„Smart Metering“, intelligente Licht- und Alarmsysteme sowie vernetzte und hochauflösende Videokameras – neue Technologien bieten auch der Immobilienbranche ein enormes Entwicklungspotenzial. Bei Nutzung dieser technischen Neuerungen, aber auch im Rahmen klassischer Datenverarbeitungen der Immobilienbranche – z.B. bei der Vermietung oder bei Immobilientransaktionen – sind allerdings die datenschutzrechtlichen Anforderungen zu beachten.

Die Verunsicherung ist bei Unternehmen angesichts der teilweise widersprüchlichen Aussagen von Aufsichtsbehörden groß: So plante ein Vermieter in Wien unter Berufung auf den Datenschutz die Anonymisierung von etwa 220.000 Klingelschildern. Solche Maßnahmen sind übertrieben und datenschutzrechtlich nicht angezeigt. Verschiedene Themenbereiche sind in der Immobilienwirtschaft aber tatsächlich von hoher datenschutzrechtlicher Relevanz und müssen Beachtung finden, um Verfahren vor den Datenschutzaufsichtsbehörden und potentiell hohe Bußgelder zu vermeiden.

1. Vermietung von Immobilien

Einer der klassischen Bereiche intensiver Datenverarbeitung durch die Immobilienwirtschaft ist der Vermietungsprozess. In diesem Bereich haben Aufsichtsbehörden bereits sehr klare Vorstellungen, was zulässig bzw. unzulässig ist. Bei den in letzter Zeit durchgeführten behördlichen Überprüfungen blieb praktisch kein geprüfter Vermieter beanstandungsfrei.

Um Datenschutzkonformität zu gewährleisten, sollten Unternehmen deshalb bei der Nutzung von Mieterdaten u.a. die folgenden Punkte beachten:

  • Datenerhebung bei Mietinteressenten

Vermieter, Immobilienverwalter und Makler erheben regelmäßig zahlreiche personenbezogene Daten, um den Vermietungsprozess zu organisieren und den passenden Mieter auszuwählen. Neben Namen und Kontaktdaten werden auch Informationen zur Bonität, Mietschuldenfreiheit, über das Vorliegen eines Wohnberechtigungsscheins, die Anzahl der potentiell im Haushalt lebenden Personen sowie Angaben zum Arbeitsverhältnis und Nettoeinkommen (inklusive entsprechender Nachweise) gesammelt.

Im Datenschutzrecht gilt allerdings der Grundsatz der „Datenminimierung“, wonach Daten nur insoweit verarbeitet werden dürfen, wie dies für einen konkreten Zweck erforderlich und angemessen ist. Vor dem Hintergrund dieses Grundsatzes ist eine vollständige Erfassung aller Daten „auf Vorrat“ zu Beginn des Vermietungsprozesses unzulässig. Vielmehr teilen die Aufsichtsbehörden den Vermietungsprozess künstlich in die Phasen

1) „vor/bei der Besichtigung“,

2) „Mietinteressent äußert konkretes Interesse an der Immobilie“ und

3) „kurz vor/bei Vertragsschluss“

ein. Dabei dürfen in jeder Phase nur bestimmte Daten von den Mietinteressenten abgefragt werden. So ist es – nach Auffassung der Aufsichtsbehörden – z.B. grundsätzlich erst dann zulässig, die Vorlage von Einkommensnachweisen zu verlangen, wenn bereits ein konkreter Mietinteressent ausgewählt wurde (Phase 3).

  • Umgang mit Auskunfteien

Um die Bonität eines Mietinteressenten zu überprüfen, greifen Unternehmen häufig auf Auskunfteien zurück. Dies ist jedoch nur eingeschränkt zulässig und sollte – soweit zur Beurteilung der Bonität noch erforderlich – erst kurz vor Vertragsschluss mit einem Mietinteressenten erfolgen. Schwierig ist die häufig anzutreffende Praxis, von Mietinteressenten die Vorlage einer Selbstauskunft zu verlangen, wenn diese Informationen enthält, die für das Mietverhältnis irrelevant sind.

