In der zweiten Digitalisierungsstudie 2017 des ZIA (S. 3) war zu lesen: „Datenschutz wird, außer im Bereich Smart Metering, nicht als relevante Herausforderung für Smart Real Estate gesehen.“ Das kann man angesichts der Resonanz aus dem Bau- und Immobiliensektor im Zusammenhang mit dem Inkrafttreten der Datenschutz-Grundverordnung im vergangenen Monat durchaus als erstaunlich bezeichnen. Näher dran scheint insoweit die RICS-Studie, Global Trends in Data Capture and Management in Real Estate and Construction, November 2017, zu sein, welche feststellte (Seite 9), dass im Zeitalter der Digitalisierung und Automatisierung, in dem immer mehr Wert auf die Daten selbst gelegt wird, der Informationsverlust und die unsystematische Erfassung und Verwaltung von Bau- und Immobiliendaten gravierende Auswirkungen haben können, unter anderem und insbesondere in Bezug auf die Einhaltung gesetzlicher Vorschriften.
Die Unsicherheit im Zusammenhang mit der DSGVO ist unübersehbar, schon weil sie als solche viele Anwendungsfragen aufwirft, weil das Verhältnis zu anderen Gesetzen (BDSG, TMG und weitere Fachgesetze) unklar bleibt, weil die Stellungnahmen der zuständigen Aufsichtsbehörden, Verbände und Institute wirklich verlässliche Aussagen noch nicht machen können bzw. wollen und weil Spezifika des Bau- und Immobilienbereichs noch nicht hinreichend adressiert sind.
„Verarbeitung“ im Sinn der DSGVO meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Für Vermieter besteht die Herausforderung nun unter anderem darin,
- sich des Anwendungsbereichs der DSGVO zu vergewissern:
Sie gilt für das Verarbeiten von personenbezogenen Daten und damit „nur“ für Informationen, die sich auf eine (identifizierte oder identifizierbare) natürliche Person beziehen. Darauf sollte – schon zur Vermeidung von „überschießenden“ Erklärungen bzw. Zusagen – bei Erklärungen und Vereinbarungen zum Datenschutz geachtet werden, insbesondere im Gewerberaummietrecht.
- sich der Verantwortlichkeiten zu vergewissern:
„Verantwortlicher“ im Sinne der DSGVO ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Verantwortlicher im Hinblick auf die Einhaltung der Anforderungen der DSGVO kann also der Vermieter sein. Aber auch der Verwalter bzw. der Asset-/Property-Manager kann Verantwortlicher sein.
Die Beteiligten können auch gemeinsam Verantwortliche im Sinne des Art. 26 Abs. 1 Satz 1 DSGVO sein, wobei sie dann nach Art. 26 Abs. 1 Satz 2 DSGVO in einer Vereinbarung in transparenter Form festlegen, wer von ihnen welche Verpflichtung erfüllt.
Und wenn sich der Verantwortliche eines Auftragsverarbeiters bedient (= eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet), bedarf es eines Vertrages zwischen dem Verantwortlichen und dem Auftragsverarbeiter nach Maßgabe des Art. 28 DSGVO.
- sich der gesetzlichen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten zu vergewissern:
Art. 6 Abs. 1 DSGVO hält eine ganze Reihe von Tatbeständen bereit, nach denen eine Datenverarbeitung rechtmäßig ist. Besonders bedeutsam im Rahmen von Mieterdaten sind die folgenden Tatbestände:
Die Verarbeitung der personenbezogene Daten des Mieters ist für die Erfüllung des Mietvertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage des Mieters erfolgen, erforderlich (lit. b).
Die Verarbeitung personenbezogener Daten des Mieters ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Vermieter unterliegt (lit. c).
Die Verarbeitung personenbezogener Daten des Mieters ist zur Wahrung der berechtigten Interessen des Vermieters oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Mieters, die den Schutz personenbezogener Daten erfordern, überwiegen (lit. f).
Siehe auch § 24 Abs. 1 BDSG: Die Verarbeitung personenbezogener Daten zu einem anderen Zweck als zu demjenigen, zu dem die Daten erhoben wurden, durch nichtöffentliche Stellen ist zulässig, u.a. wenn sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. Daneben sieht Art. 17 Abs. 3 lit. e) DSGVO für den Fall, dass die Datenverarbeitung erforderlich ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen einen Ausschluss des Löschungsrechts der betroffenen Person vor.
- die jeweiligen Zwecke der Datenverarbeitung zu definieren, einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO zuzuordnen und dies (neben weiteren Punkten) dem Betroffenen nach Maßgabe des Art. 13 DSGVO mitzuteilen.
An dieser Stelle stellt sich die Aufgabe, die besonderen Zwecke im Bau- und Immobilienbereich unter Berücksichtigung der besonderen Umstände des konkreten Einzelfalles herauszustellen und rechtssicher den Erlaubnistatbeständen zuzuordnen. Fordernd ist dabei v.a. lit. f), weil
(1.) das dortige Abstellen auf den unbestimmten Rechtsbegriff der berechtigten Interessen sowie die erforderliche Abwägung mit etwaigen überwiegenden Interessen des Betroffenen eine erhebliche Rechtsunsicherheit mit sich bringt und
(2.) die berechtigten Interessen des Vermieters dem Betroffenen mitgeteilt werden müssen.
