Was ist in Asset- und Property Management-Verträgen zu digitalen Daten zu regeln?

Sowohl bei der Planung, Steuerung und Kontrolle des Immobilienbestandes, vor allem aber im operativen Objektmanagement kommt es zu einer Vielzahl von Verarbeitungen personenbezogener, digitaler Daten, was durch den Trend hin zu einer IT-unterstützten Abwicklung der anfallenden Geschäftsprozesse noch erheblich verstärkt wird: Selbstauskünfte der Mietinteressenten werden eingeholt, Name und Adresse des Mieters gespeichert, seine Kontoverbindung zur Abwicklung von Zahlungsvorgängen genutzt, Nebenkosten für seinen Mietanteil erfasst und umgelegt, Daten zu Schäden aufgezeichnet und Listen über beauftragte Handwerker geführt.

Um die Verarbeitung dieser digitalen Daten durch den Immobilienverwalter oder das Property Management gesetzeskonform durchzuführen, sind daher insbesondere die Vorgaben der EU-DSGVO zu beachten: Dies beginnt mit der Erstellung eines Verfahrensverzeichnisses, in dem sämtliche Vorgänge in einer (meist tabellarischen) Übersicht zu erfassen sind, bei denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis soll den verantwortlichen Managern

einen Überblick verschaffen und sie in die Lage versetzen, diese Vorgänge datenschutzkonform zu regeln und zu bearbeiten.

Grundsätzlich geht die EU-DSGVO dabei davon aus, dass eine Verarbeitung personenbezogener Daten der (vorherigen) Einwilligung der betroffenen Person bedarf, sofern diese nicht ganz ausnahmsweise in gesetzlich eng geregelten Fällen entbehrlich ist. Was häufig übersehen wird: Entsprechende digitale Daten fallen nicht nur an, wenn die Daten des Mieters aktiv in die Datenbank eingegeben und dort zur weiteren Verarbeitung gespeichert werden. Sie liegen beispielsweise auch schon dann vor, wenn sich ein Mietinteressent – oder auch ein Handwerker – per E-Mail an das Management wendet und die betreffende E-Mail – mit Namen und E-Mail-Adresse des Versenders – dann im E-Mail-System gespeichert bleibt und weiter vorgehalten wird und sei es auch nur, um den Mietinteressenten in ferner Zukunft über freiwerdende oder freigewordene Objekte zu informieren.

Ein weiterer wichtiger Grundsatz der europäischen Datenschutzregelungen ist die Datensparsamkeit: Demnach ist es unzulässig, möglichst viele Daten digital über den Mieter zu sammeln, um sich ein umfassendes Bild über dessen Person und Hintergrund zu verschaffen, selbst dann nicht, wenn diese Daten künftig für einen unbestimmten Anlass relevant werden könnten. Ausschließlich eine Erfassung von Daten, die aktuell verarbeitet werden müssen, ist zulässig.

Korrespondierend zu diesem Grundsatz sind personenbezogene Daten durch das Management umgehend zu löschen, sobald der Zweck der Datenspeicherung entfallen ist: Dies gilt beispielsweise für Namen und Kontaktdaten von Mietinteressenten einer Wohnung, wenn diese Wohnung an einen anderen Interessenten vergeben und mit ihm ein Mietvertrag geschlossen wurde. Ebenso sind sämtliche digitalen Daten über einen ehemaligen Mieter nach Beendigung des Mietvertrages innerhalb bestimmter Zeiträume zu löschen. Im eingangs erwähnten Fall der Berliner Datenschutzbehörde beispielsweise waren Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge noch nach Jahren archiviert, ohne dass deren Speicherung überhaupt erforderlich war (wobei erschwerend hinzu kam, dass das Unternehmen auch eine vorherige Empfehlung der Datenschutzbehörde ignorierte).

Hierfür bedarf es also der Erstellung eines Löschkonzeptes für sämtliche anfallenden digitalen Daten.

Sofern zudem Apps zum Einsatz kommen, die von IT-Unternehmen „im Hintergrund“ betreut werden, müssen entsprechende Auftragsverarbeitungsvereinbarungen über die hierbei verarbeiteten personenbezogenen Daten geschlossen werden, die sicherstellen, dass das Property Management verantwortliche Person und damit „Herr der Daten“ bleibt.

Außerdem müssen Mieter, Interessenten, aber auch Handwerker über jede Verarbeitung „ihrer“ digitalen Daten stets informiert werden, wie auch über ihre in diesem Zusammenhang bestehenden Rechte, sei es zur Auskunft über die Art und Verwendung der Daten oder aber über das Recht, jederzeit die Löschung der gespeicherten Daten verlangen zu dürfen.

In technischer und organisatorischer Hinsicht verlangt das Gesetz von dem Datenverarbeiter, in diesem Fall also dem Property und Asset Management, dass das eingesetzte IT-System selbst hinreichend gesichert ist, sei es gegen externe Zugriffe Dritter, sei es gegen eine unbeabsichtigte Löschung oder Beeinträchtigung der Daten, etwa durch Feuer oder Wasser. Diese technisch-organisatorischen Maßnahmen sind dabei ebenfalls schriftlich niederzulegen und auf Verlangen der zuständigen Datenschutzbehörde vorzulegen.

Zusammenfassend lässt sich also festhalten, dass durch die Datenschutzvorschriften umfangreiche Pflichten auf die verantwortlichen Personen im Bestands-, wie auch im Objektmanagement zukommen, die erhebliche personelle, zeitliche, aber auch finanzielle Ressourcen erfordern.

Daran führt jedoch letztlich kein Weg vorbei, da der Auftraggeber wiederum deren Umsetzung erwarten darf und seinerseits nur dann in datenschutzrechtlicher Hinsicht abgesichert ist, wenn das von ihm beauftragte Management die entsprechenden Vorgaben einhält.