Logo weiterlesen.de
Datenschutz in der Wohnungswirtschaft

[1]

Hinweis zum Urheberrecht

Abbildung

Haufe-Lexware GmbH & Co. KG, Freiburg

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über https://dnb.dnb.de abrufbar.

Print: Bestell-Nr. 16053-0001 ISBN: 978-3-648-10882-6
ePub: Bestell-Nr. 16053-0100 ISBN: 978-3-648-10883-3
ePDF: Bestell-Nr. 16053-0150 ISBN: 978-3-648-10884-0

Fritz Schmidt/Harald Schweißguth/Jan Heiner Hoffmann/David Hummel

Datenschutz in der Wohnungswirtschaft

1. Auflage 2018

© 2018 Haufe-Lexware GmbH & Co. KG, Freiburg

www.haufe.de

info@haufe.de

Produktmanagement: Jasmin Jallad

Lektorat und Satz: Text+Design Jutta Cram, Augsburg

Umschlag: RED GmbH, Krailling

Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit. Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe (einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche Einrichtungen, vorbehalten.

Vorwort

Am 25.5.2018 treten die EU-Datenschutz-Grundverordnung (DSGVO) und das novellierte Bundesdatenschutzgesetz (BDSG) in Kraft. Welche Änderungen ergeben sich daraus und was haben insbesondere Wohnungsunternehmen in Zukunft zu beachten?

Das vorliegende Buch beschäftigt sich umfassend mit den datenschutzrechtlichen Fragestellungen in der Wohnungs- und Immobilienwirtschaft. Es wendet sich vor allem an den wohnungswirtschaftlichen Praktiker, aber auch an die Mitarbeiter der Aufsichtsbehörden.

Regelmäßig setzen sich die Aufsichtsbehörden in ihren Tätigkeitsberichten auch mit datenschutzrechtlichen Fragestellungen in der Wohnungswirtschaft auseinander. Leider ist vielen dieser Berichte anzumerken, dass es den Aufsichtsbehörden an Kenntnissen über die Besonderheiten der Wohnungswirtschaft fehlt, sodass dann Empfehlungen herausgegeben werden, die nicht umsetzbar sind bzw. wesentliche Aspekte außer Acht lassen. Insofern besteht die Hoffnung, dass durch die Darstellung der wohnungswirtschaftlichen Besonderheiten in diesem Buch auch zur Meinungsbildung in den Aufsichtsbehörden beigetragen werden kann, damit die Anforderungen an die Wohnungsunternehmen praxistauglicher werden und damit die Akzeptanz für datenschutzrechtliche Fragestellungen in den Unternehmen weiter erhöht wird.

In diesem Buch werden praxisgerechte Lösungen angeboten. Den Autoren war dies vor allem deshalb möglich, weil sie als Mitarbeiter der wohnungswirtschaftlichen Treuhandstellen in Stuttgart und Frankfurt, die seit nunmehr 20 Jahren Wohnungsunternehmen externe Datenschutzbeauftragte stellen, auf einen reichen Erfahrungsschatz zurückgreifen können.

Eine interessante und erkenntnisreiche Lektüre wünscht Ihnen das Autorenteam

1Einführung in den Datenschutz

1.1Grundbegriffe des Datenschutzes

von Fritz Schmidt

In diesem Kapitel soll der Leser zunächst einen Überblick über den Datenschutz erhalten. Deshalb werden zunächst die Grundbegriffe, die auch in den folgenden Kapiteln immer wieder auftauchen, erklärt. Die Grundbegriffe sind nicht alphabetisch geordnet, sondern so, wie es zum Verständnis erforderlich ist. Im zweiten Teil dieses Kapitels werden dann die Grundprinzipien des Datenschutzes erläutert. In den folgenden Kapiteln werden dann diese Grundprinzipien anhand konkreter Fragestellungen eingehender dargestellt.

1.1.1Datenschutz-Grundverordnung (DSGVO)

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt unmittelbar den Datenschutz in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Die DSGVO ist zwingendes Recht, das in allen Mitgliedsstaaten der EU anzuwenden ist. Teilweise bestehen Öffnungsklauseln für nationale Regelungen.