- die Bedeutung einer Einwilligung des Betroffenen in die Verarbeitung personenbezogener Daten nicht zu überschätzen.
Die Einwilligung gibt zwar nach Art. 6 Abs. 1 lit. a) DSGVO das Recht zur Verarbeitung personenbezogener Daten. Hierauf sollte der Vermieter aber nicht sein Datenschutzkonzept aufbauen. Denn die Einwilligung ist nach Art. 7 DSGVO jederzeit widerruflich. Zudem ist sie unwirksam, wenn sie nicht freiwillig erteilt wird. So kann eine Einwilligung unfreiwillig und damit unwirksam sein, wenn der Abschluss des Mietvertrages von der Einwilligung des Mieters in die Verarbeitung seiner personenbezogener Daten abhängig gemacht worden ist.
Hinweis: Es ist umstritten, ob für den Fall, dass eine Einwilligung verweigert oder widerrufen wurde oder unwirksam ist, die Verarbeitung personenbezogener Daten auf eine der anderen Rechtsgrundlagen gestützt werden kann.
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat in ihrer Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten zudem die Ansicht formuliert, ein Rückgriff auf eine Einwilligung nach Art. 6 Abs. 1 lit. a), Art. 7 DSGVO sei unzulässig, wenn ohnehin bereits ein gesetzlicher Erlaubnistatbestand nach Art. 6 lit. b) oder lit. f) DSGVO vorliegt. Denn für die Mietinteressenten würde der Eindruck entstehen, dass die Verarbeitung personenbezogener Daten ihrem Wahlrecht unterläge.
Nicht die Einholung von Einwilligungen, sondern die Begründung und hinreichende Mitteilung der gesetzlichen Erlaubnistatbestände sollte daher im Anwendungsbereich der DSGVO vorrangige Aufgabe des Vermieters bzw. dessen Datenschutzbeauftragten sein. Auch Vertragsklauseln, die allein auf die Einwilligung des Mieters abstellen, sind vor diesem Hintergrund kritisch zu sehen.
Die Verwendung von Einwilligungserklärungen gegenüber Mietinteressentinnen in Formularen zur Selbstauskunft ist nicht das richtige Mittel zur Datenerhebung. Abgesehen davon, dass das Vorliegen einer gesetzlichen Grundlage eine Einwilligung für dieselbe Datenverarbeitung ausschließt, erfordert eine wirksame Einwilligung nach Art. 4 Nr. 11, Art. 7 Abs. 4 der DSGVO eine freie Entscheidung der betroffenen Person. Wird der Abschluss des Mietvertrags von der Erhebung bestimmter Angaben bei Mietinteressentinnen abhängig gemacht, entsteht eine Zwangslage, in welcher keine freiwillige und damit wirksame Einwilligungserklärung zustande kommen kann. (DSK, a.a.O.)
- die notwendigen Datenschutzmaßnahmen im Unternehmen zu implementieren.
- auch solche „Nebenthemen“ wie Videoüberwachung nochmals checken zu lassen.
- nicht zu übersehen, dass das BDSG in seiner alten Form auch bisher schon nicht unerhebliche Anforderungen an den Datenschutz gestellt hatte.
Die neuen rechtlichen Anforderungen greifen in einer Zeit, in welcher Big Data, Datenerfassung, Datensammlung und Datenevaluierung gerade auch im Zusammenhang mit Effizienzmaßnahmen auf Asset- und Portfolioebene als „Megathema“ der Immobilienbranche beschrieben wird (RICS Nachhaltigkeitsstatistik 2017). Im Zusammenhang mit „Smart Metering“ sind wiederum besondere Anforderungen an den Datenschutz, die Datensicherheit und die Interoperabilität zu beachten.
Siehe auch:
- Vom automatisierten Fahren zur automatisierten und vernetzten Haustechnik: Fragen zur Datenautonomie, zur Datensicherheit und zum Datenschutz bei Smart Home und Smart Building
- Nachhaltigkeits-Statistik 2017, Nachhaltigkeits-Benchmarking & Sustainability Due Diligence
- Zur Funktion des Mietvertrages im Gesamtzusammenhang des Nachhaltigkeitsmanagements, über Regelungen zur Offenlegung von Verbrauchs- und Nutzungsdaten (Reporting/Monitoring) eine ganzheitliche Messung und Bewertung von „Gebäudestrukturperformance“ und „Nutzungsperformance“ zu gewährleisten siehe hier.
Und auch in dem Entwurf der EU-Richtlinie über die Gesamtenergieeffizienz von Gebäuden 2018 findet der Datenschutz im Zusammenhang mit dem gemeinsamen Rahmen für den Intelligenzfähigkeitsindikator bei Gebäuden seinen Niederschlag:
Die Methode darf keine negativen Auswirkungen auf bestehende nationale Systeme für Ausweise über die Gesamtenergieeffizienz haben und ergänzt entsprechende Initiativen auf nationaler Ebene, wobei dem Grundsatz der Eigenverantwortung des Bewohners, dem Datenschutz, dem Schutz der Privatsphäre und der Sicherheit – im Einklang mit den einschlägigen Rechtsvorschriften der Union über den Datenschutz und den Schutz der Privatsphäre sowie den besten verfügbaren Verfahren für Cybersicherheit – Rechnung getragen wird.
© Copyright by Dr. Elmar Bickert
Forum Nachhaltige Immobilien 