Datenschutz und Immobilien – Aktuell wie selten zuvor

Das Thema Datenschutz spielt durch die anhaltende Digitalisierung eine immer grössere Rolle in der Immobilienbranche. Nachfolgend finden Sie einige rechtliche Überlegungen zu einer Themenauswahl aus dem Gesamtkomplex der Immobilienbranche. Die Ausführungen beruhen bereits auf dem revidierten Datenschutzgesetz, das in der zweiten Jahreshälfte 2022 in Kraft treten soll.

Was ist Datenschutz?

Der Zweck des Datenschutzes ist der Schutz der informationellen Selbstbestimmung. Jede Person soll grundsätzlich über die Verwendung ihrer Daten selbst bestimmen können. Das Datenschutzgesetz, kurz DSG, regelt folglich die Bearbeitung von Personendaten unter anderem durch Privatpersonen und Unternehmen. Vom Geltungsbereich des DSG erfasst sind ausschliesslich Personendaten. Dazu zählen alle Daten, die sich auf eine bestimmte oder zumindest bestimmbare natürliche Person beziehen (nicht also Daten juristischer Personen). Unter Bearbeiten versteht man jeden Umgang mit Personendaten, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten. Der Anwendungsbereich des Datenschutzgesetzes umfasst somit sämtliche Handlungen, welche im Zusammenhang mit Personendaten ausgeführt werden.

Das (revidierte) Schweizer Datenschutzrecht ist so konzipiert, dass die Bearbeitung von Personendaten durch Private grundsätzlich erlaubt ist, sofern die im DSG bestimmten Grundsätze eingehalten werden. Ein solcher Grundsatz ist beispielsweise der Grundsatz der Zweckbindung. Dieser besagt, dass Personendaten nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschafft und bearbeitet werden dürfen. Ebenfalls von Relevanz ist der Grundsatz der Datenminimierung, gemäss welchem Personendaten vernichtet oder anonymisiert werden müssen, sobald sie zum
Zweck der Datenbearbeitung nicht mehr erforderlich sind.

Bedeutung für die Immobilienwirtschaft

In einem Immobilienzyklus finden sich zahlreiche Ansatzpunkte für den Umgang mit Personendaten: Bereits bei der Projektentwicklung oder der Vergabe für Werkverträge fallen mit den Personendaten in den Offertdossiers erste schützenswerte Datenbestände an. Während der Bauphase ergeben sich besonders durch Baustellenkameras und Zugangskontrollen von externen Sicherheitsunternehmen weitere datenschutzrechtlich relevante Sachverhalte. Beim Verkauf von Liegenschaften treten datenschutzrechtliche Fragen durch den Beizug eines Maklers und im Zusammenhang mit den in der Praxis durchaus üblichen Mieterspiegeln auf. Schliesslich kommt auch die Immobilienbewirtschaftung nicht ohne die Bearbeitung von Personendaten aus, stellen sich hier doch diverse datenschutzrechtliche Fragen aufgrund zahlreicher unterschiedlicher Datenbearbeiter und Datenflüsse (Bewirtschaftung, Facility Management, Eigentümerschaft). Die Betriebsphase von Wohnimmobilien eignet sich besonders für illustrative Darstellungen, weshalb im Folgenden nebst dem Maklergeschäft und dem Verkaufsprozess vor allem auf die Immobilienbewirtschaftung genauer eingegangen werden soll:

Vermarktung durch Makler

Wird für die Vermarktung einer Liegenschaft ein Makler beigezogen, ist zu beachten, dass dieser durch seine Aktivität zwangsläufig in Kontakt mit Kunden- und Personendaten von Interessenten gelangt und diese Daten bearbeitet. Makler sind neu deshalb gesetzlich verpflichtet, eine Datenschutzerklärung aufzusetzen. Darin müssen sie die betroffene Person unter anderem darüber informieren, welche Daten zu welchem Zweck erhoben resp. verarbeitet werden, wie die Verarbeitungsmodalitäten aussehen und welche Rechte ihr zustehen. Die Erklärung kann auf der Website oder in den AGB publiziert werden.

Mieterspiegel für Kaufinteressenten

Bei vermieteten Liegenschaften werden häufig sogenannte Mieterspiegel an Kaufinteressenten ausgehändigt, welche Aufschluss geben über die Art und Zusammensetzung der MieterInnen, die Auslastung der Immobilie sowie die Höhe der Mietzinse. Sobald Mieterspiegel Personendaten enthalten, kommt das DSG zur Anwendung. Folglich müssen entweder a) die Personendaten der MieterInnen geschwärzt werden, b) es muss eine entsprechende Klausel im Mietvertrag vereinbart sein, wonach Personendaten zu Verkaufszwecken an Interessenten herausgegeben werden dürfen, oder aber c) die MieterInnen müssen im entsprechenden Zeitpunkt über die Aushändigung ihrer Personendaten an Dritte und deren Zweck informiert und um Einverständniserklärung ersucht werden.

