Stellen Sie sich vor, Sie erhalten einen Anruf von Ihrer Landesdatenschutzbehörde. Der Grund? Ein vermeintlich harmloser Fehler in Ihrer Mieterselbstauskunft ist ein Formular, das potenzielle Mieter ausfüllen müssen, um ihre Zuverlässigkeit nachzuweisen. Vielleicht haben Sie dort den Familienstand oder die Religionszugehörigkeit abgefragt - Informationen, die Sie als „harmlos“ empfanden, die aber unter die strengen Regeln der Datenschutz-Grundverordnung (DSGVO) fallen und die europäische Gesetzgebung zum Schutz personenbezogener Daten darstellt verstoßen. Die Folge kann ein Bußgeld sein, das schnell in die vierstellige oder sogar fünfstellige Region klettert.
Für viele private Vermieter wirkt die DSGVO wie ein undurchdringliches juristisches Dickicht. Doch die Realität ist oft weniger kompliziert, als es scheint. Es geht nicht darum, jede Kleinigkeit zu dokumentieren, sondern darum, nur das zu erheben, was wirklich nötig ist. In diesem Artikel zeigen wir Ihnen, wie Sie Ihre Datenverarbeitung im Mietgeschäft so gestalten, dass sie rechtskonform bleibt und Sie vor teuren Fehlern geschützt sind.
Warum die DSGVO für Vermieter so kritisch ist
Die DSGVO trat am 25. Mai 2018 in Kraft und hat die Art und Weise, wie wir mit personenbezogenen Daten umgehen, grundlegend verändert. Vorher reichte oft eine pauschale Einwilligung des Mieters. Heute muss jeder Schritt einer genauen Prüfung standhalten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die deutsche Fachbehörde für IT-Sicherheit und gibt technische Standards vor empfiehlt klare Sicherheitsvorkehrungen, doch die rechtliche Verantwortung liegt beim Vermieter selbst.
Warum sollten Sie sich jetzt damit beschäftigen? Weil die Kontrollen zunehmen. Laut dem Bayerischen Landesamt für Datenschutzaufsicht wurden bereits zahlreiche Verfahren gegen Vermieter eingeleitet. Die Strafen können bis zu 20 Millionen Euro betragen - auch wenn dies für kleine Privatvermieter unrealistisch hoch klingt, zeigen Urteile, dass selbst kleinere Verstöße mit empfindlichen Geldstrafen geahndet werden. Ein Fall in München endete beispielsweise mit einer Verwarnung und Kosten von 2.800 Euro, weil der Vermieter nicht nachweisen konnte, warum er den Familienstand seiner Mieter erhoben hatte.
Das Prinzip der Datensparsamkeit verstehen
Der wichtigste Grundsatz der DSGVO ist die Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO). Das bedeutet: Erheben Sie nur Daten, die Sie tatsächlich benötigen. Viele Vermieter sammeln noch immer Daten „nur für den Fall“. Das ist ein gefährlicher Irrweg.
Was dürfen Sie fragen? Und was nicht?
- Erlaubt: Name, Adresse, Geburtsdatum, Beruf, Einkommensnachweise (letzte drei Gehaltsabrechnungen), Arbeitszeugnisse, Schufa-Auskunft (mit Einwilligung).
- Nicht erlaubt: Religion, politische Überzeugung, Gewerkschaftszugehörigkeit, Familienstand, Anzahl der Kinder (sofern nicht für die Wohnungsgröße relevant), Gesundheitsdaten.
Prof. Dr. Kirsten Achenbach vom Institut für Datenschutzrecht an der Universität zu Köln warnt davor, die Grenze zwischen berechtigtem Interesse und unzulässiger Datensammlung zu überschreiten. Besonders kritisch ist die Erhebung von Gehaltsnachweisen über das notwendige Maß hinaus. Drei Dokumente reichen meist aus: Gehaltsnachweis, Nachweis des Beschäftigungsverhältnisses und ggf. Kontostand.
Rechtsgrundlagen richtig anwenden
Jede Datenverarbeitung braucht eine legale Basis. Im Mietrecht kommen vor allem zwei Artikel der DSGVO zum Tragen:
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Gilt für Daten, die zur Durchführung des Mietvertrags nötig sind. Dazu gehören z.B. die Bankverbindung für die Miete, Kontaktdaten für Briefe oder die Adresse für Schlüsselübergabe.
- Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Gilt für vorvertragliche Maßnahmen wie die Bonitätsprüfung. Hier wiegt Ihr Interesse an einem zuverlässigen Mieter schwerer als das Interesse des Bewerbers an der Geheimhaltung seiner finanziellen Verhältnisse - solange Sie nicht mehr Daten erheben, als nötig sind.
Achten Sie darauf, diese Unterscheidung klar zu kommunizieren. Ein standardisiertes Informationsschreiben gemäß Art. 13 DSGVO hilft hier enorm. Seit vielen Vermieter solche Muster nutzen, sinkt die Zahl der Beanstandungen deutlich.
Löschfristen: Wann müssen Sie Daten löschen?