1.1.2Bundesdatenschutzgesetz (BDSG)

Neben der DSGVO regelt das BDSG den Datenschutz in der Bundesrepublik Deutschland. Dabei ist zu beachten, dass nur die Teile 1 und 2 (§§ 1 bis 44) für nichtöffentliche Stellen zu beachten sind. Der Teil 3 (§§ 45 bis 85) setzt die EU-Richtlinie 2016/680 um und hat mit der DSGVO nichts zu tun. Die EU-Richtlinie 2016/680 regelt den Datenschutz für Polizei und Justiz und ist deshalb für Wohnungsunternehmen nicht anwendbar. Dennoch ergeben sich aus dem Teil 3 teilweise gesetzliche Präzisierungen, die in der DSGVO und auch im BDSG nicht so klar definiert sind. Deshalb kann es durchaus hilfreich sein, die Paragrafen des 3. Teils für die Auslegung der DSGVO heranzuziehen, auch wenn dieser Teil für Wohnungsunternehmen nicht zwingend anzuwenden ist.

images

Abb. 1: Anzuwendende gesetzliche Regelungen für nichtöffentliche Stellen

1.1.3Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder dadurch identifizierbare natürliche Person (Betroffener) beziehen. Identifizierbar ist eine natürliche Person, die direkt oder indirekt mittels Zuordnung zu einer Kennung, wie z. B. dem Namen, identifiziert werden kann. Die personenbezogenen Informationen beziehen sich auf physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Merkmale einer natürlichen Person.

Damit sind personenbezogene Daten alle Informationen, über die ein Personenbezug hergestellt werden kann. Beispiele hierfür sind: Name, Anschrift, IP-Adresse, Telefonnummer, Kreditkarten- oder Personalnummern, Kontodaten, Kfz-Kennzeichen, Aussehen, Kundennummer oder Arbeitszeiten.

1.1.4Besondere Kategorien personenbezogener Daten

Weiter gehenden Schutz genießen die besonderen Kategorien personenbezogener Daten (»sensible Daten«). Nach Art. 9 DSGVO handelt es sich dabei um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso fallen darunter genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

1.1.5Betroffener (Art. 4 Nr. 1 DSGVO)

»Betroffener« ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.

1.1.6Unternehmen (Art. 4 Nr. 17 DSGVO) und Unternehmensgruppe (Art. 4 Nr. 18 DSGVO)

Ein Unternehmen ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform.

Eine Unternehmensgruppe ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht.

1.1.7Empfänger (Art. 4 Nr. 9 DSGVO)

»Empfänger« ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.

1.1.8Verantwortlicher (Art. 4 Nr. 7 DSGVO) und Vertreter des Verantwortlichen

1.1.8.1Verantwortlicher

Nach Art. 4 Nr. 7 DSGVO ist »Verantwortlicher« die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet – das ist das Wohnungsunternehmen. Damit trägt die Unternehmensleitung, also die Geschäftsführung bei Gesellschaften mit beschränkter Haftung bzw. der Vorstand bei Genossenschaften oder Aktiengesellschaften, die Verantwortung für den Datenschutz in ihrem Zuständigkeitsbereich.

1.1.8.2Vertreter des Verantwortlichen oder Auftragsverarbeiters (Art. 27 DSGVO)

Werden personenbezogene Daten von EU-Bürgern, die im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen in der EU stehen, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter verarbeitet, hat der Verantwortliche oder Auftragsverarbeiter schriftlich einen Vertreter in der Union zu benennen (»Vertreter des Verantwortlichen«). Für Wohnungsunternehmen wird diese Regelung allenfalls bei Auftragsverarbeitungen Relevanz haben.

1.1.9Technische und organisatorische Maßnahmen

Unter die technischen und organisatorischen Maßnahmen fällt die Gesamtheit der organisatorischen (z. B. Zugangskontrollen, Zugriffsrechte, Arbeitsanweisungen) und technischen (z. B. Datensicherungen, Zugriffsrechte auf das IT-System, Zutrittsregelung) Maßnahmen des Unternehmens, die die Datensicherheit gewährleisten.

1.1.10Datensicherheit (Art. 5 Abs. 1 f und Art. 32 DSGVO)

Die Maßnahmen zum Datenschutz sollen die personenbezogenen Daten von natürlichen Personen vor Missbrauch schützen. Die Datensicherheit zielt originär auf die zu schützenden Daten ab, ungeachtet ihrer Verwendung und ihres Informationsgehalts. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in der Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Art. 5 Abs. 2 f DSGVO). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und des Zwecks der Datenverarbeitung und von Risikogesichtspunkten (Eintrittswahrscheinlichkeit, schwere des möglichen Schadens) sind geeignete technische und organisatorische Maßnahmen umzusetzen, wobei das anzustrebende Sicherheitsniveau im Verhältnis zum bestehenden Risiko angemessen zu sein hat.

