Seit Inkrafttreten der Datenschutz-Grundverordnung wurden 70 Bußgelder (+7 im Vergleich zum ETR 2024) gegen Verantwortliche im Immobiliensektor verhängt. Soweit die Beträge der Bußgelder veröffentlicht wurden, belaufen sich diese bislang auf knapp über EUR 2,8 Millionen (ein Anstieg um etwa EUR 200.000 im Vergleich zum ETR 2024). Der absolute Betrag der Bußgelder bleibt im Vergleich zu anderen Sektoren niedrig. Der Anstieg um etwa 10 % im Vergleich zum ETR 2024 ist hauptsächlich zwei erheblichen Bußgeldern seitens der spanischen Datenschutzbehörde (AEPD) und einem ähnlich beträchtlichen Bußgeld seitens der französischen Datenschutzbehörde (CNIL) geschuldet. Bußgelder wurden von Datenschutzbehörden aus 13 verschiedenen Ländern verhängt, hauptsächlich gegen Wohnungseigentümergemeinschaften und Immobilienverwaltungsunternehmen.
Etwa 37 % – 26 von 70 – der Bußgelder im Immobiliensektor wurden wegen Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung verhängt. Mit 30 % (21 von 70) belegen die aufgrund unzureichender Rechtsgrundlage für die Datenverarbeitung verhängten Bußgelder den zweiten Platz.
Werfen wir einen genaueren Blick darauf
- Die meisten veröffentlichten Bußgelder in diesem Bereich liegen zwischen EUR 500 und EUR 50.000. Dies ist vor allem auf die Struktur der Verantwortlichen im Immobiliensektor zurückzuführen, da es sich bei den meisten um vergleichsweise kleine Unternehmen oder Wohnungseigentümergemeinschaften handelt. Gleichwohl haben die Datenschutzbehörden gegen größere Unternehmen höhere Bußgelder verhängt, auch wenn diese die Ausnahme bleiben. Ein Beispiel für ein solches beträchtliches Bußgeld ist das von der französischen Datenschutzbehörde (CNIL) wegen mangelnder Sicherheitsmaßnahmen und übermäßiger Datenspeicherung gegen ein Unternehmen für Immobilienentwicklung und -verwaltung verhängte Bußgeld in Höhe von EUR 400.000 (ETid-24). Ein weiteres Beispiel ist das von der spanischen Datenschutzbehörde (AEPD) wegen unzureichender Erfüllung von Informationspflichten sowie unzureichender technischer und organisatorischer Maßnahmen zur Sicherstellung der Datensicherheit gegenüber einem Immobilienverwaltungsunternehmen erhobene Bußgeld in Höhe von EUR 100.000 (ETid-2527). Ein weiteres besonders hohes Bußgeld in Höhe von EUR 1,9 Millionen wurde im Jahr 2022 von der Datenschutzbehörde in Bremen (Deutschland) wegen der Datenverarbeitung auf unzureichender Rechtsgrundlage, einschließlich der unrechtmäßigen Verarbeitung besonderer Kategorien personenbezogener Daten auferlegt (ETid-1103) und macht den größten Teil des aktuellen Gesamtbetrags der bekannten Bußgelder im Immobiliensektor aus.
- Ein erhebliches Bußgeld in Höhe von EUR 14,5 Millionen, das ursprünglich seitens der Berliner Datenschutzbehörde gegen ein Immobilienunternehmen wegen der umfassenden und unbegrenzten Speicherung von personenbezogenen Daten (einschließlich u. a. sensibler Steuer-, Sozialversicherungs- und Krankenversicherungsdaten) verhängt worden war, ist im Februar 2021 vom Berliner Landgericht aufgehoben worden (ETid-98, ETid-99). Dies beruhte auf der Tatsache, dass nach deutschem Recht ein rechtswidrige Handlung, die einer natürlichen Person wie einem Geschäftsführer oder Mitarbeiter eines Unternehmens zuzurechnen ist, Voraussetzung für den Erlass eines Bußgeldbescheids gegen dieses Unternehmen ist. Gegen diese Entscheidung wurde anschließend Berufung beim Kammergericht Berlin eingelegt, das seinerseits am 6. Dezember 2022 den Fall dem Europäischen Gerichtshof zur Vorabentscheidung über die Vereinbarkeit der Entscheidung des Landgerichts mit europäischem Recht vorlegte. Am 5. Dezember 2023 entschied der Europäische Gerichtshof, dass für den Erlass eines Bußgeldbescheids zwar ein Verschulden erforderlich ist, die rechtswidrige Handlung jedoch nicht notwendigerweise immer einer natürlichen Person zuzurechnen sein muss. Handelt es sich beim Verantwortlichen nicht um eine natürliche Person, sondern ein Unternehmen, ist es ausreichend, wenn die rechtswidrige Handlung dem Unternehmen selbst zuzurechnen ist. In Anbetracht dieser Entscheidung hob das Kammergericht Berlin die vorangegangene Entscheidung des Landgerichts Berlin zur Aufhebung des Bußgeldbescheids wiederum auf und verwies die Sache zur erneuten Entscheidung an das Landgericht Berlin zurück. Zum Redaktionsschluss dieses Berichts lag diese noch nicht vor.
