2. Ziele, Anwendungsbereich und Gliederung der
DSGVO

2.1 Die allgemeinen Ziele der DSGVO

2.2 Sachlicher und räumlicher Anwendungsbereich
der DSGVO

2.3 Gliederung der DSGVO

3. Pflichten durch die DSGVO

3.1 Schaffung von Transparenz

3.1.1 Informationspflichten

3.1.2 Rechtsgrundlage

3.1.3 Datenminimierung

3.1.4 Zweckgebundenheit der Datenverarbeitung

3.1.5 Einwilligungserklärung

3.1.6 Kopplungsverbot

3.1.7 Weitergabe von personenbezogenen Daten
an Dritte

3.2 Selbstbestimmung der Bürger

3.2.1 Löschfristen und das „Recht auf Vergessenwerden“

3.2.2 Auskunftsrecht

3.2.3 Recht auf Datenübertragbarkeit

3.2.4 Berichtigung falscher Daten

3.2.5 Widerspruchsrecht

3.2.6 Besonders schützenswerte Daten

3.2.7 Kinder

3.3 Technische und organisatorische Maßnahmen (TOMs)

3.3.1 Je sensibler die Daten, desto höher der Schutzbedarf

3.3.2 Geeignete technische Maßnahmen

3.3.3 Dokumentationspflicht

3.3.4 Auftraggeber und Auftragnehmer

3.3.5 Beispiele für die technisch-organisatorischen Maßnahmen

3.3.6 Meldepflicht bei Verletzungen des Datenschutzes

3.3.7 Technisch-organisatorische Maßnahmen
werden häufig ignoriert

4. Auswirkungen der DSGVO auf Vermieter, Hausver-walter und Makler

4.1 Informationsschreiben/Einwilligungserklärung

4.2 Mieterselbstauskunft

4.2.1 Bonitätsauskunft

4.3 Welche Daten dürfen Vermieter erheben und verarbeiten?

4.4 Wartelisten

4.5 Handwerker

4.6 Verwaltung der Mietwohnung

4.7 Technisch-organisatorische Maßnahmen für Vermieter

4.8 Technisch-organisatorische Maßnahmen für Hausverwaltungen

4.9 Nach Auszug des Mieters

5. Staatliche Aufsicht, Datenschutzbeauftragter und Sanktionen

5.1 Staatliche Aufsicht

5.1.1 Staatliche Aufsichtsbehörden in Deutschland

5.1.2 Europäischer Datenschutzausschuss

5.1.3 Beschwerderecht

5.2 Datenschutzbeauftragte

5.2.1 Wer benötigt einen Datenschutzbeauftragten?

5.2.3 Anforderungen an einen Daten-schutzbeauftragten

5.2.4 Aufgaben eines Datenschutzbeauftragten

5.3 Warnungen und Verwarnungen bei Verstoß gegen die DSGVO

5.4 Bußgelder

5.5 Schadensersatz

6. Wie sich Vermieter bei einer Datenpanne verhalten sollten

6.1 Was ist eine Datenpanne?

6.2 Richtiges Verhalten bei einer Datenpanne

6.3 Wie private Vermieter Datenpannen vorbeugen können

7. Ausblick auf die Zukunft: Was kommt nach der DSGVO?

7.1 Die ePrivacy-Verordnung

7.2 Data Act und Europäische Datenstrategie

8. Fazit und Schlusswort

1. Einleitung

Datenschutz ist heutzutage ein heikles Thema. Während einige Unternehmen in der Vergangenheit durch allzu fahrlässigen Umgang mit personenbezogenen Daten in den Fokus der Öffentlichkeit geraten sind, wuchs das Misstrauen innerhalb der Bevölkerung gegenüber datenverarbeitenden Konzernen und der Digitalisierung im Allgemeinen. Die Politik sah sich so in der Verantwortung, schärfere Gesetze zum Datenschutz zu erlassen, denn letztendlich waren bestehende Regelungen nicht mehr zeitgemäß und auf die neuen technischen Möglichkeiten nur unzureichend vorbereitet.

Die wohl einschneidendsten gesetzlichen Regulierungen zum Datenschutz gab es vor einigen Jahren mit Einführung der europäischen Datenschutzgrundverordnung (kurz: DSGVO). Diese wurde 2016 verabschiedet und trat am 25. Mai 2018 für alle Mitgliedstaaten der Europäischen Union sowie weitere Länder der Europäischen Wirtschaftsgemeinschaft (EWG) bindend in Kraft. Ziel war es, Bürgerdaten zu schützen und sich den neuen Begebenheiten anzupassen, die mit der Digitalisierung aller gesellschaftlicher Lebensbereiche einhergehen. Mehr Datenschutz bedeutet zwar zunächst mehr Sicherheit für personenbezogene Daten der Bürger der Europäischen Union, gleichzeitig führt dies aber auch zu einem größeren Aufwand für Unternehmen. Entsprechend groß war der Widerstand aus Wirtschaft und Industrie bei der Diskussion zur DSGVO.

