Vor-Ort-Kontrollen der Immobilienwirtschaft: Mängel bei der Datenverarbeitung

Um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) im Um gang mit Mieterdaten in der Immobilienbranche zu überprüfen, haben wir vier Immobilienmakler und Wohnungsunternehmen nach Ankündigung vor Ort besucht. Dabei interessierte uns, ob sie den Datenschutz ausrei chend beachten. Denn wir gehen davon aus, dass sich Mieter und insbe sondere Mietinteressenten bei möglichen Datenschutzverstößen eher nicht zur Wehr setzen, weil sie bei der aktuell angespannten Lage des Woh nungsmarkts Nachteile für sich befürchten.

Bei der Kontrolle haben wir stichprobenartig datenschutzrechtliche Aspek te bei der Wohnraumvermietung untersucht, bei denen wir mögliche Ver säumnisse, Unachtsamkeiten oder Verstöße gegen Datenschutzprinzipien, wie Datensparsamkeit von Unternehmen der Immobilienbranche vermute ten. Die Kontrollen fokussierten sich auf die Verarbeitung personenbezo gener Daten von Mietinteressierten. Dabei haben wir sämtliche Phasen des Vermietungsprozesses beleuchtet: von der ersten Kontaktaufnahme und der Vereinbarung eines Besichtigungstermins, über den Abschluss eines Mietvertrags oder der Absage an nicht ausgewählte Interessierte, bis hin zur Verwaltung bestehender Mietverhältnisse.

Im Rahmen der durchgeführten Vor-Ort-Kontrollen haben wir eine Reihe von datenschutzrechtlichen Verstößen aufgedeckt. Bei vielen Verstößen Wirtschaft sagten uns die Verantwortlichen deren sofortige Beseitigung zu. Kein Ver stoß war allerdings derart gravierend, dass wir ein Bußgeldverfahren ein leiten mussten.

Drei der überprüften Unternehmen verarbeiteten personenbezogene Da ten von Mietinteressierten teilweise in unzulässiger Weise. Konkret wur den Kopien von Ausweisdokumenten oder Gehaltsabrechnungen gefor dert beziehungsweise erstellt und gespeichert, obwohl dies im jeweiligen Stadium des Vermittlungsprozesses nicht gerechtfertigt war.

Ausweisdokumente dienen ausschließlich der Identitätsfeststellung. Dies kann bereits durch einfaches Einsehen des Dokuments und eine dokumen tierte Bestätigung des Abgleichs erfolgen. Es muss also keine Kopie gefer tigt und gespeichert werden. Eine Archivierung ist weder für die Vertrags anbahnung noch im Rahmen einer Interessenabwägung erforderlich. Ebenso fehlt in der Regel eine rechtliche Verpflichtung im Kontext von Vermietungen. Daher ist das Kopieren und Archivieren von Ausweisdoku menten – auch in geschwärzter Form – durch Vermieter, Vermieterinnen oder Hausverwaltungen unzulässig. Das Gleiche gilt für Gehaltsnachweise. Es genügt, diese vorzulegen und die Übereinstimmung mit den Angaben in der Mieterselbstauskunft zu überprüfen. Für den Nachweis der Fähigkeit, die Wohnungskosten finan ziell zu tragen, sind Kopien oder deren Archivierung nicht erforderlich und daher unzulässig.

Drei der geprüften Unternehmen setzten zudem Formulare für die Mieter selbstauskunft ein, die die datenschutzrechtlichen Vorgaben nicht erfüllten. So wurden beispielsweise Kontaktinformationen von aktuellen oder frühe ren Vermietern oder Vermieterinnen erfragt sowie einzelne Beträge nebst Zahlungszwecke, die vom Nettoeinkommen abgezogen werden, obwohl diese Informationen für die Entscheidung über den Abschluss eines Miet vertrags nicht notwendig sind. Zwei der überprüften Unternehmen führten kein Verzeichnis der Verarbei tungstätigkeiten.

Jeder Verantwortliche ist jedoch verpflichtet, ein solches Verzeichnis zu führen. Es bildet die Basis jeglicher technisch-organisatori scher Maßnahmen des Verantwortlichen, um den Datenschutz und damit auch die IT-Sicherheit in seinem Unternehmen sicherzustellen. Ergebnis und Fazit Die durchgeführten Prüfungen hatten eine beratende und aufklärende Funktion sowie eine sanktionierende Funktion, falls Verstöße festgestellt wurden. In Bezug auf zwei Unternehmen, bei denen datenschutzrechtli che Mängel aufgedeckt wurden, wurde ein feststellender Bescheid erlas sen. Bei den anderen beiden Unternehmen haben wir keine groben Bean standungen hinsichtlich der Datenverarbeitung festgestellt.

Wie schon unsere Prüfung im Vorjahr haben die durchgeführten Kont rollen gezeigt, dass in den geprüften Unternehmen teilweise erhebliche Datenschutzmängel im Umgang mit Mieterdaten bestehen. Besonders die verschiedenen Phasen der Datenverarbeitung im Rahmen des Vermie tungsprozesses erfordern eine fortlaufende Überprüfung durch den Ver antwortlichen, um zu gewährleisten, dass die Erhebung von Daten zu dem jeweiligen Zeitpunkt und für den jeweiligen Zweck gerechtfertigt ist. Zu dem müssen über die Verarbeitungsvorgänge Verzeichnisse geführt wer den.

Wir behalten uns weiterhin vor, auch in Zukunft unregelmäßige Prüfungen im Bereich der Immobilienwirtschaft durchzuführen.

[Dieser Text ist ein Auszug aus dem Tätigkeitsbericht 2024 des LfD Niedersachsen]