Datenschutzbeauftragter in der Immobilienwirtschaft
Mieter, Makler, Hausverwalter, Investoren und andere Geschäftspartner müssen sich darauf verlassen können, dass die der Immobiliengesellschaft anvertrauten personenbezogenen Daten vertraulich bleiben. Der Datenschutzbeauftragte für Immobiliengesellschaften spielt deshalb eine wichtige Rolle. Relevant ist dies für Bauträger, Projektentwickler, Hausbaufirmen, Wohnungsunternehmen und generell alle anderen Unternehmen in der Immobilienwirtschaft. Welche typischen Datenschutz-Fehler es zu vermeiden sind und was es für Wohnungsunternehmen hinsichtlich der DSGVO zu beachten gibt, erfahren Sie in diesem Artikel.
Unser Angebot: Externer Datenschutzbeauftragter für Immobiliengesellschaften ab 99€
Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Die Datenschutzberatung von ALPHATECH bietet Ihnen flexible und maßgeschneiderte Lösungen zum Datenschutz in Immobiliengesellschaften. Unsere zertifizierten Datenschutzbeauftragten, Rechtsanwälte und IT-Experten unterstützen Sie bei der Erreichung Ihrer Datenschutz-Ziele.
Inhaltsverzeichnis
Typische Fehler beim Datenschutz in der Immobiliengesellschaft
1. Rechtswidrige Mieterselbstauskunft
Vermieter, Immobilienverwalter und Makler bedienen sich oftmals eines Fragebogens, um die gewünschten Informationen von den Mietinteressenten zu erhalten. Häufig schießen Immobilienunternehmen für die effiziente Bereitstellung der Daten mittels Selbstauskunft über das Ziel hinaus und fragen auch sehr persönliche Dinge ab. Unzulässig sind Fragen, die für das Mietverhältnis nicht relevant sind. Das sind insbesondere Fragen hinsichtlich Heiratsabsichten, Schwangerschaften, Kinderwünschen, Partei-, Mietverein- oder Gewerkschaftszugehörigkeit, Staatsangehörigkeit, Religionszugehörigkeit, persönliche Vorlieben, Hobbys, Krankheiten.
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte im ersten Quartal 2022 eine Datenschutzprüfung bei Immobilien- und Hausverwaltungen durch. Gegenstand der Prüfung war die Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben im Umgang mit Mietinteressenten (siehe Anschreiben, den bei der Prüfung gestellten Fragen und einem Informationsblatt). Am besten lassen Sie die Ihre Vorlage der Mieterselbsauskunft von Ihrem Datenschutzbeauftragten Immobiliengesellschaft auf Richtigkeit prüfen.
2. Unzulässige Weitergabe von Mieterdaten bei Immobilientransaktionen
Bei einem geplanten Immobilienverkauf (Share Deal oder Asset Deal) stellt der Verkäufer in den einzelnen Phasen der Transaktion Informationen zur Verfügung. Dies ermöglicht dem Käufer eine Prüfung der wertbildenden Faktoren des Objekts. Immer wieder werden während der Verkaufsprozesses grobe Fehler begangen und die datenschutzrechtlichen Anforderungen nicht hinreichend berücksichtigt. So kommt es nicht selten vor, dass bereits zu Beginn der Vermarktung im Rahmen einer Due Diligence sämtliche personenbezogenen Mieterdaten gegenüber dem Kaufinteressent offengelegt werden. Oftmals geht mit dieser Weitergabe personenbezogener Daten zusätzlich eine Missachtung der Informationspflichten einher, da die betroffenen Mieter niemals über die Offenlegung aufgeklärt wurden.
