Datenschutz Immobiliengesellschaft – Was Wohnungsunternehmen hinsichtlich der DSGVO beachten müssen

Immobiliengesellschaft Datenschutz-Pflichten

In Großstädten und Metropolregionen sind bezahlbare Wohnungen knapp. Immobilienunternehmen können aus einer Vielzahl an Mietinteressenten bzw. Kaufinteressenten auswählen. Damit verbunden ist immer auch eine Erhebung von personenbezogenen Daten durch den (potenziellen) Vermieter. Bereits dadurch spielt der Datenschutz für Immobiliengesellschaften einige wichtige Rolle. Darüber hinaus speichern Immobilienunternehmen auch personenbezogene Daten der eigenen Beschäftigten sowie von Geschäftspartnern, Handwerkern, Maklern, Investoren, Hausverwaltern und anderen Dienstleistern. De

Deshalb müssen Immobiliengesellschaften, Bauträger, Projektentwickler, Hausbaufirmen Wohnungsunternehmen und generell alle anderen Unternehmen in der Immobilienwirtschaft nachweisen können, dass  sie die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten. Zum einen müssen Immobiliengesellschaften auf Anfrage einige Datenschutz-Dokumente vorhalten. Des Weiteren müssen sie einige vorbereitende Maßnahmen zum Datenschutz treffen. Was es hinsichtlich des Datenschutzes für Immobiliengesellschaften zu beachten gibt, erfahren Sie in diesem Artikel.

Mieter Selbstauskunft auf Datenschutzkonformität prüfen

Mithilfe der Formulare zur Selbstauskunft werden viele Informationen abgefragt, bei denen sich die potenziellen Mieter oftmals fragen, welche Daten zum Zwecke überhaupt erforderlich sind. Um Datenschutzverstöße zu vermeiden, sollten Immobilienunternehmen Datenschutz prüfen, ob die eingesetzte Vorlage der Mieter-Selbstauskunft den datenschutzrechtlichen Grundsätzen standhält. Verstöße gegen die Datenschutzgrundverordnung (DSGVO) werden inzwischen regelmäßig mit hohen Bußgeldern geahndet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI) hat wegen umfangreicher Datenverarbeitung von 9500 Mietinteressenten ohne Rechtsgrundlage die Wohnungsbaugesellschaft Brebau GmbH im Jahr 2022 mit einer Geldbuße in Höhe von 1,9 Millionen Euro belegt. Dabei hatten sich die deutschen Datenschutz-Aufsichtsbehörden bereits mittels einer Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressentinnen zu diesem Themenkomplex positioniert.

Praxistipp: Auch wenn bei der Anbahnung von Mietverhältnissen zahlreiche Informationen hinsichtlich der Entscheidungsfindung zulässigerweise auf Basis des berechtigten Interesses abgefragt werden dürfen, ist nicht jede für das Immobilienunternehmen interessante Information erforderlich. Die Aufsichtsbehörden betrachten es als unzulässig, bereits bei der Vereinbarung eines ersten Besichtigungstermins Informationen zur Bonität oder sogar Gehaltsabrechnungen oder eine Selbstauskunft von einer Auskunftei zu verlangen. Derart umfassende Daten von Mietern dürften erst angefordert werden, wenn ein beidseitiges Interesse an der Anbahnung eines Mietverhältnisses bestehe. Entscheidend ist somit nach Auffassung der Aufsichtsbehörden der Zeitpunkt der Abfrage von Informationen bei den Interessenten.

Technische und organisatorische Maßnahmen implementieren und dokumentieren:

Immobiliengesellschaften und Wohnungsunternehmen sind für den Datenschutz verantwortlich. Dazu müssen sie angemessene technische und organisatorische Maßnahmen  zur Datensicherheit umsetzen und diese dokumentieren. Diese können je nach Risiko der Verarbeitung personenbezogener Daten unterschiedlich ausfallen.

