Im Rahmen eines Mietverhältnisses werden in der Regel eine Menge personenbezogene Daten des Mieters erhoben, gespeichert und verarbeitet. Fast immer müssen diese Daten auch an Dritte (z. B. Ablesefirmen oder Hausverwaltungen) weitergegeben werden, wo sie ebenfalls verarbeitet werden. Die Europäische Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit diesen personenbezogenen Daten. Sie betrifft nicht nur große Vermietungsgesellschaften, sondern auch Eigentümer, die ihre Wohnung vermieten.
Auf Rechtmäßigkeit der Datenverarbeitung achten
Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten rechtmäßig, wenn diese für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich (Art. 6 Abs. 1b) DSGVO) ist. Grundsätzlich wird man im Rahmen eines Mietverhältnisses in der Regel von diesem Erlaubnisvorbehalt ausgehen können, wenn Daten eines Mieters (z. B. Bankverbindung, Zählerstände u. ä.) erhoben und verarbeitet werden.
Grundsatz der Datenminimierung beachten
Unabhängig vom Vorliegen einer Einwilligung oder der Tatsache dass die Datenerhebung und Verarbeitung erforderlich war, hat der Vermieter den Grundsatz der Daten Minimierung zu beachten. Dieser Grundsatz besagt, dass grundsätzlich nur solche Daten erhoben und verarbeitet werden dürfen, die tatsächlich für das Mietverhältnis relevant sind. Personenbezogene Daten, die für die Durchführung des Mietvertrages nicht gebraucht werden, dürfen auch nicht erhoben bzw. gespeichert und verarbeitet werden. In jedem Fall gilt, dass der Vermieter die Erhebung und Speicherung einzelner personenbezogener Daten begründen können muss.
Verarbeitungsverzeichnis anlegen
Mit dem Inkrafttreten der DSGVO am 25.05.2018, ist der Vermieter der personenbezogene Daten erhebt und verarbeitet, verpflichtet ein so genanntes Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) anzulegen. In diesem Verzeichnis müssen unter anderem folgende Punkte aufgenommen werden:
Dieses Verzeichnis ist nach Art. 30 DSGVO schriftlich zu führen. Möglich ist das auch in elektronischer Form. Die Aufsichtsbehörde (Landesdatenschutzbeauftragter) kann die Vorlage dieses Verzeichnisses verlangen. Hat der Vermieter ein solches Verzeichnis nicht angelegt, kann die Aufsichtsbehörde Bußgelder verhängen.
Informationspflichten gegenüber Mietern wahrnehmen
Informationspflichten gegenüber den betroffenen Personen im Hinblick auf die Verarbeitung und Nutzung ihrer Daten, werden mit dem Inkrafttreten der neuen DSGVO erheblich erweitert. Vermieter müssen nun ihre Mieter zum Zeitpunkt der Erhebung unaufgefordert über die Erhebung von personenbezogenen Daten informieren (Art. 13 DSGVO). Die Information sollte folgende Punkte enthalten:
Zusätzlich zu diesen Informationen ist der Mieter unter anderem über folgende Punkte zu informieren:
Sollte der Mieter bereits über diese Informationen verfügen, bestehen keine weiteren Informationspflichten seitens des Vermieters.
Datenverarbeitung durch Dritte absichern
Beauftragt der Vermieter einen Dritten mit der Verarbeitung personenbezogener Daten seiner Mieter (z. B. Hausverwaltung, Ablesefirma), bleibt er für den datenschutzkonformen Umgang mit den Daten seiner Mieter verantwortlich. Dazu ist mit dem externen Dienstleister ein spezieller Vertrag über die Auftragsverarbeitung zu schließen. In diesem Vertrag wird der Umgang mit den personenbezogenen Daten und deren Verarbeitung klar geregelt. Der verantwortliche Vermieter ist verpflichtet den Dienstleister sorgfältig auszuwählen und zu kontrollieren. Der Dienstleister ist rechenschaftspflichtig, d. h. er muss dem Vermieter die notwendigen Informationen zur Verfügung stellen, anhand derer überhaupt eine Kontrolle möglich ist.
Wichtig
Der Vermieter bleibt für die Sicherheit der Daten verantwortlich. Daneben sieht die DSGVO künftig eine Mithaftung des verarbeitenden Dienstleisters bei der Verletzung von datenschutzrechtlichen Pflichten vor.