Mieterselbstauskunft: Datenschutzaufsicht zieht klare Grenzen
Ein aktueller Fall (Ziffer 2.2.) aus dem Tätigkeitsbericht 2025 der Sächsichen Datenschutzaufsichtsbehörde verdeutlicht, dass Mieterselbstauskünfte in der Praxis nach wie vor häufig datenschutzrechtlich unzulässige Abfragen enthalten – und dass Aufsichtsbehörden auch ohne festgestellten Verstoß im Einzelfall tätig werden können.
Der Fall
Ein Mietinteressent erhielt von einem Wohnungsmakler bereits vor der Wohnungsbesichtigung eine umfangreiche Selbstauskunft, die u. a. Staatsangehörigkeit, Familienstand und geschäftliche Telefonnummer abfragte. Da der Betroffene das Formular aufgrund seiner datenschutzrechtlichen Bedenken nicht ausfüllte, lag zwar noch kein vollendeter Verstoß vor. Die Aufsichtsbehörde sah jedoch hinreichende Anhaltspunkte dafür, dass der Makler gleichartig gegenüber anderen Mietinteressenten verfährt, und nahm dies zum Anlass für eine förmliche Beanstandung.
Dreistufiges Prüfungsmodell
Die Behörde legte ein praxisnahes Stufenmodell zugrunde, das die zulässigen Verarbeitungsgrundlagen und den jeweiligen Datenkatalog klar differenziert:
- Vor der Besichtigung ist die Erhebung auf Name, Wohnanschrift und Kontaktdaten beschränkt (Art. 6 Abs. 1 lit. f DS-GVO). Angaben zu Staatsangehörigkeit oder Familienstand sind in diesem Stadium unzulässig.
- Nach Bekundung eines konkreten Anmietinteresses greift Art. 6 Abs. 1 lit. b DS-GVO (vorvertragliche Maßnahmen). Zulässig sind nun Daten zur Beurteilung der Zahlungsfähigkeit – nicht jedoch Einkommensangaben weiterer Haushaltsmitglieder oder Kontaktdaten vorheriger Vermieter.
- Erst nach der Auswahlentscheidung dürfen Nachweise (Einkommensnachweise, Personalausweis, Mietschuldenfreiheitsbescheinigung) verlangt werden. Dabei sind nicht relevante Angaben – etwa Religionszugehörigkeit oder Geburtsort – vom Bewerber zu schwärzen; hierauf ist ausdrücklich hinzuweisen.
Konsequenzen und Orientierungshilfe
Der Makler wurde verpflichtet, den Inhalt der Selbstauskunft anzupassen, deren Einsatz vor Besichtigungsterminen zu unterlassen und alle unzulässig erhobenen, noch gespeicherten Daten unverzüglich zu löschen (Art. 17 Abs. 1 lit. d DS-GVO). Die Datenschutzkonferenz hat zu diesem Themenbereich eine Orientierungshilfe veröffentlicht, die als strukturierte Prüfgrundlage für Verantwortliche und deren Berater dienen kann.
(Foto: Kateryna – stock.adobe.com)
Das könnte Sie auch interessieren
-
Folge 93: Digitale Souveränität in menschlicher Hoheit
Die Digitale Souveränität Europas ist ein Gebot dieser Zeit. Die menschliche Hoheit in Zeiten zu behalten, in denen KI-Systeme uns das Denken abnehmen können, ist ein anderes. Die Menschen in Europa müssen nun beweisen, dass sie den Herausforderungen gewaschen sind. Die EU und ihre Mitgliedstaaten müssen einen regulatorischen Rahmen schaffen, der Menschenrechte und gute wirtschaftliche
Mehr erfahren -
Einheitliches DSFA-Muster zur öffentlichen Konsultation veröffentlicht
Der Europäische Datenschutzausschuss (EDSA) hat am 10. März 2026 ein standardisiertes Muster für Datenschutz-Folgenabschätzungen (DSFA/DPIA) nach Art. 35 DS-GVO verabschiedet und am 14. April 2026 zur öffentlichen Konsultation gestellt. Rückmeldungen können bis zum 9. Juni 2026 eingereicht werden. Ziel ist eine europaweit einheitliche DSFA-Dokumentation: Nach Abschluss der Konsultation sollen alle nationalen Datenschutzbehörden das Template als
Mehr erfahren -
Transportverschlüsselung reicht aus: Anforderungen an E-Mail-Sicherheit nach Art. 32 DS-GVO
Mit Urteil vom 2. April 2026 (Az. 29 K 7351/23) hat das Verwaltungsgericht Düsseldorf entschieden, dass die Übermittlung personenbezogener Daten per E-Mail mittels Transportverschlüsselung grundsätzlich ein dem Risiko angemessenes Schutzniveau im Sinne von Art. 32 DS-GVO gewährleistet. Eine Ende-zu-Ende-Verschlüsselung ist nicht generell erforderlich. Sachverhalt Dem Verfahren lag ein Verkehrsunfall zugrunde, bei dem ein Busunternehmen den
Mehr erfahren