Die Aufregung, welche rund um den Stichtag im Jahr 2018 herrschte, hat sich weitestgehend gelegt. Unternehmen haben sich auf die neuen Vorgaben eingestellt und bürokratische sowie technische Strukturen angepasst. Vor allem die Informationspflichten gegenüber den Bürgern haben jedoch ihre Spuren hinterlassen und begegnen uns heute nicht nur in der digitalen Welt, sondern auch beim Arzt oder Versicherungsmakler. Überall dort, wo personenbezogene Daten verarbeitet werden, ist – von wenigen Ausnahmen abgesehen – die Einwilligung des Betroffenen notwendig.

Auch private Vermieter, Wohnungsgesellschaften und Makler sind von den Regelungen betroffen, die vor einigen Jahren in Kraft getreten sind. Sie verarbeiten personenbezogene Daten wie Name, Anschrift, Geburtsdatum oder Gehaltsnachweise und benötigen diese Informationen zwingend für ihre Arbeit. Besonders für private Vermieter bedeutet die DSGVO jedoch eine große Verunsicherung, da Fehler bei der Umsetzung teuer werden können. Bei der Speicherung von personenbezogenen Daten von Mietern und Mietinteressenten, der Weitergabe von Informationen an eine Auskunftei, den Steuerberater oder Handwerker sind zahlreiche Vorschriften zu berücksichtigen. Im Gegensatz zu großen Wohnungsgesellschaften fehlt es privaten Vermietern jedoch häufig an Fachkenntnis, um sich in dem Datenschutz-Dschungel zurechtzufinden.

Die Datenschutzgrundverordnung ist komplex, schließt das Thema „Datenschutz“ jedoch nicht ab. Weitere Bestimmungen auf Ebene der europäischen Staatengemeinschaft befinden sich bereits in Arbeit und werden die Diskussionen rund um die Differenz von wirtschaftlichen Interessen und Datenschutz in den kommenden Jahren weiter anfeuern. Denn auch wenn positive Aspekte wie ein erstmals einheitlicher Datenschutz innerhalb der Europäischen Union oder transparenter Umgang mit personenbezogenen Daten gewährleistet werden, so werden Unternehmen durch ein Mehr an Datenschutz auch stärker belastet. Dies betrifft die Implementierung neuer technischer Sicherheitsvorkehrungen ebenso wie einen erhöhten Bürokratieaufwand.

Mietercheck.de hilft Ihnen mit diesem Buch, die Datenschutzgrundverordnung besser zu verstehen und stellt einen Praxisbezug zum tagtäglichen Vermietungsgeschäft her. Dabei wird nicht nur der Status quo betrachtet und erläutert, was sich durch die Datenschutzgrundverordnung alles ändert, sondern auch ein Ausblick in die Zukunft gewagt und aufgezeigt, welche neuen Verordnungen bereits in den Startlöchern stehen. Relevant ist dieses Buch daher nicht nur für private Vermieter, sondern auch für Hausverwaltungen und Makler.

Um die Auswirkungen der DSGVO auf Vermieter zu verdeutlichen und klare Handlungsempfehlungen geben zu können, liefern die Kapitel zwei und drei zunächst einen grundlegenden Überblick über die Datenschutzgrundverordnung und ihre juristische Seite. Hierbei stehen allgemeine Regelungen der DSGVO ebenso im Vordergrund wie die Rechte und Pflichten, welche sich aus der Datenschutzgrundverordnung ableiten lassen. Das vierte Kapitel stellt den praktischen Bezug zwischen den abstrakten Formulierungen der DSGVO und dem Tagesgeschäft von Vermietern her. Im Vordergrund steht hier der gesamte Vermietungsprozess, von der ersten Wohnungsanzeige über den Einzug der Mieter bis zu deren Auszug.

In Kapitel 5 erörtern wir Ihnen die staatlichen Kontroll- und Sanktionsmöglichkeiten bei Nichteinhaltung der DSGVO und erklären Ihnen in Kapitel 6, wie Sie (technischen) Datenpannen und damit auch Sanktionen vorbeugen können. Im siebten Kapitel bieten wir Ihnen ferner einen Ausblick auf die zukünftigen Bestrebungen der Europäischen Union, um den Datenschutz weiter zu vereinheitlichen und Bürgerrechte zu schützen.

