Wer eine Wohnung vermietet, sammelt zwangsläufig Daten. Vom Namen über die Telefonnummer bis hin zum Gehaltsnachweis - für den Vermieter ist das eine Absicherung, für den Mieter sind es sensible Informationen. Doch genau hier lauert die Gefahr: Die DSGVO Vermietung ist kein Kavalierspiel. Ein falsches Häkchen im Mietvertrag oder eine zu lange Aufbewahrung von Unterlagen kann heute schnell zu teuren Abmahnungen oder Bußgeldern führen, die im Extremfall bis zu 20 Millionen Euro betragen können.
Viele Privatvermieter denken, dass die Datenschutz-Grundverordnung nur für große Konzerne gilt. Das Gegenteil ist der Fall. Wenn Sie auch nur eine einzige Wohnung vermieten, sind Sie rechtlich ein "Verantwortlicher" im Sinne der Verordnung. Die Herausforderung besteht darin, die notwendige Bonitätsprüfung mit dem Prinzip der Datensparsamkeit zu vereinen. Wie viel dürfen Sie wirklich fragen und wann müssen die Daten endgültig im Schredder landen?
Die rechtlichen Grundlagen: Warum Sie nicht einfach alles abfragen dürfen
In der Vergangenheit reichte oft eine allgemeine Einwilligung des Mieters. Heute ist das anders. Sie müssen für jede Information, die Sie erheben, eine klare Rechtsgrundlage haben. In der Praxis bedeutet das meist eine Unterscheidung zwischen zwei zentralen Artikeln der DSGVO:
- Art. 6 Abs. 1 lit. b DSGVO: Dies ist die Grundlage für die Vertragsdurchführung. Hierzu gehören Dinge wie die Bankverbindung für die Mietzahlung oder die Adresse für die Korrespondenz.
- Art. 6 Abs. 1 lit. f DSGVO: Hier geht es um das berechtigte Interesse. Das ist besonders bei der vorvertraglichen Phase wichtig, etwa wenn Sie die Kreditwürdigkeit eines Interessenten prüfen wollen.
Ein kritischer Punkt ist die sogenannte Mieterselbstauskunft. Viele Vermieter fragen hier zu viel ab. Informationen zu Religion, Familienstand oder politischer Überzeugung sind nach Art. 9 DSGVO streng verboten. Wer hier zu neugierig ist, riskiert nicht nur rechtliche Schritte, sondern wirkt auch unprofessionell. Das Bundesministerium der Justiz betont, dass für eine seriöse Bonitätsprüfung drei Dokumente völlig ausreichen: ein aktueller Gehaltsnachweis, der Nachweis über das bestehende Beschäftigungsverhältnis und ein Beleg über den Kontostand oder eine Schufa-Auskunft.
Das Verarbeitungsverzeichnis: Ihr wichtigstes Schutzschild
Stellen Sie sich vor, die Datenschutzbehörde klopft bei Ihnen an. Die erste Frage wird sein: "Haben Sie ein Verzeichnis Ihrer Verarbeitungstätigkeiten?" Wenn Sie hier mit den Schultern zucken, haben Sie bereits verloren. Ein Verzeichnis der Verarbeitungstätigkeiten (VVT) ist eine Art Inventarliste Ihrer Datenflüsse. Es beweist, dass Sie sich mit dem Thema befasst haben.
Ein korrektes Verzeichnis für Vermieter muss folgende Punkte enthalten:
- Name und Kontaktdaten des Verantwortlichen (also Sie als Vermieter).
- Den genauen Zweck der Verarbeitung (z.B. "Prüfung der Bonität für Mietvertrag X").
- Welche Kategorien von Personen betroffen sind (Interessenten, aktuelle Mieter).
- Wer die Daten erhält (z.B. Hausverwaltung, Steuerberater).
- Wann die Daten gelöscht werden (Löschfristen).
- Welche Sicherheitsmaßnahmen Sie nutzen (z.B. Passwortschutz).
Für kleine Vermieter dauert die Erstellung dieser Dokumentation meist nur etwa 4 bis 6 Stunden, bietet aber eine enorme Rechtssicherheit. Wer einfach nur Muster aus dem Internet kopiert, ohne sie anzupassen, riskiert, dass die Dokumentation im Ernstfall wertlos ist.
Sichere Datenübertragung und Aufbewahrung
Die Zeit, in der man Gehaltsnachweise unverschlüsselt per E-Mail verschickt hat, ist vorbei. Gemäß Art. 32 DSGVO müssen personenbezogene Daten bei der Übertragung geschützt werden. In der Praxis bedeutet das, dass Sie mindestens TLS 1.2 verschlüsselte E-Mail-Verbindungen nutzen sollten. Für besonders sensible Dokumente empfiehlt sich S/MIME oder die Nutzung von passwortgeschützten PDFs.
