• E-Book

    48,99 €

Datenschutz in der Wohnungswirtschaft - Fritz Schmidt - E-Book

Datenschutz in der Wohnungswirtschaft E-Book

Fritz Schmidt

0,0
48,99 €
-100%
Sammeln Sie Punkte in unserem Gutscheinprogramm und kaufen Sie E-Books und Hörbücher mit bis zu 100% Rabatt.

Mehr erfahren.
Beschreibung

Dieses Buch bietet eine Einführung in den Datenschutz und erklärt, wie Wohnungsunternehmen und Immobilienverwaltungen personenbezogene Daten von Mieter:innen oder Eigentümer:innen korrekt speichern, verarbeiten und weitergeben. Es erläutert die Regelungen der Datenschutzgrundverordnung DSGVO von 2018 und bezieht in der aktualisierten 2. Auflage die seither vorliegenden Veröffentlichungen der Aufsichtsbehörden, Gerichtsurteile und Gesetzänderungen mit ein. Damit können Sie täglich vorkommende Sachverhalte datenschutzrechtlich korrekt einordnen und sind auch bei Anfragen der Aufsichtsbehörde bestens gewappnet. Inhalte: - Grundbegriffe des Datenschutzes - Verpflichtungen aus der DSGVO für Unternehmen - Aktuelle Rechtsprechung - Dokumentationspflichten - Informationspflichten bei der Datenerhebung - Der bzw. die Datenschutzbeauftragte: Bestellung, Rechtsstellung, Aufgaben - Datenschutz in den einzelnen Geschäftsfeldern eines Wohnungsunternehmens - Löschkonzepte und die Archivierung von Daten Neu in der 2. Auflage: - Telekommunikation-Telemedien-Datenschutz- Gesetzes (TTDSG): Auswirkungen auf Webseites - Novelle des Wohnungseigentumsgesetzes und der Heizkostenverordnung - Aktuelle Rechtsprechnung - Digitalisierung in der Wohnungswirtschaft, wie Elektronische Schließsysteme und Bodycams - Sanktionen bei Datenschutzverstößen - Öffentlichkeitsarbeit (Fotos, Gewinnspiele, Direktwerbung) Digitale Extras: - Datenschutzgrundverordnung - Aktuelle Rechtsprechung - Musterverfahrensverzeichnisse und Informationen für die Wohnungseigentumsverwaltung  

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB
MOBI

Seitenzahl: 308

Veröffentlichungsjahr: 2022

Bewertungen
0,0
0
0
0
0
0
Mehr Informationen
Mehr Informationen
Bewertungen werden von Nutzern von Legimi sowie anderen Partner-Webseiten vergeben.
Mehr Informationen
Mehr Informationen
Legimi prüft nicht, ob Rezensionen von Nutzern stammen, die den betreffenden Titel tatsächlich gekauft oder gelesen/gehört haben. Wir entfernen aber gefälschte Rezensionen.

Ähnliche

Hard facts Datenschutz in der Wohnungswirtschaft - Fritz Schmidt - E-Book
Hard facts Datenschutz in der Wohnungswirtschaft
Fritz Schmidt
Der Weg zum erfolgreichen Unternehmer - Stefan Merath - Hörbuch
Der Weg zum erfolgreichen Unternehmer
Stefan Merath
Der Weg zum erfolgreichen Unternehmer - Stefan Merath - E-Book
Der Weg zum erfolgreichen Unternehmer
Stefan Merath
Denke (nach) und werde reich - Napoleon Hill - E-Book
Denke (nach) und werde reich
Napoleon Hill
30 Minuten Resilienz - Ulrich Siegrist - Hörbuch
30 Minuten Resilienz
Ulrich Siegrist
Krebszellen mögen keine Himbeeren - Der große Bestseller - Vollständig überarbeitet und aktualisiert - Richard Béliveau - E-Book
Krebszellen mögen keine Himbeeren - Der große Bestseller - Vollständig überarbeitet und aktualisiert
Richard Béliveau
Die Hormonrevolution - Michael E Platt - E-Book
Die Hormonrevolution
Michael E Platt
Der Crash ist die Lösung - Matthias Weik - E-Book
Der Crash ist die Lösung
Matthias Weik
Günter, der innere Schweinehund, lernt verkaufen - Stefan Frädrich - Hörbuch
Günter, der innere Schweinehund, lernt verkaufen
Stefan Frädrich
Die Leber wächst mit ihren Aufgaben - Dr. med. Eckart von Hirschhausen - E-Book
Die Leber wächst mit ihren Aufgaben
Dr. med. Eckart von Hirschhausen
Der größte Raubzug der Geschichte - Matthias Weik - E-Book
Der größte Raubzug der Geschichte
Matthias Weik
Unsere Hunde - gesund durch Homöopathie - Hans Günter Wolff - E-Book
Unsere Hunde - gesund durch Homöopathie
Hans Günter Wolff
Die Jahrhundertlüge, die nur Insider kennen - Heiko Schrang - E-Book
Die Jahrhundertlüge, die nur Insider kennen
Heiko Schrang
Organisation für Komplexität - Niels Pfläging - E-Book
Organisation für Komplexität
Niels Pfläging
Radikal führen - Reinhard K. Sprenger - Hörbuch
Radikal führen
Reinhard K. Sprenger
30 Minuten Sympathisch und souverän: So geht Vortragen! - Thomas Lorenz - E-Book
30 Minuten Sympathisch und souverän: So geht Vortragen!
Thomas Lorenz
BLACKOUT - Morgen ist es zu spät - Marc Elsberg - E-Book
BLACKOUT - Morgen ist es zu spät
Marc Elsberg
The Truth About Employee Engagement - Patrick M. Lencioni - E-Book
The Truth About Employee Engagement
Patrick M. Lencioni
Mensch und Wald - Carsten Wippermann - E-Book
Mensch und Wald
Carsten Wippermann
The Food Truck Handbook - David Weber - E-Book
The Food Truck Handbook
David Weber