Um Risiken zu vermeiden, sollten sich Immobilienunternehmen den Grundsatz der Datenminimierung zu Herzen nehmen und Mieterdaten nach Möglichkeiten unkenntlich machen (anonymisieren oder pseudonymisieren). Als Daumenregel gilt: Je näher der Abschluss einer Transaktion rückt, desto mehr Daten dürfen vom Verkäufer weitergegeben werden. Die betroffenen Personen sind jedoch in jedem Fall über die Weitergabe der Daten zu informieren. Sprechen Sie hierfür Ihren Datenschutzbeauftragten in der Immobiliengesellschaft an und lassen Sie ihn bestenfalls eine Datenschutzerklärung erstellen.
3. Videoüberwachung von Immobilien ohne Rechtsgrundlage
Die Objektüberwachung zur Prävention von Einbrüchen, Diebstählen, Vandalismus sowie zur Beweissicherung zur Durchsetzung von Rechtsansprüchen mittels Videoüberwachungsanlagen gehören zur Tagesordnung. Über die Rechtsgrundlage und die technischen Kameraeinstellungen machen sich Immobilienunternehmen oftmals keine Gedanken. So werden häufig Kameras mit Schwenk-, Audio- und Zoomfunktion eingesetzt, die auch Personen in öffentlichen Bereichen erkennbar filmen, z.B. angrenzenden Gehwegen, Grundstücken oder Spielplätzen. Darüber hinaus werden Aufnahmen meistens zu lange gespeichert und die betroffenen Personen nicht über die Videoüberwachung aufgeklärt. Immobiliengesellschaften sollten vor der Einführung der Videoüberwachung eine sogenannte Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Der Europäische Datenschutzausschuss hat Leitlinien zum Thema Videoüberwachung veröffentlicht. Auch die Datenschutzkonferenz liefert mit ihrer Orientierungshilfe und ihrem Kurzpapier Antworten auf einige Fragen. Bei der Risikobewertung sollten Sie sich von einem Datenschutzbeauftragten unterstützen lassen.
4. Datenübertragungen zwischen Unternehmen im Immobilienkonzern ohne Vertragskonzept
Jeder Datenaustausch innerhalb einer Unternehmensgruppe (Konzern) bedarf einer Rechtsgrundlage. Mangels „Konzernprivileg“ in der DSGVO muss die Datenverarbeitung im Konzernverbund vertraglich abgesichert werden. Es wird jedoch regelmäßig versäumt ein sog. “Intercompany Agreements” oder “Intra-Group-Agreements” abzuschließen. Hierbei handelt es sich um einen mehrseitiger Vertrag, mit dem sich die Mitglieder der Unternehmensgruppe untereinander verpflichten, die Datenschutzvorschriften einzuhalten. Hintergrund: Organisationen in der Immobilienwirtschaft sind oftmals in Holdingstrukturen aufgebaut. Unter einheitlicher Leitung und Marke geführt, verbergen sich hinter einem Wohnungsunternehmen regelmäßig eine Vielzahl von rechtlich selbständigen Unternehmen. So besteht ein sog. Immobilienkonzern regelmäßig mindestens aus einer vermögenverwaltenden Kapitalgesellschaft, Betriebsgesellschaft und den einzelnen Projektgesellschaften. Über Shared Services werden zwischen den einzelnen rechtlichen selbständigen Unternehmen in der Unternehmensgruppe personenbezogene Daten von Mietern, Mitarbeitern, Handwerkern, Investoren, Geschäftspartnern ausgetauscht.
5. Immobilienfirma Datenschutz: Unzureichendes Löschkonzept
Personenbezogene Daten dürfen laut der Datenschutz-Grundverordnung nur so lange gespeichert und verarbeitet werden, wie sie für den jeweils definierten Zweck benötigt werden. Einige Immobiliengesellschaften haben kein systematisches Löschkonzept und bewahren personenbezogene Daten über ihre Speicherfrist hinaus auf. Im Ergebnis fehlt es an einer Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Es handelt sich um einen Verstoß gegen die Datenschutzgrundsätze.
