zur Übersicht

Datenschutz für Vermieter: Was ist zu beachten?

Wohnraum in deutschen Städten ist knapp und begehrt. Schöne Wohnungen locken eine teils unüberschaubare Anzahl an Mietinteressenten an. Vermieter haben die Qual der Wahl und müssen unter diesen sorgfältig auswählen. Dabei werden bereits im Vorfeld der Vermietung zahlreiche personenbezogene Daten erhoben. Bonitätsauskünfte, Angaben zu Lebensgewohnheiten, Arbeitsstätten, Familienverhältnissen und vielem mehr werden oft abgefragt. Hierbei handelt es sich um sehr sensitive Informationen, die einen hohen Schutz genießen. Manches davon darf sogar gar nicht erhoben werden. Zudem müssen (potentielle Mieter) transparent informiert werden und haben zahlreiche Rechte in Bezug auf ihre Daten, welche Vermieter gewähren müssen. Datenschutz für Vermieter ist ein Thema, welches jeder Wohnungseigentümer auf dem Schirm haben muss. Wir zeigen die wichtigsten Punkte auf und geben Ihnen eine Checkliste an die Hand.

Falls Sie Fragen zu diesem komplexen rechtlichen Thema haben, oder die Vorgaben pragmatisch in die Praxis umsetzen möchten, nehme Sie gerne direkt und unverbindlich Kontakt mit uns auf.

Die rechtliche Ausgangslage: DSVO gilt auch für Vermieter

Kein Sonderrecht für die Immobilienwirtschaft

Die DSGVO gilt unabhängig von Rechtsform und Unternehmensgröße. Ob Großwohnungsunternehmen, GmbH, GbR oder Privatperson, die eine einzige Wohnung vermietet – sobald personenbezogene Daten verarbeitet werden, greifen die datenschutzrechtlichen Vorgaben.

Aufsichtsbehörden haben dies bereits durch konkrete Prüfungs- und Bußgeldverfahren deutlich gemacht. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) prüfte in der Vergangenheit systematisch Immobilien- und Hausverwaltungen auf die Einhaltung datenschutzrechtlicher Vorgaben im Umgang mit Mietinteressenten.

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Bremen verhängte gegen die Brebau GmbH wegen unzulässiger Datenverarbeitung von 9.500 Mietinteressenten ohne Rechtsgrundlage ein Bußgeld von 1,9 Millionen Euro.

Die maßgeblichen Rechtsgrundlagen

Beim Datenschutz für Vermieter ist zu beachten: Personenbezogene Daten dürfen grundsätzlich nur verarbeitet werden, wenn dafür eine einschlägige Rechtsgrundlage besteht. Ob dies der Fall ist, beantwortet in der Regel Art. 6 DSGVO. Die Einzelprüfung kann aber komplex sein und sollte von Experten vorgenommen werden.

Bei der Erhebung von Mietinteressentendaten kommen im Wesentlichen zwei Rechtsgrundlagen in Betracht:

  1. Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen): Gilt im Stadium der Besichtigung, also bevor ein vorvertragliches Verhältnis entstanden ist. Hier muss zwischen den Interessen des Vermieters an der Erlangung bestimmter Informationen und dem Schutz der Privatsphäre des potentiellen Mieters abgewogen werden.
  2. Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung): Sobald Mietinteressenten erklären, eine konkrete Wohnung anmieten zu wollen, entsteht ein vorvertragliches Schuldverhältnis – ab diesem Moment ist Art. 6 Abs. 1 lit. b DSGVO die maßgebliche Grundlage für die meisten Datenverarbeitungen.

Wichtig: Liegt eine gesetzliche Rechtsgrundlage vor, ist ein Rückgriff auf die Einwilligung unzulässig. Würde der Mietvertragsabschluss von der Einwilligung in die Datenerhebung abhängig gemacht, läge eine Zwangslage vor, in der keine freiwillige – und damit keine wirksame – Einwilligung zustande kommen kann (Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO).

