Dipl.-Volksw. Fritz Schmidt
Zusammenfassung
Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden:
- Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO),
- Pflichten bei der Auftragsverarbeitung,
- Informationspflichten bei der Datenerhebung,
- Auskunfts- und Berichtigungspflichten gegenüber Betroffenen,
- Pflicht zur Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Sperrung/Einschränkung der Verarbeitung (Art. 18 DSGVO),
- Verpflichtung auf Datenübertragbarkeit,
- Dokumentationspflichten,
- Datenschutz-Folgenabschätzung und Konsultationspflicht,
- Benennung eines Datenschutzbeauftragen,
- Meldepflichten bei Datenpannen.
1 Übersicht
Verpflichtungen für Wohnungsunternehmen, die sich aus der DSGVO ergeben
2 Datenschutzkonzept
Es erscheint sinnvoll, ein Datenschutzkonzept zu erstellen und zu dokumentieren, das auf den Säulen Dokumentation, Information und Einzelfallprüfungen der entsprechenden Prozesse und ggf. Einschaltung eines internen oder externen Datenschutzbeauftragten beruht. Nach Art. 32 DSGVO sind alle Sicherungsmaßnahmen am Risiko auszurichten. Deshalb sollte zunächst eine Risikoanalyse durchgeführt werden, um z. B. die technischen und organisatorischen Maßnahmen entsprechend dem Risikoprofil zu wählen. Zu berücksichtigen sind etwa Risiken aus der Vernichtung, dem Verlust oder der Veränderung personenbezogener Daten, der unbeabsichtigten, unrechtmäßigen oder unbefugten Offenlegung und dem unbefugten Zugang zu personenbezogenen Daten. Dabei sind die Risiken nach Schadenshöhe und Eintrittswahrscheinlichkeit zu gewichten. Die Elemente des Datenschutzkonzepts ergeben sich aus den vom Wohnungsunternehmen einzuhaltenden datenschutzrechtlichen Vorschriften.
3 Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)
In allen Prozessen des Immobilienunternehmens, in denen personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten.
Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten
3.1 Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)
Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben werden. Besondere Bedeutung hat dies z. B. bei der Erhebung der Daten von Mietinteressenten (vgl. Datenschutz bei der Vermietung und Bestandsverwaltung, Kap. 1.1 Interessentenselbstauskunft).
3.2 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.
3.3 Transparenzprinzip (Art. 5 Abs. 1 lit. a DSGVO)
Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet und künftig noch verarbeitet werden. Darüber hinaus ist der Betroffene in Kenntnis zu setzen, in welchem Umfang die personenbezogenen Daten verarbeitet werden oder künftig verarbeitet werden sollen.
Zu den Informationspflichten im Einzelnen siehe Informations- und Auskunftspflichten bei der Datenerhebung.
3.4 Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 DSGVO unter dem Vorbehalt, dass alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht werden. Unternehmen haben ein Eigeninteresse daran, nur mit richtigen Daten zu arbeiten, sodass die Einhaltung dieses Prinzips wohl i. d. R. unproblematisch sein dürfte.
3.5 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das "Recht auf Vergessenwerden" in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei Wohnungsunternehmen i. d. R. nicht der Fall sein.
3.6 Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO)
Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Verlangt wird nur eine "angemessene Sic...