Verwendung von Cookies

Cookies helfen uns bei der Bereitstellung unserer Dienste. Durch die Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies setzen.

logoAareon

EU-DSGVO: Prozessoptimierung

Produkte und Referenzen > Prozesslösungen

GdW zur EU-DSGVO: Prozessoptimierung ist das A und O

In diesem Gastbeitrag informiert Rechtsanwalt Carsten Herlitz, Justiziar beim GdW Bundesverband deutscher Wohnungs- und Immobilienunternehmen e.V., über die Bedeutung der europäischen Datenschutz-Grundverordnung für die Wohnungswirtschaft – und spricht Empfehlungen zur Umsetzung aus.

Die europäische Datenschutz-Grundverordnung (EU-DSGVO) regelt ab dem 25. Mai 2018 das Datenschutzrecht innerhalb der Europäischen Union neu. Aber nicht alles ändert sich. Einige Vorgaben sind aus der früheren EG-Datenschutzrichtlinie übernommen und entsprechen dem bisherigen Datenschutzrecht in Deutschland. Die Neuerungen betreffen insgesamt weniger das „Ob“ der Datenerhebung, sondern vielmehr das „Wie“ der Datenverarbeitung – also den Umgang mit den Daten. Zu beachten sind strengere Anforderungen der Information und der Löschung von Daten sowie verstärkte Auskunftsrechte der Betroffenen. Für die Wohnungswirtschaft und andere Branchen bedeutet das neue Recht vor allem weitreichende Prozessanpassungen.

Adressaten der EU-DSGVO sind vor allem „Verantwortliche“ und „Auftragsverarbeiter“. Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über Zwecke und Mittel der Datenverarbeitung entscheidet. Betroffen ist damit auch die Wohnungswirtschaft. Unter Auftragsverarbeiter werden externe Dritte verstanden, die entsprechende Verantwortlichkeiten übernehmen. Ein für die Wohnungswirtschaft typisches Beispiel hierfür dürften Messdienstleister sein, die von Wohnungsunternehmen mit der Verarbeitung personenbezogener Daten betraut sind.

Grundsätze der Datenverarbeitung (Art. 5 EU-DSGVO)

Zu den für die Wohnungswirtschaft besonders relevanten Anforderungen der EU-DSGVO gehören erweiterte Lösch- bzw. Speicherpflichten. Art. 5 EU-DSGVO legt verschiedene Grundsätze der Datenverarbeitung fest. So gibt es zum Beispiel den Grundsatz der Speicherbegrenzung. Danach müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur ermöglicht, so lange es für die Verarbeitungszwecke nötig ist. Darüber hinaus gelten unter anderem die Grundsätze der Datenminimierung und Erforderlichkeit: Zu erheben sind also nur die für die jeweiligen Zwecke tatsächlich benötigten Daten.

Die wichtigsten Grundsätze lauten:

Löschung stärker im Fokus

Zur Einhaltung der Grundsätze der Datenverarbeitung ist die Löschung der Daten ein wesentliches Element. Art. 17 EU-DSGVO befasst sich mit dem Löschen von Daten und dem Recht auf ein Vergessenwerden. Die europäische Datenschutz-Grundverordnung weitet die Löschpflichten von Organisationen aus und definiert eine Reihe von Gründen, aus denen personenbezogene Daten ohne unangemessene Verzögerung zu löschen sind. Eine wichtige Begründung für eine Löschung ist zum Beispiel, dass Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr relevant sind. Die Aufbewahrung richtet sich danach, wie lange man die Daten tatsächlich braucht. Der Auszug des Mieters kann ein Zeitpunkt sein, an dem Daten zu löschen sind. Allerdings können die Daten für eine Betriebskostenabrechnung, Ansprüche aus dem Mietverhältnis oder aufgrund von Anforderungen der Finanzverwaltung weiterhin relevant sein. Wie lange also Daten auch nach Auszug des Mieters aufgehoben werden können, ist zu prüfen und zu dokumentieren.

