Datenschutz in der Immobilienverwaltung

Infolge der zunehmenden Durchdringung der Wirtschaft mit Informationstechnologien gewinnt auch das Thema Datenschutz eine immer größere Bedeutung – für Mitarbeiter, Eigentümer, Mieter, Interessenten und Dienstleister.

Die Beachtung der Informationssicherheit sowie eine gut implementierte Datenschutzorganisation schützen die Werte von Unternehmen der Immobilienverwaltung und erfüllen zugleich gesetzliche Vorgaben. Datenschutz schafft Vertrauen und ist von Kunden ein viel beachtetes Qualitätsmerkmal.
Datenschutz ist der Schutz der Menschen vor missbräuchlicher Verwendung personenbezogener Daten (unberechtigte Speicherung, fremde unberechtigte Kenntnisnahme/Nutzung und unsauberer Umgang). Entwickelt wurde der Datenschutz aus dem im Grundgesetz verankerten Recht auf Selbstbestimmung und dem Schutz der Menschenwürde. Daraus hat das Bundesverfassungsgericht im Jahr 1983 mit dem Volkszählungsurteil das Recht auf informationelle Selbstbestimmung geschaffen, heute ein Grundpfeiler des Datenschutzes. Für die Wirtschaft verankert ist der Datenschutz im Bundesdatenschutzgesetz (BDSG), mit Konkretisierungen in verschiedenen Spezialgesetzen, wie z. B. dem Telekommunikationsgesetz (TKG).

Verboten ist, was nicht erlaubt wurde

Das BDSG ist ein Verbot mit Erlaubnisvorbehalt. Konkret: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur zulässig, wenn das BDSG oder eine andere Rechtsvorschrift dies erlauben bzw. wenn der Betroffene seine Einwilligung erteilt. Datenschutz ist immer dann zu beachten, wenn es um personenbezogene Daten geht, d. h. Einzelangaben einer bestimmten oder bestimmbaren natürlichen Person erhoben, verarbeitet oder genutzt werden sollen. Eine Ausnahme bildet der ausschließlich persönliche bzw. familiäre Bereich. Folgende personenbezogene Daten sind in der Immobilienverwaltung gebräuchlich:

• Mitarbeiterdaten/Interessentendaten (z. B. Adresse, Sozialdaten, Arbeitszeiten, Ausbildungen, Arbeitszeugnisse und Fähigkeiten)
• Mieterdaten (z. B. Adresse, Kommunikationsdaten, Bonität und Religionszugehörigkeit)
• Eigentümerdaten (z. B. Adresse, Kontodaten)
• Lieferanten- bzw. Dienstleisterdaten (z. B. Adresse, Kommunikationsdaten)
  

In der Immobilienverwaltung werden auch sogenannte besondere Arten personenbezogener Daten verarbeitet, für die deutlich strengere Regeln gelten. Als besonders schützenswert angesehen werden nach § 3 Abs. 9 BDSG:

• Gesundheitsdaten (relevant z. B. bei behindertengerechtem Wohnen)
• religiöse Überzeugung (z. B. Konfessionsangabe in der Gehaltsabrechnung)
• ethnische Herkunft (z. B. Staatsangehörigkeit in Reisedokumenten)
• sexuelle Orientierung
• Gewerkschaftszugehörigkeit
• politische Meinung
  

Die Verpflichtung zum Schutz der Daten

Wenn ein Unternehmen personenbezogene Daten erhebt, verarbeitet oder nutzt, dann ist es u. a. verpflichtet, durch sogenannte technische organisatorische Maßnahmen für den Schutz der Daten zu sorgen. Das BDSG hat hier viele Überschneidungen mit der IT-Sicherheit, die für den Fortbestand jedes modernen Unternehmens originär wichtig ist. Durch die Umsetzung der vom BDSG geforderten Maßnahmen wird vielfach die Informationssicherheit verbessert. Dies sorgt für optimierte betriebliche Abläufe und erhöht die Widerstandskraft gegenüber Bedrohungen von außen, was den Fortbestand des Geschäftsbetriebs sichert. Gefordert wird durch das BDSG die Führung eines Verfahrensverzeichnisses, in dem die einzelnen Prozesse der Verarbeitung personenbezogener Daten und deren Schutz dargestellt werden. Darüber hinaus gibt es die Verpflichtung, Verträge über die Datenverarbeitung im Auftrag (ADV-Vertrag) abzuschließen. Für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag durch andere Stellen ist gemäß § 11 BDSG weiterhin der Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich. Der Auftraggeber bleibt „Eigentümer“ der Daten und der Auftragnehmer ist nur auf Weisung des Auftraggebers tätig. Die Auftragsdatenverarbeiter sind regelmäßig zu überprüfen und das Ergebnis dieser Überprüfung ist zu dokumentieren. Beispiele, für die solche Verträge abgeschlossen werden müssen, sind die externe Finanzbuchhaltung (ohne Steuerberater), Auslagerung des Betriebs von E-Mail-Postfächern oder der Datendienste von Websites, die Entsorgung von Datenträgern und die Adressverarbeitung zu Werbezwecken. Auch die Verwendung von Software zur Immobilienverwaltung, die in der Cloud, d. h. nur beim jeweiligen Anbieter betrieben wird, bringt in der Regel die Verpflichtung zum Abschluss eines ADV-Vertag mit sich. Die Mitarbeiter eines Unternehmens sind auf das Datengeheimnis nach dem BDSG zu verpflichten.

