Heizkostenprobleme – jetzt auch noch im Datenschutz

Heizkosten

Heizkosten sind derzeit „in heißer Diskussion“. Und wie bei allen Themen, haben die Datenschützer auch hier einen eigenen Beitrag und ganz spezielle Probleme parat: Die ista Deutschland GmbH informiert ihre Kunden seit Ende Juli über einen Hacker-Angriff. Ende August wurde mitgeteilt, dass „am Abend des 18. August 2022 … IT-Forensiker festgestellt“ hätten, „eine Gruppe krimineller Hacker“ habe sich „Zugang zu … Systemen verschafft und Daten gestohlen“ sowie „im Dark-Net zugänglich gemacht“. Betroffen sind Archivdaten „aus den Jahren 2006 bis 2012“ mit „Adressen, Liegenschaftsnummer, Verbrauchsdaten (Heiz-, Warm- und Kaltwasserverbrauch), Nutzername, Nutzernummer sowie beheizter Fläche von gut 146.000 Kunden“. Die ista Deutschland GmbH meldete sich „als sogenannter Auftragsverarbeiter gemäß Art. 28 DSGVO“. Bei vielen Empfängern der Schreiben, insbesondere kleinen Hausverwaltungen und privaten Vermietern, herrschte (und herrscht?) Ratlosigkeit: „Und was soll ich jetzt damit anfangen?“ Fachleute erzeugen ja häufig aus einer Frage sehr viele Fragen. Also ans Werk:


Gilt für Vermieter die Datenschutz-Grundverordnung?

Das kommt darauf an. Worauf? Darauf, ob die Vermietung als „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten … durch natürliche Personen“ nach Art. 2 Abs. 2 lit. c) DS-GVO angesehen werden kann. Erste Erkenntnis: Körperschaften (GmbH, AG …) sind immer und Handelsgesellschaften (OHG, KG) meist nicht familiär oder privat tätig, unterfallen also mit ihren Handlungen den Regeln der DS-GVO. Bei natürlichen Personen muss weiter geprüft werden (übrigens auch für den Zusammenschluss natürlicher Personen, z. B. eine aus Familienmitgliedern gegründete GbR oder KG). In der Fachliteratur wird vorgeschlagen, die Grenzlinie zwischen „privat“ und „nicht privat“ nach zivil- und steuerrechtlichen Kriterien zu ziehen. So liest man bei Taeger/Gabel/Schmidt Art. 2 DSGVO Rn. 19: „Die Verwaltung eigenen Vermögens ist eine private Tätigkeit, solange sie aufgrund ihres Umfangs nicht als gewerblich zu qualifizieren ist“ und findet (dort in Fußnote 61) eine ganze Reihe ähnlicher Literaturäußerungen.

Wer so abgrenzen möchte, müsste sich genauer anschauen, wo Zivil- und Finanzgerichte die „Grenzlinie“ zwischen privater Vermögensverwaltung und gewerblicher Vermietung ziehen – und würde wahrscheinlich staunen: Steuerrechtlich ist Vermietung zwar dann gewerblich, wenn bewegliche Gegenstände (Baugeräte, Wohnmobile und Ähnliches) vermietet oder Räume kurzfristig überlassen werden (Hotelzimmer, Ferienwohnungen). Gewerblichkeit liegt auch vor, wenn der Vermieter nicht einfach nur Räume oder Grundstücke überlässt (und dafür Miete erhält), sondern in erheblichem Umfang Nebenleistungen erbringt (z.B. technische Anlagen einbaut und wartet). Werden dagegen z.B. „nur“ Wohnungen vermietet, bleibt dies steuerlich auch bei großem Umfang (z.B. 100 Wohnungen) private Vermögensverwaltung. Und dann soll die DS-GVO nicht gelten?

Außer den gerade beschriebenen „Bauchschmerzen“ mit der Abgrenzung privater Vermietung nach deutschen DS-GVO-Kommentaren gibt es noch ein weiteres, juristisches Argument: Der Geltungsbereich der DS-GVO ist EU-rechtlich zu bestimmen, also nicht nach den im deutschen Recht üblichen Grenzen zwischen privater und gewerblicher Tätigkeit. Eine solche EU-rechtliche Abgrenzung ist noch nicht erfolgt.

Eigener Versuch: Private und familiäre Tätigkeit liegt dann vor, wenn bei der Vermietung nicht die Einnahmeerzielung, sondern private, familiäre Aspekte im Vordergrund stehen, z.B. bei der Überlassung von Wohnraum an Familienangehörige. Bei dieser Abgrenzung gilt die DS-GVO für (fast) alle Vermieter, also auch jene, die zwei oder drei Wohnungen an Fremde vermieten. Vorläufiger Trost: Solche Vermieter können sich auf die genannten Kommentare berufen und werden im Streitfall von Aufsichtsbehörden zunächst ganz sicher kein Bußgeld, sondern Hinweise erhalten.


Sind Mess- und Abrechnungsdienstleister Auftragsverarbeiter nach Art. 28 DS-GVO?

