Millionenbußgeld gegen die Deutsche Wohnen: Was Sie über die DSGVO in der Immobilienbranche wissen müssen
Ein Rekordbußgeld von 14,5 Millionen Euro soll die Deutsche Wohnen SE wegen Verstößen gegen die DSGVO bezahlen. Die zuständige Datenschutzbeauftragte spricht von „Datenfriedhöfen“ bei der Immobiliengesellschaft. Doch was genau hat die Deutsche Wohnen falsch gemacht und inwieweit betrifft der Fall auch Immobilienmakler, Hausverwalter & Co? Wir klären die wichtigsten Fragen rund um die DSGVO in der Immobilienbranche.
Update: Deutsche Wohnen entgeht DSGVO-Bußgeld
Glück gehabt: Die Deutsche Wohnen entgeht wohl dem Bußgeld von 14,5 Millionen Euro wegen Verstößen gegen die DSGVO. Grund dafür ist wohl der mangelhafte Bußgeldbescheid der Landesdatenschutzbehörde. Dieser könne daher nicht Gegenstand des Verfahrens werden, das Widerspruchsverfahren sei eingestellt worden, so eine Sprecherin der Berliner Justiz. Für die Datenschutzbehörde ein peinlicher Fehler - sie will den Beschluss anfechten. Warum die Deutsche Wohnnen ins Visier der Datenschützer:innen geriet und was Sie zur DSGVO in der Immobilienbranche wissen müssen, erfahren Sie in unserem Artikel.
Was hat die Deutsche Wohnen falsch gemacht?
Am 30. Oktober hat die die Berliner Datenschutzbeauftragte einen Bußgeldbescheid von 14,5 Millionen Euro gegen die Deutschen Wohnen SE erlassen. Aus zwei Gründen:
1. Speichert die Deutsche Wohnen die Daten ihrer Mieter in einem Archivsystem, das keine Möglichkeit bietet, Daten, die nicht mehr gebraucht werden, zu löschen.
2. Speichert die Deutsche Wohnen personenbezogene Daten der Mieter ohne zu prüfen, ob die Datenspeicherung überhaupt zulässig und erforderlich ist.
Zum einen verstößt die Deutsche Wohnen damit gegen Artikel 5 DSGVO. Denn in diesem heißt es, dass personenbezogene Daten nur auf rechtmäßige Weise, für festgelegte, eindeutige und legitime Zwecke, dem Zweck angemessen und erheblich sowie auf das notwendige Maß beschränkt erhoben werden dürfen. Zum anderen verstößt sie gegen Artikel 25 DSGVO, der festlegt, dass auch die eingesetzte Technik datenschutzfreundlich sein muss (Privacy by Design).
Einfach gesagt: Die Deutsche Wohnen hat Daten nicht richtig, zu lange und teilweise unbegründet gespeichert. Erschwerend kommt laut Berliner Datenschutzbeauftragter hinzu, dass diese dem Unternehmen bereits bei einem Prüftermin im Jahr 2017 dringend empfohlen hat, das Archivsystem umzustellen und die Datenschutz-Missstände zu beseitigen. Mehr als eineinhalb Jahre später, im März 2019, war so gut wie nichts passiert. Lediglich einige Vorbereitungen habe das Unternehmen getroffen. Zu wenig, sagen die Datenschützer und verhängten ein Rekordbußgeld 14,5 Millionen Euro.
Die Entscheidung ist jedoch noch nicht rechtskräftig, die Deutsche Wohnen hat bereits angekündigt, den Bußgeldbescheid gerichtlich überprüfen zu lassen.
Welche Daten dürfen Immobilienmakler & Co erheben?
Wer in der Immobilienbranche arbeitet, hat täglich mit teilweise hochsensiblen Daten zu tun. Um kein DSGVO-Bußgeld zu riskieren, sollten Sie zunächst einmal genau wissen, welche Daten Sie überhaupt verarbeiten dürfen. Grundsätzlich kommt es dabei darauf an, in welchem „Status“ Ihrer Arbeit Sie sich befinden:
Datenerhebung beim Besichtigungstermin
Sie dürfen nur die Daten erheben, die für die Durchführung der Besichtigung unbedingt nötig sind (Grundsatz der Datensparsamkeit). Dazu zählen Name und Anschrift, Angaben zu Haustieren und eventuellen Nachweisen (zum Beispiel Wohnberechtigungsschein). Achtung: Eine Ausweiskopie darf beim Besichtigungstermin noch nicht angefertigt werden.