Wer darf wem Auskunft erteilen?

Unternehmen haben nach § 34 BDSG die Verpflichtung, jedem Betroffenen Auskunft über zu seiner Person gespeicherte Daten, über die Herkunft dieser Daten sowie über die Empfänger dieser Daten zu erteilen. Falls der Betroffene es wünscht, sind die Datensätze zu berichtigen, zu sperren oder zu löschen. Bei großen Wohnungseigentümergemeinschaften tritt häufig die Frage nach der Herausgabe der Information über die weiteren Miteigentümer auf. Gegen die Herausgabe der Information ist nichts einzuwenden, solange sich die Daten auf die Namen und die jeweilige Anschrift beschränken. Nicht nur der Betroffene kann Anfragen an Immobilienverwalter stellen. So werden täglich Anfragen bzw. Auskunftsersuchen von öffentlichen und privaten Stellen an Immobilienverwalter gerichtet. Typische Anfragen öffentlicher Stellen kommen von Strafverfolgungsbehörden (Polizei, Steuerfahndung), Stadtverwaltungen/Bezirksämtern, Gerichten und Zollämtern. Private Stellen sind Energieversorger oder Inkassounternehmen. Diese Anfragen sind zu prüfen, um eine ungerechtfertigte Übermittlung von personenbezogenen Daten auszuschließen. Mündliche bzw. fernmündliche Anfragen dürfen nicht beantwortet werden. Die anfragende Stelle hat ein Schriftstück zu übersenden, in dem der Anfragende genau spezifiziert, die betreffende Person konkretisiert, der Grund für die geforderte Information und die Rechtsgrundlage genannt wird. Falls Informationen zur Beantwortung der Anfrage fehlen, sollten diese ohne Preisgabe weiterer Informationen über die betreffende Person schriftlich nachgefordert werden. Die Mitarbeiter eines Unternehmens sind für das Thema Datenschutz zu sensibilisieren und zu schulen.

Ordnungswidrigkeiten, für die hohe Strafen drohen

Die Nichteinhaltung des Datenschutzes kann als Ordnungswidrigkeit mit Geldbußen i.  H.  v. bis zu 300.000 Euro pro Fall belegt werden. Schwerwiegende Fälle können auch zu einer möglichen Gewinnabschöpfung, Straftaten sogar zu Freiheitsstrafen von bis zu zwei Jahren führen. Der damit einhergehende Imageverlust bedeutet noch größeren Schaden. Zu beachten ist daher auch die „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“. Sie gilt für den bei Immobilienverwaltungen denkbaren Fall, dass personenbezogene Daten zu Bank- oder Kreditkartenkonten abhanden kommen. Nach § 42 a BDSG ist ein möglicher Missbrauch den Betroffenen und der zuständigen Aufsichtsbehörde anzuzeigen.

Die Bestellung des Datenschutzbeauftragten

Jedes Unternehmen, das personenbezogene Daten verarbeitet, ist unabhängig von seiner Größe oder Zahl der Mitarbeiter zur Einhaltung des Datenschutzes verpflichtet. Werden personenbezogene Daten von mehr als neun Personen verarbeitet, so ist ein Datenschutzbeauftragter zu bestellen, der Geschäftsführung und Mitarbeiter in allen datenschutzrechtlichen Fragen berät. Er unterliegt der Verschwiegenheitspflicht und wirkt auf die Einhaltung des Datenschutzrechts ein. Diese Funktion kann ein Mitarbeiter des Unternehmens übernehmen, der über die notwendige Fachkunde verfügen, dem genügend Zeit für die Erfüllung seiner Aufgaben eingeräumt werden und der in der Ausübung seiner Tätigkeit unabhängig sein muss. Für viele Unternehmen ist dies zu kostenintensiv und birgt zudem Konfliktpotential. Daher besteht die Möglichkeit, externe Datenschutzbeauftragte zu bestellen. So entfällt der bei eigenen Mitarbeitern übliche erweiterte Kündigungsschutz, und gegen mögliche Schäden besteht eine Versicherung. Auch Interessenkonflikte im Unternehmen werden vermieden, und der externe Berater bringt sein interdisziplinäres, unternehmenübergreifendes Know-how mit ein, wobei die Kosten für Aus- und Weiterbildung zur Erfüllung der gesetzlichen Anforderungen entfallen und die für externe Leistungen transparent und kalkulierbar sind.

Fotos: Claudia Heinstein; © Nata-Lia / Shutterstock.com