David Stockhammer
Rechtsanwalt

DSGVO & Immobilienwirtschaft

In Hausverwaltungen, bei Immobilienmaklern und Bauträgen werden eine Vielzahl von personenbezogenen Daten (Eigentümer, Mieter, Schuldner, Interessenten etc.) gespeichert, verknüpft, und ausgewertet, weshalb den Regelungen des neuen Datenschutzrechtes hier eine große Bedeutung zukommt. Die einzelnen Themen reichen von der datenschutzkonformen Website über die Kontrolle der Dienstleister, die Beschreibung und Bewertung sämtlicher datenschutzrelevanter Prozesse im Unternehmen bis hin zur Sensibilisierung der Mitarbeiter. 

 

Seit 25.5.2018 ist die europäische Datenschutzgrundverordnung (DSGVO) unmittelbar anwendbar. Interne Prozesse sollten bis dahin umgestellt sein. Informationspflichten und Betroffenenrechte wurden deutlich erweitert, dazu gehören insbesondere das Recht auf Auskunft, Löschung („Recht auf Vergessenwerden“) und Übertragung der persönlichen Daten. Jede Verarbeitung von personenbezogenen Daten muss einen „Rechtfertigungsgrund“ haben; Daten müssen gelöscht werden sobald ihr Zweck erfüllt ist.

 

Verarbeitung personenbezogener Daten:

Die DSGVO gilt für die Verarbeitung personenbezogener Daten natürlicher Personen. Als personenbezogene Daten gelten Daten mit direktem oder indirektem Bezug auf ein Individuum (z.B. Namen, Adresse, Geburtsdaten, Kontonummern). Auch die Einlagezahl und die Nummer der Katastralgemeinde eines Grundbuchauszuges stellen personenbezogene Daten dar, da damit leicht der Eigentümer einer Liegenschaft herausgefunden werden kann. Unter Verarbeitung wird die „automatisierte Verarbeitung“ verstanden. Eine Verarbeitung stellen beispielsweise die Erstellung einer Kundendatei oder die Aufnahme von Daten zur Erstellung einer Rechnung dar. Auch die manuelle Verarbeitung ist vom Anwendungsbereich erfasst, wenn die verarbeiteten Daten systematisch abgelegt werden. 

 

Rollenverteilung:

Auch nach der DSGVO gilt weiterhin die dreipersonale Rollenverteilung:
Der Verantwortliche, der Auftragsverarbeiter und der Betroffene. 

 

Rollenverteilung

 

Verantwortlicher ist wer allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.  Immobilienmakler, Hausverwaltungen und Bauträger werden in der Regel als Verantwortlicher hinsichtlich der von diesem verarbeiteten personenbezogenen Daten anzusehen sein. Je nach Organisationsform ist demnach entweder der einzelne Unternehmer oder die Personen- bzw. Kapitalgesellschaft Verantwortlicher im Sinne der DSGVO. Hausverwalter werden in der Regel als Verantwortliche anzusehen sein. 

Auftragsverarbeiter ist, wer die personenbezogenen Daten im Auftrag (als verlängerter Arm) des Verantwortlichen bearbeitet. Teilweise wird die Meinung vertreten, dass dies auf den Hausverwalter zutreffe, diese Auffassung ist nicht zu teilen; der Hausverwalter wird in aller Regel als Verantwortlicher einzustufen sein. 

Die mit einem Verantwortlichen in einem Vertragsverhältnis (z.B. Mietvertrag, Bauträgervertrag, Maklervertrag) stehende Person wird regelmäßig als Betroffener anzusehen sein. Ebenso können als Betroffene auch Personen infrage kommen, die vom Wirken des Verantwortlichen umfasst sind ohne dass ein Vertragsverhältnis besteht, wie zum Beispiel buchberechtigte Personen.