[7]Inhaltsverzeichnis

Hinweis zum UrheberrechtImpressumAbkürzungsverzeichnisVorwort1 Einführung in den Datenschutz1.1 Rechtsgrundlagen für den Datenschutz in Deutschland1.2 Grundbegriffe des Datenschutzes1.2.1 Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) 1.2.2 Besondere Kategorien personenbezogener Daten1.2.3 Betroffener (Art. 4 Nr. 1 DSGVO) 1.2.4 Unternehmen (Art. 4 Nr. 18 DSGVO) und Unternehmensgruppe (Art. 4 Nr. 19 DSGVO) 1.2.5 Empfänger (Art. 4 Nr. 9 DSGVO) 1.2.6 Verantwortlicher (Art. 4 Nr. 7 DSGVO) 1.2.7 Technische und organisatorische Maßnahmen1.2.8 Datensicherheit (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO) 1.2.9 Einwilligung (Art. 4 Nr. 11 DSGVO) 1.2.10 Automatisierte Verfahren1.2.11 Verarbeitung (Art. 4 Nr. 2 DSGVO) 1.2.12 Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO) 1.2.13 Berechtigtes Interesse1.2.14 Profiling (Art. 4 Nr. 4 DSGVO) 1.2.15 Pseudonymisierung (Art. 4 Nr. 5 DSGVO) 1.2.16 Drittstaat (Art. 44–50 DSGVO) 1.2.17 Öffentliche und nichtöffentliche Stellen1.2.18 Aufsichtsbehörden1.2.19 Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) 1.3 Grundprinzipien des Datenschutzes1.3.1 Sachlicher Anwendungsbereich1.3.2 Verbot mit Erlaubnisvorbehalt 1.3.3 Rechtfertigungsgründe für die Datenerhebung und -verarbeitung1.3.4 Rechenschaftspflichten der Verantwortlichen (Art. 5 Abs. 2 DSGVO) 1.3.5 Rechte der Betroffenen (Art. 12–23 DSGVO) 1.3.6 Sanktionen bei Datenschutzverstößen2 Verpflichtungen aus der DSGVO für Unternehmen2.1 Datenschutzkonzept2.2 Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)2.2.1 Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)2.2.2 Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)2.2.3 Transparenzprinzip (Art. 5 Abs. 1 lit. a DSGVO)2.2.4 Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO) 2.2.5 Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) 2.2.6 Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO) 2.2.7 Pflichten bei der Auftragsverarbeitung (Art. 8 Abs. 1 DSGVO) 2.3 Informationspflichten bei der Datenerhebung2.3.1 Direkterhebung2.3.2 Dritterhebung2.3.3 Informationspflicht bei Verarbeitungen aufgrund von berechtigtem Interesse2.4 Informationspflicht bei Weiterverarbeitung für einen anderen Zweck (§ 32 BDSG i. V. m. Art. 13 Abs. 3 DSGVO) 2.5 Auskunftspflichten gegenüber Betroffenen (Art. 15 DSGVO) 2.6 Pflicht zur Berichtigung, Löschung und Sperrung personenbezogener Daten2.6.1 Berichtigung (Art. 16 DSGVO) 2.6.2 Löschungsrechte (Art. 17 DSGVO) 2.6.3 Sperrung /Einschränkung (Art. 18 DSGVO) 2.7 Verpflichtung zur Datenübertragbarkeit (Art. 20 DSGVO) 2.8 Dokumentationspflichten2.8.1 Verfahrensverzeichnisse2.8.2 Dokumentation der technischen und organisatorischen Maßnahmen2.8.3 Liste der Auftragsverarbeitungen2.9 Datenschutz-Folgenabschätzung und Konsultationspflicht (Art. 35 und 36 DSGVO) 2.10 Benennung eines Datenschutzbeauftragten2.11 Meldepflichten bei Datenpannen (Art. 33 und 34 DSGVO) 3 Dokumentationspflichten3.1 Verzeichnis der Verarbeitungstätigkeiten3.2 Technische und organisatorische Maßnahmen (TOM)3.2.1 Schutzziele 3.2.2 Konkrete Anforderungen an die Ausgestaltung technischer und organisatorischer Maßnahmen3.2.3 Die Schlüsselrolle der Mitarbeiter für Datenschutz und Datensicherheit3.3 Verpflichtung der Mitarbeiter auf das Datengeheimnis3.4 Auftragsverarbeitung3.4.1 Sorgfaltspflichten bei der Auswahl der Auftragsverarbeiter3.4.2 Vertragliche Vereinbarungen3.4.3 Hinweise zur Durchführung und Dokumentation der Prüfung auf Einhaltung der datenschutzrechtlichen Verpflichtungen durch den Auftraggeber3.4.4 Liste der Auftragsverarbeitungen3.4.5 Haftung4 Informationspflichten bei der Datenerhebung4.1 Zeitpunkt und Form der Informationsbereitstellung4.2 Datenerhebung beim Betroffenen4.3 Mitzuteilende Informationen nach Art. 13 Abs. 1 DSGVO 4.4 Zur Verfügung zu stellende Informationen (Art. 13 Abs. 2 DSGVO) 4.5 Datenerhebung bei Dritten (Dritterhebung gem. Art. 14 DSGVO) 4.6 Informationspflicht bei Verarbeitungen aufgrund von berechtigtem Interesse4.7 Weiterverarbeitung für einen