Verwendung von Cookies

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

GAG über EU-DSGVO

Produkte und Referenzen > Prozesslösungen

GAG über EU-DSGVO: Wichtige Prozesse erfassen und neu denken

Kurt Bröhl, Datenschutzbeauftragter der GAG Immobilien AG, berichtet im Interview darüber, wie das Kölner Wohnungsunternehmen die Umsetzung der EU-Datenschutzgrundverordnung angeht, wo er und seine Kollegen dabei gerade stehen – und welche Überraschungen er dabei erlebt hat.

Aareon Smart News: Herr Bröhl, welche Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) sind für die GAG besonders relevant und wie gehen Sie damit um?

Kurt Bröhl: Natürlich ist es unser Anspruch, bis Ende Mai 2018 – ab dann ist die Verordnung umzusetzen –möglichst die vollständige Anforderungspalette der EU-DSGVO abzudecken. Es gibt zwei große Datenkategorien, um die wir uns in diesem Zusammenhang kümmern müssen: die personenbezogenen Daten unserer Kunden – ob Mieter, Eigentümer oder Käufer – auf der einen und die unserer Mitarbeiter auf der anderen Seite. Hier stellt die EU-DSGVO ganz andere Anforderungen in Sachen Transparenz, Informationspflichten und Betroffenenrechte als das bisher geltende Bundesdatenschutzgesetz (BDSG). Bei der Umsetzung setzen wir auf ein enges Zusammenspiel der Bereiche Datenschutz, der in meinen Verantwortungsbereich fällt, und Datensicherheit, für die die IT-Abteilung zuständig ist.

Aareon Smart News: Seit wann beschäftigen Sie sich mit der EU-DSGVO?

Bröhl: Die neue Verordnung ist ja bereits seit April 2016 gültig und seither befassen wir uns auch damit. Im August desselben Jahres zum Beispiel haben wir gemeinsam mit einer Reihe befreundeter Wohnungsunternehmen an einem Round Table Datenschutz teilgenommen und das Thema diskutiert. Im Frühjahr 2017 haben wir die neue Datenschutzverordnung bei uns im Hause in einer großen Vorstandssitzung mit allen Prokuristen und Abteilungsleitern vorgestellt und einen Ausblick auf den Handlungsbedarf gegeben. Das Thema wird bei uns mit höchster Priorität behandelt.

Aareon Smart News: Wie ging es nach diesem Einstieg weiter?

Bröhl: Zurzeit gibt es natürlich noch keine Rechtsprechung zur neuen EU-DSGVO. Uns fehlt wie allen anderen Akteuren die Rechtssicherheit, ob wir die Verordnung richtig auslegen oder nicht. Also haben wir uns überlegt, wie wir die Umsetzung konkreter angehen können, und entschieden, zunächst das Verfahrensverzeichnis nach BDSG zu aktualisieren – eine Bestandsaufnahme über den Ist-Zustand. Diese nutzen wir als Informationsgrundlage, in der wir ganz detailliert erfassen, welche personenbezogenen Daten im Kontext von welchem Verfahren wo gespeichert sind, wann sie gelöscht werden müssen etc.

Dafür gab es Eröffnungsgespräche, die ich mit jedem Abteilungsleiter im Haus und ausgewählten Mitarbeitern aus jeder Fachabteilung geführt habe. Ziel war es, ihnen die neue Verordnung darzulegen und zu erklären, welche Anforderungen sich daraus für uns ergeben. Die Mitarbeiter bekamen dann die Hausaufgabe, alle Fachverfahren in ihrer Abteilung zu sammeln und sie mir in Interviews mitzuteilen. So haben wir nach und nach das Verfahrensverzeichnis aufgebaut.

Aareon Smart News: Haben Sie dabei auch Überraschungen erlebt?

Bröhl: In der Tat. In den Interviews kam heraus, dass es an der einen oder anderen Stelle im Unternehmen „ungeordnete“ Daten gibt, von denen wir bisher nichts wussten. Zum Beispiel, wenn sich jemand eine eigene kleine Excel®-Liste mit personenbezogenen Daten auf seinem Desktop anlegt – dann ist das ein Prozess, der so gar nicht vorgesehen ist. Diese Art von Daten gibt es sicher in jedem Unternehmen, und sie sind in der Umsetzung der EU-DSGVO das größte Problem. Strukturierte Daten kann man dagegen klar erkennen und identifizieren.