Datenerhebung bei konkretem Mietinteresse
Wenn der Interessent die Absicht hat, die Wohnung anzumieten, dürfen Makler mehr Daten von ihm verlangen. Dabei gelten folgende Regeln:
- Angaben zu den Personen, die in das Mietobjekt einziehen: Hier dürfen Sie genaue Daten nur zu den Vertragspartnern des Vermieters verlangen (d. h. zu den Personen, die den Mietvertrag unterschreiben). Sie dürfen außerdem Fragen, wie viele Personen einziehen und ob es sich um Kinder oder Erwachsene handelt. Angaben wie Name und Alter der Personen und in welchem Verhältnis sie zu dem oder den Mieter/n stehen, dürfen Sie nicht abfragen. Achtung: Nicht gefragt werden darf nach der persönlichen Lebensgestaltung, zum Beispiel nach Kinderwunsch, Heiratsabsicht oder Schwangerschaften.
- Angaben zu Beruf und Arbeitgeber: Sie dürfen nach dem Beruf und dem Arbeitgeber des Mietinteressenten fragen, weil dies zur Bonitätsprüfung notwendig ist. Jedoch dürfen Sie nicht nach der Dauer der Beschäftigung fragen.
- Angaben zum Einkommen: Sie dürfen nach dem Nettoeinkommen des Mietinteressenten fragen und nach dem Betrag, der nach Abzug der laufenden monatlichen Kosten noch für die Miete zur Verfügung steht. Der Mietinteressent darf aber auch lediglich eine Einkommensgrenze nennen, die er überschreitet.
- Angaben zum bisherigen Vermieter: Fragen nach den Kontaktdaten des früheren Vermieters sind unzulässig.
- Angaben zu Vorstrafen, Ermittlungsverfahren und Insolvenzverfahren: Nach Vorstrafen und laufenden Ermittlungsverfahren dürfen Sie Mietinteressenten nicht fragen. Anders sieht es bei Verbraucherinsolvenzverfahren aus: Da hier den Mietinteressenten eine Offenbarungspflicht trifft, darf der Makler auch danach fragen.
Datenerhebung vor Abschluss des Mietvertrages
Wenn der Vermieter sich für einen Mietinteressenten entschieden hat und die Unterzeichnung des Mietvertrages kurz bevor steht, dürfen Sie vom künftigen Mieter zusätzlich den Nachweis der Einkommensverhältnisse verlangen, zum Beispiel eine Lohn- und Gehaltsabrechnung, einen Kontoauszug oder einen Einkommenssteuerbescheid.
Achtung SCHUFA-Auskunft:
Auch wenn Mieter oft von sich aus eine SCHUFA-Auskunft vorlegen, danach fragen dürfen Makler nicht. Denn solche Auskünfte von Auskunfteien wie der SCHUFA enthalten viel mehr Angaben über die wirtschaftlichen Verhältnisse des Mieters als für die Beurteilung notwendig wären.
DSGVO-konform arbeiten im Maklerbüro oder der Hausverwaltung
In der Immobilienbranche gelten zunächst einmal alle Regeln der DSGVO wie in jeder anderen Branche. Diese haben wir in diesem Artikel zusammengefasst: DSGVO: Alle wichtigen Infos auf einen Blick. Darüber hinaus gibt es jedoch einige DSGVO-Regeln auf die Immobilienmakler und Hausverwalter besonders achten sollten – auch im Hinblick auf das Bußgeld gegen die Deutsche Wohnen. Hier die wichtigsten Regeln im Überblick:
Grundsatz der Datensparsamkeit (Datenminimierung)
Der Deutsche Wohnen wird unter anderem vorgeworfen, sie habe Daten gespeichert, ohne zu prüfen, ob dies notwendig ist. Denn gemäß Artikel 5 DSGVO ist jeder, der Daten speichert, verpflichtet zu prüfen, ob dies für die Bearbeitung eines bestimmten Vorgangs überhaupt notwendig ist. Die grundsätzliche Frage muss also immer sein: Gibt es einen Grund, diese Daten zu speichern? Außerdem besteht die Pflicht, die Daten zu löschen, wenn dieser Vorgang abgeschlossen ist. Für Immobilienmakler gilt also: Speichern Sie nur die Daten, die Sie im Rahmen Ihrer Tätigkeit speichern und verarbeiten dürfen (siehe oben). Dieser Grundsatz gilt auch für Hausverwaltungen. Wenn der Vorgang (also die Wohnungsvermittlung oder Vermietung) abgeschlossen ist, müssen die Daten gelöscht werden.
Auch bezüglich ihrer Löschpflichten hat die Deutsche Wohnen einen entscheidenden Fehler begangen: Denn das Archivsystem, das die Wohnungsgesellschaft verwendete, bot nicht einmal die Möglichkeit, Daten zu entfernen. Damit hat das Unternehmen gegen den Grundsatz „Privacy by Design“ (Artikel 25 Absatz 1 DSGVO) verstoßen. Denn dieser besagt, dass Unternehmen dafür sorgen müssen, dass die technischen und organisatorischen Maßnahmen dafür ausgelegt sind, Datenschutzgrundsätze, wozu auch die Datenminimierung gehört, wirksam umzusetzen.