anderen Zweck (§ 32 BDSG i. V. m. Art. 13 Abs. 3 DSGVO) 5 Auskunftspflichten (Art. 15 DSGVO) 6 Der Datenschutzbeauftragte6.1 Bestellung eines Datenschutzbeauftragten6.1.1 Bestellpflicht nach DSGVO und BDSG 6.1.2 Anforderungen an die Bestellung6.1.3 Bestellung eines externen Datenschutzbeauftragten6.2 Rechtsstellung des Datenschutzbeauftragten6.2.1 Unabhängigkeit6.2.2 Abberufungs- und Benachteiligungsverbot 6.2.3 Berichtspflicht6.2.4 Einbindung und Unterstützung des Datenschutzbeauftragten6.2.5 Pflicht zur Geheimhaltung und Vertraulichkeit6.2.6 Publizität des Datenschutzbeauftragten6.3 Aufgaben des Datenschutzbeauftragten6.3.1 Unterrichtung und Beratung6.3.2 Überwachung der Einhaltung des Datenschutzes6.3.3 Beratung bei der Datenschutz-Folgenabschätzung6.3.4 Zusammenarbeit mit der Datenschutzaufsichtsbehörde6.3.5 Risikoorientierte Tätigkeit6.4 Zusammenfassung zum Datenschutzbeauftragten7 Fragen zum Datenschutz in den einzelnen Geschäftsfeldern eines Wohnungsunternehmens7.1 Bestandsverwaltung7.1.1 Anbahnung des Mietverhältnisses7.1.2 Datenschutz im laufenden Mietverhältnis7.1.3 Datenschutz bei Beendigung des Mietverhältnisses7.2 Wohnungseigentumsverwaltung7.2.1 Die Stellung des Verwalters aus datenschutzrechtlicher Sicht7.2.2 Datenschutzrechtlich relevante Aufgaben des Verwalters7.2.3 Informationspflichten des Verwalters bei der Erhebung personenbezogener Daten7.2.4 Beschäftigung von Hausmeistern/Reinigungskräften durch die WEG7.2.5 Statistische Erhebungen7.3 Besonderheiten bei Genossenschaften7.3.1 Mitgliederliste7.3.2 Übermittlung von Daten der Mitglieder an das Bundeszentralamt für Steuern7.3.3 Beitritt zur Genossenschaft7.3.4 Besonderheiten bei Genossenschaften mit Vertreterversammlung7.3.5 Prüfungen7.4 Wohnungsgenossenschaften mit Spareinrichtung7.4.1 Datenerhebung nach dem Geldwäschegesetz (GwG)7.4.2 Mitarbeiterüberwachung nach § 6 Abs. 2 Nr. 5 GwG 7.4.3 Verpflichtende Innenrevision nach der MaRisk 7.4.4 Meldepflichten nach den Steuergesetzen7.4.5 Meldepflichten nach dem Finanzkonten-Informationsaustauschgesetz (FKAustG)7.4.6 Zulässige Datenerhebung bei der Eröffnung eines Sparkontos7.4.7 Löschpflichten7.5 Maklertätigkeit7.5.1 Identifizierungspflichten7.5.2 Verdachtsmeldungen 7.5.3 Mitarbeiterüberwachung nach § 6 Abs. 2 Nr. 5 GwG 7.5.4 Löschpflichten7.6 Beschäftigtendatenschutz7.6.1 Anbahnung und Begründung des Beschäftigungsverhältnisses7.6.2 Laufende Beschäftigungsverhältnisse7.6.3 Datenschutz beim Austritt von Beschäftigten7.6.4 Beendete Beschäftigungsverhältnisse7.7 Nutzung betrieblicher Kommunikationsmittel für private Zwecke7.7.1 Internet und E-Mail7.7.2 Mobile Endgeräte7.8 Videoüberwachung7.8.1 Zulässigkeitsvoraussetzungen7.8.2 Videoüberwachung in Bestandsgebäuden7.8.3 Baustellenwebcams 7.8.4 Kamera-Attrappen7.8.5 Klingelkameras 7.8.6 Bodycams 7.8.7 Videoüberwachung durch Bewohner7.8.8 Videoüberwachung in der Wohnungseigentümergemeinschaft7.9 Öffentlichkeitsarbeit7.9.1 Homepage7.9.2 Veröffentlichung von Fotos7.9.3 Gewinnspiele 7.9.4 Direktwerbung8 Digitalisierung in der Wohnungswirtschaft8.1 Elektronische Schließsysteme8.2 E-Mail-Verschlüsselung8.3 Verbrauchsinformation gemäß der novellierten Heizkostenverordnung 20218.4 Rechenzentren und Cloud-Computing9 Löschkonzepte und die Archivierung von Daten9.1 Löschverpflichtung9.2 Löschen9.3 Datenart/Datenkategorie9.4 Regellöschfrist9.5 Löschregeln9.6 Standardlöschfristen9.7 Abstrakte Startzeitpunkte9.8 Löschklassen9.9 Dokumentation10 Sanktionen bei Datenschutzverstößen10.1 Öffentlich-rechtliche Sanktionen10.1.1 Geldbußen (Art. 83 DSGVO) 10.1.2 Strafvorschriften10.2 Schadenersatz für immaterielle Schäden (Art. 82 Abs. 1 DSGVO) AnhangCheckliste: Prüfung und Dokumentation AuftragsverarbeitungMuster: Dokumentation der AuftragsverarbeitungenMuster: Verfahrensverzeichnis allgemeinMuster: Verfahrensverzeichnis WohnungseigentumsverwaltungMuster: Datenschutzinformation allgemeinMuster: Datenschutzinformation WohnungseigentumsverwaltungMuster: Dokumentation der technischen und organisatorischen MaßnahmenStichwortverzeichnis
[1]