Dass eine Rechtsgrundlage vorliegt, heißt nicht, dass jedwede Art von Datenerhebung erlaubt ist. Prüfen Sie sorgfältig, welche Daten wirklich erforderlich sind und ob deren Erhebung im Einzelfall zulässig ist.

Das Drei-Stufen-Modell: Was darf wann erfragt werden?

Die Datenschutzkonferenz (DSK) hat in ihrer Orientierungshilfe vom 24. Januar 2024 ein Stufenmodell entwickelt, das den Zeitpunkt der Datenerhebung mit deren Zulässigkeit verknüpft. Dieses Modell ist für die Praxis zentral. Im Folgenden skizzieren wir die wichtigsten Punkte aus diesem Dokument. Selbstverständlich kann man einige Punkte anders beurteilen als die Aufsichtsbehörden. In dem Fall sollten Sie dies aber sorgfältig begründen und dokumentieren.

Stufe A – Beim Besichtigungstermin

Zu diesem frühen Zeitpunkt sind nur Mindestangaben zulässig: Name, Vorname und eine Kontaktmöglichkeit (Anschrift, Telefonnummer oder E-Mail-Adresse).

  • Eine Ausweiskopie darf nicht angefertigt werden; allenfalls darf der Ausweis zur Identitätsprüfung vorgezeigt und der Umstand der Überprüfung vermerkt werden.
  • Bei Sozialwohnungen darf gefragt werden, ob ein Wohnberechtigungsschein vorhanden ist; eine Kopie des Scheins ist jedoch erst auf der nächsten Stufe zulässig.
  • Angaben zu wirtschaftlichen Verhältnissen, Einkommen oder Bonität sind auf dieser Stufe nicht erforderlich und damit unzulässig.

Stufe B – Nach Erklärung des Anmietungsinteresses

Ab dem Moment, in dem Interessenten mitteilen, die Wohnung anmieten zu wollen, darf der Vermieter vertiefte Fragen stellen. Zulässig sind dann:

  • Anzahl der einziehenden Personen (ob Erwachsene oder Kinder): erforderlich für die Beurteilung der Wohnungsnutzung. Weitere Angaben zu diesen Personen sind unzulässig, es sei denn, sie sollen Mietvertragspartner werden.
  • Arbeitgeber und ausgeübter Beruf: als Kriterium zur Bonitätsbeurteilung zulässig. Fragen nach der Dauer der Beschäftigung sind hingegen unzulässig, da sie keine Gewissheit über die Fortdauer des Beschäftigungsverhältnisses bieten.
  • Nettoeinkommen und verfügbarer Betrag nach Abzug laufender Belastungen: grundsätzlich erforderlich; alternativ genügt auch eine Angabe, ob ein bestimmter Mindestbetrag überschritten wird. Die Forderungsgründe für Belastungen (Unterhalt, Darlehen) dürfen nicht erfragt werden.
  • Haustiere: soweit die Tierhaltung zustimmungsbedürftig ist; Kleintiere in geschlossenen Behältnissen sind ausgenommen.
  • Laufendes Insolvenzverfahren: Hier trifft die Mietinteressenten eine Offenbarungspflicht.
  • Räumungstitel wegen Mietzinsrückständen (in den letzten fünf Jahren): begrenzt zulässig.

Unzulässige Fragen auf dieser Stufe:

  • Familienstand (kein berechtigtes Interesse allein wegen gesamtschuldnerischer Haftung)
  • Religion, Rasse, ethnische Herkunft, Staatsangehörigkeit
  • Vorstrafen und laufende Ermittlungsverfahren
  • Heiratsabsichten, Schwangerschaften, Kinderwünsche
  • Mitgliedschaft in Parteien oder Mietervereinen

Stufe C – Nach der Auswahlentscheidung des Vermieters

Erst wenn der Vermieter sich für eine bestimmte Person als Erstplatzierte entschieden hat, dürfen weitere Nachweise angefordert werden:

