Die europäische Datenschutz-Grundverordnung (DSGVO) bringt nicht nur für Unternehmen, sondern auch für Makler, Verwalter und Vermieter neue Pflichten bei der Erhebung, der Weitergabe und der Löschung von Daten. Bis zum 25.05.2018 müssen die Vorgaben umgesetzt werden. Insbesondere beim Einsatz von Dritten - wie Ablesediensten - können Vermieter haften. Bei Verstößen drohen hohe Bußgelder.
Ab 25.05.2018 gilt auch in Deutschland die europäische Datenschutz-Grundverordnung (DSGVO). Sie löst die bisher geltenden Bestimmungen des Datenschutzrechts ab. Verbraucher bekommen mehr Auskunftsrechte, bei Verstößen drohen hohe Strafen. Die neue Norm betrifft nicht nur Unternehmen, sondern auch Mieter und Vermieter, Makler und Verwalter. Dabei ist der 25.05.2018 kein Stichtag, bis zu dem eine Übergangsregelung o.Ä. gilt, sondern der Termin, bis zu dem die Neuregelungen umgesetzt sein müssen.
Anwendungsbereich der DSGVO
Wie die EG-Datenschutzrichtlinie, die durch die DSGVO abgelöst wird, bezieht sich der örtliche Anwendungsbereich der DSGVO auf Tätigkeiten im Anwendungsbereich des Unionsrechts. Dabei werden nicht nur grenzüberschreitende Sachverhalte erfasst, sondern auch Sachverhalte innerhalb eines Mitgliedstaats der EU.
Sachlich bezieht sich der Anwendungsbereich auf bestimmte Unterlagen. Soweit Unterlagen „nach bestimmten Kriterien geordnet“ werden, sind auf diese Unterlagen die Anforderungen der DSGVO anwendbar. Dies gilt jedoch u.a. bei der sogenannten Haushaltsausnahme nicht. Dabei handelt es sich um „ausschließlich persönliche oder familiäre Tätigkeiten“.
Diese Ausnahme gilt jedoch selbst bei Vermietungen kleinsten Umfangs zur rein privaten Vermögensverwaltung nicht, weil der Kontakt mit dem Mieter stets außerhalb der rein persönlich-familiären Sphäre erfolgt. Ausgenommen sind also nur Vermietungen an nahe Angehörige.
Folgen aus der Anwendbarkeit der DGSVO auf Mietverhältnisse
Bei der Begründung und der Durchführung eines Mietverhältnisses folgen aus der DSGVO zunächst keine grundlegenden materiell-rechtlichen Veränderungen. Wie bisher ist der zentrale Maßstab für die Zulässigkeit von Datenverarbeitungen der unbestimmte Rechtsbegriff der Erforderlichkeit.
Die vorvertragliche Datenerhebung setzt nach wie vor voraus, dass diese „auf Anfrage“ der betroffenen Personen erfolgt. Zudem wird mit Ausnahme des Melderechts und ähnlichen öffentlich-rechtlichen Verpflichtungen jede weitere nationale Regelung über Verarbeitungsbefugnisse ausgeschlossen.
In diesem Zusammenhang darf der Vermieter alle Daten erheben, die für Beginn, Dauer und Ende des Mietverhältnisses wichtig sind. Darunter fallen auch Selbstauskünfte von Wohnungsinteressenten. Neben Personalien bleiben wie bisher Angaben zum Einkommen erlaubt, sofern jemand ernsthaftes Interesse an den Räumen bekundet hat. Dabei geht es um das konkrete Mietverhältnis.
Folglich dürfen personenbezogene Daten von Mietinteressenten, mit denen kein Mietvertrag zustande gekommen ist, weder gesammelt noch gespeichert werden. Ausnahme: Die Mietinteressenten sind mit der Speicherung einverstanden. Dies wird sicherlich der Fall sein, wenn die Interessenten die Hoffnung haben, vom Eigentümer, Makler oder Verwalter Informationen über die nächste freie Wohnung zu bekommen.
Nach der Datenerhebung sind die Daten von Mietern ohne unangemessene Verzögerung zu löschen, und zwar sobald sie ihren Zweck erfüllt haben. Das ist normalerweise beim Auszug der Fall oder spätestens dann, wenn die Nebenkosten und die Kaution abgerechnet sind.
Besondere Folgen bei der Einschaltung Dritter
Neben dem sicheren Abspeichern einschließlich Schutz vor Datendiebstahl ist auch zu dokumentieren, was mit den Angaben passiert und wer Zugriff darauf hat. Das kann außer dem Eigentümer z.B. auch die Hausverwaltung sein. Oft werden es jedoch auch Ablesedienste sein, die vom Vermieter oder Hausverwalter beauftragt werden. Immer, wenn Dritte eingeschaltet werden, werden dem Vermieter durch die DSGVO Pflichten auferlegt, denn der Vermieter muss dafür Sorge tragen, dass der Dienstleister die DSGVO einhält. Andernfalls haftet der Vermieter.
Im eigenen Interesse sollten Eigentümer also u.a. darauf achten, dass ihre Auftragnehmer die Daten auf einem Server innerhalb der EU speichern und dies auch entsprechend bescheinigen. Dies ist erforderlich, damit die Vermieter den Mietern auf Nachfrage mitteilen können, welche Daten von ihnen erhoben wurden und wem gegenüber sie offengelegt werden.
Rechtsfolgen eines Verstoßes
Verstöße gegen die in der DSGVO festgelegten Pflichten können mit beträchtlichen Bußgeldern belegt werden: im Extremfall bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes des betreffenden Unternehmens.
Praxishinweis
Vor diesem Hintergrund sollte jeder Vermieter, unabhängig davon, wie viele Objekte er an Familienfremde überlässt, kurzfristig – bis Ende Mai 2018 – Vorkehrungen ergreifen, um die datenschutzrechtlichen Vorgaben der DSGVO umzusetzen. Da dies bei Vermietern, die eine Mehrzahl von Objekten überlassen, zu erheblichen Kosten für die Umsetzung führen kann, ist nicht auszuschließen, dass diese Kosten auch auf die Miete umgelegt werden (müssen) und damit zu einer kurzfristigen Mieterhöhung führen. Es stellt sich die Frage, wie jeder Vermieter den Vorgaben sachgerecht nachkommen kann, ohne übermäßige Kosten aufwenden zu müssen. Der Gesetzgeber ist insoweit aufgerufen, für „Kleinvermieter“ gegebenenfalls Vereinfachungsregelungen zu schaffen.
Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) v. 27.04.2016, ABl L 119 1
Quelle: RA und StB Axel Scholz, FA für Steuerrecht und FA für Handels- und Gesellschaftsrecht