Hinweis zum Urheberrecht:

Alle Inhalte dieses eBooks sind urheberrechtlich geschützt.

Bitte respektieren Sie die Rechte der Autorinnen und Autoren, indem sie keine ungenehmigten Kopien in Umlauf bringen.

Dafür vielen Dank!

Haufe Lexware GmbH & Co KG

[6]Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über

http://dnb.dnb.de/ abrufbar.

Print:

ISBN 978-3-648-13993-6

Bestell-Nr. 16053-0002

ePub:

ISBN 978-3-648-13994-3

Bestell-Nr. 16053-0101

ePDF:

ISBN 978-3-648-13995-0

Bestell-Nr. 16053-0151

Fritz Schmidt und David Hummel

Datenschutz in der Wohnungswirtschaft

2., aktualisierte und erweiterte Auflage, August 2022

© 2022 Haufe-Lexware GmbH & Co. KG, Freiburg

www.haufe.de

[email protected]

Bildnachweis (Cover): © anyaberkut , iStock

Produktmanagement: Jasmin Jallad

Lektorat: Maria Ronniger, Text+Design Jutta Cram, Augsburg

Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte, insbesondere die der Vervielfältigung, des auszugsweisen Nachdrucks, der Übersetzung und der Einspeicherung und Verarbeitung in elektronischen Systemen, vorbehalten. Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.

Sofern diese Publikation ein ergänzendes Online-Angebot beinhaltet, stehen die Inhalte für 12 Monate nach Einstellen bzw. Abverkauf des Buches, mindestens aber für zwei Jahre nach Erscheinen des Buches, online zur Verfügung. Ein Anspruch auf Nutzung darüber hinaus besteht nicht.

Sollte dieses Buch bzw. das Online-Angebot Links auf Webseiten Dritter enthalten, so übernehmen wir für deren Inhalte und die Verfügbarkeit keine Haftung. Wir machen uns diese Inhalte nicht zu eigen und verweisen lediglich auf deren Stand zum Zeitpunkt der Erstveröffentlichung.

