Die Mieterselbstauskunft ist in der Wohnungsvermittlung gängige Praxis, datenschutzrechtlich aber nur in engen Grenzen zulässig. Entscheidend ist, in welchem Stadium sich das Vermietungsverfahren befindet. Denn nach der DSGVO braucht jede einzelne Datenverarbeitung eine Rechtsgrundlage, und es dürfen nur solche Angaben erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. Genau daran fehlte es in dem geschilderten Fall.
Was war passiert?
Ein Mietinteressent erhielt bereits vor einem Besichtigungstermin von einem Wohnungsmakler eine umfangreiche Selbstauskunft. Darin wurden schon in diesem frühen Stadium zahlreiche personenbezogene Daten abgefragt, etwa zur Staatsangehörigkeit, zum Familienstand oder zur geschäftlichen Telefonnummer. Der Betroffene hielt dies für überzogen und legte Datenschutzbeschwerde ein. Zwar hatte er die Selbstauskunft noch nicht ausgefüllt, ein abgeschlossener Datenschutzverstoß lag in seinem Einzelfall daher noch nicht vor. Die Aufsichtsbehörde nahm den Vorgang dennoch zum Anlass, den Makler auf die Rechtslage hinzuweisen, weil anzunehmen war, dass das Verfahren auch gegenüber anderen Mietinteressenten in gleicher Weise eingesetzt wurde.
Warum war das unzulässig?
Die Selbstauskunft enthält Angaben zu persönlichen und finanziellen Lebensverhältnissen und damit personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Bereits deren Abfrage ist eine Verarbeitung nach Art. 4 Nr. 2 DSGVO. Für jede dieser Verarbeitungen ist eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO erforderlich.
Beim bloßen Besichtigungstermin kommt regelmäßig nur Art. 6 Abs. 1 lit. f DSGVO in Betracht, also die Verarbeitung auf Basis berechtigter Interessen. Diese Rechtsgrundlage erlaubt aber nur solche Datenverarbeitungen, die erforderlich sind und bei denen nicht die Interessen oder Grundrechte der betroffenen Person überwiegen. In dieser frühen Phase dürfen grundsätzlich nur Name, Anschrift und Kontaktdaten erhoben werden. Bei Sozialwohnungen kann zusätzlich nach einem Wohnberechtigungsschein gefragt werden. Angaben wie Staatsangehörigkeit, Familienstand oder Daten zur bisherigen Vermieterseite sind zu diesem Zeitpunkt nicht erforderlich und damit unzulässig.
Erst wenn ein konkretes Anmietinteresse besteht, kommt Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage in Betracht. Dann dürfen weitere bonitätsrelevante Informationen erhoben werden. Unzulässig bleiben aber Daten, die lediglich ein allgemeines Persönlichkeitsbild vermitteln und für die Entscheidung über den Mietvertrag keinen Mehrwert haben.
Wie muss es richtig gemacht werden?
Eine Mieterselbstauskunft ist nur dann DSGVO-konform, wenn sie streng nach den einzelnen Phasen des Vermietungsprozesses aufgebaut ist. Beim Besichtigungstermin sind nur wenige Basisdaten zulässig. Mit dem konkreten Anmietinteresse dürfen weitere bonitätsrelevante Informationen erhoben werden. Erst wenn Vermieterinnen oder Vermieter sich für eine bestimmte Person entschieden haben, dürfen Nachweise verlangt werden, etwa Einkommensunterlagen oder Bonitätsnachweise.
Auch dann gilt weiterhin das Prinzip der Datenminimierung. Nicht erforderliche Angaben in Unterlagen, etwa Religionszugehörigkeit, Geburtsort, Steuerklasse oder Krankenkassendaten, müssen geschwärzt werden. Eine Ausweiskopie ist regelmäßig nicht erforderlich. Die Orientierungshilfe der Datenschutzkonferenz macht zudem deutlich, dass pauschale Einwilligungen hier nicht das richtige Mittel sind.
Als praktische Grundlage kann der von der Datenschutzkonferenz veröffentlichte Musterfragebogen für Mieterselbstauskünfte genutzt werden. Er zeigt, welche Fragen in welcher Phase zulässig sein können. Vor der Verwendung muss er jedoch an den konkreten Einzelfall angepasst werden. Nicht erforderliche Fragen sind zu streichen, nicht erforderliche Unterlagen dürfen nicht angefordert werden.
Welche DSGVO-Folgen drohen?
Sind Daten unzulässig erhoben worden, greift Art. 17 Abs. 1 lit. d DSGVO. Danach sind unrechtmäßig verarbeitete personenbezogene Daten unverzüglich zu löschen. Die Aufsichtsbehörde forderte den Makler deshalb nicht nur zur Anpassung seines Verfahrens auf, sondern auch zur Löschung unzulässig erhobener und noch gespeicherter Daten. Auch Daten von Interessenten, mit denen kein Vertrag zustande kommt, sind zu löschen, sobald sie für den Zweck nicht mehr erforderlich sind.
Fazit
Die Mieterselbstauskunft unterliegt strengen Vorgaben der DSGVO. Entscheidend ist eine klare Trennung der einzelnen Phasen des Vermietungsprozesses und die konsequente Beschränkung auf erforderliche Angaben. Für Vermieter, Makler und Hausverwaltungen bedeutet das: Formulare und Abläufe sollten überprüft und an die datenschutzrechtlichen Vorgaben angepasst werden. Die Orientierungshilfe der Datenschutzkonferenz und der dazugehörige Musterfragebogen bieten dafür eine gute praktische Grundlage.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