Insofern besteht hier ein Abwägungsspielraum in Bezug auf die Angemessenheit der technischen und organisatorischen Vorkehrungen.

1.1.11Einwilligung (Art. 4 Nr. 11 DSGVO)

Eine Einwilligung ist jede freiwillig und in informierter Weise (also in Kenntnis des geplanten Zwecks) und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Auch wenn eine schriftliche Erklärung nicht erforderlich ist, erscheint es aus Gründen der Dokumentation sinnvoll, eine schriftliche Einwilligung einzuholen. Werden Daten im Internet erhoben, empfiehlt es sich, die Einwilligung über einen Einwilligungsklick zu dokumentieren.

Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen. Wird im Rahmen eines Mietvertrags z. B. die Einwilligung erteilt, dass die Kontaktdaten des Mieters an Handwerker oder an potenzielle Nachmieter zur Vereinbarung eines Besichtigungstermins weitergegeben werden dürfen, so sollte jede dieser Einwilligungen gesondert – am besten am Ende des Vertrags und klar hervorgehoben – vom Mieter unterschrieben werden (vgl. Kap. 4.1 »Vermietung«).

1.1.12Automatisierte Verfahren

Während in § 3 Abs. 2 BDSG-alt noch die automatisierte Verarbeitung als die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen definiert war, fehlt im neuen Datenschutzrecht eine Definition automatisierter Verfahren, obgleich sowohl in der DSGVO als auch im neuen BDSG weiterhin von automatisierten Verfahren gesprochen wird.

Nach Erwägungsgrund 15 zu Art. 2 DSGVO wird auf eine Definition wohl deshalb verzichtet, weil der Schutz natürlicher Personen technologieneutral und nicht von den verwendeten Techniken abhängig sein soll. Der Schutz natürlicher Personen soll für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollen nicht in den Anwendungsbereich der DSGVO fallen.

1.1.13Verarbeitung (Art. 4 Nr. 2 DSGVO)

»Verarbeitung« meint jeden Vorgang, bei dem mit oder ohne Hilfe automatisierter Verfahren personenbezogene Daten bearbeitet werden. Darunter fallen das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, die Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung personenbezogener Daten.

1.1.14Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)

Auftragsverarbeiter erheben, verarbeiten oder nutzen personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Die eigentlich betroffene Aufgabe/Funktion verbleibt beim Auftraggeber. Bei der Auftragsverarbeitung bestehen besondere einzuhaltende vertragliche Pflichten. Zusätzlich bestehen Dokumentationspflichten.

Auftragsverarbeitungen in der Wohnungswirtschaft sind häufig: die Heizkostenabrechnung durch beauftragte Dienstleister, Lohn- und Gehaltsabrechnungen, IT-Dienstleistungen.

1.1.15Berechtigtes Interesse

Nach Erwägungsgrund 47 zu Art. 6 DSGVO kann ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten dann vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht. In der Regel ist bei Vorliegen eines Vertragsverhältnisses auch das berechtigte Interesse an der Verarbeitung gegeben. Ein weiteres Indiz für das berechtigte Interesse an der Verarbeitung ist, dass der Betroffene vernünftigerweise mit der Verarbeitung seiner personenbezogenen Daten rechnen muss.

Ein berechtigtes Interesse ergibt sich bei Wohnungsunternehmen beispielsweise aus dem Mietverhältnis, aber auch aus der Anbahnung eines Mietverhältnisses. Ohne die Speicherung der Anschrift des Mietinteressenten wäre es dem Vermieter nicht möglich, Kontakt mit dem Interessenten aufzunehmen, wenn eine Wohnung verfügbar ist, die den Wünschen des Mietinteressenten entspricht.

1.1.16Profiling (Art. 4 Nr. 4 DSGVO)

»Profiling« ist jede Art der automatisierten Verarbeitung, bei der personenbezogene Daten dazu verwendet werden, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Das Profiling kann sich auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel beziehen.

1.1.17Pseudonymisierung (Art. 4 Nr. 5 DSGVO)

»Pseudonymisierung« ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Pseudonymisierung ist nur gegeben, wenn die zusätzlichen Informationen gesondert aufbewahrt werden sowie technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können. Eine Pseudonymisierung und Verschlüsselung personenbezogener Daten soll nur erfolgen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Bei den wohnungswirtschaftlichen Verarbeitungen wird deshalb eine Pseudonymisierung regelmäßig nicht erforderlich und i. d. R. auch nicht möglich sein.