Das System, das Sie zur Datenverarbeitung verwenden, muss es also ermöglichen, dass Sie daraus Daten entfernen können. Neben dem Grundsatz Privacy by Design haben Betroffene auch ein Recht auf Löschung ihrer Daten. Und wenn ein Kunde von diesem Recht Gebrauch macht, müssen Sie in der Lage sein, seine Daten zu entfernen. Zusätzlich müssen Sie jederzeit in der Lage sein, den Betroffenen oder der Datenschutzbehörde Auskunft über die gespeicherten Daten zu geben.
Datensparsamkeit vs. Aufbewahrungspflichten
In diesem Zusammenhang wird oftmals argumentiert, dass es auch gesetzliche Aufbewahrungspflichten gibt, denen Unternehmen nachkommen müssen (Revisionssicherheit) und diese der DSGVO entgegenstehen. Dieses Argument lassen Datenschützer – wie auch im Fall der Deutsche Wohnen – jedoch nicht gelten. Denn Unternehmen müssen seit Inkrafttreten der DSGVO dafür Sorge tragen, dass ihre Systeme die Vorgaben der DSGVO erfüllen können (zum Beispiel jederzeitige Auskunftspflicht und Löschpflicht). Wenn das ein System nicht leisten kann, muss eine andere Lösung gefunden werden.
Verzeichnis von Verarbeitungstätigkeiten
Jeder, der Daten speichert und verarbeitet, muss eine Übersicht darüber erstellen, das sogenannte Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO). Dieses muss folgende Infos enthalten:
- den Zweck der Verarbeitung, also zum Beispiel Vermittlung/Vermietung einer Wohnung
- eine Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten. Datenkategorien können zum Beispiel sein „Mieter“, „Mitarbeiter“, „Interessenten“
- Empfänger, gegenüber denen personenbezogene Daten offengelegt wurden
- wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.
Achtung:
In Artikel 30 DSGVO steht, dass diese Pflicht nur für Unternehmen mit mehr als 250 Mitarbeitern gilt. Deshalb denken viele kleinere Unternehmen, wozu auch Maklerbüros oder Hausverwaltungen gehören, dass sie kein Verzeichnis von Verarbeitungstätigkeiten anlegen müssen. Das ist jedoch ein gefährlicher Irrglaube, der teuer werden kann. Denn in Artikel 30 steht außerdem, dass diese Regel nur gilt, wenn die Verarbeitung von Daten nur gelegentlich erfolgt, was in der Immobilienbranche kaum der Fall sein wird. Jeder, der dauerhaft Daten speichert und verarbeitet, muss diese dokumentieren.
Hinzu kommt, dass das Verzeichnis von Verarbeitungstätigkeiten nicht nur ein Ärgernis ist, sondern auch hilfreich sein und sogar Bußgelder verhindern kann. Denn, wer ein solches Verzeichnis anlegt, dokumentiert alle seine Daten, macht sich Gedanken über die Prozesse im eigenen Unternehmen, prüft seine Systeme und kann dies im Fall der Fälle auch einer Datenschutzbehörde nachweisen.
Berufshaftpflicht für Immobilienmakler und Hausverwalter: Bestens abgesichert!
Die Tätigkeit als Immobilienmakler ist mit vielen Risiken verbunden. Bei Schadenersatzforderungen wegen fehlerhafter Beratung oder bei Abmahnungen wegen DSGVO-Verstößen ist die Immobilienmakler-Haftpflicht über exali.de an Ihrer Seite. Der Versicherer prüft die Vorwürfe immer zuerst auf eigene Kosten, wehrt unberechtigte Ansprüche ab und bezahlt berechtigte Schadenersatzforderungen.
Hier finden Sie weitere Informationen zur Immobilienmakler-Haftpflicht:
Seit 1. März 2019 sind alle Immobilienverwalter verpflichtet, eine Berufshaftpflicht abzuschließen. Die Hausverwalter-Haftpflicht über exali.de bietet umfassenden Schutz und lässt sich durch Zusatzbausteine einfach und individuell erweitern. Die Tätigkeit als Immobilienmakler-/kreditvermittler ist ohne Zuschlag mitversichert. Die Pflichtversicherungsbestätigung für die IHK erhalten Sie automatisch bei Vertragsabschluss.
Hier finden Sie weitere Informationen zur Hausverwalter-Haftpflicht:
Sie haben Fragen? Dann rufen Sie uns gerne an. Bei uns gibt es kein Callcenter und keine Warteschleife, unsere Versicherungsexperten sind persönlich für Sie da.
© Ines Rietzler – exali AG
