Blog
CMS Deutschland bloggt
Aktuelle Rechtsthemen und was eine Großkanzlei sonst bewegt
19. März 2019
Datenschutz Immobilientransaktion
Datenschutzrecht

DSGVO – ohne Bußgeld durch die Immobilientransaktion

Sylle Schreyer-Bestmann, Domenico Ferragina und Konstantin Salz SEITE DRUCKEN   SEITE SCHICKEN

Die Regeln der DSGVO gelten auch für Immobilientransaktionen. Der Artikel zeigt, wie buß-geldbewehrte Datenschutzverstöße vermieden werden können.

Seit mehreren Monaten ist die DSGVO anwendbar; gleichwohl gibt es noch viele Unsicherheiten bei der Auslegung der Regelungen sowie bei deren Umsetzung in der Praxis. Die neuen Vorschriften zwingen jedes Unternehmen, Vorgänge bzw. Abläufe auf den Prüfstand zu stellen, um zu vermeiden, dass am Ende aufgrund eines Verstoßes gegen die DSGVO ein hohes Bußgeld verhängt wird.

Dass Strafzahlungen kein nur theoretisches Risiko darstellen, zeigen die zahlreichen verhängten Bußgelder in Deutschland – z.B. EUR 80.000  aufgrund der unverschlüsselten Speicherung von Gesundheitsdaten – und auch in den anderen EU-Staaten – z.B. EUR 50 Millionen Bußgeld gegen Google ein Frankreich. Vor diesem Hintergrund wird in der Folge dargestellt, welchen Einfluss die DSGVO auf die Gestaltung und den Ablauf von Immobilientransaktionen hat und welche Maßnahmen Verkäufer und Erwerber ergreifen sollten, um Datenschutzverstöße zu vermeiden.

Auch bei Immobilientransaktionen ist der Datenschutz einzuhalten

Einer der ersten Schritte im Rahmen einer Immobilientransaktion ist, dass der Veräußerer die relevanten Objektunterlagen in einen Datenraum einstellt und potentiellen Käufern hierzu Zugang gewährt, um diesen die Durchführung einer Due Diligence zu ermöglichen.

Die Vorschriften der DSGVO kommen dann zur Anwendung, wenn diese Unterlagen personenbezogene Daten enthalten. Bei einer Wohnimmobilie finden sich solche z.B. in den Mietverträgen, Mieterlisten und Abrechnungen. Aber auch im Rahmen der Veräußerung einer gewerblich genutzten Immobilie können Mieterlisten personenbezogene Daten enthalten.

Das Datenschutzrecht schützt zwar per se nur Angaben zu natürlichen Personen. Handelt es sich bei dem Gewerbemieter jedoch um einen Kaufmann, der nicht als juristische Person organisiert ist, können seine Daten durchaus ebenfalls dem Datenschutzrecht unterfallen. Datenschutzrechtlichen Schutz genießen darüber hinaus auch die Angaben zu Personen, die für eine juristische Person handeln, wie beispielsweise Verkaufsstellenleiter und Filialleiter, und deren Namen und Kontaktdaten.

Datenübermittlung an den Erwerbsinteressenten nie ohne Rechtsgrundlage

Ist der Anwendungsbereich der DSGVO eröffnet, bedarf der Verkäufer für die Bereitstellung der Unterlagen einer Erlaubnis gemäß der DSGVO (Erlaubnistatbestand) oder einer Einwilligung durch den Betroffenen.

Die DSGVO nennt zahlreiche Erlaubnistatbestände, von denen hier jedoch unter praktischen Gesichtspunkten nur ein einziger in Betracht kommt (Art. 6 Abs. 1 lit. f) DSGVO): Hat der Vermieter oder ein Dritter (in erster Linie der Erwerbsinteressent) ein berechtigtes Interesse an der Weitergabe der Daten, so ist die Weitergabe zulässig, wenn sie bei Abwägung dieses Interesse im Einzelfall gegenüber den schutzwürdigen Interessen der Mieter an der Geheimhaltung ihrer Daten erforderlich ist.

Zugunsten des Vermieters / Veräußerers ist das Interesse an der Veräußerbarkeit seiner Immobilie anzuführen. Zugunsten des Erwerbsinteressenten ist das Interesse zu berücksichtigen, die wirtschaftlichen und rechtlichen Informationen zur Immobilie zu erhalten, die er braucht, um seine Kaufentscheidung zu treffen. Erforderlich im Einzelfall bedeutet aber auch, dass nicht mehr Informationen als nötig offengelegt werden, um den dargestellten Interessen gerecht zu werden.

