- Die Daten sind nicht mehr für den Zweck erforderlich, für den sie erhoben wurden.
- Der Betroffene widerruft seine Einwilligung, und es gibt keine andere Rechtsgrundlage für die Verarbeitung.
- Der Betroffene legt Widerspruch gegen die Verarbeitung ein, es sei denn, es gibt überwiegende berechtigte Gründe für die Verarbeitung.
- Die Daten wurden unrechtmäßig verarbeitet.
- Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
Auch die „Speicherbegrenzung“ (Art. 5 Abs. 1 lit. e DSGVO) sieht im Kern eine Löschung oder eine Anonymisierung (kommt der Löschung gleich) personenbezogener Daten vor, wenn der Zweck der weiteren Verarbeitung nicht mehr gegeben ist.
Bußgeld wegen versäumten Löschens
Die Berliner Datenschutzbehörde hatte im Oktober 2020 ein Bußgeld von 14,5 Millionen Euro gegen die Deutsche Wohnen wegen eines Datenschutzverstoßes verhängt, weil der Immobilienkonzern Mieterdaten trotz Wegfall des Verarbeitungszwecks weiterhin gespeichert hatte. Das Datenarchiv war so strukturiert und konzipiert, dass sich Daten nicht fristgerecht und gezielt löschen ließen: Mieterselbstauskünfte, Gehaltsnachweise und Kontoauszüge waren unter anderem immer noch gespeichert, obwohl der Mietvertrag bereits beendet war. Die Berliner Datenschutzbehörde hatte während einer Vor-Ort-Prüfung im Jahr 2017 moniert, dass die eingesetzte Datenspeicherung unzulässig ist, und gefordert, etwaige technische und organisatorische Maßnahmen vorzunehmen, die das rechtskonforme Löschen personenbezogener Daten gewährleisten. Bei einer Vor-Ort-Prüfung im Jahr 2019 stellte die Behörde fest, dass der Immobilienkonzern die Anordnungen weder umgesetzt hatte, noch etwaige Rechtsgrundlagen vorlegen konnte, die das weitere Speichern begründeten. Besonders die Maßnahme zur Speicherbegrenzung (Datenminimierung und Datensparsamkeit) wurde durch die Behörde hervorgehoben. Aber zu einem Umdenken in der Wohnungswirtschaft hat dieses Urteil wohl nicht geführt. Beispiel: die Mieterselbstauskunft (analog die Selbstauskunft bei Einkauf in eine Gemeinschaft).
Speicherbegrenzung: Die Mieterselbstauskunft
Die Selbstauskunft dient einzig dazu, zu prüfen, ob der Mieter für die betreffende Immobilie geeignet ist. Mit ihr lässt sich feststellen, ob er die erforderliche Bonität hat und andere Vermieter- oder Eigentümeransprüche erfüllt. Sobald ein Mietvertrag auf dieser Grundlage abgeschlossen wird, verliert das Dokument seinen ursprünglichen Zweck und seine Gültigkeit. Es wird vom Vermieter/Eigentümer höchstens sechs Monate gemäß den Bestimmungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) aufbewahrt, jedoch ohne eine spezifische Rechtsvorschrift zum Löschen. Eine dauerhafte Aufbewahrungspflicht besteht nicht; die Entscheidung hängt ausschließlich vom Charakter des Dokuments und einer individuellen Abwägung ab. Eine Speicherung für höchstens ein Jahr wäre jedoch gerechtfertigt, vor allem als Beweismittel bei etwaigen Rechtsstreitigkeiten, zum Beispiel wenn der Mieter mit der Mietzahlung in Verzug gerät oder falsche Angaben gemacht hat (gemäß §§ 123 ff. BGB). Auch werden immer wieder unzulässigerweise „schwarze Listen von Mietnomaden“ angefertigt. Dazu schreibt die Datenschutzkonferenz (DSK = Konferenz der unabhängigen Datenschutzaufsichtsbehörden):
Das Führen einer „schwarzen Liste“ oder der Abgleich mit vorhandenen Datenbeständen ist grundsätzlich unzulässig, da dies die Interessen der Mietinteressenten überwiegt. Daten, die durch Makler oder Hausverwaltungen verarbeitet werden, sind zu löschen, sobald ein Mietvertrag mit anderen Interessenten abgeschlossen wird.
