12.10.2020 | Bau & Immobilien | ID: 1075533

Datenschutz für Immobilienverwalter

Gastautor Dr. Albert Scherzer informiert in diesem Beitrag, welche Informationspflichten gemäß der DSGVO für Immobilienverwalter gelten und welche datenschutzrechtlichen Maßnahmen getroffen werden müssen.

Allgemeines

Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Geltung getreten. Alle Datenverarbeitungen müssen dieser Rechtslage entsprechen.

Dies führt zu diversen (teils neuen) Verpflichtungen. Dazu gehören:

• Führung eines Verarbeitungsverzeichnisses (Dokumentation)
• Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern
• Informationsverpflichtungen/Datenschutzerklärungen gegenüber Kunden
• Informationsverpflichtungen/Datenschutzerklärungen gegenüber Geschäftspartnern
• Vertragliche Absicherung gegenüber Auftragsverarbeitern
• Gegebenenfalls eine Risikoabschätzung
• Information und Erfüllung der Auskunftsrechte betroffener Personen

Bei welchen Tätigkeiten müssen Immobilienverwalter datenschutzrechtlich aufpassen?

Folgende Tätigkeiten von Immobilienverwaltern sind potentiell datenschutzrechtlich relevant:

• Betriebskostenabrechnungen
• Rücklagenberechnungen
• Jahresabrechnungen
• Eigene Webseite mit Kontaktmöglichkeit
• Verwaltung der Mieteinnahmen
• Mahnungen
• Betreuung der Vertragspartner
• Beauftragung von Dritten (zB Handwerker)
• Durchführung der Lohnabrechnungen der eigenen Mitarbeiter mittels Steuerberater

Der Immobilienverwalter muss Maßnahmen setzen!

• Der Immobilienverwalter muss seine Mitarbeiter über die DSGVO schulen (Einschulungsverpflichtung).
• Die Mitarbeiter sind verpflichtet, einer Geheimhaltungsvereinbarung (Datenschutzverpflichtung) zuzustimmen.
• Ein Verzeichnis der Verarbeitungstätigkeiten muss erstellt werden.
• Erfüllung der Informations- und Auskunftspflichten (Datenschutzerklärung)
• Information von Mietern und Eigentümern bei Vertragsabschluss
• Durchführung von Löschungen von personenbezogenen Daten
• Maßnahmen zur Datensicherung
• Im Falle von Datenschutzverletzungen rasche Information der Datenschutzbehörde

Informationspflichten des Immobilienverwalters

Die DSGVO kennt keine bestimmte Formvorschrift, wie die folgenden Informationen erteilt werden müssen. Die Information kann daher schriftlich oder in anderer Form, durchaus auch elektronisch, erfolgen.

Der Immobilienverwalter muss die Betroffenen darüber informieren

• zu welchem Zweck der Verantwortliche die personenbezogenen Daten verarbeitet,
• welche Daten bzw Datenkategorien betroffen sind,
• wie lange das Unternehmen oder die Behörde die Daten speichert und aufbewahrt,
• ob eine Weitergabe und Übermittlung stattfindet mit Empfänger und Grund für die Übermittlung,
• ob der Verantwortliche Daten ins Ausland übermittelt, mit Angabe des Empfängerlands und dem Zweck der Übermittlung,
• welche Rechte der Betroffene nach DSGVO hat,
• woher die Daten stammen,
• ob der Verantwortliche Profiling betreibt,
• wer die verantwortliche Stelle ist,
• wie die Betroffenen den Datenschutzbeauftragten kontaktieren können (bei Immobilienverwaltern meist irrelevant) und
• dass das Recht besteht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren.

Der Immobilienverwalter ist verpflichtet, der betroffenen Person gem Artikel 12 DSGVO alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Zudem muss ein Verantwortlicher nachweisen können, dass er seinen Informationspflichten nachkommt. Die Datenschutz-Aufsichtsbehörden empfehlen, die Erfüllung der Informationspflichten schriftlich zu dokumentieren, um sich vor Auseinandersetzungen zu schützen.

Auskunftsrecht der Betroffenen

Gem Artikel 15 DSGVO kann die betroffene Person auf Nachfrage eine Bestätigung verlangen, ob auf sie bezogene Personendaten verarbeitet werden (Auskunftsrecht). Wenn dem so ist, müssen ihm sowohl die erhobenen personenbezogenen Daten als auch zahlreiche Informationen insbesondere mitgeteilt werden.

Berichtigungspflicht

Der Betroffene darf gem Artikel 16 DSGVO verlangen, dass unwahre Daten über ihn entsprechend berichtigt oder ergänzt werden. Weiter kann er gem Artikel 17 DSGVO jederzeit die Löschung seiner Daten verlangen. Löschen bedeutet, dass die Daten tatsächlich vernichtet werden müssen. Dafür muss einer der folgenden Gründe gegeben sein:

• Daten sind für den Verarbeitungszweck nicht mehr notwendig
• Widerruf einer erteilten Einwilligung des Betroffenen in die Datenverarbeitung (wenn eine anderweitige Rechtsgrundlage für die Verarbeitung fehlt)
• Widerspruch des Betroffenen gegen die Verarbeitung und Fehlen eines vorrangigen berechtigten Grundes dafür
• unrechtmäßige Datenverarbeitung
• es besteht eine sonstige Löschungspflicht nach nationalem Recht oder Unionsrecht

Auch Immobilienverwalter müssen Datensicherheit gewährleisten

Die DSGVO schreibt in Artikel 32 technisch-organisatorische Maßnahmen (TOMs) vor, mit denen die Sicherheit der Datenverarbeitung gewährleistet werden soll. Sie enthält jedoch keine konkreten Handlungsanweisungen, sondern beschreibt vielmehr die Ziele. Dies führt leider zu vielen Unsicherheiten. Es liegt daher im Ermessensbereich des Verantwortlichen, welche und wie viele technisch organisatorische Maßnahmen getroffen werden.

Der Gesetzgeber fordert allerdings, dass Unternehmen den Stand der Technik sowie anfallende Implementierungskosten berücksichtigen sollen. Es bleibt freilich weiter ungeklärt, was als angemessen zu verstehen ist, wenn vom Stand der Technik und der Verhältnismäßigkeit gesprochen wird.