Aareon Smart News: Wie geht es weiter, wenn das Verfahrensverzeichnis steht?

Bröhl: Dann werden wir sämtliche Prozesse mit der EU-DSGVO abgleichen und – wo nötig – anpassen. Für meine Begriffe ist es eine große Chance der EU-DSGVO, dass wir unsere Prozesse in ihrer Gesamtheit erfassen, überdenken und gegebenenfalls neu strukturieren. Außerdem schauen wir uns in diesem Zusammenhang auch die Verträge, insbesondere die zur Auftragsdatenverarbeitung, mit unseren Dienstleistern an und überprüfen, ob sie an der einen oder anderen Stelle neu zu justieren sind. Das Gleiche gilt aber auch für die Betriebsvereinbarungen im Unternehmen.

Aareon Smart News: Sehen Sie weitere Chancen der EU-DSGVO? Und was sind aus Ihrer Sicht die größten Herausforderungen für die Wohnungswirtschaft?

Bröhl: Neben der Prozessoptimierung bietet die Umsetzung der EU-DSGVO eine gute Möglichkeit zur Risikominimierung: Wir haben nun Gelegenheit, die „ungeordneten“ Daten zu lokalisieren und zu überprüfen, ob diese kleinen, im Alltagsgeschäft verborgenen Prozesse gesetzeskonform sind oder geändert werden sollten. Das Gebot der Datensparsamkeit führt uns außerdem zu einer kritischen Überprüfung unseres Datenbestands: Benötigen wir diese oder jene Informationen wirklich noch? Ergebnis wird hoffentlich sein, dass die IT später weniger Daten zu verwalten hat.

Die größte Herausforderung für die Wohnungswirtschaft ist aus meiner Sicht dagegen die Erfüllung der Betroffenenrechte und Informationspflichten. Da entsteht im Moment ein erhöhter Aufwand. Die Unternehmen müssen entsprechende Ressourcen freimachen.

Aareon Smart News: Wie wirkt sich die EU-DSGVO konkret auf Ihr Aufgabenfeld als Datenschutzbeauftragter aus?

Bröhl: Sie bringt deutlich erhöhte Dokumentationsaufwände mit sich. Als Datenschutzbeauftragter wird man damit ein Stück weit mehr zum Kontrollorgan. Ich persönlich bin mittlerweile Datenschutzbeauftragter in Vollzeit, was sehr hilfreich ist. Der Arbeitsaufwand ist schon hoch. Ich denke, dass das in anderen, vor allem größeren Wohnungsunternehmen in Zukunft Schule machen dürfte. Der Aufwand und die Sensibilität zum Thema Datenschutz werden immer höher. Der Beratungsbedarf in den Fachabteilungen steigt.

Hinzu kommt, dass das Bundesdatenschutzgesetz noch formulierte, dass der Datenschutzbeauftragte auf die Einhaltung der Anforderungen „hinwirken“ soll. Die europäische Verordnung hingegen spricht nun von „überwachen“. Schon der neue Begriff drückt eine andere Verantwortung aus, die man – wie in Fachkreisen viel diskutiert – auch als erweiterte Haftung auslegen könnte.

Aareon Smart News: Die GAG ist SAP®-Individual-Kunde bei Aareon. Wie wird sich die EU-DSGVO auf Ihre ERP-System-Nutzung auswirken?

Bröhl: Gemeinsam mit Aareon werden wir einige Anpassungen im System vornehmen müssen. Ich denke da zum Beispiel an eine Detaillierung des Berechtigungskonzepts, um dem Gebot der Datensparsamkeit noch besser gerecht werden zu können: Zugreifen darf nur derjenige, der mit Fall X auch tatsächlich betraut ist. Weiterhin gilt es, Datenfelder zu klassifizieren, um Löschfristen einführen zu können. Und natürlich werden wir auch von unseren Auftragnehmern ein Verfahrensverzeichnis anfordern.

Aareon Smart News: Vielen Dank, Herr Bröhl, für diesen interessanten Einblick in Ihr Aufgabenfeld.

Bitte beachten Sie:

Dieser Beitrag stellt keine Rechtsberatung dar, sondern lediglich ein unverbindliches Informationsangebot. Trotz sorgfältiger Recherche können wir keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernehmen.

to top