Einer der größten Stolpersteine ist die Speicherdauer. Die DSGVO sagt leider keine konkreten Fristen für Mietdaten vor. Stattdessen orientiert man sich an der gesetzlichen Verjährungsfrist (§ 195 BGB), die bei drei Jahren liegt. Allerdings gibt es regionale Unterschiede in der Rechtsprechung:
| Gericht | Entscheidungsjahr | Empfohlene Löschfrist | Begründung |
|---|---|---|---|
| Amtsgericht München | 2022 | 3 Jahre nach Vertragsende | Orientierung an der regulären Verjährungsfrist |
| Amtsgericht Köln | 2022 | 2 Jahre nach Vertragsende | Kürzere Frist aufgrund spezifischer Umstände |
| Amtsgericht Hamburg | 2021 | 3 Jahre nach Vertragsende | Sicherheit bei möglichen Mietzahlungsstreitigkeiten |
Um auf der sicheren Seite zu sein, empfehlen Experten eine Aufbewahrungsfrist von maximal drei Jahren nach Beendigung des Mietverhältnisses. Danach müssen alle Daten sicher gelöscht werden. Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten ist eine interne Dokumentation aller Datenprozesse, die ein Verantwortlicher führen muss, um den Überblick zu behalten. Dieses Verzeichnis sollte enthalten: Zweck der Verarbeitung, Kategorien betroffener Personen, Empfänger der Daten und geplante Löschfristen.
Datenweitergabe an Dritte: Handwerker und Inkassobüros
Viele Vermieter machen Fehler, wenn sie Daten an Dritte weitergeben. Denken Sie daran: Jeder Weitergabeschritt ist eine neue Verarbeitungshandlung und benötigt eine eigene Rechtsgrundlage.
Handwerker: Wenn Sie einen Handwerker beauftragen, reicht es nicht, ihm pauschal die Adresse und Telefonnummer des Mieters zu nennen. Geben Sie nur die Daten weiter, die für die konkrete Reparatur nötig sind. Oft genügt es, selbst anzurufen und den Termin zu vereinbaren. Eine pauschale Klausel im Mietvertrag, die die Weitergabe erlaubt, ist nach Ansicht des Berliner Datenschutzbeauftragten Dr. Alexander Dix unwirksam.
Inkassounternehmen: Hier gilt besondere Vorsicht. Der Bundesgerichtshof hat klargestellt, dass die Weitergabe von Mieterdaten an Inkassobüros stets einer Einzelfallprüfung bedarf. Prüfen Sie vorher, ob Mahnungen direkt an den Mieter gesendet werden können. Erst wenn dieser reagiert, darf das Inkassobüro eingeschaltet werden - und dann nur mit den notwendigen Daten.
Technische Sicherheit: Verschlüsselung und Speicherung
Gemäß Art. 32 DSGVO müssen Sie angemessene technische und organisatorische Maßnahmen treffen. Was bedeutet das konkret für Sie?
- Verschlüsselung: Senden Sie sensible Daten wie Gehaltsabrechnungen niemals per unverschlüsselter E-Mail. Nutzen Sie mindestens TLS 1.2 oder S/MIME. Besser noch: Laden Sie Daten über sichere Portale hoch.
- Zugriffskontrolle: Wer hat Zugriff auf die Mieterakten? Beschränken Sie den Zugriff auf autorisierte Personen. Wenn Sie eine Hausverwaltung beauftragen, stellen Sie sicher, dass auch diese die DSGVO einhält.
- Dokumentation: Führen Sie ein Verarbeitungsverzeichnis. Dies muss laut Haus & Grund mindestens folgende Punkte enthalten: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien betroffener Personen, Empfänger der Daten, geplante Löschfristen und Sicherheitsmaßnahmen.
Digitale Lösungen gewinnen zunehmend an Bedeutung. Anbieter wie Immomio bieten Cloud-Lösungen, die datenschutzkonform arbeiten und helfen, den Verwaltungsaufwand zu reduzieren. Studien zeigen, dass Unternehmen, die digitale Auftragssysteme einführen, die Datenweitergabe um bis zu 78 % reduzieren können.
Praktische Umsetzung: Schritt-für-Schritt-Anleitung
Wie gehen Sie jetzt vor? Eine Studie des Instituts für Mietrecht und Wirtschaft zeigt, dass die Implementierung bei Privatvermietern durchschnittlich 4-6 Stunden dauert. Hier ist ein einfacher Plan:
- Informationsschreiben erstellen (1-2 Stunden): Nutzen Sie ein Muster gemäß Art. 13 DSGVO. Informieren Sie Bewerber und Mieter klar darüber, welche Daten Sie erheben, warum und wie lange Sie sie speichern.
- Mieterselbstauskunft anpassen (1 Stunde): Streichen Sie alle unnötigen Fragen. Behalten Sie nur vor, was für die Bonitätsprüfung notwendig ist.
- Sichere Übertragung einrichten (1-2 Stunden): Richten Sie verschlüsselte E-Mail-Konten ein oder nutzen Sie sichere Upload-Portale.