Datenschutzfolgeabschätzung

Die sogenannte Datenschutz-Folgenabschätzung nach Art. 35 EU-DSGVO weicht erheblich vom jetzigem Recht ab. Sie muss durchgeführt werden, wenn die Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der davon betroffenen Personen zur Folge haben könnte. Hierbei sind insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos zu bewerten. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 EU-DSGVO die zuständige Aufsichtsbehörde zu Rate ziehen, sofern er keine Maßnahmen zur Eindämmung des Risikos trifft. In Zweifelsfällen sollten Sie die Aufsichtsbehörde informieren, mindestens jedoch die Entscheidung dokumentieren.

Informieren, melden, benachrichtigen!

Darüber hinaus belegt die EU-DSGVO Unternehmen mit schärferen Informationspflichten. Allen voran gelten gemäß Art. 5 Abs. 1, 12-15 EU-DSGVO erweiterte Transparenzvorgaben. Demnach müssen Organisationen die betroffenen Personen deutlich umfangreicher – und auf nachvollziehbare Weise – darüber informieren, ob und wie sie ihre Daten verarbeiten. So haben betroffene Personen Auskunftsrechte darüber, welche Informationen über sie verarbeitet wurden. Wenn gewünscht, muss der Verantwortliche ihnen eine Kopie der Daten zur Verfügung stellen.

Art. 33, 34 EU-DSGVO bestimmt umfassendere Melde- und Benachrichtigungspflichten im Fall von Datenschutzverletzungen. Dabei ist auch die Definition einer Datenschutzverletzung deutlich weiter gefasst als bisher. Jede Datenschutzverletzung muss das Unternehmen der Aufsichtsbehörde unverzüglich melden, nämlich möglichst innerhalb von 72 Stunden, sobald sie dem Verantwortlichen bekannt wurde. Zudem gilt, dass auch die betroffene Person ohne unangemessene Verzögerung zu benachrichtigen ist, wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Der Datenschutzbeauftragte bekommt eine stärkere Stellung. Er ist nicht nur beratend tätig, sondern „wirkt auf die Einhaltung“ der Vorschriften im Unternehmen hin.

Was die Wohnungswirtschaft nun tun sollte

Bis zum Anwendungsbeginn der EU-DSGVO Ende Mai 2018 sind es nur noch wenige Monate. Viele Wohnungsunternehmen arbeiten deshalb mit Hochdruck an der Umsetzung der neuen Vorgaben. Das A und O ist dabei eine Überprüfung und Dokumentation der Prozesse rund um die Datenverarbeitung. Wohnungsunternehmen sollten ihre bestehenden Arbeitsabläufe erfassen, im Detail analysieren und dort, wo es notwendig ist, anpassen. So können sie eine auf die EU-DSGVO abgestimmte Datenschutzorganisation aufsetzen. In diesem Kontext ebenfalls empfehlenswert ist die Erstellung und Umsetzung eines Löschkonzepts. Darin sollte das Wohnungsunternehmen genau definieren, welche Informationen zu welchem Zeitpunkt und mittels welcher Maßnahme zu löschen sind.

Außerdem ist es nun an der Zeit, dass sich die Immobilienwirtschaft mit ihren Informationspflichten und den Betroffenenrechten auseinandersetzt. „Wie informieren wir über unsere Datenverarbeitung?“ – das ist eine wichtige Frage, über die sich die Organisationen jetzt Gedanken machen sollten. In diesem Zusammenhang gilt es auch zu definieren, welche Einwilligungserklärungen die Organisation in Sachen Datenverarbeitung künftig benötigt und wie sie einzuholen sind. Der GdW wird hierzu eine Handreiche zur Verfügung stellen.

Im Vergleich zum bisher geltenden Recht verschärft sich der Bußgeldrahmen mit der europäischen Datenschutz-Grundverordnung drastisch. Art. 83 EU-DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des gesamten, weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor. Auch wenn insbesondere bei Kooperation mit den Aufsichtsbehörden nicht davon auszugehen ist, dass zu Anfang der neuen Regelungen empfindliche Strafe ausgesprochen werden, sollten die nötigen Maßnahmen zur Umsetzung der EU-DSGVO ergriffen werden und empfindlichen Strafen bei Datenschutzverletzungen vorgebeugt werden.

Bitte beachten Sie:

Dieser Beitrag stellt keine Rechtsberatung dar, sondern lediglich ein unverbindliches Informationsangebot. Trotz sorgfältiger Recherche können wir keine Haftung für die Richtigkeit, Vollständigkeit oder Aktualität der Inhalte übernehmen.

to top