Löschung der Daten nach sechs Monaten
Daten von Mietinteressenten, die bei der Wohnungsvergabe leer ausgehen, müssen gemäß Art. 17 Abs. 1 Buchst. a DSGVO gelöscht werden, allerdings nicht sofort. Wenn Mietinteressenten Ansprüche auf Beseitigung einer Benachteiligung gemäß § 21 AGG geltend machen, sollten die Daten in der Regel spätestens nach sechs Monaten gelöscht werden, es sei denn, es bestehen weitere mögliche Ansprüche. Eine weitere Möglichkeit wäre, Mietinteressenten zu bitten, in die weitere Speicherung ihrer Kontaktdaten einzuwilligen, damit sie zum Beispiel Angebote für künftige Mietobjekte erhalten.
Datenminimierung: Der Personalausweis
Häufig fordern Vermieter den Mieter auf, den Personalausweis vorzulegen. Dem Vermieter ist es gestattet, den Ausweis zu kontrollieren und zu vermerken, dass der Personalausweis geprüft wurde. In der Mieterselbstauskunft sollte es entsprechend hinterlegt sein, dass der Personalausweis vorgelegt wurde. Die Seriennummer des Personalausweises darf jedoch nicht notiert werden. Bevor der Vermieter den Personalausweis kopiert, muss er jedoch gemäß dem Grundsatz der Datenminimierung die Zustimmung des Mieters einholen (§ 20 Abs. 2 PersAuswG).
Selbst dann, wenn der Betroffene eine selbst angefertigte Kopie seines Personalausweises vorlegt, stellt sich die Frage, warum beispielsweise ein Verwalter oder ein Vermieter diese Kopie dauerhaft speichern muss. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und der Datensparsamkeit bedeutet, dass personenbezogene Daten dem Zweck angemessen und auf das erforderliche Maß der Verarbeitung beschränkt sein müssen. Kurz gesagt: Es gibt für Verwalter und Vermieter fast keine Rechtsgrundlage, eine Kopie des Personalausweises dauerhaft zu speichern.
Warum ist Löschen so schwer?
Eine mögliche Erklärung liegt in der Komplexität und dem Aufwand, der mit der ordnungsgemäßen Datenlöschung verbunden ist. Es erfordert nicht nur das Identifizieren und Kategorisieren der zu löschenden Daten, sondern auch die Einhaltung rechtlicher Anforderungen und die Berücksichtigung von Aufbewahrungsfristen. Für viele Hausverwalter kann die Datenlöschung deshalb eine zusätzliche Herausforderung sein. Vielen ist überdies möglicherweise nicht klar, dass unkontrolliertes Speichern von Daten nicht nur Datenschutzverletzungen zur Folge haben kann, sondern auch ineffizient ist und Sicherheitsrisiken birgt.
Das größte Problem dürfte die Unstrukturiertheit von Daten sein. Als unstrukturierte Daten bezeichnet man alle Informationen, die weder in einem Schema noch einem festen Format organisiert sind. Typische unstrukturierte Daten sind beispielsweise E-Mails, Audiodateien, Videodateien, Social-Media-Beiträge und Bilddateien. Hinzu kommen dezentrale (verstreute) Daten, beispielsweise auf Smartphones, Tablets, Notebooks, Home-Office-Geräten oder als Datensicherungen auf USB-Sticks und Festplatten sowie in privaten Cloudspeichern. Eine gezielte Löschung eines bestimmten Datensatzes wäre in diesen Geräten und Speicherorten ziemlich aufwendig. Zudem wird die Menge der Daten durch den Verantwortlichen nicht bewusst eingeschränkt. Im Gegenteil: Die Speichererweiterung ist durch den Kauf weiterer Datenträger sehr einfach und günstig.
Die Menge der Daten
In einem einzigen Aktenordner können in der Regel 600 Blatt Papier abgeheftet werden. Hingegen kann eine Festplatte mit einem Terabyte Speicherplatz rd. 33 Milliarden Dokumente speichern. Ein weiterer Unterschied ist, dass die Daten auf einer Festplatte nicht stören. Man sieht sie nicht, sie sind immer da und sie stehen jederzeit zur Verfügung. Außerdem ist es sehr praktisch, dass sich digitale Daten besser durchsuchen lassen. Was aber viele Verwalter übersehen: Daten müssen immer aktuell sein. Gemäß Art. 5 Abs. 1 lit. d DSGVO müssen personenbezogene Daten „sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (‚Richtigkeit‘)“.
Das stellt die meisten vor große Probleme. Wenn von vornherein Daten nicht vernünftig strukturiert und schematisch gespeichert werden, sind weder Aktualität und Richtigkeit gewährleistet, noch können Anträge auf Auskunft, Berichtigung, Widerspruch und Löschung (Betroffenenrechte gem. Art. 15 ff. DSGVO) gesetzeskonform bearbeitet werden.