  • Informationspflichten

Der Vermieter muss Mietinteressenten bzw. Mieter vor der ersten Datenerhebung umfassend über die Datenverarbeitung im Vermietungsprozess und im anschließenden Mietverhältnis informieren (z.B. über die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Dauer der Speicherung und potentielle Empfänger der Daten). Dieser Pflicht sollten Vermieter durch entsprechende Datenschutzhinweise (z.B. als Anlage zum Mietinteressentenfragebogen/Mietvertrag) nachkommen.

  • Datenlöschung

Immobilienunternehmen sollten sorgfältig prüfen, wann personenbezogenen Daten von Mietinteressenten und Mietern zu löschen sind. Unternehmen sind zur Löschung verpflichtet, wenn der ursprüngliche Verarbeitungszweck entfällt und keine (bspw. steuer- und handelsrechtlichen) Aufbewahrungspflichten bestehen. So wird eine Löschung von Daten eines Mietinteressenten häufig angezeigt sein, wenn die Wohnung an jemand anderen vermietet wurde. Im Hinblick auf den ausgewählten Mietinteressenten darf ein Vermieter grundsätzlich nur die Daten weiterhin speichern, die zur Durchführung des Mietverhältnisses oder zur Erfüllung gesetzlicher Pflichten notwendig sind.

  • Datenweitergaben an Dritte

Schließlich sollten Immobilienunternehmen prüfen, inwieweit Mieterdaten an Dritte, z.B. Hausverwaltungen, Makler und sonstige Dienstleistungsunternehmen, weitergegeben werden dürfen. Gelegentlich müssen Datenschutzverträge mit entsprechenden Dienstleistern abgeschlossen werden.

  • Kommunikation mit Mietern

Es gibt verschiedene Anlässe für die Kommunikation zwischen Vermietern und Mietern. Hierbei werden zwangsläufig personenbezogene Daten der Mieter verarbeitet. Sofern die Korrespondenz ihren Anlass unmittelbar im Vertragsverhältnis findet (z.B. Mitteilung über Nebenkostenabrechnung) ist die Datenverarbeitung regelmäßig auf Basis der Durchführung des Mietvertrages gerechtfertigt. Etwas Anderes kann in Fällen gelten, in denen die Datenverarbeitung nur am Rande Berührungspunkte mit dem Mietvertrag aufweist (z.B. Veranstaltung eines Mieterfestes, Newsletterversand). In diesen Fällen bedarf die Datenverarbeitung einer gesonderten Prüfung, insbesondere ist zu prüfen, ob eine Einwilligung der Mieter erforderlich ist.

Daneben können datenschutzrechtliche Vorgaben beim Einsatz bestimmter Kommunikationsmittel (z.B. Messenger-Dienste) an Relevanz gewinnen. Neben der Frage der Rechtmäßigkeit der Datenverarbeitung stellen sich in diesen Fällen regelmäßig Probleme bezüglich der Weitergabe der Kommunikationsdaten an die Betreiber der Dienste.

2. Immobilien- bzw. Unternehmenskauf

Von hoher praktischer Relevanz sind datenschutzrechtliche Fragen auch bei Immobilientransaktionen. Folgende Punkte sind dabei u.a. zu beachten:

  • Rechtmäßigkeit der Weitergabe von Mieterdaten im Verkaufsprozess

Bei Immobilientransaktionen stellt der Verkäufer dem Käufer in den einzelnen Phasen der Transaktion Informationen zur Verfügung, um eine Prüfung wertbildender Faktoren des Zielobjekts zu ermöglichen. Bei der Bereitstellung und Entgegennahme dieser Informationen sollten Unternehmen allerdings im Blick behalten, ob die datenschutzrechtlichen Anforderungen berücksichtigt werden. So sollte insbesondere geprüft werden, ob und zu welchem Zeitpunkt im Rahmen einer Transaktion Mieterdaten an Kaufinteressenten weitergegeben werden.

