobald der Suchende sich gegen eine Wohnung entscheidet oder abgelehnt wurde, müssen die Daten in der Regel gelöscht werden. Es sei denn, der Makler ist verpflichtet, bestimmte Unterlagen aus steuerrechtlichen Gründen aufzubewahren.
Vermieter benötigen ebenfalls nur dann Daten, wenn ein Geschäft zustande kommt oder eines angebahnt wird: Die Anschrift ist ohnehin bekannt, der Name steht im Mietvertrag, die Kontodaten erhält der Vermieter spätestens mit der ersten Mietzahlung automatisch. Alle weiteren Daten wie beispielsweise seine Telefonnummer muss ein Interessent nicht herausgeben. Da es allerdings sinnvoll ist, schnell und einfach mit dem Vermieter oder Makler kommunizieren zu können, geben Interessenten ihre Nummer üblicherweise freiwillig heraus.
Vermieter dürfen gewisse Daten ihrer Mieter in bestimmten Fällen auch weitergeben – zum Beispiel an eine Ablesefirma oder die Hausverwaltung. Eine gesonderte Erlaubnis des Mieters ist hierfür in aller Regel nicht erforderlich. Der Vermieter muss den früheren Mieter aber über diesen Datentransfer informieren.
Nach dem Ende des Mietverhältnisses braucht der Vermieter auch die neue Anschrift, um beispielsweise die Nebenosten abrechnen zu können. Sobald aber die letzte Nebenkostenabrechnung verschickt wurde und der Vermieter auch die Kaution zurücküberwiesen hat, muss er die Daten seines Mieters löschen.
Die 4 wichtigsten DSGVO-Punkte für Immobilien-Suchende
Suchende können folgende Rechte wahrnehmen, um selbst aktiv dafür zu sorgen, dass ihre persönlichen Daten geschützt werden:
1. Auskunftsrecht: Suchende können bei Maklern, Verkäufern und Vermietern nachfragen, welche Daten diese haben und wozu sie die personenbezogenen Daten verwenden.
2. Informationspflicht: Passend dazu verpflichtet die Datenschutz-Grundverordnung Makler und Eigentümer dazu, Immobilieninteressenten umgehend zu informieren, sobald sie personenbezogene Daten erheben und speichern. Eine besondere Form ist für diese Informationen vom Gesetzgeber nicht vorgesehen.
3. Erlaubnis widerrufen: Sofern Suchende irgendwann eine Erlaubnis erteilt haben, Daten zu erheben, können sie diese jederzeit widerrufen. Auch dieser Vorgang ist formfrei, kann also schriftlich oder mündlich erfolgen. Das nützt ihnen allerdings nichts, wenn die Daten aufgrund eines gesetzlichen Privilegs erhoben wurden. Ein Mieter kann also nicht vom Vermieter verlangen, seine Daten während des laufenden Mietverhältnisses zu löschen.
4. Löschung: Suchende können Makler und Vermieter auch dazu auffordern, eventuell gespeicherte Daten zu löschen. Auch hiervon sind Daten, die aufgrund des Erlaubnisvorbehaltes erhoben wurden und noch benötigt werden, ausgenommen. Braucht der Vermieter die Daten also zum Beispiel noch, um die Nebenkosten abrechnen zu können, muss er sie nicht löschen.
Was Immobilieninteressenten bei Datenschutzverstößen tun können
Fällt einem Immobilien-Suchenden auf, das seine Daten unberechtigt erhoben und gespeichert wurden oder nicht ausreichend geschützt wurden, kann er dies dem Datenschutzbeauftragten melden. Zuständig sind die Datenschutzbeauftragten des Bundeslandes, in welchem der Vermieter wohnt oder in dem der Makler seinen Sitz hat.
nach oben02.03.2018wir empfehlen
wir empfehlen