Verwalterwechsel
Bestellt die GdWE einen neuen Verwalter, ist der „Altverwalter“ verpflichtet, sämtliche Verwaltungsunterlagen herauszugeben, die im Eigentum der Gemeinschaft stehen. Gemäß BGH NJW 2018, 1969 Rn. 19 bestehen nach Beendigung des Verwaltervertrags weiterhin Pflichten für den ehemaligen Verwalter: Vor allem muss er die Verwaltungsunterlagen herausgeben und gegebenenfalls eine Rechnung legen (vgl. Hügel/Elzer § 26 Rn. 364). Zudem muss er alles, was er erlangt hat, der Wohnungseigentümergemeinschaft herausgeben (LG Itzehoe ZMR 2015, 54). Diese Herausgabepflicht erstreckt sich auf sämtliche Unterlagen (OLG Frankfurt am Main WuM 1999, 61 und LG Frankfurt am Main ZWE 2019, 289 Rn. 9). Dabei schließt die Herausgabe in einem bestimmten Medium nicht aus, dass die Unterlagen auch in einem anderen Medium herausgegeben werden müssen. Der ehemalige Verwalter kann sich nicht auf ein Zurückbehaltungsrecht berufen, beispielsweise wegen noch ausstehender Vergütungsansprüche. Auch selbst angelegte Akten, sonstige Unterlagen und Dateien sind Teil der zu übergebenden Verwaltungsunterlagen (Eigentum der Gemeinschaft).
Digitale Daten beim Verwalterwechsel
So ist es gängige Praxis, bei einem Verwalterwechsel alle Aktenordner bis auf das letzte Blatt Papier zu übergeben. Hingegen werden digitale Daten (E-Mails, Inhalte aus dem Verwalterprogramm, unstrukturierte und dezentrale Daten usw.) selten bis auf das letzte Bit übergeben und sind demnach auch nicht rechtskonform gelöscht. Als Datenschützer muss man sich fragen: Warum? Wo ist der Unterschied zu den analogen Daten? Schließlich hat man ja vor dem Computerzeitalter auch nicht jeden Aktenordner kopiert. Es gibt fast keine Rechtsgrundlage, die das Speichern des gesamten digitalen Bestands von Verwaltungsunterlagen beim „Altverwalter“ legitimiert. Nur in Einzelfällen, beispielsweise bei einem Rechtsstreit, können einzelne Dokumente weiterhin gespeichert werden, um Rechtsansprüche durchzusetzen oder abzuwehren. Eine Speicherung des gesamten Bestands von Verwaltungsunterlagen lässt sich jedoch, zumindest aus datenschutzrechtlicher Sicht, nicht begründen. Auch das WEG kennt keine weitere Zulässigkeit zur Speicherung von Daten bei einer Abberufung des Verwalters.
Ein Löschkonzept könnte helfen
Daten sind zum Motor zahlloser Hausverwaltungen geworden. Aber oft wird übersehen, dass nicht alle Daten von gleichem Wert sind. Tatsächlich kann deren unkontrolliertes Speichern nicht nur ineffizient sein, sondern auch erhebliche Risiken für die Datensicherheit und den Datenschutz bergen. Demzufolge ist ein gut durchdachtes Löschkonzept für jedes Unternehmen unerlässlich und hilft die Anforderungen der DSGVO umzusetzen. Es legt fest, wie lange personenbezogene Daten gespeichert werden dürfen und dass sie rechtzeitig gelöscht werden, wenn sie nicht mehr gebraucht werden. Aber auch die Datensicherheit und die damit verbundene Risikominimierung sind wesentlich für ein Löschkonzept. Denn unnötig gespeicherte Daten bieten auch eine größere Angriffsfläche für Hacker und sind anfällig für Datenverluste. Wenn dagegen Daten überhaupt nicht gelöscht werden, kann es so enden wie bei der Deutsche Wohnen. Kann gut sein, dass die Behörde das Jammern und Lamentieren des Verantwortlichen dann gar nicht hören will und sagt: „Auf das Bußgeld verzichten? Nö, keine Lust!“
REINHOLD OKON
dsb-okon.de
REINHOLD OKON ist zertifizierter Datenschutzbeauftragter (TÜV Süd) und hat sich seit Jahren auf den Datenschutz in der Haus- und Immobilienverwaltung spezialisiert.