Als Hausverwaltung ist es oft erforderlich, Dienstleister wie Handwerker oder andere externe Dienstleister in die Verwaltung von Wohngebäuden einzubeziehen. Die Zusammenarbeit mit diesen Dienstleistern kann jedoch Fragen hinsichtlich des Datenschutzes und der Rechtsgrundlagen für die Weitergabe von Daten aufwerfen. In diesem Blog-Artikel werden wir uns mit den Rechtsgrundlagen für die Weitergabe von Daten an externe Dienstleister befassen und das Erforderlichkeitsprinzip erläutern, das bei der Verarbeitung von personenbezogenen Daten beachtet werden sollte.
Die Grundsätze der DSGVO und der Erforderlichkeitsgrundsatz
An diese Stelle möchten wir in aller Dringlichkeit nochmal an die Grundsätze gem. Art. 5 der DSGVO hinweisen und ganz besonders auf den übergeordneten Grundsatz der Erforderlichkeit verweisen.
Eine Verarbeitung von personenbezogenen Daten muss zunächst rechtmäßig, in einer für den Betroffenen nachvollziehbaren Art und Weise, nach dem Grundsatz von Treu und Glauben erfolgen und dabei einen legitimen Zweck verfolgen. Die Verarbeitung von personenbezogenen Daten muss auch „erforderlich“ sein, um den Zweck zumindest zu fördern. Das bedeutet, soweit ich meinen Zweck auch ohne bestimmte Informationen erreichen kann, ist die Datenverarbeitung nicht gestattet.
Zum einen wäre dies für den Betroffenen auch nicht nachvollziehbar noch im Sinne von Treu und Glauben und zudem wäre dies eine Missachtung des Grundsatzes der Datenminimierung, welche besagt, dass die Verarbeitung dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein muss.
Diese grundsätzliche Prüfung gilt in erster Linie für jede einzelne Verarbeitung als solche. Auch wenn ich durch einen Vorgang mehrere Verarbeitungen auslöse, müssen wir jede Einzelne Verarbeitung gesondert auf Herz und Niere prüfen. D.h. zunächst Fragen wir uns, ob die Verarbeitung dieser konkreten personenbezogenen Daten erforderlich ist. Anschließend schauen wir, ob es rechtmä0ig ist (hier also eine Rechtsgrundlage vorliegt) und anschließend welchen Zweck wir damit verfolgen und ob die Verarbeitung auch ohne diese Informationen erfüllt werden kann. Soweit also auch kein Verstoß gegen die Datenminimierung vorliegt, wäre die Verarbeitung sodann gestattet.
Wir empfehlen hier also eine grundsätzliche Vorabprüfung durch folgendes Schema:
- Welche Daten sollen verarbeitet werden?
- Was ist der Zweck?
- Ist die Verarbeitung gerade dieser personenbezogenen Daten erforderlich, um den Zweck zu erfüllen?
- dem Zweck angemessen?
- Erheblich?
- Auf das notwendige Maß beschränkt?
- Besteht dafür eine Rechtsgrundlage?
Ist diese Vorabprüfung ordnungsgemäß erfolgt und auch positiv entscheiden, kann mit der Datenverarbeitung begonnen bzw. alle Maßnahmen entsprechend durchgeführt werden.
2. Die Rechtsgrundlage des Vertrages oder vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO)
Eine der wichtigsten Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten im Rahmen der Hausverwaltung als solche ist der Vertrag oder vorvertragliche Maßnahmen gem. Art. 6 Abs. 1 lit. b DSGVO. Dieser Vertrag jedoch setzt voraus, dass ein Vertrag zwischen der Hausverwaltung und den Betroffenen selbst vorliegt. Hier also der Verantwortliche und der Betroffene Vertragsparteien sind.
a. Aktuelle Feststellungen
Oft lesen wir, dass Hausverwaltungen eine Übermittlung von Daten an Dritte damit begründet, dass zwischen der Hausverwaltung und einem Dritten ein Vertrag besteht, (gerne auch untermauert mit einem Auftragsdatenvertrages) und gerade diese Verträge (z.B. Dienstleistungsvertrag) die Grundlage für die Übermittlung zwischen der Hausverwaltung und dem Dritten für den Datenaustausch darstellt.