Angebot ins Ausland

Bei Verkaufsangeboten im Internet ist darauf zu achten, ob sich das Angebot auch an Personen aus dem EU-Raum richtet (wobei eine blosse Einsehbarkeit des Angebots nicht genügt). Richtet sich ein Angebot an Personen aus dem EU-Raum, führt dies zur Anwendbarkeit der europäischen Datenschutzverordnung (DSGVO). Die Folge davon ist, dass zusätzlich zum DSG deren Regelungen beachtet werden müssen, welche stellenweise deutlich strenger sind (bspw. erfordert die rechtmässige Datenbearbeitung grundsätzlich das Vorliegen eines von sechs Rechtsgründen, sog. Verbot mit Erlaubnisvorbehalt). Da die Grenzen zwischen der blossen Einsehbarkeit und dem tatsächlichen Angebot an Personen aus dem EU-Raum unscharf sind, kann der Anwendbarkeit der DSGVO präventiv durch entsprechende Schutzvorkehrungen wie dem Geoblocking entgegengewirkt werden. Dadurch werden gewissermassen Landesgrenzen im Internet erstellt, welche dazu führen, dass ausserhalb der Schweiz nicht mehr auf die Inhalte der Homepage zugegriffen werden kann.

Bewirtschaftungsdaten

Die Daten der Wohnungsnutzer werden je nach Grösse und Art der Liegenschaft in der Regel nicht nur vom Eigentümer, sondern auch von einer Kette weiterer Dienstleistungserbringer bearbeitet (Bewirtschaftung, Facility Management, Handwerker, Netzwerkbetreiber, etc.).

Gegebenheiten, bei welchen es zur Bearbeitung von Daten kommt, können sein: Mieterchecks vor Vertragsabschluss, Nutzerdaten über den Betrieb einer Liegenschaft, Daten aus Zutrittskontrollen (ausserhalb der Liegenschaft oder zur Mietereinheit), Netzwerkdaten, elektronischer Concierge oder aber smarte Lösungen, welche seitens Vermieterschaft angeboten und von der Mieterschaft bezogen werden können (wie Tablets in Mieträumen, Smarthomes etc.).

Die genannte Datenbearbeitung findet in der Regel weder koordiniert in einem durchgängigen IT-System über die verschiedenen Leistungserbringer statt, noch haben die betroffenen Personen eine Ahnung, welche ihrer Daten von wem bearbeitet werden. Hier setzt das DSG an und schafft für jeden Leistungserbringer eine Verpflichtung, sich über die von ihm bearbeiteten Daten Rechenschaft abzugeben und eine gesetzeskonforme Handhabung sicherzustellen. Aufgrund des unterschiedlichen Angebots jeder einzelnen Immobilie gilt es, in jedem Fall eine individualisierte datenschutzrechtliche Analyse durchzuführen. Bei einer solchen sind unter anderem die konkreten Umstände und Datenflüsse, die Art der Datenbearbeiter sowie die Speicherorte zu beachten.

Die Mieterschaft ist jeweils über sämtliche Bearbeitungen ihrer Personendaten zu informieren, sofern nicht entsprechende Grundlagen im Mietvertrag vorhanden sind.

Spezieller Rechtfertigungsgrund bei Verträgen

Für den Fall, dass Personendaten entgegen den datenschutzrechtlichen Grundsätzen oder aber entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden, und dies gleichzeitig in einem unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrags steht, gilt die Besonderheit, dass dieser Umstand ein überwiegendes Interesse und dadurch einen Rechtfertigungsgrund für die Persönlichkeitsverletzung darstellt. Die Personenbearbeitung erfolgt diesfalls nicht widerrechtlich. Diese Besonderheit betrifft jedoch lediglich die Bearbeitung von Personendaten der Vertragsparteien, nicht aber jene von Drittpersonen (bspw. MieterInnen).

Fazit

Die Kombination der Begriffe «Datenschutz» und «Immobilien» mag auf den ersten Blick nicht selbstverständlich sein. Die fortschreitende Digitalisierung in der Immobilienbranche und die Auswirkungen des neuen Datenschutzgesetzes werden dies in absehbarer Zeit ändern. Neu werden die datenbearbeitenden Stellen sehr viel stärker in der Pflicht stehen, sich über ihren Umgang mit Personendaten formell wie auch materiell bewusst zu sein. Das Beispiel des Immobilienzyklus steht hierbei nur stellvertretend für zahlreiche weitere Vorgänge, bei welchen das Datenschutzrecht zwar relevant ist, das allgemeine Bewusstsein dafür aber (noch) fehlt.