Diese Abwägungskriterien zwingen zu einer Betrachtung sämtlicher Umstände und insbesondere der zu übermittelnden Datenbestände. Als Richtlinien werden nachfolgend wichtige Kriterien genannt, die in die Prüfung der Erforderlichkeit der Weitergabe der Daten eingestellt werden sollten:

  • Bewertung des Informationsinteresses des Erwerbers in der konkreten Phase der Transaktion: Zu berücksichtigen ist zunächst, welche Informationen der Erwerber überhaupt benötigt, um die Immobilie bewerten zu können, und welche Informationen er in der jeweiligen Phase der Transaktion (schon) benötigt. „Erforderlich″ ist die Übermittelung personenbezogener Daten nur dann, wenn es keine zumutbare Alternative als „milderes Mittel″ gibt. Vor der Offenlegung personenbezogener Mieterdaten sollten daher regelmäßig folgende Fragen gestellt werden: Stellt für den Erwerbsinteressenten ein Weniger an Informationen eine zumutbare Alternative dar? Müssen ihm z.B. die einzelnen Wohnraummieter bekannt sein? Ein diesbezügliches Informationsinteresse des Erwerbsinteressenten wird wohl regelmäßig zu verneinen sein. Grundsätzlich lässt sich sagen, dass in der Due Diligence-Phase die Interessen der Mieter an der Geheimhaltung ihrer Daten schwerer wiegen als das Interesse des Vermieters / Veräußerers und des Erwerbers. Je näher der Vertragsschluss über den Erwerb der Immobilie rückt, desto größer ist das Informationsinteresse des Erwerbers und dementsprechend ist es dann in dieser Phase der Transaktionen auch stärker zu gewichten.
  • Anonymisieren und Pseudonymisieren von Mieterdaten: Können die Mieterdaten auch in anonymisierter Form zur Verfügung gestellt werden, d.h. aggregiert oder nach Schwärzung aller personenbeziehbaren Merkmale, ist die Offenlegung von „Klardaten″ nicht erforderlich. Ist eine Anonymisierung der Daten nicht möglich, stellt sich die Frage, ob die Daten pseudonymisiert werden können, z.B. durch das Ersetzen der Mieternamen durch Kennzahlen.
  • Vorsicht bei sensiblen Mieterdaten: Das Datenschutzrecht stellt sogenannte besondere Arten personenbezogener Daten unter einen besonderen Schutz. Nach der DSGVO ist deren Weitergabe nur unter eingeschränkten Voraussetzungen gestattet. Insbesondere legitimiert das „berechtigte Interesse″ des Vermieters deren Weitergabe nicht. Besondere Arten personenbezogener Daten sind z.B. Daten über den Gesundheitszustand eines Mieters (dies kann etwa bei der Veräußerung von Pflegeimmobilien eine Rolle spielen). Derartige Daten dürfen dem Erwerbsinteressenten nicht offengelegt werden.
  • Flankierende Maßnahmen zum Schutz der Vertraulichkeit der Mieterdaten: Bei der Interessenabwägung spielt zudem eine Rolle, ob der Vermieter /Veräußerer flankierende Maßnahmen zum Schutz der personenbezogenen Daten seiner Mieter getroffen hat. Hierzu zählen vor allem: Beschränkungen der Zugriffsrechte auf den Datenraum (persönlich/örtlich/zeitlich), die Bereitstellung von Dokumenten mit personenbezogenen Daten in einem gesonderten Datenraum, der mit speziellen Zugriffsbeschränkungen ausgestattet ist (z.B. den Zugang nur für Berufsgeheimnisträger erlaubt), Regelungen zur Datenlöschung und –Vernichtung sowie die Datenweitergabe beschränkende Regelungen zwischen Veräußerer und Erwerber.

Informationspflichten nach Art. 13, 14 DSGVO beachten

Die DSGVO sieht in Bezug auf die Erhebung von Verarbeitung personenbezogener Daten diverse Informationspflichten vor. Auch bei deren Nichteinhaltung können die Aufsichtsbehörden Bußgelder verhängen. Die Umsetzung dieser Informationspflichten erfolgt regelmäßig in einer sog. Datenschutzerklärung oder Privacy Policy.