Ein weiteres großes Problem ist die Aufbewahrung. Viele Vermieter horten Unterlagen "für alle Ewigkeit". Das ist ein klassischer DSGVO-Verstoß. Die Faustregel besagt, dass Daten maximal bis zu drei Jahre nach Beendigung des Mietverhältnisses gespeichert werden dürfen. Dies orientiert sich an der gesetzlichen Verjährungsfrist gemäß § 195 BGB. Aber Vorsicht: Die Rechtsprechung ist hier nicht ganz einheitlich. Während manche Gerichte drei Jahre bestätigen, fordern andere bereits nach zwei Jahren die Löschung.
| Datenpunkt | Status | Rechtsgrundlage / Grund |
|---|---|---|
| Vollständiger Name & Adresse | Erlaubt | Vertragsschluss (Art. 6 Abs. 1 lit. b) |
| Gehaltsnachweis / Schufa | Erlaubt | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Religion / Familienstand | Verboten | Sensible Daten (Art. 9 DSGVO) |
| Kopie des Personalausweises | Eingeschränkt | Nur notwendige Daten (keine unnötigen IDs) |
Die Informationspflicht: Was Mieter wissen müssen
Einer der häufigsten Fehler ist das Fehlen der Informationspflichten nach Art. 13 und 14 DSGVO. Sie müssen Ihren Mietern genau sagen, was mit ihren Daten passiert. Ein einfacher Satz im Mietvertrag reicht hier nicht aus. Sie benötigen ein separates Informationsschreiben oder einen klar abgegrenzten Abschnitt, der transparent darlegt, wer die Daten verarbeitet, wie lange sie gespeichert werden und welche Rechte der Mieter hat (z.B. das Recht auf Auskunft oder Löschung).
Ein besonders heikles Thema ist die Weitergabe von Daten an Dritte, wie etwa Handwerker. Viele Vermieter glauben, dass sie die Telefonnummer des Mieters einfach an den Klempner weitergeben dürfen. Aber: Diese Weitergabe bedarf einer konkreten Rechtsgrundlage. Eine pauschale Klausel im Mietvertrag, dass Daten an "alle notwendigen Dienstleister" fließen, ist oft rechtlich angreifbar. Besser ist es, den Mieter im konkreten Fall kurz zu informieren oder eine spezifische Einwilligung einzuholen.
Checkliste für den DSGVO-konformen Vermieter
Damit Sie nicht den Überblick verlieren, finden Sie hier die wichtigsten Schritte für ein sauberes Datenmanagement:
- Überprüfung der Selbstauskunft: Entfernen Sie alle Fragen zu privaten Themen, die nichts mit der Zahlungsfähigkeit zu tun haben.
- Informationsschreiben erstellen: Geben Sie jedem Mieter bei Vertragsunterzeichnung ein Dokument gemäß Art. 13 DSGVO in die Hand.
- VVT anlegen: Dokumentieren Sie, welche Daten Sie wo speichern und warum.
- Löschkonzept implementieren: Markieren Sie Unterlagen mit einem Datum, an dem sie vernichtet werden müssen.
- Sicher kommunizieren: Nutzen Sie für den Austausch von Dokumenten verschlüsselte Wege.
Wer heute auf digitale Lösungen setzt, kann viele dieser Prozesse automatisieren. Cloud-basierte Vermietungssoftware hilft oft dabei, Löschfristen automatisch zu überwachen und standardisierte Dokumente zu generieren, was das Risiko menschlicher Fehler drastisch reduziert.
Darf ich die Schufa-Auskunft des Mieters verlangen?
Ja, das ist zulässig. Es handelt sich hierbei um ein berechtigtes Interesse des Vermieters, die Zahlungsfähigkeit des Mieters zu prüfen (Art. 6 Abs. 1 lit. f DSGVO). Sie sollten jedoch darauf achten, nur die Informationen zu verwenden, die für die Entscheidung relevant sind.
Wie lange darf ich die Unterlagen von Ex-Mietern aufbewahren?
In der Regel gilt eine Frist von drei Jahren nach Beendigung des Mietverhältnisses, basierend auf der regelmäßigen Verjährungsfrist des BGB. Einige Gerichte fordern jedoch eine kürzere Dauer. Sobald der Zweck der Speicherung entfällt und keine gesetzlichen Aufbewahrungspflichten (z.B. steuerrechtlich) mehr bestehen, müssen die Daten gelöscht werden.
Muss ich als Privatvermieter wirklich ein Verzeichnis der Verarbeitungstätigkeiten führen?
Grundsätzlich gibt es eine Ausnahme für Personen, die Daten nur zur Ausübung personenbezogener Aktivitäten verarbeiten. Diese Grenze ist bei der Vermietung von Wohnraum jedoch sehr schmal. Da die Vermietung eine wirtschaftliche Tätigkeit darstellt, ist die Führung eines VVT dringend zu empfehlen, um im Falle einer Prüfung die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) erfüllen zu können.
Was passiert, wenn ich versehentlich Daten an einen Nachmieter weitergebe?
Das ist ein Datenschutzverstoß. Die Weitergabe von Mieterdaten an Dritte ohne Einwilligung ist unzulässig. Je nach Schwere des Falls kann dies zu Schadensersatzansprüchen des betroffenen Mieters oder zu Bußgeldern durch die Datenschutzbehörde führen.
Welche Dokumente sind für die Bonitätsprüfung rechtssicher?
Nach Empfehlungen des Bundesjustizministeriums reichen in der Regel drei Dokumente: ein aktueller Gehaltsnachweis, ein Beleg über das Beschäftigungsverhältnis und ein Nachweis über die Bonität (z.B. Schufa-Auskunft oder Kontostand). Alles darüber hinaus wird oft als unzulässige Datensammlung gewertet.