So dürfen z.B. bei einem Verkauf einer vermieteten Immobilie im Rahmen einer Due Diligence zunächst häufig nur statistische Daten zu den Mietern offengelegt werden, da nähere konkrete Informationen zu einzelnen Mietern in vielen Fällen keinen Einfluss auf den Wert einer Immobilie haben. Als Faustregel gilt jedoch: Je näher der Abschluss einer Transaktion rückt, desto mehr Daten dürfen vom Verkäufer weitergegeben werden.

  • Informationspflichten

Auch bei Transaktionen sind ggf. Informationspflichten zu beachten. So muss jedenfalls das Unternehmen, das personenbezogene Daten im Rahmen einer Transaktion offenlegt, die betroffenen Mieter darüber zumeist informieren. Entsprechende Informationen können bereits in abstrakter Form in die allgemeinen Datenschutzhinweise aufgenommen werden, um die Notwendigkeit eines späteren Tätigwerdens zu vermeiden.

3. Videoüberwachung von Immobilien

Ebenfalls von großer datenschutzrechtlicher Bedeutung für die Immobilienwirtschaft ist der Bereich der Videoüberwachung. Nach Angaben der Aufsichtsbehörden stellt die Videoüberwachung einen der beschwerdeträchtigsten Bereiche dar. Bei der Implementierung einer Videoüberwachung sollten folgende Punkte beachtet werden:

  • Zulässigkeit der Videoüberwachung/Datenschutz-Folgenabschätzung

Unternehmen, die eine Videoüberwachung durchführen (lassen) wollen, sollten sorgfältig die Zulässigkeit der Videoüberwachung prüfen und die Prüfung dokumentieren. Es ist wichtig festzulegen, zu welchem Zweck und zur Wahrung welcher Interessen die Videoüberwachung erfolgt (z.B. Abschreckung und/ oder Verfolgung von Straftaten) und warum die Videoüberwachung erforderlich und angemessen ist. Bei der vorzunehmenden Prüfung sollten u.a. der räumliche/zeitliche Umfang der Videoüberwachung, die Art der eingesetzten Kameras und die Speicherdauer Beachtung finden.

Je nach Umfang und Intensität der Videoüberwachung ist in der Regel eine „Datenschutz-Folgenabschätzung“ durchzuführen. Im Rahmen dieses durch die DSGVO neu eingeführten Verfahrens muss das für die Videoüberwachung verantwortliche Unternehmen die Folgen der Videoüberwachung analysieren und mögliche Risiken minimieren.

  • Informationspflichten

Zudem muss die Videoüberwachung durch ein Piktogramm kenntlich gemacht werden. Die betroffenen Personen sind darüber hinaus über weitere Umstände der Videoüberwachung zu informieren (z.B. über den Zweck der Videoüberwachung, ihre Rechtsgrundlage und die Dauer der Datenspeicherung).

  • Datenlöschung

Videoaufnahmen sollten – nach Auffassung der Aufsichtsbehörden – grundsätzlich spätestens nach 48 Stunden gelöscht werden. Bei einer ausreichend substantiierten Begründung kommt allerdings auch eine längere Speicherung in Betracht.

  • Sicherheit

Unternehmen müssen angemessene Sicherheitsmaßnahmen ergreifen, um den Schutz der Persönlichkeitsrechte der von der Videoüberwachung betroffenen Personen zu gewährleisten. Dies kann z.B. durch eine Verschlüsselung der Aufnahmen, ein Zugriffsberechtigungskonzept und durch den Einsatz einer sog. Black Box (bei der die Aufnahmen nur im Bedarfsfall ausgewertet und ansonsten mittels eines Ringspeichers fortlaufend überschrieben werden) geschehen.

4. „Smart Home“

Neben die klassischen Bereiche der Datenverarbeitung in der Immobilienwirtschaft treten – getrieben durch die Digitalisierung – zunehmend neue Entwicklungen, die datenschutz- und IT-rechtliche Fragen hervorrufen. Hierzu zählt z.B. das „Smart Home“, das als Oberbegriff für technische Systeme wie „Smart Meter“ oder intelligente Licht- und Alarmsysteme in Wohnimmobilien dient, die mittels vernetzter Geräte und automatisierter Abläufe die Wohnqualität und Sicherheit verbessern sollen.