  • Informationspflichten des Veräußerers im Rahmen der Transaktion: Vermieter von Wohnimmobilien und Vermieter von Gewerbeimmobilien (sofern personenbezogene Daten verarbeitet werden) treffen zunächst die „allgemeinen Informationspflichten″ (Art. 13 DSGVO), die in der Regel dadurch erfüllt werden, dass jeder neue Mieter bei Mietvertragsschluss auch Informationen zur Datenverarbeitung durch den Vermieter ausgehändigt werden. Die Mieterdaten werden vom Vermieter zu dem originären Zwecke erhoben, das Mietverhältnis durchzuführen. Erfolgt im Rahmen einer Transaktion eine Weitergabe der Mieterdaten an den Erwerbsinteressen, stellt dies rechtlich eine sog. Zweckänderung dar. Die DSGVO knüpft hieran die Folge, dass der betroffene Mieter nunmehr erneut zu informieren ist, insbesondere über den geänderten Zweck der Nutzung seiner Daten, die Dauer, für die die Daten gespeichert werden sollen und über seine Rechte (Art. 13 Abs. 3 und Abs. 2 DSGVO). Die DSGVO sieht vor, dass der Vermieter seinen Mietern diese Informationen bereits vor der Weitergabe der Daten an den Erwerbsinteressenten erteilt. Dieser Informationspflicht stehen allerdings das Interesse des Vermieters und des Erwerbsinteressenten an der Geheimhaltung der Transaktion gegenüber. Erfolgt eine Information an die betroffenen Mieter, so besteht für den Vermieter zudem das Risiko, dass diese Ansprüche auf Auskunft, Löschung, Berichtigung etc. geltend machen. Nach den im Gesetz normierten Ausnahmetatbeständen zur Informationspflicht ist dieser Konflikt derzeit nicht auflösbar. Zur Vermeidung der Informationspflicht aufgrund Zweckänderung empfiehlt es sich für den Vermieter, seine Mieter bereits bei der ursprünglichen Datenerhebung im Rahmen des Mietvertragsschlusses darüber zu informieren, dass die personenbezogenen Mieterdaten im Fall eines geplanten Verkaufs der Immobilie auch an mögliche Erwerbsinteressenten weitergegeben werden dürfen.
  • Informationspflichten des Käufers: Sofern der Erwerber die Immobilie im Rahmen eines Asset Deals erwirbt, treffen ihn bezüglich der Mieter des erworbenen Objekts ebenfalls Informationspflichten. Die Inhalte umfassen unter anderem Information über den Erwerber als (neuen) Verantwortlichen für die Mieterdaten, seinen Datenschutzbeauftragten, die Verwendungszwecke, Datenempfänger und Speicherdauer (Art. 14 Abs. 1 und Abs. 2 DSGVO). Das Gesetz lässt dem Erwerber hier etwas mehr Zeit, da die Information nur innerhalb einer „angemessenen Frist″ nach Übermittlung an ihn erfolgen muss. Diese Frist beträgt jedoch maximal einen Monat. In der Praxis bietet es sich an, die Informationen spätestens bei der erstmaligen Kontaktaufnahme mit den Mietern zu erteilen.

Best-Practice-Empfehlungen zum Datenschutz bei Immobilientransaktionen

Die vorstehenden Ausführungen zeigen, dass Sensibilität beim Umgang mit Mieterdaten im Rahmen von Immobilientransaktionen – insbesondere bei der Veräußerung von Wohnimmobilien – dringend geboten ist. Vor einer Offenlegung von Mieterdaten an den Erwerbsinteressenten sollten zumindest folgende Fragen geklärt werden:

  • In welchen Dokumenten befinden sich möglicherweise personenbezogene Daten?
  • Wie ist die Sensibilität der darin enthaltenen Informationen einzuschätzen?
  • Besteht Bedarf, dem Erwerbsinteressenten die Informationen offen zu legen oder reicht auch eine Offenlegung in einer späteren Phase der Transaktion?
  • Genügt eine Anonymisierung / Pseudonymisierung der Daten dem Informationsinteresse des Erwerbsinteressenten?
  • Kann der Zugriff auf die Daten eingeschränkt werden?
  • Genügt die Vertraulichkeitsvereinbarung mit dem Erwerbsinteressenten den Anforderungen des Datenschutzes?
  • Welche Informationspflichten bestehen gegenüber den Mietern und wie können diese rechtzeitig erfüllt werden?

Keinesfalls sollten nach dem „Gießkannenprinzip″ jedem Kaufinteressenten alle vorhandenen Unterlagen zur Verfügung gestellt werden. Die in der Vergangenheit angewendeten Prüfvorgänge und eingespielten DD-Prozesse sollten in jedem Fall auf den Prüfstand gestellt werden, um in der Zukunft Datenschutzverstöße und gegebenenfalls Bußgelder zu vermeiden. Dies gilt gleichermaßen für Verkäufer und Käufer einer Immobilie.

Tags: Datenschutzrecht & Recht der IT-Sicherheit DSGVO Immobilientransaktion


Avatar-Foto

Sylle Schreyer-Bestmann

weitere Artikel der Autorin
Autor:innenprofil

Domenico Ferragina

weitere Artikel des Autors
Avatar-Foto

Konstantin Salz

weitere Artikel des Autors
Autor:innenprofil
nach oben
© CMS Hasche Sigle 2024