Seit dem Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen aufgrund der zu langen Speicherung von Mieterdaten bemühen sich immer mehr Unternehmen ein Löschkonzepte zu etablieren. Grund für den Bußgeldbescheid von der Berliner Beauftragten für Datenschutz und Informationsfreiheit war die Verwendung eines softwaregestützten Archivsystems zur Erfassung personenbezogener Daten, das keine Möglichkeit zur Löschung von nicht mehr erforderlicher Daten vorsah. Das Wohnungsunternehmen speicherte dabei sensible Daten von Mietern oder Interessenten auch Jahre nach Beendigung des Mietverhältnisses. Dazu zählten z.B. Gehaltsnachweise, Mieter-Selbstauskünfte, Arbeitsverträge sowie Steuer-, Sozial- und Krankenversicherungsdaten.
6. Immobiliengesellschaft Website: Falsche oder lückenhafte Datenschutzerklärung
Zahlreiche Immobilienunternehmen verfügen über eine Webseite oder Social-Media-Präsenzen. Auch Newsletter-Versand, Online-Bewerbungsverfahren oder digitale Vertriebskanäle werden zunehmend von Immobiliengesellschaften eingesetzt. Dabei werden personenbezogene Daten zum Beispiel in Form von Name, Telefonnummer, Adressdaten und IP-Adresse verarbeitet. Über diese Datenerhebung müssen Wohnungsunternehmen die betroffenen Personen informieren. Häufig entstammen Datenschutzerklärungen aus (kostenlosen) Online-Generatoren und sind deshalb nicht hinreichend auf die Website und die eingesetzten Dienste angepasst. Dadurch werden Webseiten-Besucher (Mieter, Makler, Investoren, etc.) nicht hinreichend über die Datenverarbeitung aufgeklärt. Dieser Transparenzverstoß bietet Angriffsfläche und kann unter Umständen Gegenstand von Abmahnungen sein.
Datenschutzbeauftragter Pflicht im Wohnungsunternehmen – Ab wann ist ein DSB erforderlich?
Größere Unternehmen im Immobiliensektor benötigen zwingend einen betrieblichen Datenschutzbeauftragten. Die Pflicht zur Benennung in einer Immobiliengesellschaft besteht, wenn mindestens 20 Personen regelmäßig Daten automatisiert – beispielsweise am Computer – verarbeiten. In einigen Fällen muss ein Datenschutzbeauftragter benannt werden, wenn die Mitarbeiterschwelle von 20 Mitarbeitern unterschritten wird, etwa wenn eine Datenschutz-Folgenabschätzung notwendig wird.
Die Rolle des Datenschutzbeauftragten kann beispielsweise ein fachlich qualifizierter Mitarbeiter (sog. interner Datenschutzbeauftragter) übernehmen. Alternativ kann das Wohnungsunternehmen den Datenschutz extern beauftragen. Hierfür kommen externe Datenschutzbeauftragte oder ein Fachanwalt für Datenschutz in Betracht. Der Geschäftsführer oder Führungskräfte sollten diese Rolle aufgrund von Interessenkonflikten nicht ausüben. Der Name und die Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und dem Landesdatenschutzbeauftragten mitgeteilt werden (Art. 37 Abs. 7 DSGVO). Aufgabe des externen Datenschutzbeauftragten ist es, die Einhaltung der gesetzlichen Datenschutzvorgaben im Unternehmen zu überwachen und geeignete Maßnahmen festzulegen. Der Datenschutzbeauftragte informiert und berät die Geschäftsleitung über ihre Datenschutz-Pflichten. Des Weiteren dient er den Datenschutz-Aufsichtsbehörden als Ansprechpartner.
Die gesetzlichen Vorgaben zum Datenschutz müssen von jedem Unternehmen in der Immobilienwirtschaft umgesetzt werden. Dies ist unabhängig von der Größe und der Mitarbeiteranzahl des Unternehmens. Selbst wenn die Benennung eines externen Datenschutzbeauftragten nicht erforderlich ist, müssen dennoch alle Vorgaben aus der DSGVO umgesetzt werden. Was genau zu den DSGVO-Pflichten in einem Immobilienunternehmen gehört, erfahren Sie in unserem Artikel „Was Wohnungsunternehmen hinsichtlich der DSGVO beachten müssen“.