Folgende datenschutzrechtlichen Aspekte sind für Anbieter bzw. Betreiber (z.B. Vermieter, die „Smart Home“-Anwendungen im Rahmen von Modernisierungsmaßnahmen einrichten lassen) u.a. von Relevanz:

  • Rechtmäßigkeit der Datenverarbeitung und Grundsatz der Datenminimierung

Die Anbieter bzw. Betreiber einer „Smart Home“-Anwendung verarbeiten häufig personenbezogene Daten (z.B. über den Energieverbrauch eines Nutzers bzw. Mieters). Soweit dies der Fall ist, sollten Unternehmen prüfen, ob die Datenverarbeitung von einer entsprechenden Rechtsgrundlage gedeckt ist. In Betracht kommt z.B. die Einwilligung der betroffenen Person (z.B. eines Mieters). Damit eine entsprechende Einwilligung allerdings wirksam ist, muss diese durch eine eindeutige bestätigende Handlung erfolgen und ausreichend über die Datenverarbeitung informiert werden.

Auch wenn eine Rechtgrundlage zur Datenverarbeitung vorliegt, sollten Unternehmen den Grundsatz der Datenminimierung beachten. Danach dürfen (auch) bei „Smart Home“-Anwendungen personenbezogene Daten nur insoweit verarbeitet werden, wie dies für den verfolgten Zweck erforderlich und angemessen ist.

  • Sicherheit

Darüber hinaus sind Betreiber der „Smart Home“-Anwendung datenschutzrechtlich verpflichtet, angemessene technische und organisatorischen Maßnahmen zum Schutz der Persönlichkeitsrechte der betroffenen Personen zu treffen.

Sie sollten dabei sicherstellen, dass diese die Anforderungen an eine angemessene IT-Sicherheit erfüllen. Zudem sollten sie Anwendungen so konzipieren, dass nur notwendige personenbezogene Daten erhoben werden („Privacy by Design“). Da in der Praxis viele „Smart Home“-Anwendungen die IT-sicherheitsrechtlichen Anforderungen nicht vollständig erfüllen, sollten Betreiber die „Smart Home“-Anwendungen sorgfältig (z.B. auf Basis entsprechender Zertifikate) auswählen und die Anwendungen regelmäßig überprüfen (lassen).

5. Allgemeine datenschutzrechtliche Anforderungen

Neben den beschriebenen Pflichten sollten Unternehmen der Immobilienwirtschaft auch die folgenden allgemeinen datenschutzrechtlichen Anforderungen beachten (vgl. zu weiteren Details auch unseren Stufenplan zur Implementierung der DSGVO):

  • Verarbeitungsverzeichnis: Unternehmen müssen regelmäßig ein Verzeichnis führen, dass Informationen zu den Datenverarbeitungstätigkeiten enthält (z.B. zu den Verarbeitungszwecken, den verarbeiteten Daten und den Fristen für eine Löschung der Daten)
  • Datenschutzbeauftragter: Häufig sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen und dessen Kontaktdaten der Aufsichtsbehörde mitzuteilen
  • Betroffenenrechte: Unternehmen müssen sicherstellen, dass die weitreichenden Rechte der betroffenen Personen (z.B. auf Auskunft, Löschung und Widerspruch) erfüllt werden
  • Meldepflichten: Im Fall einer Verletzung des Schutzes personenbezogener Daten sind – unter bestimmten Voraussetzungen – innerhalb von 72 Stunden nach Kenntniserlangung die Aufsichtsbehörden und ggf. auch die betroffenen Personen zu informieren
  • Datenschutz-Management-System: Zur Bewältigung der zahlreichen datenschutzrechtlichen Anforderungen empfiehlt es sich häufig, ein (konzernweites) Datenschutz-Management-System einzuführen. Im Rahmen dieses Systems sollten v.a. Rollen und Verantwortlichkeiten festgelegt und Konzepte, Richtlinien und Standardvorgehensweisen zu bestimmten Vorgängen entwickeltwerden (z.B. zur beschriebenen Erfüllung der Betroffenenrechte und Meldepflichten)