1.1.18Drittstaat (Art. 44–50 DSGVO)

Ein Drittstaat ist nicht Mitglied der Europäischen Union. Eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der Europäischen Union oder eine internationale Organisation ist nur unter den in den Artikeln 44 bis 50 DSGVO genannten Voraussetzungen zulässig.

1.1.19Nichtöffentliche Stellen

Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG). Hierunter fallen die Gesellschaften mit beschränkter Haftung (GmbH), Aktiengesellschaften (AG), Genossenschaften (eG) oder Gesellschaften des bürgerlichen Rechts (GbR). Sofern nichtöffentliche Stellen personenbezogene Daten verarbeiten, haben sie das BDSG und die DSGVO zu beachten.

1.1.20Aufsichtsbehörden

Die Einhaltung der Datenschutzvorschriften wird durch unabhängige Aufsichtsbehörden überwacht. Wohnungsunternehmen in privater Rechtsform sind nichtöffentliche Stellen. Nach § 40 BDSG wird die Einhaltung des Datenschutzes bei nichtöffentlichen Stellen durch die nach Landesrecht zuständigen Stellen überwacht.

In Bayern überwacht das Landesamt für Datenschutzaufsicht und in den übrigen Bundesländern überwachen die Landesdatenschutzbeauftragten die Einhaltung des Datenschutzes im nichtöffentlichen Bereich.

Im nichtöffentlichen Bereich richtet sich die Zuständigkeit der Aufsichtsbehörde nach dem Sitz der verantwortlichen Stelle. Hat also ein Wohnungsunternehmen seinen Sitz in Berlin, ist der Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig, auch wenn z. B. Wohnungsbestände in einem anderen Bundesland bewirtschaftet und personenbezogene Daten außerhalb von Berlin erhoben werden. Unterhält das Wohnungsunternehmen eine Niederlassung in Frankfurt, so bleibt dennoch der Berliner Beauftragte für Datenschutz und Informationsfreiheit zuständig, weil das Wohnungsunternehmen in Berlin seinen Sitz hat.

1.1.21Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 11 DSGVO)

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Sicherheit verarbeiteter personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wird – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung.

1.2Grundprinzipien des Datenschutzes

von Fritz Schmidt

Nachdem im vorangegangenen Kapitel die Grundbegriffe erklärt wurden, folgt in diesem Kapitel eine Erläuterung der Grundprinzipien des Datenschutzes. In den weiteren Kapiteln werden diese Grundprinzipien anhand konkreter Fragestellungen eingehender erläutert.

1.2.1Sachlicher Anwendungsbereich

Das Datenschutzrecht betrifft ausschließlich die personenbezogenen Daten natürlicher Personen. Daten von Unternehmen sind nicht geschützt. Der Schutz erstreckt sich auf alle Arten der Verarbeitung personenbezogener Daten, unabhängig davon, ob diese automatisiert oder nicht automatisiert erfolgt. Nicht umfasst vom Schutzzweck ist die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Bei Wohnungsunternehmen werden vor allem die personenbezogenen Daten von Mietern, Mitarbeitern, Eigentümern in Wohnungseigentumsgemeinschaften und Erwerbern von Bauträgermaßnahmen verarbeitet. Dazu kommen noch die personenbezogenen Daten von Personen, die Gesellschafter von Wohnungsunternehmen oder Mitglieder einer Wohnungsgenossenschaft sind. Verfügt eine Wohnungsgenossenschaft über eine Spareinrichtung, werden auch in ihr personenbezogene Daten verarbeitet.

1.2.2Verbot mit Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, steht aber unter dem Erlaubnisvorbehalt des Art. 6 DSGVO.

Erlaubt ist danach die Verarbeitung personenbezogener Daten durch Unternehmen, wenn

eine Einwilligung des Betroffenen vorliegt,

die Verarbeitung für die Erfüllung eines Vertrags notwendig ist und der Betroffene Vertragspartei ist,

die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und ein Antrag der betroffenen Person vorliegt,

die Verarbeitung in Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erfolgt,

die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

1.2.3Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO)

images

Abb. 2: Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten

1.2.3.1Datensparsamkeit (Art. 5 Abs. 1 c DSGVO)

Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben werden.

