Dipl.-Volksw. Fritz Schmidt
In allen Prozessen des Immobilienunternehmens, in denen personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten.
Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten
3.1 Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)
Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben werden. Besondere Bedeutung hat dies z. B. bei der Erhebung der Daten von Mietinteressenten (vgl. Datenschutz bei der Vermietung und Bestandsverwaltung, Kap. 1.1 Interessentenselbstauskunft).
3.2 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.
3.3 Transparenzprinzip (Art. 5 Abs. 1 lit. a DSGVO)
Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet und künftig noch verarbeitet werden. Darüber hinaus ist der Betroffene in Kenntnis zu setzen, in welchem Umfang die personenbezogenen Daten verarbeitet werden oder künftig verarbeitet werden sollen.
Zu den Informationspflichten im Einzelnen siehe Informations- und Auskunftspflichten bei der Datenerhebung.
3.4 Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 DSGVO unter dem Vorbehalt, dass alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht werden. Unternehmen haben ein Eigeninteresse daran, nur mit richtigen Daten zu arbeiten, sodass die Einhaltung dieses Prinzips wohl i. d. R. unproblematisch sein dürfte.
3.5 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das "Recht auf Vergessenwerden" in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei Wohnungsunternehmen i. d. R. nicht der Fall sein.
3.6 Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO)
Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Verlangt wird nur eine "angemessene Sicherheit" bei der Verarbeitung; insofern besteht ein Abwägungsspielraum zwischen angestrebtem Schutzzweck und dem Aufwand, der erforderlich ist, um dies sicherzustellen. Die Vertraulichkeit und Integrität der Daten ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten.
Zu Einzelheiten siehe Dokumentationspflichten, Kap. 3 Technische und organisatorische Maßnahmen (TOMs).
3.7 Pflichten bei der Auftragsverarbeitung (Art. 8 Abs. 1 DSGVO)
Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet und die andere Stelle ist den Weisungen des Auftraggebers unterworfen, liegt eine Auftragsverarbeitung i. S. d. Art. 28 Abs. 1 DSGVO vor. Weitere Voraussetzung für eine Auftragsverarbeitung ist, dass der Auftragnehmer keine eigene Entscheidungsbefugnis hat, wie mit den zur Verfügung gestellten Daten umzugehen ist.
Prozess der Auftragsverarbeitung
Bei Auftragsverarbeitungen treffen den Auftraggeber besondere Sorgfaltspflichten und er hat bei den mit dem Auftragnehmer zu treffenden vertraglichen Vereinbarungen darauf zu achten, dass die Vorgaben der DSGVO zur Auftragsverarbeitung beachtet werden. Die vertragliche Vereinbarung mit dem Auftraggeber ist schriftlich oder in elektronischer Form abzufassen.
Zu Einzelheiten siehe Dokumentationspflichten, Kap. 5 Auftragsverarbeitung.