Praxistipp: Immobilienunternehmen sollten alle getroffenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten dokumentieren, um sich gegenüber der Aufsichtsbehörde im Zweifelsfall exkulpieren zu können. Unter anderem die folgenden Aspekte können relevant sein, um einen Datenschutzverstoß zu vermeiden:

• Verschlüsselung von mobilen Endgeräten, z.B. Bitlocker
• Zugriffsrechte sind klar definiert und umgesetzt, z.B. in Flowfact, Zendesk, o.a.
• Regelmäßige Sicherheitsupdates
• Entsprechende Maßnahmen für ein funktionsfähiges Backup-Konzept (inkl. regelmäßiger Tests)
• Angemessener Anti-Malware-Schutz und Netzwerksicherheit
• Angemessener Passwortschutz
• Zwei-Faktor-Authentifizierung
• Regelmäßige Schulung von Mitarbeitern
• Abschluss von Vertraulichkeitsvereinbarungen mit Beschäftigten

Immobilienunternehmen Webseite: Datenschutzerklärung

Zahlreiche Immobilienunternehmen verfügen über eine Webseite oder Social-Media-Präsenzen. Auch hier müssen Immobiliengesellschaften den Datenschutz wahren. Auch Newsletter-Versand, Online-Bewerbungsverfahren oder digitale Vertriebskanäle werden zunehmend von Immobiliengesellschaften eingesetzt. Dabei werden personenbezogene Daten zum Beispiel in Form von Name, Telefonnummer, Adressdaten und IP-Adresse verarbeitet. Über diese Datenerhebung müssen Wohnungsunternehmen die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz immer eine sog. Datenschutzinformation – umgangssprachlich oft als Datenschutzerklärung bezeichnet.

Praxistipp: Prüfen Sie, ob auf Ihrer Internet- oder Facebook-Seite eine Datenschutzerklärung eingestellt ist und diese alle nötigen Angaben enthält. Zu jedem eingesetzten Dienst und jeder Social-Media-Präsenz sollte sich ein entsprechender Textbaustein in Ihrer Datenschutzerklärung finden. Des Weiteren ist innerhalb der Social-Media-Präsenzen, z. B. Facebook, Instagram, LinkedIn, Xing etc., auf die Einbindung bzw. Verlinkung der eigenen Datenschutzerklärung und Impressum zu achten.

Cookie Banner auf der Webseite

Häufig werden Analysetools für statistische oder werbliche bestimmte Zwecke auf den Webseiten ohne zuvor erteilte Einwilligung eingesetzt. Selbst wenn diese Daten nicht ausgewertet werden, besteht für Immobilienunternehmen Handlungsbedarf.

Praxistipp : Prüfen Sie, ob auf Ihrer Website Analyse- oder Marketingtools genutzt werden. Sofern Ihr Unternehmen die Daten nicht benötigt, sollten Sie die Tools aus Gründen der Datenminimierung deaktivieren. Sofern die statistischen Daten zur Optimierung des Webauftritts benötigt werden und die Tools auf der Webseite deshalb weiterhin genutzt werden sollen, ist die Installation eines Cookie-Banners auf der Webseite verpflichtend. Dieser Cookie-Banner muss beim erstmaligen Besuch der Website angezeigt werden und darf den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen.

Verzeichnis über die Datenverarbeitungen in der Immobiliengesellschaft

Alle Unternehmen in der Immobilienwirtschaft sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsprozesse erfasst, bei denen das Immobilienunternehmen personenbezogene Daten von Mietern, Maklern, Mitarbeitern, Dienstleistern, Websitebesuchern etc. verarbeitet. Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verarbeitungsverzeichnis vor, drohen Geldstrafen.

Praxistipp: Für das Erstellen des Verzeichnisses sollten Sie zunächst überlegen, wo überall im Unternehmen personenbezogene Daten verarbeitet werden. Dabei ist es sinnvoll, Tätigkeiten mit dem gleichen Zweck zusammenzufassen. Einige Tätigkeiten, die in den meisten Unternehmen anfallen dürften, sind z. B.:

• Finanzbuchhaltung
• Lohnbuchhaltung
• Bewerbermanagement
•  Führung der Personalakte
• Rechnungsstellung
• Newsletter Versand
• Nutzerverwaltung und Zugriffsberechtigung IT
• Videoüberwachung

Im nächsten Schritt beschreiben Sie zu jeder Tätigkeit die Zwecke der Verarbeitung, betroffene natürliche Personen,Kategorien personenbezogener Daten und Kategorien von Empfängern. Weitere Hinweise zur Erstellung und ein Muster-Verzeichnis finden Sie auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Datenschutz Wohnungsunternehmen: Auf Betroffenenanfragen vorbereiten