Das ist aber, losgelöst dieser Schwerpunktsetzung generell unzulässig.
b. Anforderungen an Art. 6 Abs. 1 lit. b DSGVO
Gem. Art. 6 Abs. 1 lit. b DSGVO ist eine Verarbeitung dann gestattet, wenn dies zur Begründung, Erfüllung, oder Beendigung von Vertragsverhältnisses oder vorvertraglichen Maßnahmen zwischen den Verantwortlichen und Betroffenen erforderlich (siehe hier Erforderlichkeitsprinzip) ist.
Zudem kann erst auf diese Verarbeitung zugegriffen werden, soweit der Betroffene selbst aktiv wird und eine entsprechende Anfrage stellt.
Voraussetzungen sind demnach:
- Anfrage des Betroffenen
- Vertragsparteien sind Verantwortlicher und Betroffener
- Verarbeitung ist zur Erfüllung eines Vertrages oder für vorvertragliche Maßnahmen (wie Beratung, Erstellen eines Angebotes, , Erfassen von Mieterdaten (Selbstauskunft), Vertragserstellung etc.) erforderlich.
c. Rechtsgrundlage des Vertrages auch für Nebenpflichten?
Soweit nun zwischen den Betroffenen und dem Verantwortlichen ein Vertrag besteht, wird gerne angeführt, dass gerade der Vermieter bzw. die Hausverwaltung entsprechende Nebenpflichten aus dem Vertrag unterliegen oder diese sich aus dem Gesetz ergeben.
(1) Gesetzliche Nebenpflichten:
Soweit gesetzliche Pflichten zu erfüllen sind, die sich ggf. auch aufgrund der vertraglichen Beziehung ergeben, ist diese Verarbeitung eben nicht auf die Rechtsgrundlage des Vertrages bzw. vorvertragliche Maßnahmen zu beziehen, sondern vielmehr auf die entsprechende gesetzliche Pflicht selbst (Art. 6 Abs. 1 lit. c DSGVO).
Als Beispiel wäre hier:
- Pflichten, Aufgaben und Bestellung der Verwaltung (§§ 26, 24 27 WEG)
- Mitwirkungspflichten des Wohnungsgebers (§ 19 f. BMG)
- Handels- und Steuerpflichten (§§ 257 HGB, 147 AO)
- Nachweispflichten, Auskunfts- und Belegeinsichtsrechte, §§ 259, 535, 556, 556e, 556g BGB i.V.m. BetrVO
Demnach wäre die Darlegung einer gesetzlichen Pflicht zur Datenverarbeitung gestützt als Nebenpflicht aus dem bestehenden Vertrag damit unzulässig. Vielmehr erfolgt die Verarbeitung direkt aus dem Gesetz und gilt unabhängig vom Mietvertrag als solche.
Bitte beachten Sie aber:
Zu unterscheiden sind solche gesetzlichen Pflichten, die sich aufgrund rechtlicher Vorgaben des Staates ergeben und solche die aufgrund des bestehen eines Vertrages im Rahmen des Gesetzes sich ergeben (Verbraucherschutz etc.)
So heißt es beispielsweise im Mietrecht gem. § 535 Abs. 1 S. 2 BGB
Dass der Vermieter die Mietsache dem Mieter in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu überlassen und sie während der Mietzeit in diesem Zustand zu erhalten muss. Diese gesetzliche Pflicht setzt zunächst einen Vertrag voraus und bezieht sich auf mietvertragliche Pflichten und nicht auf die Verarbeitung von personenbezogenen Daten, sodass hier keine gesetzliche Pflicht zu Übermittlung von Daten vorliegt, sondern vielmehr vertragliche Nebenpflichten aufgrund des Gesetzes.
(2) Vertragliche Nebenpflichten
Vertragliche Nebenpflichten können zwar auch dazu führen, dass entsprechende Daten verarbeitet werden. Besonders die o.g. Pflicht die Wohnung in einem zum vertragsgemäßen Gebrauch geeigneten Zustand zu überlassen und sie während der Mietzeit in diesem Zustand zu erhalten (§ 535 Abs. 1 S. 2 BGB) stellt eine aufgrund des Vertrages ergebende Nebenpflicht bei Mängeln oder Instandsetzungswürdige Situationen zu handeln.
In dem Sinne muss der Vermieter bzw. die Hausverwaltung auch bei Mängel entsprechend tätig werden und die Mängel beseitigen oder bestimmte Instandsetzungen vorzunehmen. Die Hausverwaltung selbst wird dazu jedoch nicht in die Wohnung gehen und Hand anlegen und zum anderen kann es vorkommen, dass die Hausverwaltung selbst keine handwerklichen Mitarbeiter beschäftigt, sodass auf die gängige Leistung von Handwerkern zurückgegriffen wird.