[13]Abkürzungsverzeichnis

AEUVVertrag über die Arbeitsweise der Europäischen UnionAGGAllgemeines GleichbehandlungsgesetzAOAbgabenordnungAUArbeitsunfähigkeitsbescheinigungBAGBundesarbeitsgerichtBDSGBundesdatenschutzgesetzBetrVGBetriebsverfassungsgesetzBGBBürgerliches GesetzbuchBGHBundesgerichtshofBZStBundeszentralamt für SteuernCMPConsent-Management-PlattformDAkkSdeutschen AkkreditierungsstelleDL-InfoVVerordnung über Informationspflichten für DienstleistungserbringerDSGVODatenschutz-GrundverordnungDSKDatenschutzkonferenzELStAMelektronische LohnsteuerabzugsmerkmaleEntgFGEntgeltfortzahlungsgesetzEnWGEnergiewirtschaftsgesetzErbStGErbschaftsteuer- und SchenkungsteuergesetzEStGEinkommensteuergesetzEuGHEuropäischer GerichtshofFeVVerordnung über die Zulassung von Personen zum StraßenverkehrFIUZentralstelle für FinanztransaktionsuntersuchungenFKAustGFinanzkonten-InformationsaustauschgesetzFSAFreistellungsauftragGenGGenossenschaftsgesetzGewOGewerbeordnungGoBDGrundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum DatenzugriffGwGGeldwäschegesetzHGBHandelsgesetzbuchKiStAMKirchensteuerabzugsmerkmalKunstUrhGGesetz betreffend das Urheberrecht an Werken der bildenden Künste und der PhotographieKWGKreditwesengesetzLGLandgerichtMaRiskMindestanforderungen an das RisikomanagementMDMMobile-Device- ManagementNVBNichtveranlagungsbescheinigung[14]OLGOberlandesgerichtOWiGGesetz über OrdnungswidrigkeitenPEPpolitisch exponierte PersonSGBSozialgesetzbuchStBerGSteuerberatungsgesetzStGBStrafgesetzbuchStPOStrafprozessordnungStromGVVVerordnung über Allgemeine Bedingungen für die Grundversorgung von Haushaltskunden und die Ersatzversorgung mit Elektrizität aus dem NiederspannungsnetzStVGStraßenverkehrsgesetzTKGTelekommunikationsgesetzTMGTelemediengesetzTOMtechnische und organisatorische MaßnahmenTTDSGTelekommunikation-Telemedien-Datenschutz-GesetzUSVunterbrechungsfreie StromversorgungUStGUmsatzsteuergesetzUWGGesetz gegen den unlauteren WettbewerbVSBGVerbraucherstreitbeilegungsgesetzVVTVerzeichnis von VerarbeitungstätigkeitenWEGWohnungseigentumsgesetzZensGZensusgesetzZPOZivilprozessordnung

[15]Vorwort

Als wir Anfang 2018 an der 1. Auflage des Praxishandbuchs arbeiteten, war die DSGVO noch nicht in Kraft getreten. Als Grundlage für die Kommentierung und die Praxishinweise dienten der Verordnungstext und die bis dahin von den Aufsichtsbehörden herausgegebenen Hinweise zur Umsetzung der DSGVO. Nun ist die DSGVO schon seit vier Jahren in Kraft. Neben dem Verordnungstext liegen jetzt weitere Hinweise der Aufsichtsbehörden, aber auch Urteile deutscher Gerichte zur DSGVO vor. Die deutschen wie auch die anderen nationalen Gerichte sind erstaunlich entscheidungsfreudig bei der Auslegung der DSGVO, kommen hier aber leider oft zu falschen Schlüssen, wie in den folgenden Kapiteln immer wieder zu lesen sein wird.

Ziel der DSGVO war es, in der EU ein einheitliches Datenschutzniveau zu erreichen. Davon ist Deutschland leider noch sehr weit entfernt, da die Aufsichtsbehörden der Bundesländer bei gleichen Sachverhalten teilweise zu unterschiedlichen Beurteilungen kommen.

Das alles macht die Handhabung der DSGVO für den Praktiker leider nicht einfacher.

Hinzu kommt, dass die Digitalisierung in den letzten vier Jahren weiter an Fahrt aufgenommen hat. Die Digitalisierung bringt es mit sich, dass personenbezogene Daten in größerem Maße als bisher gespeichert werden. Teilweise ist man sich dessen überhaupt nicht bewusst: Wer denkt bei der Nutzung eines elektronischen Türschließsystems schon daran, dass hier die Schließfunktion protokolliert wird?

Bei der ersten Auflage hatten Wohnungseigentumsverwalter moniert, dass die Wohnungseigentumsverwaltung in den Arbeitshilfen nicht hinreichend berücksichtigt sei. Wir haben dieser Auflage deshalb die Musterverfahrensverzeichnisse und Informationen für die Wohnungseigentumsverwaltung beigefügt. Allerdings sollte man nicht dem Trugschluss erliegen, dass mit dem Ausfüllen bzw. der Anpassung dieser Arbeitshilfen den Verpflichtungen aus der DSGVO bereits Genüge getan sei. Die Einhaltung der datenschutzrechtlichen Vorschriften ist ein Prozess, der sich in der täglichen Arbeit niederschlagen muss. Die Einhaltung der Dokumentations- und Informationspflichten ist nur ein Teilaspekt dieses Prozesses.

Es ist leider festzustellen, dass die Aufsichtsbehörden mit den Besonderheiten der Wohnungswirtschaft nicht vertraut sind und deshalb z. B. im Vermietungsprozess Anforderungen stellen, die beispielsweise im Falle der Neuvermietung weder den Interessen der Alt-Mieter noch denen der Mietbewerber gerecht werden. Wir hoffen, mit der Darstellung der Handlungsweisen von Wohnungsunternehmen und ihrer Einordnung in die Anforderungen der DSGVO ein breiteres Verständnis für die Bedürfnisse und Handlungsweisen der unternehmerischen Wohnungswirtschaft zu wecken.

