MIETVERWALTUNG + WEG-VERWALTUNG: GRUNDPRINZIPIEN DES DATENSCHUTZES

Autor/in: Florian Padberg

Quelle:AIZ 11/2021

Drei Grundprinzipien des Datenschutzes beachten

Verwalter-Software-Lösungen verarbeiten als zentrale Datensysteme zahlreiche — oft auch personenbezogene — Daten von Kunden und Dritten. Die technischen Möglichkeiten zum einen und das immer datengetriebenere Kundenbeziehungsmanagement zum zweiten verführen regelrecht dazu, umfangreiche Datenbestände anzulegen und diese als Wert an sich einzustufen. Über das Begrenzen oder Loswerden von Daten macht man sich eher ungern Gedanken.

Fakt ist: Sowohl Anbieter als auch Anwender einer Verwaltersoftware treffen verschiedene datenschutzrechtliche Pflichten. Für die richtige und datenschutzkonforme Behandlung personenbezogener Daten sind vor allem drei Grundprinzipien des Datenschutzes zu beachten:

  • Eindeutige Klärung der Verantwortlichkeit,
  • Datenminimierung,
  • rechtzeitige proaktive Löschung.

Verantwortlichkeiten klären

Die datenschutzrechtliche Verantwortlichkeit bringt Verpflichtungen mit sich, ist jedoch nicht immer sofort offensichtlich. Wichtiges Kriterium dabei ist die Bestimmung der Zwecke und Mittel der Verarbeitung von personenbezogenen Daten. Dies beinhaltet unter anderem die Entscheidung darüber, welche Daten verarbeitet werden und mit welchen Systemen, wer sie gegebenenfalls erhält, oder auch wie lange sie aufbewahrt werden. Sofern ein Unternehmen hier große eigene Entscheidungsspielräume hat, gilt es als Verantwortlicher, auch als Dienstleister. In den meisten Fällen gilt dies somit für Immobilienverwalter, die neben der WEG mitverantwortlich sind für die DSGVOkonforme Behandlung der Mieterdaten, insbesondere im Verwaltersystem.

Einen anderen Status haben üblicherweise die Anbieter der VerwalterSoftware: Bei „lokaler“ Installation beim Verwalter ohne späteren direkten Zugriff auf die personenbezogenen Daten sind sie selbst bei Wartungsverträgen sogenannte fremde Fachleister. Sie haben für die Verarbeitung der personenbezogenen Daten keine eigene datenschutzseitige Verantwortung, sondern nur für die datenschutzfreundliche Gestaltung ihres Produktes (Stichwort: Privacy by Design). Bei Cloudlösungen hingegen oder bei direktem Zugriff auf personenbezogenen Daten im Wartungsfall werden Sie zu sogenannten Auftragsverarbeitern, die als Anlage zum Leistungsvertrag auch eine spezielle Datenschutzvereinbarung (Auftragsverarbeitungsvertrag) abschließen müssen. Aber Achtung: Verantwortlicher werden Sie dadurch trotzdem nicht, diese Rolle verbleibt bei WEG und Verwalter.

Prinzip Datenminimierung

Der verantwortliche Verwalter sollte wirklich nur die Daten ins System aufnehmen, die zu seiner Aufgabe und dem rechtlichen Rahmen seiner Tätigkeiten gehören. Hier empfehlen sich strenge Maßstäbe: Datenkategorien mit „Nice-to-have“-Charakter oder die rein der eigenen Prozess-Erleichterung dienen, sind tunlichst zu vermeiden. Telefonnummern von mehreren Personen im Haushalt vorrätig halten für einen möglichen Handwerkereinsatz? Aufbewahrung von alten Selbstauskünften, die man vom Makler/Eigentümer damals bekommen hat? Namens- & Geburtstagslisten aller Bewohner für regelmäßige Geburtstagsgrüße? Auf den ersten Blick erscheinen diese Daten durchaus als sinnvoll, aus Datenschutzsicht sind sie für die Verwaltertätigkeit nicht erforderlich — und sollten damit auch gar nicht erst den Weg ins Verwaltersystem finden. Selbst wenn die WEG diese Daten bereitstellt, empfiehlt es sich, den Sinn und Zweck kritisch zu hinterfragen und ausschließlich bei Vorlage entsprechender Einwilligungen der Betroffenen bezüglich dieser Datenhaltung diese auch abzuspeichern. Less is more!

Löschung und Bereinigung von Daten

Auch für relevante und erforderliche personenbezogene Daten gilt: Kein Aufbewahren bis zum St. Nimmerleins-Tag! Denn bei Zweck-Wegfall (Daten für die eigentliche Aufgabe nicht mehr benötigt) entfällt meist auch die Rechtsgrundlage für eine Verarbeitung der Daten, auf deren Basis die Daten überhaupt nur verarbeitet werden dürfen. Rechtliche Aufbewahrungsfristen (siehe §147 AO oder §257 HGB zur Orientierung) sind zwar auch geeignete Rechtsgrundlagen und verzögern die Löschpflicht, aber nur bis zu deren Ablauf; eine andere Nutzung als die reine Aufbewahrung zum Nachweis lässt sich daraus nicht ableiten!

Die konsequente Einhaltung der diversen Löschfristen gehört zu den herausforderndsten Aufgaben im Datenschutz, denn meist können Verwaltersysteme nicht alle benötigten Lösch-Trigger für relevante Datenkategorien bieten, um eine größtmögliche Automatisierung zu erreichen. Dann muss der Verantwortliche organisatorische Maßnahmen schaffen, zum Beispiel einen jährlichen „Daten-Bereinigungs-Tag“.

Häufiger „Sonderfall“: Beim Verwalterwechsel steht auch immer eine Entscheidung zur Datenmigration oder -neuerfassung an. Diese Situation sollte der neue Verwalter nutzen, um nur wirklich erforderliche Daten zu übernehmen und den nicht zwingend nötigen Rest elegant loszuwerden. Auch der bisherige Verwalter sollte sich umfangreich „entlasten“ und nach der Übergabe sein System effektiv bereinigen — eine vergangene Vertragsbeziehung bietet in den seltensten Fällen die Rechtsgrundlage für die Weiterverarbeitung von Betroffenendaten.

Jetzt Autor werden & Best-Practice oder Artikel einreichen!

Werden Sie Autor: Schreiben Sie einen Beitrag für das DIN-SPEC-Wiki und reichen Sie jetzt Ihren Artikel oder Ihren Best-Practice-Beitrag ganz einfach online ein.

Jetzt mitmachen!

Best-Practices zum Thema