53
2.2019
Daten sind zunehmend ein Faktor
in der Immobilienwirtschaft. Der
richtige rechtliche Umgang ist für
Vermieter und Investoren wichtig,
um deren Potenzial auszuschöpfen
und Haftungsrisiken zu minimieren.
In erster Linie in der EU niederge-
lassene Unternehmen müssen bei
der Verarbeitung personenbezo-
gener Daten den Anforderungen
der Datenschutz-Grundverordnung
(DSGVO) und des Bundesdaten-
schutzgesetzes (BDSG) genügen.
Diese betreffen Daten, die sich auf
eine identifizierte oder identifizier-
bare natürliche Person beziehen.
Hierunter fallen Kontaktdaten,
Bankdaten und Selbstauskünfte
von Mietinteressenten, aber auch
Daten über Energieverbrauch. Der
Begriff der Verarbeitung ist weit
und umfasst unter anderem deren
Löschung. Da bei Verstößen emp-
findliche Bußgelder drohen, sollten
Vermieter ihr Datenschutzkonzept
prüfen, Investoren sollten auf
datenschutzrechtliche Compliance
des Investments achten. Für die
rechtmäßige Verarbeitung bedarf
es einer gesetzlichen Grundlage
bzw. einer Einwilligung. Die da-
tenverarbeitenden Stellen treffen
Pflichten wie Informations- und
Löschpflichten; mit Subunter-
nehmern sind Auftragsverarbei-
tungsvereinbarungen zu schließen.
Mietern sind Datenschutzhinwei-
se ebenso bereitzustellen, im
Rahmen einer Due Diligence sind
personenbezogene Daten projekt-
abschnittsbezogen unkenntlich zu
machen.
Die zweite Art von Daten sind
solche ohne Personenbezug. Für
diese gilt die DSGVO nicht. Solcher-
art Daten werden im Smart-Tech-
Bereich wie Smart Homes, Smart
Buildings und Smart Workplace
Solutions generiert und haben oft
einen hohen Wert. Schlagworte
sind „maschinengenerierte Daten“
und „Internet of Things“. Mit
Vertragspartnern sollte vertraglich
geregelt werden, wem die Rechte
an diesen Daten gehören sowie
von wem, wie und für welche
Zwecke diese genutzt werden dür-
fen. Im Einzelfall ist zu betrachten,
ob im konkreten Fall zusammen
mit anderen Daten Rückschlüsse
auf Personen möglich sind, sodass
die DSGVO zu beachten ist.
JAN POHLE
Datenschutzkonzepte prüfen
Jan Pohle,
Partner DLA
Piper, Köln
gehören etwa Informationen über den Gesamtenergieverbrauch
eines Mehrfamilienhauses oder technische Daten, die bei der
Verknüpfung mehrerer Geräte untereinander im so genannten
„Machine-to-Machine“-Verhältnis anfallen.
Personenbezogen sind demgegenüber beispielsweise Daten,
aus denen sich schließen lässt, welche Lichtquellen ein bestimm-
ter Mieter wann, wie und in welchem Umfang genutzt hat, oder
Daten, die das Schlafverhalten, die Essgewohnheiten oder kör-
perliche Aktivitäten einzelner Personen beschreiben können.
Derartige personenbezogene Daten können Rückschlüsse auf die
Verhaltensmuster individueller Personen zulassen und werden
deshalb durch das europäische und das deutsche Datenschutz-
recht, wie zum Beispiel die EU-Datenschutz-Grundverordnung
und das Bundesdatenschutzgesetz, besonders geschützt.
Auf nicht-personenbezogene Daten findet das Datenschutz-
recht dagegen keine Anwendung. Hier plant der europäische
Gesetzgeber zwar gegenwärtig ein gesondertes Regelwerk. Dies
soll der Nutzung nicht-personenbezogener Daten aber keine ge-
nerellen Schranken auferlegen, sondern lediglich den freien Da-
tentransfer und insbesondere die grenzüberschreitende Nutzung
von Speicherdiensten innerhalb der EU gewährleisten.
Für die wirtschaftliche Nutzung personen-
bezogener Daten im Zusammenhang mit
Smart-Home-Anwendungen braucht es
zumeist die Einwilligung der Betroffenen
Personenbezogene Daten dürfen nach dem geltenden Da-
tenschutzrecht nur dann (wirtschaftlich) genutzt oder verwertet
werden, wenn der jeweilige Betroffene (zum Beispiel der Mieter)
der Nutzung beziehungsweise der Verwertung zugestimmt hat
oder diese aus anderen Gründen von Gesetzes wegen erlaubt ist.
Die entsprechenden gesetzlichen Erlaubnistatbestände sind für
die Immobilienwirtschaft aber nur begrenzt hilfreich, da sie die
Verarbeitung der Daten für eigene wirtschaftliche Zwecke nur
unter sehr engen Voraussetzungen erlauben.
Die wirtschaftliche Nutzung personenbezogener Daten im
Zusammenhang mit Smart-Home-Anwendungen wird somit
in den meisten Fällen die Einholung der Einwilligung aller Be-
troffenen erforderlich machen. Dies wird in der Praxis aber oft-
mals nur schwer realisierbar sein. Hinzu kommt, dass eine da-
tenschutzrechtliche Einwilligung vom Betroffenen jederzeit mit
Wirkung für die Zukunft widerrufen werden kann, was einer
kontinuierlichen, auf Dauer angelegten Auswertung der Daten
auf Einwilligungsbasis entgegensteht.
Dagegen dürfen nicht-personenbezogene Daten auch ohne
Einwilligung der Mieter, Nutzer etc. erhoben, verarbeitet und
ausgewertet werden. In der Praxis sollte der Fokus der Datenaus-
wertung demnach auf den nicht-personenbezogenen Daten
»