Mehr Daten zu sammeln als man unbedingt benötigt, verstößt gegen das Datenschutzgesetz. Das musste ein Wohnungsunternehmen teuer mit 1,9 Mio. Euro Bußgeld bezahlen. Doch welche Daten dürfen problemlos erhoben werden?
Wenn Sie nach einem Angebot von einem Interessent gefragt werden, dürfen Sie seine Kontaktdaten erheben und verwenden, um ihm das Angebot zukommen zu lassen. Das ist zur Vertragsanbahnung notwendig.
Beispiel Mieterselbstauskunft
Wenn Sie prüfen wollen, ob ein Mietinteressent als Mieter infrage kommt, benötigen Sie Angaben zu seiner finanziellen Situation und möglichen Insolvenzverfahren. Seine Firsur, sein Körpergeruch oder sein Gesundheitszustand spielen für diese Entscheidung jedoch keine Rolle. Genau diese Daten hatte das Bremer Unternehmen BREBAU GmbH jedoch vermerkt. Zusätzlich reagierte das Unternehmen nicht auf Auskunftsersuchen der Betroffenen. Deswegen wurde das Unternehmen vom LfDI mit einer Geldbuße in Höhe von 1,9 Mio. Euro belegt (zur Pressemitteilung des LfDI).
Welche Daten dürfen Sie nun aber bei einer Mieterselbstauskunft erheben? Dazu hat die Datenschutzkonferenz (DSK) eine Orientierungshilfe veröffentlicht: https://www.datenschutzkonferenz-online.de/media/oh/20180207_oh_mietauskuenfte.pdf
Allgemeine Hilfestellungen: Wann ist die Datenerhebung erlaubt?
Für alle anderen Datenerhebungen gelten folgende Orientierungspunkte. Die Daten dürfen erhoben werden, wenn einer der folgenden Punkte erfüllt ist:
- Die Daten sind zur Vertragsanbahnung oder zur Erfüllung eines vorhandenen Vertrags unbedingt erforderlich (nicht nice to have). Stellen Sie sich im Zweifelsfall vor, ein Prüfer der Datenschutzaufsichtsbehörde würde vor Ihnen sitzen und Sie müssten erklären, wozu Sie die Daten benötigen. Können Sie das gut begründen?
- Die Daten sind erforderlich, um gesetzliche Pflichten zu erfüllen. Dazu gehören zum Beispiel Aufbewahrungspflichten und steuerliche Vorgaben aus dem HGB und der Abgabenordnung. So sind Sie als Unternehmer beispielsweise verpflichtet, Rechnungen auszustellen. Dafür benötigen Sie den Namen und die Anschrift des Vertragspartners. Sie sind weiterhin verpflichtet, alle steuerrelevanten Unterlagen 10 Jahre zum Jahresende aufzubewahren. Sie dürfen und müssen diese Daten also erheben und entsprechend lange speichern.
- Die Daten sind erforderlich, um lebenswichtige oder öffentliche Interessen zu erfüllen. Dies findet vor allem im medizinischen und journalistischen Bereich Anwendung.
- Sie haben die ausdrückliche Einwilligung der betroffenen Person. Achten Sie darauf, dass Sie in der Einwilligung genau beschreiben, welche Daten Sie zu welchem Zweck erheben. Weisen Sie die Person außerdem darauf hin, dass sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Betonen Sie außerdem die Freiwilligkeit der Einwilligung. Der Person dürfen keine Nachteile entstehen, wenn sie die Einwilligung nicht erteilt.
- Die Daten sind erforderlich, um Ihre sogenannten "berechtigten Interessen" zu schützen (oder die eines Dritten). Ob die Datenverarbeitung ein berechtigtes Interesse ist, finden Sie am besten mit einer Interessensabwägung heraus. Dabei stellen Sie Ihre Interessen den Interessen der betroffenen Person gegenüber und wägen ab, was schwerer wiegt. Am besten lassen Sie sich hierzu von einem Datenschutzbeauftragten oder einem Anwalt beraten.
Rechtlicher Hinweis: Ich beschäftige mich zwar regelmäßig mit den Themen Datenschutz und Internetrecht, bin aber kein Anwalt. Deswegen stellt dieser Beitrag ausdrücklich keine Rechtsberatung dar.