2. Ziele, Anwendungsbereich und Gliederung der DSGVO

Die Diskussion um den Datenschutz, welche in den Jahren vor der Datenschutzgrundverordnung sowohl in den Medien als auch in den Parlamenten geführt wurde, betraf nicht nur die Gefahr eines ungehemmten Datenaustausches zwischen Unternehmen. Auch die technische Sicherheit war zentrales Thema im Diskurs und Forderungen nach einem besseren Schutz für personenbezogene Daten vor Hackern wurden laut. Was in den Medien allerdings häufig nicht erwähnt wurde, ist die Tatsache, dass auch Unternehmen mit den uneinheitlichen Regelungen zum Datenschutz innerhalb der Europäischen Union nicht einverstanden waren. So wurde der transnationale Austausch von Daten durch unterschiedliche, auf nationaler Ebene verabschiedete Regulierungen ausgebremst. Es gab also auch ein wirtschaftliches Interesse an einer einheitlichen und europaweiten Regelung des Datenschutzes.

Mit der DSGVO sollte daher einerseits Sicherheit für die personenbezogenen Daten der Bürger der Europäischen Union geschaffen und andererseits sollten rechtliche Rahmenbedingungen für den Datenaustausch etabliert werden, die auch über die Grenzen der Nationalstaaten hinweg Gültigkeit besitzen. Obwohl die Regeln der DSGVO in allen EU-Staaten gelten, gibt es allerdings weiterhin nationale Gesetze, welche die Verarbeitung von Daten betreffen. In Deutschland sind hier etwa das Telemediengesetz (TMG) oder das Telekommunikationsgesetz (TKG) zu nennen, die ebenfalls Regelungen zum Datenschutz beinhalten und neben der DSGVO Gültigkeit besitzen. Diese Gesetze stehen selbstverständlich nicht in Konflikt mit der Datenschutzgrundverordnung. Sie ergänzen die DSGVO in Punkten, wo sie den Mitgliedstaaten Spielräume lässt, oder tangieren Aspekte, die noch nicht geregelt wurden.

Im Folgenden wird auf drei allgemeine Aspekte der DSGVO eingegangen. Hierbei handelt es sich um die Ziele (Abschnitt 2.1), den Anwendungsbereich (Abschnitt 2.2) sowie Umfang und Gliederung der Datenschutzgrundverordnung (Abschnitt 2.3). Diese „trockene“ Betrachtung der Artikel der DSGVO ist notwendig, um Ihnen die Rechte und Pflichten, die durch die DSGVO zum Tragen kommen, näher erläutern zu können. Die folgenden Abschnitte bilden daher die Grundlage für die in Kapitel drei formulierten Pflichten, welche sich aus der DSGVO ergeben.

2.1 Die allgemeinen Ziele der DSGVO

Die DSGVO ist eine komplexe Verordnung, die 99 Artikel in insgesamt elf Kapiteln umfasst. Ferner wurden 173 Erwägungsgründe formuliert, welche die Interpretation der Datenschutzgrundverordnung erleichtern sollen. Die Ziele der DSGVO werden in Art. 1 erläutert. Im Fokus steht zunächst der Schutz von personenbezogenen Daten. So heißt es in Art. 1 Abs. 1 der DSGVO, dass die „Verordnung […] Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ enthält. Auch Art. 1 Abs. 2 DSGVO konzentriert sich auf natürliche „Personen und insbesondere deren Recht auf Schutz [ihrer] personenbezogener Daten“.

Des Weiteren wird in Art. 1 Abs. 3 DSGVO der „freie Verkehr personenbezogener Daten in der Union“ formuliert. Diese Passage fügt sich gewissermaßen in die anderen vier bekannten Freiheiten ein, welche als Grundpfeiler der Europäischen Union zu sehen sind. Hierbei handelt es sich um das Recht auf Freizügigkeit sowie des freien Waren-, Kapital- und Dienstleistungsverkehrs. Bis zur Einführung der DSGVO gab es keine Regelung, welche den freien Verkehr von Daten zwischen den EU-Ländern in dieser Form festschrieb. Vor allem im innereuropäischen Raum kam es aufgrund unterschiedlicher nationaler Gesetzgebungen immer wieder zu Problemen, welche dazu führten, dass der Datenaustausch zwischen Unternehmen behindert wurde. Die Intention mit Etablierung des Art. 1 Abs. 3 DSGVO war es, dem entgegenzuwirken. Das Recht auf freien Datenverkehr ist als ein wichtiger Bestandteil der Datenschutzgrundverordnung zu sehen und ist vor allem auf Druck aus der Wirtschaft und Industrie entstanden.