[16]Schließlich hoffen wir, dem wohnungswirtschaftlichen Praktiker für täglich vorkommende Sachverhalte die Möglichkeit einer datenschutzrechtlichen Einordnung zu geben, die auch genutzt werden kann, wenn die Aufsichtsbehörde beim Verantwortlichen nachfragt.

Göppingen/Heidelberg im April 2022

David Hummel und Fritz Schmidt

[17]1Einführung in den Datenschutz

von Fritz Schmidt

Das erste Kapitel dieses Buches soll als Einführung in den Datenschutz dienen. Um die weiteren Ausführungen verstehen zu können, ist es zunächst einmal wichtig, sich mit den Grundbegriffen, die auch in den folgenden Kapiteln immer wieder auftauchen, auseinanderzusetzen. Die Grundbegriffe sind hier nicht alphabetisch geordnet, sondern so, wie es zum Verständnis erforderlich ist.

1.1Rechtsgrundlagen für den Datenschutz in Deutschland

Rechtsgrundlage für den Datenschutz in Deutschland sind für privatrechtlich organisierte Wohnungsunternehmen die EU-Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG).

Die EU-Datenschutz-Grundverordnung regelt unmittelbar den Datenschutz in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Die DSGVO ist zwingendes Recht, das in allen Mitgliedstaaten der EU anzuwenden ist. Teilweise bestehen Öffnungsklauseln für nationale Regelungen.

Neben der DSGVO regelt das BDSG den Datenschutz in der Bundesrepublik Deutschland. Dabei ist zu beachten, dass nur die Teile 1 und 2 (§§ 1 bis 44) für nichtöffentliche Stellen zu beachten sind. Der Teil 3 (§§ 45 bis 85) setzt die EU-Richtlinie 2016/680 um und hat mit der DSGVO nichts zu tun. Die EU-Richtlinie 2016/680 regelt den Datenschutz für Polizei und Justiz und ist deshalb für Wohnungsunternehmen nicht anwendbar. Dennoch ergeben sich aus Teil 3 teilweise gesetzliche Präzisierungen (z. B. bei den technischen und organisatorischen Maßnahmen), die in der DSGVO und auch im BDSG nicht so klar definiert sind. Deshalb kann es durchaus hilfreich sein, die Paragrafen des 3. Teils für die Auslegung der DSGVO heranzuziehen, auch wenn dieser Teil für Wohnungsunternehmen nicht zwingend anzuwenden ist.

[18]

Abb. 1: Gesetzliche Regelungen für nichtöffentliche Stellen

1.2Grundbegriffe des Datenschutzes

1.2.1Personenbezogene Daten (Art. 4 Nr. 1 DSGVO)

Bei personenbezogenen Daten handelt es sich um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (»Betroffener«) beziehen. Identifizierbar ist eine natürliche Person, wenn sie direkt oder indirekt mittels Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, einer Onlinekennung oder einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Nach der Rechtsprechung des Europäischen Gerichtshofs ist der Begriff der personenbezogenen Daten weit auszulegen.

1.2.2Besondere Kategorien personenbezogener Daten

Weiter gehenden Schutz genießen die besonderen Kategorien personenbezogener Daten (»sensible Daten«). Nach Art. 9 DSGVO handelt es sich dabei um personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Ebenso fallen darunter genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder zur sexuellen Orientierung einer natürlichen Person.

1.2.3Betroffener (Art. 4 Nr. 1 DSGVO)

»Betroffener« ist eine natürliche Person, deren personenbezogene Daten verarbeitet werden. Unternehmen fallen nicht in den Schutzbereich des Datenschutzes, sind also nicht Betroffene.

[19]1.2.4Unternehmen (Art. 4 Nr. 18 DSGVO) und Unternehmensgruppe (Art. 4 Nr. 19 DSGVO)

»Unternehmen« ist eine natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform.

Eine Unternehmensgruppe ist eine Gruppe von Unternehmen, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Jedes Unternehmen der Unternehmensgruppe wird als eigenständige Einheit behandelt und hat für sich die Verpflichtungen aus der DSGVO zu erfüllen.

Erleichterungen für Unternehmensgruppen bestehen nur nach Art. 37 Abs. 2 DSGVO und Erwägungsgrund 48. So darf die Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern er von jeder Niederlassung aus leicht erreicht werden kann (Art. 37 Abs. 2 DSGVO), und es dürfen personenbezogene Daten (einschließlich Kunden- und Beschäftigtendaten) innerhalb der Unternehmensgruppe für interne Verwaltungszwecke übermittelt werden. Für alle anderen Verarbeitungen innerhalb der Unternehmensgruppe gelten die allgemeinen Regelungen der DSGVO.

1.2.5Empfänger (Art. 4 Nr. 9 DSGVO)

»Empfänger« ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden.

1.2.6Verantwortlicher (Art. 4 Nr. 7 DSGVO)

»Verantwortlicher« ist derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DSGVO). Bei Kapitalgesellschaften oder Genossenschaften ist Verantwortlicher das Unternehmen, nicht die Geschäftsleitung. Das Geschäftsführungsorgan bestimmt zwar im Rahmen der Geschäftsführungsbefugnis die Organisation und die Betriebsmittel, doch sind dies die Betriebs- und Organisationsmittel der Kapitalgesellschaft. Scheidet das Geschäftsführungsorgan aus, bleiben die Betriebs- und Organisationsmittel der Kapitalgesellschaft unverändert.

