Dipl.-Volksw. Fritz Schmidt
3.1 Sachlicher Anwendungsbereich
Das Datenschutzrecht betrifft ausschließlich die personenbezogenen Daten natürlicher Personen: Die betrieblichen Kontaktdaten oder betriebliche Funktionen sind keine personenbezogenen Daten – private Kontaktdaten oder Fotografien von Mitarbeitern hingegen sind welche und unterliegen damit dem Schutz der DSGVO. Auch die Daten von anderen Unternehmen sind keine personenbezogenen Daten und fallen damit nicht in den Regelungsbereich der DSGVO. Der Schutz personenbezogener Daten erstreckt sich auf alle Arten der Verarbeitung, unabhängig davon, ob diese automatisiert oder nicht automatisiert erfolgen.
Nicht umfasst vom Schutzzweck ist die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ("Haushaltsprivileg").
3.2 Verbot mit Erlaubnisvorbehalt
Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, steht aber unter dem Erlaubnisvorbehalt des Art. 6 DSGVO. Erlaubt ist die Verarbeitung personenbezogener Daten durch Unternehmen, wenn ein Rechtfertigungsgrund vorliegt.
3.3 Rechtfertigungsgründe für die Datenerhebung und -verarbeitung
Die Verarbeitung personenbezogener Daten ist zulässig, wenn
- eine Einwilligung des Betroffenen vorliegt,
- die Verarbeitung für die Erfüllung eines Vertrags notwendig ist und der Betroffene Vertragspartei ist,
- die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und ein Antrag der betroffenen Person vorliegt,
- die Verarbeitung in Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erfolgt,
- die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Die Hierarchie der Rechtfertigungsgründe und die ggf. zu beachtenden Besonderheiten bei den einzelnen Rechtfertigungsgründen ergeben sich aus nachfolgender Abbildung:
Hierarchie der Rechtfertigungsgründe
Bei den Verarbeitungen aufgrund gesetzlicher Verpflichtung und aufgrund eines bestehenden Vertrags bzw. einer Vertragsanbahnung werden den Betroffenen keine weitergehenden Rechte eingeräumt. Erfolgt die Verarbeitung aufgrund einer Einwilligung, besteht ein Widerrufsrecht, bei Verarbeitung aufgrund von berechtigtem Interesse besteht ein Widerspruchsrecht (vgl. unten Kap. 3.5).
Da bei einer Verarbeitung aufgrund von berechtigtem Interesse immer eine Interessenabwägung zwischen den Interessen des Betroffenen und denen des Verantwortlichen vorzunehmen ist, kann die vom Verantwortlichen vorgenommene Interessenabwägung – trotz großer Sorgfalt – ermessensfehlerhaft sein. Um sich abzusichern, kann man den Betroffenen um eine Einwilligung zur Verarbeitung bitten. Zur Einwilligung siehe oben Kap. 2.9.
3.4 Rechenschaftspflichten der Verantwortlichen (Art. 5 Abs. 2 DSGVO)
Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Dokumentationspflichten).
3.5 Rechte der Betroffenen (Art. 12 bis 23 DSGVO)
Betroffene haben zahlreiche Rechte aus der DSGVO:
Betroffenenrechte
3.5.1 Informations- und Benachrichtigungsrechte (Art. 13 und 14 DSGVO)
Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden oder bei einem Dritten.
Zu Einzelheiten siehe Informations- und Auskunftspflichten bei der Datenerhebung.
3.5.2 Auskunftsrechte (Art. 15 DSGVO)
Der Betroffene hat das Recht, von einem Verarbeiter eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, besteht ein Auskunftsanspruch über diese Daten, die Verarbeitungszwecke, die Herkunft der verarbeiteten Daten, über Empfänger dieser Daten und über die Dauer der Speicherung.
Zu Einzelheiten siehe Informations- und Auskunftspflichten bei der Datenerhebung.
3.5.3 Löschungsrechte (Art. 17 DSGVO)
Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Sollte aber eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten bestehen (z. B. aus dem Handels- oder Steuerrecht), so ist die gesetzliche Verpflichtung vorrangig und die Löschung kann erst verlangt werden, wenn die gesetzliche Verpflichtung nicht mehr besteht.
Zu Einzelheiten siehe Löschkonzepte und die Archivierung von Daten.
3.5.4 Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Betroffene haben unter bestimmten Voraussetzungen einen Anspruch darauf, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Betroffene kann damit seine Daten von einem Anbieter zu einem anderen "mitnehmen". Das Recht besteht bei jeder automatisierten Verarbeitung personenbezogener Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem Betroffenen. Dieses Recht ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat.
Grundsätzlich könnte damit ein Mieter vom Vermieter die Herausgabe der diesem gegenüber gemachten Angaben in einer digitalen Datei verlangen...