  • Einkommensnachweise: Lohn-/Gehaltsabrechnung, Kontoauszug oder Einkommensteuerbescheid, jeweils unter Schwärzung nicht erforderlicher Angaben.
  • Bonitätsnachweis: Mietinteressenten können selbst eine spezielle Bonitätsauskunft bei einer Auskunftei einholen und diese vorlegen. Nicht verlangt werden darf eine DSGVO-Selbstauskunft die betroffene Personen bei Auskunfteien über sich selbst nach Art. 15 DSGVO einholen. Diese enthält regelmäßig weit mehr Informationen, als für die Bonitätsprüfung erforderlich sind.
  • Bonitätsabfrage durch den Vermieter: Nur zulässig, wenn noch keine ausreichenden Bonitätsinformationen vorliegen und die Voraussetzungen von Art. 6 Abs. 1 lit. b oder lit. f DSGVO erfüllt sind.
  • Angaben zum Vormietverhältnis: Fragen nach erheblichen, zur Kündigung berechtigenden Pflichtverletzungen im letzten Mietverhältnis sind begrenzt zulässig; dabei muss den Mietinteressenten die Möglichkeit gegeben werden, Gegengründe vorzutragen. Kontaktdaten früherer Vermieter dürfen hingegen nicht verlangt werden.

Allgemeine datenschutzrechtliche Pflichten des Vermieters

Informationspflichten (Art. 13 DSGVO)

Jeder Vermieter ist verpflichtet, Mietinteressenten bereits bei der Erhebung ihrer Daten über die Verarbeitung zu informieren: Zweck und Rechtsgrundlage der Verarbeitung, Speicherdauer, Betroffenenrechte und Kontaktdaten des Verantwortlichen. Die DSK-Orientierungshilfe enthält entsprechende Hinweise in einem Musterfragebogen. Häufig entstammen Datenschutzerklärungen von Websites aus Online-Generatoren und sind nicht hinreichend auf die tatsächlichen Prozesse zugeschnitten – ein Transparenzverstoß, der Beschwerden und Abmahnungen auslösen kann. Wir erstellen mit Ihnen gerne ein individuell passendes Dokument.

Löschpflichten (Art. 17 DSGVO)

Daten von Interessenten, mit denen kein Mietvertrag geschlossen wird, sind zu löschen, sobald sie für den Erhebungszweck nicht mehr benötigt werden. In Fällen, in denen AGG-Ansprüche (§ 21 AGG) geltend gemacht werden könnten, gilt eine Höchstspeicherfrist von regelmäßig sechs Monaten.

Das Führen einer „schwarzen Liste“ über auffällige Mietinteressenten ist aufgrund überwiegender entgegenstehender Interessen grundsätzlich unzulässig.

Auch Makler und Hausverwaltungen müssen die Daten spätestens dann löschen, wenn ein Mietvertrag mit einem anderen Interessenten zustande gekommen ist.

Fatale Praxisfehler sind fehlende Löschkonzepte. Das bekannteste Beispiel: Die Berliner Datenschutzbehörde verhängte ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE, weil das eingesetzte Archivsystem keine Möglichkeit zur Löschung nicht mehr erforderlicher Mieterdaten vorsah.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Vermieter müssen ein Verzeichnis aller Datenverarbeitungsvorgänge führen – von der Mieterbewerbung über die Mieterakte bis zur Betriebskostenabrechnung. Digitale Mieterverwal­tung bietet dabei erhebliche Effizienzvorteile, setzt aber ihrerseits datenschutzkonforme Prozesse voraus, einschließlich eines klaren Löschkonzepts.

Auftragsverarbeitung (Art. 28 DSGVO)

Schaltet der Vermieter externe Dienstleister ein – Hausverwaltungen, Makler, Bonitätsauskunfteien, Software-Anbieter – ist zu prüfen, ob ein Auftragsverarbeitungsvertrag (AVV) erforderlich ist.

Datensicherheit (Art. 32 DSGVO)

Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Mieterdaten müssen umgesetzt und dokumentiert werden. Dies gilt sowohl für die analoge Mieterakte als auch für digitale Systeme. Hier müssen also Berechtigungskonzepte, Verschlüsselung, Schulungen, etc. berücksichtigt werden.