- Verarbeitungsverzeichnis anlegen (30 Minuten): Dokumentieren Sie alle Prozesse. Nutzen Sie hierfür Vorlagen von Verbänden wie Haus & Grund.
- Pflichtschulung durchführen (Jährlich): Der Deutsche Mieterbund empfiehlt jährliche Schulungen, um das Bewusstsein für Datenschutz zu schärfen.
Denken Sie daran: Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Passen Sie Ihre Prozesse regelmäßig an neue Rechtsprechungen an.
Häufige Fehlerquellen vermeiden
Auch erfahrene Vermieter machen noch Fehler. Zu den häufigsten zählen:
- Erhebung sensibler Daten: Fragen Sie nie nach Religion, Politik oder Gesundheit. Diese Daten genießen besonderen Schutz nach Art. 9 DSGVO.
- Pauschale Einwilligungen: Vermeiden Sie Formulierungen wie „Ich stimme der Verarbeitung aller Daten zu“. Einwilligungen müssen spezifisch und freiwillig sein.
- Fehlende Löschkonzepte: Löschen Sie Daten nicht einfach, wenn der Mieter auszuzieht. Warten Sie die gesetzliche Frist ab, löschen Sie dann aber vollständig.
- Weitergabe ohne Grundlage: Geben Sie Daten nie an Nachmieter oder Interessenten weiter, ohne die explizite Erlaubnis des aktuellen Mieters einzuholen.
Ein Beispiel: Das Landgericht Karlsruhe verhängte 2022 eine Bußgeldandrohung von 15.000 Euro, weil ein Vermieter Mieterdaten an einen Nachmieter weitergegeben hatte, ohne die erforderliche Einwilligung einzuholen.
Zukunftsaussichten: Wo steht die DSGVO im Mietrecht?
Die Rechtslage entwickelt sich ständig weiter. Das Bundesjustizministerium plant Änderungen am Bundesdatenschutzgesetz (BDSG), die ab 2024 spezifische Löschfristen für Mietdaten vorschreiben sollen. Zudem prognostizieren Experten eine zunehmende Digitalisierung der Mieterdatenverwaltung. Bis 2026 wird erwartet, dass die meisten Vermieter auf cloudbasierte, datenschutzkonforme Systeme umstellen.
Die gute Nachricht: Mit jedem Jahr wächst die Rechtsklarheit. Durch einheitliche Muster von Behörden wie dem Bayerischen Landesamt für Datenschutzaufsicht wird es einfacher, die Vorschriften einzuhalten. Bleiben Sie informiert und passen Sie Ihre Prozesse proaktiv an, statt auf Beschwerden zu warten.
Muss ich als privater Vermieter ein Verarbeitungsverzeichnis führen?
Ja, grundsätzlich müssen alle Verantwortlichen, also auch private Vermieter, ein Verzeichnis der Verarbeitungstätigkeiten führen. Ausnahmen gelten nur für Unternehmen mit weniger als 20 Mitarbeitern, sofern die Verarbeitung nicht regelmäßig stattfindet, keine besonderen Kategorien personenbezogener Daten betrifft und kein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Da die Mietdatenverarbeitung jedoch regelmäßig erfolgt und sensible finanzielle Daten umfasst, ist die Führung eines Verzeichnisses dringend empfohlen.
Wie lange darf ich die Schufa-Auskunft aufbewahren?
Die Schufa-Auskunft ist zeitlich begrenzt gültig. Sie sollten sie nur während der Bewerbungsphase aufbewahren. Wurde der Vertrag abgeschlossen, löschen Sie die ursprüngliche Anfrage. Während der Laufzeit des Mietverhältnisses können Sie bei Bedarf neue Anfragen stellen. Nach Beendigung des Vertrags gelten die allgemeinen Löschfristen (maximal 3 Jahre).
Darf ich Fotos von der Wohnung im Internet posten?
Nur wenn keine personenbezogenen Merkmale erkennbar sind. Entfernen Sie Bilder von persönlichen Gegenständen, Briefen oder Fenstern, durch die ins Innere der Wohnung geblickt werden kann. Wenn der aktuelle Mieter noch wohnt, benötigen Sie dessen ausdrückliche Einwilligung für Fotos.
Was passiert bei einem Datenschutzverstoß?
Bei einem Verstoß kann die zuständige Aufsichtsbehörde Bußgelder verhängen. Die Höhe hängt von der Schwere des Verstoßes ab und kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Zusätzlich können betroffene Personen Schadensersatz fordern. In milderen Fällen drohen zunächst Abmahnungen oder Verwarnungen.
Benötige ich einen Datenschutzbeauftragten?
Für die meisten privaten Vermieter ist die Bestellung eines Datenschutzbeauftragten nicht verpflichtend. Pflichtig sind nur Unternehmen mit mindestens 20 Mitarbeitern, die regelmäßig und systematisch personenbezogene Daten verarbeiten. Dennoch kann die externe Beratung durch einen Fachanwalt sinnvoll sein, um Risiken zu minimieren.