Zunächst einmal: Sie können es nur sein, wenn sie von einem „Verantwortlichen“ im Sinne der DS-GVO beauftragt wurden. Stammt der Auftrag also von einem Vermieter, den wir nach den obigen Überlegungen mit „privater oder familiärer Tätigkeit“ eingeordnet haben, ist der Dienstleister immer selbst Verantwortlicher, nicht Auftragsverarbeiter. Kommt der Auftrag demgegenüber von einer Hausverwaltung oder einem nicht privat oder familiär agierenden Vermieter, dürften Mess- und Abrechnungsdienstleister regelmäßig als Auftragsverarbeiter anzusehen sein, weil gerade ihre Hauptaufgabe in der Verarbeitung personenbezogener Daten für den Auftraggeber besteht. Die Datenverarbeitung ist also nicht nur Nebenzweck oder Begleiterscheinung einer selbständig ausgeübten Tätigkeit, sondern ihr maßgeblicher Inhalt.

Allerdings stellt sich dann noch eine Anschlussfrage für den konkreten Vorgang bei der ista Deutschland GmbH: Umfasste der erteilte Auftrag auch die Archivierung von Daten aus den Jahren 2006 bis 2012? Abgesehen vom Jahrgang 2012 (also bis einschließlich 2011) sind bei diesen Daten ja sogar die zehnjährigen Aufbewahrungsfristen nach Handels- und Steuerrecht schon abgelaufen. Wenn der Dienstleister hier eigenmächtig agierte, vorliegend nicht fristgerecht löschte, kommt für ihn auch eine Einordnung und Haftung als eigenständig datenschutzrechtlich Verantwortlicher nach Art. 28 Abs. 10 DS-GVO in Betracht.


Muss ich als Vermieter oder Hausverwalter nach Art. 33 und/oder Art. 34 DS-GVO Meldung erstatten?

Juristen-typische Antwort: Es kommt darauf an. Nämlich zunächst darauf, ob der Vermieter oder Hausverwalter datenschutzrechtlich Verantwortlicher ist. Wir haben zuvor bereits beleuchtet, dass diese Frage nicht pauschal beantwortet werden kann. Wenn Kleinstvermieter privat oder familiär agieren, deshalb der DS-GVO nicht unterfallen und eine Hausverwaltung beauftragen, die ihrerseits wiederum den Messdienstleister heranzieht, agiert die Hausverwaltung als Verantwortlicher im Sinne der DS-GVO und muss sich über Meldepflichten Gedanken machen. Ist demgegenüber der Vermieter datenschutzrechtlich Verantwortlicher, dann kann und muss die Hausverwaltung eine bei ihr eintreffende Meldung des Messdienstleisters an den Vermieter schnellstens „durchreichen“.

Die ista Deutschland GmbH hat nach eigener Darstellung bereits im Juli die zuständige Aufsichtsbehörde informiert. In der Vergangenheit haben die Aufsichtsbehörden Meldungen durch das von der Datenschutzverletzung betroffene Unternehmen akzeptiert und – unabhängig von der Einordnung als Verantwortlicher oder Auftragsverarbeiter im Einzelfall – Einzelmeldungen der davon betroffenen weiteren Stellen nicht verlangt, gelegentlich sogar ausdrücklich zurückgewiesen. Im Fall ista Deutschland GmbH sind Meldungen durch etliche Wohnungsunternehmen bei den verschiedenen Aufsichtsbehörden (z.B. in Bayern und Berlin) erfolgt und auch entgegengenommen worden. Da nach den (derzeit verfügbaren) Informationen Risiken für betroffene Personen nicht auszuschließen sind, wäre die Meldung durch verantwortliche Stellen gemäß Art. 33 DS-GVO vorzunehmen. Ein „hohes Risiko“ für Betroffene ist demgegenüber nicht erkennbar, so dass Meldungen nach Art. 34 DSGVO derzeit nicht geschuldet sind (dennoch gelegentlich stattfinden, siehe z.B. Gewobag Berlin).


Und zum Schluss: Was ist nun zu tun?

Auftraggeber sollten – jenseits formaler Meldepflichten – den Vorfall zum Anlass nehmen, um bei ihren eigenen Messdienstleistern nachzufragen und sicherzustellen, dass dort verarbeitete Daten rechtzeitig gelöscht werden. Und ganz grundsätzlich: Jeder Vermieter, jede Hausverwaltung sollte die eigene Datenschutz-Rolle (Verantwortlicher? Auftragsverwalter? Nur privat und familiär tätig?) sorgfältig klären (bei Hausverwaltungen z. B. können je nach auftraggebendem Vermieter die Datenschutz-Rollen auch verschieden sein.) Darauf aufbauend sind dann die jeweiligen Datenschutzpflichten (Verzeichnis der Verarbeitungstätigkeiten, Vereinbarungen zur Auftragsverarbeitung, …) „in Angriff zu nehmen“. Damit auch dieser Hacker-Angriff den Datenschutz voranbringt…

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.