 

Rechtmäßigkeit der Verarbeitung:

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten. Die Datenverarbeitung ist aber dann gerechtfertigt, wenn ein „Rechtfertigungsgrund“ gegeben ist. Ein solcher liegt insbesondere vor bei 

  • Einwilligung der betroffenen Person, 
  • Vorliegen eines Vertrages oder die Vertragsanbahnung, 
  • Vorliegen einer gesetzlichen Verpflichtung des Verantwortlichen,
  • eine Aufgabe die im öffentlichen Interesse liegt oder
  • die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

Im Bereich des Wohnrechts kommen vor allem die Erfüllung oder Vorbereitung von Miet- oder Verwaltungsverträgen, deren Vertragspartei die betroffene Person ist, in Frage.

 

Informationspflichten / Führung eines Verzeichnisses:

Selbst für den Fall, dass keine Einwilligung des Betroffenen erforderlich ist, bestehen nach der DSGVO dennoch umfassende Informationspflichten des Verantwortlichen an den Betroffenen. Diese Informationspflicht wirken nicht zurück und ist im unmittelbaren zeitlichen Zusammenhang mit der Erhebung zu erteilen. 

 

Folgende Informationen sind an Betroffene zu erteilten: 

  • welche konkreten Daten (z.B. Kontaktdaten), zu welchem Zweck (Erfüllung des Maklervertages, Erstellung des Mietvertrages oder Bauträgervertrages) und aufgrund welcher Rechtsgrundlage (Miet-, Makler- oder Bauträgervertrag) erhoben werden;
  • an welche Empfänger die Daten weitergegeben werden (z.B. Vertragserrichter oder Finanzinstitute);
  • wie lange bestimmte Daten aufbewahrt werden;
  • die Rechte des Betroffenen auf Auskunft, Löschung oder Berichtigung von Daten, Beschwerderecht.

Insbesondere bei Immobilienmaklern und Bauträgern ist zu beachten, dass auch etwaige Interessenten, deren Daten erhoben werden, von dieser Informationspflicht erfasst werden. Insgesamt ist zu empfehlen, ein Datenschutz-Informationsblatt anzufertigen und dieses dem Kunden bereits beim ersten Kontakt auszuhändigen bzw. den Kunden darauf hinzuweisen, dass personenbezogene Daten verarbeitet werden und sich weitere Datenschutzinformationen auf der Website des Unternehmens befinden. Letztere Möglichkeit ist jedoch nur dann zulässig, wenn man davon ausgehen darf, dass der Kunde Zugriff auf das Internet hat. 

Auf dieses Informationsblatt sollte in den jeweiligen Verträgen (d.h. Hausverwaltungsvertrag, Maklervertrag etc.) der Vollmacht immer ausdrücklich verwiesen werden!

 

Was ist zu tun?

Um die Pflichten nach der DSGVO erfüllen zu können, empfiehlt es sich jedenfalls, ein unternehmensinternes Datenschutz-Managementsystem aufzubauen:

  • Einwilligungsprozesse und Informationspflichten prüfen und einhalten (Erstellung von Mustererklärungen); 
  • Erstellung eines Verzeichnisses über die Datenverarbeitungstätigkeiten;
  • Einhaltung der Datenschutzgrundsätze bei der Datenverarbeitung (Zweckbindung, Transparenz, Datenminimierung, Richtigkeit, Integrität, Rechenschaftspflicht);
  • Auftragsverarbeiter identifizieren und datenschutzrechtliche Garantien vertraglich sicherstellen;
  • Verwaltungs-Software auf Erfordernisse des Datenschutzes ausrichten;
  • Adaptierung der Website;
  • Technische und organisatorische Sicherheitsvorkehrungen;
  • Data Breach-Prozess einführen;
  • Erstellung einer unternehmensinternen Datenschutz-Policy / Mitarbeiterschulungen und -sensibilisierung;
  • Risikoanalyse / Datenschutz-Folgeabschätzung.

Wir unterstützen Sie bei der Umsetzung dieser (oder auch nur einzelner) Punkte sehr gerne!