Immobilienfirmen sollten ihre Angestellten auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Mieter, Mietinteressent, ehemalige Mitarbeiter oder ehemalige Mitarbeiter, Dienstleister, Makler) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Falls dies der Fall ist, hat die betroffene Person das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Das Immobilienunternehmen muss dem Betroffenen innerhalb der Frist von einem Monat unter Berücksichtigung der in Art. 15 DSGVO aufgezählten Informationen antworten. In das Antwortschreiben zur Auskunftsanfrage gehören unter anderem folgende Informationen: Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Empfänger und Empfängerkategorien, Speicherdauer, Rechtebelehrung, Beschwerderecht, die Herkunft, Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling. Darüber hinaus gewährt Art. 15 Abs. 3 DSGVO ein Recht auf Aushändigung einer Kopie der verarbeiteten personenbezogenen Daten. Neben dem Auskunftsrecht können die betroffenen Personen auch die Löschung der gespeicherten personenbezogenen Daten verlangen. Auch Löschanfragen müssen innerhalb der Frist von einem Monat beantwortet werden. Allerdings müssen Immobilienunternehmen beachten, dass im Rahmen der Vermietungstätigkeit einige gesetzliche Aufbewahrungspflichten die Durchsetzung des Löschungsanspruchs hemmen.

Praxistipp: Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung entsprechender Prozesse im Unternehmen hat ihre Stolperfallen. Es ist daher sinnvoll, Prozesse oder Verfahrensabläufe in der Immobiliengesellschaft zu beschreiben, um vollständig und innerhalb der gesetzlichen Frist auf Anfragen zu antworten. Insbesondere gut informierte Mitarbeiter und klare Verantwortlichkeiten können helfen, die Betroffenenanfragen rechtmäßig zu beantworten.

Datenschutzvertrag: Zusammenarbeit mit Hausverwaltung prüfen

Immobiliengesellschaften kooperieren regelmäßig mit Hausverwaltungen. Die Datenerhebung durch den Hausverwalter zur Auftragserfüllung muss datenschutzrechtlich bewertetet werden. Ist z.B. ein Auftragsverarbeitungsvertrag notwendig oder ist die Hausverwaltung selbst datenschutzrechtlich Verantwortlicher?

Die Auftragsverarbeitung erfordert eine Weisungsgebundenheit des Auftragsverarbeiters. Die Entscheidungsbefugnis über die zu erhebenden Daten und deren Verarbeitung liegt ausschließlich beim Verantwortlichen (Vermieter). Wenn jedoch der Verwalter letztlich den Selbstauskunftsbogen vorgibt und auch die Entscheidungsbefugnis bei der Auswahl der passenden Mieter und dem Abschluss der Mietverträge hat, könnte auch eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht kommen.

Praxistipp: Der Datenschutzbeauftragte der Immobiliengesellschaft sollten anhand der Aufgaben und Entscheidungsbefugnisse und  der konkreten Ausgestaltung des Auftragsverhältnisses zwischen Immobiliengesellschaft und Hausverwalter die datenschutzrechtliche Bewertung vornehmen.

Datenschutzbeauftragter für Immobiliengesellschaften benennen:

Nach der Datenschutz-Grundverordnung (DSGVO) besteht die Pflicht zur Benennung eines Datenschutzbeauftragten für Immobiliengesellschaften, wenn:

•  Das Wohnungsunternehmen beschäftigt mindestens 20 Mitarbeiter, die regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer – verarbeiten.
• Unabhängig von der Beschäftigtenanzahl, verarbeitet das Wohnungsunternehmen im großen Umfang sensible Daten z.B. Gesundheitsdaten, Religionszugehörigkeit im Rahmen der Lohn- und Gehaltsabrechnung

Immobiliengesellschaften, die diese Voraussetzungen nicht erfüllen, sind nicht dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Sie haben jedoch die Möglichkeit, freiwillig als Immobiliengesellschaft Datenschutzbeauftragten bestellen.

Unser Angebot: Externer Datenschutzbeauftragter ab 99€

Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Die Datenschutzberatung von ALPHATECH bietet Ihnen flexible und maßgeschneiderte Lösungen zum Datenschutz. Unsere zertifizierten Datenschutzbeauftragten, Rechtsanwälte und IT-Experten unterstützen Sie bei der Erreichung Ihrer Datenschutz-Ziele. 

Datenschutz im Immobiliensektor: Was passiert bei Nichteinhaltung der DSGVO?

Vermeiden Sie die „Typischen Datenschutz-Fehler bei Immobiliengesellschaften“ und unterschätzen Sie die DSGVO-Pflichten nicht. Als externer Datenschutzbeauftragte oder im Rahmen unserer allgemeinen Datenschutzberatung unterstützen wir Sie auf dem Weg zur Einhaltung der europäischen und deutschen Datenschutzregelungen.

FAQ Datenschutz Immobiliengesellschaften