Unser Angebot: Externer Datenschutzbeauftragter ab 99€
Unsere Datenschutzbeauftragten stehen Ihrem Immobilienunternehmen für alle Fragen rund um den Datenschutz zur Seite. Wir bieten Ihnen flexible und maßgeschneiderte Lösungen zum Datenschutz. Unsere zertifizierten Datenschutzbeauftragten, Rechtsanwälte und IT-Experten unterstützen Sie bei der Erreichung Ihrer Datenschutz-Ziele.
Datenschutz im Immobiliensektor: Was passiert bei Nichteinhaltung der DSGVO?
Der Datenschutz in der Immobiliengesellschaft sollte nicht unterschätzt werden. Es empfiehlt sich unbedingt auf die Einhaltung der in der Europäischen Union geltenden DSGVO zu achten, um Datenschutzverstöße und damit Bußgelder zu vermeiden.
Als externer Datenschutzbeauftragte oder im Rahmen unserer allgemeinen Datenschutzberatung unterstützen wir Sie auf dem Weg zur Einhaltung der europäischen und deutschen Datenschutzregelungen.
Häufig gestellte Fragen zu Datenschutzbeauftragter Immobiliengesellschaften
Die Größe und die Rechtsform der Immobilienunternehmen sind nicht ausschlaggebend für die Anwendung des Datenschutzrechts, sodass auch Einmannfirmen, Einzelfirmen, GbRs, GmbH, GmbH & Co KG und AG betroffen sind. Die DSGVO muss von allen Organisationen in der Immobilienwirtschaft vollumfänglich umgesetzt werden. Dazu gehören unter anderem: Immobilienmakler, Immobilienverwalter, Sachverständige, Energieberater, Projektentwickler, Bauträger, Fondsgesellschaften, Hausbaufirmen, Finanzvermittler.
Immobilienunternehmen müssen die gesetzlichen Datenschutzvorgaben beachten, wenn personenbezogene Daten verarbeitet. Daten von Beschäftigten, Bewerbern, Kunden und Geschäftspartner müssen so verarbeitet werden, dass die Vorgaben der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes eingehalten werden.
Typischerweise besteht eine Benennungspflicht für Unternehmen, bei denen mehr als 20 Beschäftigte arbeiten. Das trifft nicht für alle Unternehmen in der Immobilienwirtschaft zu. Die Unterstützung durch einen Datenschutzbeauftragten kann trotzdem Sinn ergeben, um den Datenschutz im Unternehmen schnell und effizient umzusetzen. Schließlich müssen die gesetzlichen Vorgaben auch von Unternehmen mit weniger als 20 Mitarbeitern erfüllt werden.
Ja, das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führte in 2022 eine Datenschutzprüfung bei Immobilien- und Hausverwaltungen durch. Des Weiteren kam es auch zu anlassbezogenen Datenschutzprüfungen durch die Berliner Beauftragten für Datenschutz und Informationsfreiheit bei der Deutschen Wohnen SE und die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen (LfDI) bei der Wohnungsbaugesellschaft Brebau GmbH. Die beiden anlassbezogenen Prüfungen mündeten jeweils mit einer Geldbuße in Millionenhöhe.
Nein, eine Einwilligung ist nicht erforderlich. Die Anfrage eines Exposés von einem Interessenten ist eine vorvertragliche Maßnahme (Art. 6 Abs. 1 lit. b DSGVO). Die Immobiliengesellschaft darf die Daten des Interessenten zur Bearbeitung der Anfrage ohne Einwilligung verarbeiten. Jedoch muss der Interessent mittels Datenschutzinformation über die Datenverarbeitung aufgeklärt werden.