In diesem Fall müssen wir aber die einzelnen personenbezogenen Daten, die wir dazu verwenden konkret unterscheiden.
Die Übermittlung der Namen, die Anschrift der Mieter und der Mietwohnung und auch Angaben zu den Räumen bzw. der Arbeiten ist erforderlich, damit die Handwerker auch wissen, wo und bei wem vor allem was für Tätigkeiten erfolgen müssen.
Allerdings wäre die Übermittlung von Telefonnummern oder E-Mailadressen hierfür nicht erforderlich. Dies wird damit begründet, dass für die Terminierung andere Möglichkeiten zur Verfügung stehen.
Soweit gewünscht wird, dass die Handwerker mit den jeweiligen Mietern einen Termin abstimmen, so muss dies im Wege einer Einwilligung erfolgen, in dem Sie die Erlaubnis einholen die Daten an dem externen Dienstleister übermitteln oder Sie stimmen mit dem Handwerker ab, dass der Mieter sich bei diesem meldet und selbst einen Termin vereinbart. (Dies ist jedoch mit viel Aufwand aber auch entsprechende Risiken verbunden, vor allem bei unzuverlässigem Mieter).
Sie müssen demnach konkret prüfen, welche personenbezogenen Daten an den Handwerker übermittelt werden und genau diese Übermittlung (Verarbeitung) muss erforderlich sein.
3. Weitere Rechtsgrundlagen?
In Bezug zu der Datenverarbeitung im Rahmen der Übermittlung von Daten an Dritte haben wir nun geklärt, dass wir konkret und im jeden Einzelfall prüfen müssen, ob die Übermittlung zulässig ist und vor allem genau differenzieren welche personenbezogenen Daten wir übermitteln. Bei dem einen oder anderen wird dies zu großem Unmut führen. Denn neben den Arbeitsaufwand, kann dies auch viele Prozesse erschweren und wertvolle Zeit kosten.
a. Einwilligung
Aufgrund des oben genannten Sachverhaltes wird auch gerne mal schnell auf eine Einwilligung zurückgegriffen. Im Grundsatz ist das in diesen Fällen nicht unbedingt abzulehnen. Es sind aber entsprechende Vorgaben zur Wirksamkeit einer Einwilligung zu beachten, die unserer Auffassung nach außer Verhältnis stehen.
Zunächst muss dem Betroffenen klar und unmissverständlich dargelegt worden sein, dass die Einwilligung ohne Konsequenzen verweigert werden kann. (Freiwilligkeit). Der Betroffene entscheidet, ob Sie dessen Daten weitergeben oder eben nicht.
Wenn die Weitergabe auch nur ansatzweise als notwendig dargelegt wird um die entsprechenden Maßnahmen (Mangelbeseitigung, Instandsetzung) erfüllen zu können oder anderweitig Einfluss auf die Entscheidungsfindung genommen wird ( „Ohne Einwilligung, könnte es eben etwas länger dauern, wenn wir das machen“ – Beachte: Druck aufgebaut), werden Sie im Zweifel keine wirksame Einwilligung vorliegen haben und somit auch eine rechtswidrige Datenverarbeitung vornehmen.
Wir alle kennen die Fälle, in welche der Mieter im Nachgang etwas anderes behauptet. Dies muss nicht immer mit böser Absicht erfolgen. Vielleicht hat der Mieter tatsächlich etwas missverstanden. Aus diesem Grund ist bei der Verwendung der Einwilligung als Rechtsgrundlage, ganz genau auf die Wortwahl, der Nachweismöglichkeit einer erteilten Einwilligung und die Informationspflichten einzugehen. Schwierig wird es, wenn die Einwilligung vom Mieter widerrufen wird. Da hier sodann alle übermittelten Daten für die Zukunft nachweislich gelöscht sein müssen.
b. Terminierung durch Verwaltung (Empfehlenswert)
Eine weitere Möglichkeit ist, dass Sie alle notwendigen Informationen erfassen und ggf. einen Termin mit dem Mieter abstimmen und selbst aus ihrem Pool an Handwerkern einen Termin vereinbaren oder auch vorgeben und hier dem Handwerker nur die Informationen übermitteln (Name, Anschrift, Inhalt) die für den Auftrag notwendig sind. Dies wäre problemlos mit ihrer vertraglichen Nebenpflichten aufgrund des bestehenden Vertrages mit Ihnen und dem Mieter möglich. (Art. 6 Abs. 1 lit. b DSGVO). Hier wird jedoch etwas mehr Arbeit vorausgesetzt, damit es auch zu einem Abschluss des Verfahrens kommt.