Zum Verantwortlichen bei der Wohnungseigentumsverwaltung siehe Kapitel 7.2 »Wohnungseigentumsverwaltung«.

In verschiedenen Gerichtsurteilen (z. B. OLG Dresden, Urteil vom 30.11.2021, Az.: 4 U 1158/21) werden auch die Geschäftsführungsorgane als Verantwortliche i. S. d. DSGVO [20]angesehen. Diese Rechtsprechung ist abzulehnen und Ausfluss des § 41 BDSG i. V. m. § 30 OWiG, da nach § 30 OWiG die Verhängung von Bußgeldern gegen Unternehmen nur möglich ist, wenn ein Geschäftsführungsorgan eine Pflichtverletzung begangen hat und gegen dieses Geschäftsführungsorgan auch ein Bußgeld verhängt wird. Vor dem EuGH ist ein Verfahren anhängig, ob aus Art. 83 DSGVO direkt ein Bußgeld gegen Unternehmen verhängt werden kann, ohne dass eine Pflichtverletzung des Geschäftsführungsorgans vorliegen muss, vgl. Kapitel 10 »Sanktionen bei Datenschutzverstößen«.

Nach der DSGVO haben Verantwortliche zahlreiche Verpflichtungen zu erfüllen, z. B. Dokumentations- und Informationspflichten. Wären neben dem Unternehmen auch die Geschäftsführungsorgane Verantwortliche i. S. d. DSGVO, so hätten sie neben dem Unternehmen Dokumentationen zu führen und Informationspflichten zu erfüllen, die mit denen des Unternehmens identisch wären. Bei mehreren natürlichen Personen als Geschäftsführungsorgane hätte man dann diese Pflichten für jedes Mitglied des Geschäftsführungsorgans zu erfüllen. Dies würde den mit der Einhaltung der DSGVO verbundenen Bürokratieaufwand vervielfachen, aber zu keiner Verbesserung beim Datenschutz führen. Eine Klarstellung ergibt sich ggf. durch das beim EuGH anhängige Verfahren C 807/21.

1.2.7Technische und organisatorische Maßnahmen

Unter die technischen und organisatorischen Maßnahmen (TOM) fällt die Gesamtheit der organisatorischen (z. B. Zugangskontrollen, Zugriffsrechte, Arbeitsanweisungen) und technischen Maßnahmen (z. B. Datensicherungen, Zugriffsrechte auf das IT-System) des Unternehmens, die die Datensicherheit gewährleisten.

Zu Einzelheiten siehe Kapitel 3.2 »Technische und organisatorische Maßnahmen (TOM)«.

1.2.8Datensicherheit (Art. 5 Abs. 1 lit. f und Art. 32 DSGVO)

Die Maßnahmen zum Datenschutz sollen die personenbezogenen Daten von natürlichen Personen vor Missbrauch schützen. Die Datensicherheit zielt originär auf die zu schützenden Daten ab, ungeachtet ihrer Verwendung und ihres Informationsgehalts. Personenbezogene Daten müssen durch geeignete technische und organisatorische Maßnahmen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Art. 5 Abs. 2 lit. f DSGVO). Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und des Zwecks der Datenverarbeitung und von Risikogesichtspunkten (Eintrittswahrscheinlichkeit, schwere [21]des möglichen Schadens) sind geeignete technische und organisatorische Maßnahmen umzusetzen, wobei das anzustrebende Sicherheitsniveau im Verhältnis zum bestehenden Risiko angemessen sein muss.

1.2.9Einwilligung (Art. 4 Nr. 11 DSGVO)

Eine Einwilligung ist jede freiwillig und in informierter Weise (also in Kenntnis des geplanten Zwecks) und unmissverständlich abgegebene Willensbekundung des Betroffenen in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der er zu verstehen gibt, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist. Auch wenn eine schriftliche Erklärung nicht erforderlich ist, erscheint es aus Gründen der Dokumentation sinnvoll, eine schriftliche Einwilligung einzuholen. Werden Daten im Internet erhoben, empfiehlt es sich, die Einwilligung über einen Einwilligungsklick (sog. Opt-in-Verfahren) zu dokumentieren.

Erfolgt die Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist (Hervorhebung). Wird im Rahmen eines Mietvertrags z. B. die Einwilligung erteilt, dass die Kontaktdaten des Mieters an Handwerker oder an potenzielle Nachmieter zur Vereinbarung eines Besichtigungstermins weitergegeben werden dürfen, so sollte jede dieser Einwilligungen gesondert – am besten am Ende des Vertrags und klar hervorgehoben – vom Mieter unterschrieben werden (vgl. Kap. 7.1.2.2.2 »Datenweitergabe an Handwerker« bzw. Kap. 7.1.2.2.6 »Datenweitergabe bei Mieterhöhungen«).