- Insbesondere das Thema Videoüberwachung dominiert weiterhin die DSGVO-Bußgelder im Immobiliensektor. Der weit verbreitete Einsatz von Videoüberwachungssystemen in Bezug auf Wohnimmobilien birgt eine Reihe von Risiken hinsichtlich des Datenschutzes. In einigen Fällen wurden betroffene Personen nicht über die Überwachungsmaßnahmen informiert oder (z. B. im Fall von ETid-1523) entsprachen die bereitgestellten Informationen nicht den Anforderungen von Art. 13 DSGVO. Außerdem gibt es in der Regel keine Rechtfertigung dafür, dass Videoüberwachungssysteme Audio aufzeichnen und damit möglicherweise auch Gespräche von Mietern und Besuchern . Verantwortliche müssen auch sicherstellen, dass die vom Videoüberwachungssystem erfassten Daten ausreichend gegen unbefugten Zugang gesichert sind, und sie dürfen die Daten nicht selbst aktiv veröffentlichen. Der vermutlich wichtigste Aspekt ist, dass Verantwortliche bei der Positionierung von Kameras sorgfältig vorgehen müssen: Ein erheblicher Anteil der Bußgelder im Zusammenhang mit Videoüberwachung wurde verhängt, weil der aufgezeichnete Bildbereich von Kameras öffentlichen Grund wie etwa öffentlichen Straßen oder Gehwege, Gemeinschaftsbereiche auf Privatgrundstücken (z. B. ETid-2163 und ETid-2395) oder, wenn der Bewohner die Tür öffnete, sogar das Innere privater Wohnungen (wie in den Fällen ETid-486 und ETid-1627) erfasste.
- In vielen Fällen ist es gängige Praxis, Dokumente an Anschlagtafeln zu veröffentlichen, die für die Öffentlichkeit oder zumindest für jedermann innerhalb des Gebäudes zugänglich sind, z. B. um Eigentümer und Mieter über Entwicklungen und relevante Termine zu informieren, die für die gesamte Immobilie von Bedeutung sind, wie z. B. geplante Wartungsarbeiten. In jüngster Zeit gab es jedoch Fälle, in denen Wohnungseigentümergemeinschaften Vollstreckungsbescheide mit personenbezogenen Daten von Eigentümern auf solchen Tafeln veröffentlichten (siehe ETid-2010 oder ETid-2162). In einem ähnlichen Zusammenhang wurden Bußgelder für die unbefugte öffentliche Darstellung von Bildern von Immobilien auf den Websites der Verantwortlichen zu Marketingzwecken verhängt, auf denen auch individuelle Personen ohne deren Einwilligung erkennbar waren (siehe ETid-1971 und ETid-1998). Diese Bußgelder veranschaulichen die Bedeutung der Einhaltung der allgemeinen Grundsätze für die Datenverarbeitung bei allen öffentlich zugänglich gemachten Informationen. Für den Immobiliensektor ist dies von besonderer Bedeutung, da hier regelmäßig eine Notwendigkeit zur Veröffentlichung bestimmter Informationen besteht, z. B. in Form von Aushängen oder der Veröffentlichung von Fotos von Gebäuden und Wohnungen im Rahmen von Inseraten von Mietwohnungen.
Wichtigste Erkenntnisse
Im Immobiliensektor ist die Verarbeitung sensibler Daten erforderlich, da Mietinteressenten Vermietern Informationen wie Ausweisdokumente und detaillierte Finanzinformationen zur Verfügung stellen. Vermieter sind jedoch gut beraten, im Rahmen der Mietersuche nur Daten zu erheben, die für die Vermietung unbedingt erforderlich sind, und die notwendigen Maßnahmen zur sicheren Verarbeitung personenbezogener Daten zu treffen. Außerdem erheben und verarbeiten Verantwortliche routinemäßig Daten bei der Nutzung von Videoüberwachungssystemen zum Schutz ihres Eigentums vor Diebstahl, Vandalismus und anderen Unannehmlichkeiten. Um die Einhaltung der DSGVO zu gewährleisten, müssen geeignete technische und organisatorische Maßnahmen eingesetzt werden, mit besonderem Augenmerk auf allgemeine Verarbeitungsgrundsätze, wie z. B. Datenminimierung und Speicherbegrenzung. Sollte eine irgendwie geartete Veröffentlichung von Informationen erforderlich werden, ist entsprechende Vorsicht geboten, damit personenbezogene Daten, wie z. B. identifizierbare Personen auf Bildern in Werbeanzeigen für den Verkauf oder die Vermietung von Immobilien, nicht unbeabsichtigt offengelegt werden.