Hierbei vermeiden Sie die Übermittlung von nicht erforderlichen Informationen an den Handwerksbetrieb. (Keine Handy,- Telefonnummer oder E-Mailadressen).
c. Mitarbeit des Mieters
Auch in unserer täglichen Praxis erprobt, aber leider ebenfalls mit viel Aufwand und etwas Vertrauen in den Mietern verbunden, wäre es möglich alle erforderlichen Informationen mit dem Mieter und den Auftrag ebenfalls mit dem Handwerksbetrieb abzustimmen und die Leistung freigeben. Anschließend teilen Sie dem Mieter die Kontaktdaten des Handwerkbetriebes mit, sodass dieser selbst einen Termin vereinbaren kann.
Dies erfordert aber viel Vertrauen und dürfte auch in der Praxis recht kompliziert werden. Zunächst setzt dies voraus, dass Sie einen Mieter haben, welche auch mitarbeitet und sich nicht auf den Standpunkt setzt, er sei dafür weder zuständig noch wird er dafür bezahlt (Das haben wir oft schon zu lesen bekommen).
Andererseits gibt es auch hier Stimmen die der Überzeugung sind, dass dies unwirksam ist, da trotzdem der Verantwortliche die Datenverarbeitung auslöst und damit voraussetzt, dass der Handwerker eben nicht erforderliche Informationen (Telefonnummer, Handynummer, E-Mail etc.) erhält. Diese wurden zwar nicht durch den Verantwortlichen selbst übermittelt, dennoch aber von diesem vorausgesetzt und ermöglicht.
Um diese Argumentation zu entkräften, sollte auch hier klar dem Betroffenen mitgeteilt werden, dass diese eine von mehreren Möglichkeiten hat, einen Termin zu erhalten. Wenn der Mieter nicht möchte, dass Handwerker dessen Telefonnummern oder E-Mailadressen haben, so sollte darauf verwiesen werden, dass Sie den Termin mit dem Handwerker abstimmen und entsprechend vorgeben.
d. Berechtigte Interessen
Letztlich und in unserer täglichen Arbeit oft verwendet ist das berechtigte Interesse gem. Art. 6 Abs. 1 lit. f DSGVO. Sie als Hausverwaltung können ein eigenes berechtigtes Interesse haben, dass die Datenverarbeitung vorgenommen wird. Auch ein Fremdinteresse (Vermieter) oder auch das Interesse ihres Handwerkers könnte hier angeführt werden.
Die Rechtsgrundlage des berechtigten Interesses jedoch setzt eine mal mehr oder weniger umfassende Interessensabwägung voraus. Das bedeutet das von Ihnen vorgegebene berechtigte Interesse muss zunächst klar benannt und dargelegt werden und sodann mit den Grundrechten und Grundfreiheiten des Betroffenen abgewogen werden. Erst wenn ihre berechtigten Interessen zumindest gleichwertig sind mit den Grundrechten und Grundfreiheiten des Betroffenen, wäre diese Rechtsgrundlage und damit verbundene Übermittlung von Daten zulässig.
Es gilt hier aber zu beachten, dass gerade eine Grundrechteabwägung auch unter erfahrenen Juristen zu unterschiedlichsten Ergebnissen kommt und im Zweifel die Aufsichtsbehörde oder eben das Gericht zu einer anderen Wertung kommt.
4. Fazit
Zusammenfassend ist es wichtig, dass Hausverwaltungen bei der Weitergabe von Daten an externe Dienstleister die Rechtsgrundlagen, insbesondere die Vertragserfüllung und das berechtigte Interesse, sorgfältig prüfen und das Erforderlichkeitsprinzip beachten. Es ist notwendig, nur die wirklich erforderlichen personenbezogenen Daten weiterzugeben, die für den jeweiligen Zweck notwendig sind, und angemessene Sicherheitsmaßnahmen zu ergreifen, um die Datenschutzrechte der betroffenen Personen zu schützen.
Besonders die Einführung entsprechender Prozesse und Vorgabe, wie mit solchen Situationen umgegangen wird, sollte seitens des Verantwortlichen erarbeitet werden.