1.2.3.2Zweckbindung (Art. 5 Abs. 1 b DSGVO)

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.

1.2.3.3Transparenzprinzip (Art. 5 Abs. 1 a DSGVO)

Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden sollen. Zu den Informationspflichten im Einzelnen siehe Kapitel 3 »Informationspflichten bei der Datenerhebung«.

1.2.3.4Richtigkeit (Art. 5 Abs. 1 d DSGVO)

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 DSGVO unter dem Vorbehalt, dass alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht werden.

1.2.3.5Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO)

Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das »Recht auf Vergessenwerden« in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei Wohnungsunternehmen i. d. R. nicht der Fall sein.

1.2.3.6Vertraulichkeit und Integrität (Art. 5 Abs. 1 f DSGVO)

Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Verlangt wird nur eine angemessene Sicherheit bei der Verarbeitung, insofern besteht ein Abwägungsspielraum zwischen angestrebtem Schutzzweck und dem erforderlichen Aufwand, um den Schutz sicherzustellen. Die Vertraulichkeit und Integrität der Daten ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Zu Einzelheiten siehe Kapitel 2.3 »Technische und organisatorische Maßnahmen«.

1.2.4Rechenschaftspflichten der Verantwortlichen (Art. 5 Abs. 2 DSGVO)

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Kap. 2 »Dokumentationspflichten«).

1.2.5Rechte der Betroffenen

images

Abb. 3: Betroffenenrechte

1.2.5.1Informations- und Benachrichtigungsrechte

Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden oder bei einem Dritten.

1.2.5.2Auskunftsrechte

Der Betroffene hat das Recht, von einem Verarbeiter eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, besteht ein Auskunftsanspruch über diese Daten, die Verarbeitungszwecke, die Herkunft der verarbeiteten Daten, über Empfänger dieser Daten und über die Dauer der Speicherung.

1.2.5.3Berichtigungs- und Vervollständigungsrechte

Betroffene können die Berichtigung und ggf. die Vervollständigung sie betreffender unzutreffender personenbezogener Daten verlangen.

1.2.5.4Löschungsrechte (Art. 17 DSGVO)

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Sollte aber eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten bestehen (z. B. aus dem Handels- oder Steuerrecht), so ist die gesetzliche Verpflichtung vorrangig und die Löschung kann erst verlangt werden, wenn die gesetzliche Verpflichtung nicht mehr besteht.

1.2.5.5Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene haben unter bestimmten Voraussetzungen einen Anspruch darauf, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Betroffene kann damit seine Daten von einem Anbieter zu einem anderen »mitnehmen«. Das Recht besteht bei jeder automatisierten Verarbeitung personenbezogener Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem Betroffenen. Dieses Recht ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat. Grundsätzlich könnte damit ein Mieter vom Vermieter die Herausgabe der diesem gegenüber gemachten Angaben in einer digitalen Datei verlangen, soweit diese Daten beim Wohnungsunternehmen elektronisch gespeichert sind.In der Praxis wird das Recht auf Datenübertragbarkeit bei Wohnungsunternehmen aber keine Relevanz haben.

1.2.5.6Widerspruchsrecht ( Art. 21 Abs. 1 DSGVO)

Gegen eine Verarbeitung, die im öffentlichen Interesse (Art. 6 Abs. 1 e DSGVO) oder im berechtigten Interesse des Verantwortlichen oder eines Dritten erfolgt (Art. 6 Abs. 1 f DSGVO), kann der Betroffene Widerspruch erheben. Der Verantwortliche darf dann die Daten nur noch verarbeiten, wenn er zwingende berechtigte Gründe für die Verarbeitung nachweisen kann, die die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Das Recht auf Widerspruch beschränkt sich auf diese Arten der Datenverarbeitung. Da die Datenverarbeitung bei einem bestehenden Mietverhältnis regelmäßig zur Erfüllung des bestehenden Vertrags nach Art. 6 Abs. 1 b DSGVO zulässig ist, kann insofern kein wirksamer Widerspruch eingelegt werden.

1.2.6Datenschutzverstöße

1.2.6.1Sanktionen

Datenschutzverstöße sind durch Bußgelder oder Freiheitsstrafen zu ahnden.

1.2.6.1.1Bußgelder

Bei Datenschutzverstößen können von der Aufsichtsbehörde Bußgelder festgesetzt werden. Bußgelder sind maximal in Höhe von bis zu 4 % des Jahresweltumsatzes eines Unternehmens oder 20 Mio. Euro zulässig, wobei der jeweils höhere Wert gilt.