Auskunftsrecht der Mieter (Art. 15 DSGVO)

Mieter können jederzeit Auskunft über die zu ihrer Person verarbeiteten Daten verlangen. Der Vermieter als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO ist grundsätzlich innerhalb eines Monats zur Auskunft verpflichtet. Auch Hinweisdaten Dritter (etwa Beschwerden von Mitbewohnern) können unter das Auskunftsrecht fallen, wie der BGH in einem Grundsatzurteil klargestellt hat.

Checkliste: Datenschutz bei der Wohnungsvermittlung

Die nachfolgende Checkliste fasst die wesentlichen Anforderungen zusammen. Sie ersetzt keine rechtliche Prüfung im Einzelfall.

Rechtsgrundlagen & Einwilligung

  • Rechtsgrundlage für jede Verarbeitungsstufe geprüft (Art. 6 Abs. 1 lit. b oder lit. f DSGVO)
  • Keine Einwilligung für Daten verwendet, für die eine gesetzliche Rechtsgrundlage besteht
  • Bonitätsabfragen nur bei tatsächlichem Bedarf und ohne vorherige Einwilligung als Voraussetzung

Mieterselbstauskunft: Zulässiger Inhalt nach Stufen

Stufe A – Besichtigung

  • Nur Name, Vorname und eine Kontaktmöglichkeit erhoben
  • Keine Ausweiskopie angefertigt
  • Keine Einkommens- oder Bonitätsangaben abgefragt

Stufe B – Anmietungsinteresse

  • Anzahl und Kategorie der einziehenden Personen
  • Arbeitgeber und Beruf (keine Beschäftigungsdauer)
  • Nettoeinkommen / verfügbarer Betrag (keine Forderungsgründe)
  • Insolvenzverfahren und Räumungstitel (zeitlich begrenzt)
  • Haustiere (nur zustimmungspflichtige)
  • Nicht gefragt: Staatsangehörigkeit, Religion, Vorstrafen, Heiratsabsichten, Schwangerschaft, Parteizugehörigkeit

Stufe C – Nach der Auswahlentscheidung

  • Einkommensnachweis mit Schwärzung nicht erforderlicher Angaben
  • Bonitätsnachweis durch Mietinteressenten selbst (keine Art.-15-DSGVO-Auskunft)
  • Keine Kontaktdaten früherer Vermieter verlangt
  • Fragen zum Vormietverhältnis nur bei erheblichen, nachgewiesenen Pflichtverletzungen

Informations- und Dokumentationspflichten

  • Datenschutzinformation gemäß Art. 13 DSGVO bei Datenerhebung bereitgestellt
  • Verzeichnis von Verarbeitungstätigkeiten geführt und aktuell gehalten
  • AVV mit externen Dienstleistern (Hausverwaltung, Auskunftei, Software) abgeschlossen
  • TOMs dokumentiert und dem Schutzniveau der verarbeiteten Daten angemessen

Löschung & Datensparsamkeit

  • Löschkonzept für Mietinteressentendaten vorhanden
  • Daten abgelehnter Interessenten spätestens nach sechs Monaten gelöscht
  • Keine „schwarze Liste“ über Mietinteressenten geführt
  • Nach Vertragsabschluss: Für Vertragsdurchführung nicht mehr benötigte Bewerberdaten gelöscht

Besondere Risiken

  • Keine Weitergabe vollständiger Mieterdaten im Rahmen von Immobilientransaktionen ohne Rechtsgrundlage und Informationspflicht
  • Datenschutzerklärung auf der Website individuell und aktuell
  • Prozess für Betroffenenanfragen (Auskunft, Löschung) etabliert und fristgerecht (ein Monat)

Bleiben Sie informiert

Möchten Sie regelmäßig über aktuelle Entwicklungen im Datenschutzrecht und relevante Entscheidungen auf dem Laufenden bleiben? Abonnieren Sie den Newsletter von Two Towers und erhalten Sie praxisrelevante Analysen direkt in Ihr Postfach.

Haben Sie Fragen zu diesem Beitrag oder benötigen Sie rechtliche Unterstützung im Bereich Datenschutz? Nehmen Sie gerne über das Kontaktformular von Two Towers Verbindung mit uns auf.