1.2.6.1.2Freiheitsstrafen

Es können Freiheitsstrafen von bis zu drei Jahren verhängt werden, wenn wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen Dritten übermittelt oder auf andere Art und Weise zugänglich gemacht werden, ohne hierzu berechtigt zu sein, oder durch unrichtige Angaben personenbezogene Daten erschlichen werden. Hinzukommen muss, dass hierbei gegen Entgelt oder in der Absicht gehandelt wird, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.

1.2.6.2Meldepflichten

Kommt es zu Datenschutzverletzungen, hat der Verantwortliche dies unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde zu melden. Erfolgt die Meldung nicht binnen 72 Stunden, ist ihr eine Begründung für die Verzögerung beizufügen. Die Meldepflicht entfällt, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Kommt es beim Auftragsverarbeiter zu einem meldepflichtigen Vorfall, hat er dies unverzüglich dem Verantwortlichen des Auftraggebers zu melden.

1.3Wichtige Änderungen durch die DSGVO und das novellierte BDSG

von Fritz Schmidt

Ab dem 25.5.2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) zu beachten. Die DSGVO gilt im Unterschied zur bisherigen Datenschutzrichtlinie unmittelbar und ohne das Erfordernis von weiteren Umsetzungs- oder Transformationsakten der Mitgliedstaaten. Dies bedeutet, dass die Verordnung unmittelbar geltendes Recht ist und damit auch dem BDSG vorgeht. In der Richtlinie sind aber auch Spielräume enthalten, die die nationalen Gesetzgeber nutzen können. Die Bundesrepublik Deutschland hat im Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), mit dem das Bundesdatenschutzgesetz (BDSG) geändert wird und das ebenfalls am 25.5.2018 in Kraft tritt, die in der Richtlinie eingeräumten Spielräume genutzt. Es ergeben sich zahlreiche Änderungen, die im Folgenden dargestellt werden.

1.3.1Begrifflichkeiten

Teilweise verwendet das alte BDSG andere Begrifflichkeiten als die DSGVO oder das BDSG-neu, ohne dass damit eine inhaltliche Änderung verbunden ist. Das BDSG-alt verwendete den Begriff »verantwortliche Stelle«, während die DSGVO den Begriff des »Verantwortlichen« verwendet.

Das BDSG verwendet den Begriff des »Betroffenen«, während die DSGVO den Begriff der »betroffenen Person« verwendet. Mit beiden Begriffen ist eine identifizierte oder identifizierbare natürliche Person gemeint.

Während das BDSG-alt den Begriff »Auftragsdatenverarbeiter« verwendet, ist die Begrifflichkeit in der DSGVO »Auftragsverarbeiter« (Art. 4 Nr. 8 DSGVO). Inhaltlich decken sich die Begriffe.

1.3.2Rechtfertigung für Datenerhebung und -verarbeitung

images

Abb. 4: Hierarchie der Rechtfertigungsgründe

Wie nach bisherigem Recht ist die Verarbeitung personenbezogener Daten nur dann zulässig, wenn der Betroffene eine ausdrückliche Einwilligung gegeben hat oder eine Rechtsvorschrift die Verarbeitung erlaubt.

Die wesentlichen Erlaubnistatbestände sind:

Einwilligung (Art. 6 Abs. 1 Satz 1 a DSGVO)

Verarbeitung zur Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 Satz 1 b DSGVO)

Verarbeitung aufgrund rechtlicher Verpflichtungen (Art. 6 Abs. 1 Satz 1 c DSGVO)

Verarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 Satz 1 f DSGVO)

Änderungen ergeben sich in Bezug auf die formalen Voraussetzungen einer Einwilligung. Bisher musste die Einwilligung durch den Betroffenen schriftlich erfolgen. Zukünftig ist bereits dann eine Einwilligung gegeben, wenn der Betroffene eine unmissverständliche Willensbekundung in Form einer Erklärung abgibt oder er eine sonstige eindeutige bestätigende Handlung vornimmt, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist.

1.3.3Öffentliches Verfahrensverzeichnis/Rechenschafts- und Dokumentationspflichten

Bisher war ein öffentliches Verfahrensverzeichnis zu erstellen und zu führen (§ 4g Abs. 2 BDSG-alt). Das öffentliche Verfahrensverzeichnis war jedermann auf sein Verlangen hin zugänglich zu machen.