Nach Art. 7 Abs. 3 DSGVO hat der Betroffene das Recht, die Einwilligung jederzeit zu widerrufen.

1.2.10Automatisierte Verfahren

Während die automatisierte Verarbeitung in § 3 Abs. 2 BDSG a. F. noch als die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen definiert war, fehlt im neuen Datenschutzrecht eine Definition automatisierter Verfahren, obwohl sowohl in der DSGVO als auch im BDSG n. F. weiterhin von automatisierten Verfahren gesprochen wird.

Nach Erwägungsgrund 15 zu Art. 2 DSGVO wird auf eine Definition wohl deshalb verzichtet, weil der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen soll. Der Schutz natürlicher Personen soll für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuellen Verarbeitungen, wenn die personenbezogenen Daten in einem Dateisystem gespeichert [22]sind oder gespeichert werden sollen. Nur Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollen nicht in den Anwendungsbereich der DSGVO fallen.

1.2.11Verarbeitung (Art. 4 Nr. 2 DSGVO)

Der Begriff der Verarbeitung ist weit gefasst. Damit wird jedes Verfahren (also auch solche ohne Einsatz elektronischer Datenverarbeitung) erfasst, mit dem personenbezogene Daten erhoben, erfasst, organisiert, geordnet, gespeichert, angepasst, verändert, ausgelesen, abgefragt, verwendet, übermittelt, verbreitet, abgeglichen, verknüpft, gelöscht oder vernichtet werden.

1.2.12Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO)

Auftragsverarbeiter erheben, verarbeiten oder nutzen personenbezogene Daten weisungsgebunden im Auftrag des Verantwortlichen. Die eigentlich betroffene Aufgabe/ Funktion verbleibt beim Auftraggeber. Bei der Auftragsverarbeitung bestehen besondere einzuhaltende vertragliche Pflichten. Zusätzlich bestehen Dokumentationspflichten.

Auftragsverarbeitungen in der Wohnungswirtschaft sind häufig die Heizkostenabrechnung durch beauftragte Dienstleister, Lohn- und Gehaltsabrechnungen und IT-Dienstleistungen. Siehe hierzu Kapitel 3.4 »Auftragsverarbeitung«.

1.2.13Berechtigtes Interesse

Nach Erwägungsgrund 47 zu Art. 6 DSGVO kann ein berechtigtes Interesse an der Verarbeitung personenbezogener Daten vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht. Ein Indiz für das berechtigte Interesse an der Verarbeitung ist, dass der Betroffene vernünftigerweise mit der Verarbeitung seiner personenbezogenen Daten rechnen muss.

In der Regel erfolgt bei Wohnungsunternehmen die Verarbeitung aufgrund eines bestehenden Vertrags (Mietvertrag, Verwaltervertrag etc.). Ein berechtigtes Interesse ergibt sich bei Wohnungsunternehmen nach Auffassung der Aufsichtsbehörden bei der Benennung von Vergleichswohnungen zur Begründung von Mieterhöhungsverlangen und bei der Weitergabe von personenbezogenen Daten der Mieter an Handwerker zur Durchführung von Arbeiten in Zusammenhang mit dem Gebäude (vgl. Kap. 7.1.2.2).

[23]1.2.14Profiling (Art. 4 Nr. 4 DSGVO)

»Profiling« ist jede Art der automatisierten Verarbeitung, bei der personenbezogene Daten dazu verwendet werden, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, zu analysieren oder vorherzusagen. Das Profiling kann sich auf die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel beziehen.

1.2.15Pseudonymisierung (Art. 4 Nr. 5 DSGVO)

»Pseudonymisierung« ist die Verarbeitung personenbezogener Daten in der Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Pseudonymisierung ist nur gegeben, wenn die zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können.

Nach § 64 Abs. 2 BDSG sollte eine Pseudonymisierung und Verschlüsselung personenbezogener Daten erfolgen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind. Bei den wohnungswirtschaftlichen Verarbeitungen wird eine Pseudonymisierung regelmäßig nicht erforderlich bzw. sinnvoll sein.

1.2.16Drittstaat (Art. 44–50 DSGVO)

Ein Drittstaat ist nicht Mitglied der Europäischen Union. Eine Übermittlung von personenbezogenen Daten in ein Land außerhalb der Europäischen Union oder eine internationale Organisation ist nur unter den in den Artikeln 44 bis 50 DSGVO genannten Voraussetzungen zulässig.

1.2.17Öffentliche und nichtöffentliche Stellen

§ 2 Abs. 1 und 2 BDSG definiert die öffentlichen Stellen. Hierunter fallen z. B. Behörden und sonstige Stellen eines Landes oder des Bundes, die Gemeinden und Gemeindeverbände und sonstige juristische Personen des öffentlichen Rechts. Öffentliche Stellen haben zusätzlich die von den Bundesländern erlassenen Landesdatenschutzgesetze zu beachten.

[24]Nichtöffentliche Stellen sind natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts (§ 2 Abs. 4 BDSG). Hierunter fallen die Gesellschaften mit beschränkter Haftung (GmbH), Aktiengesellschaften (AG), Genossenschaften (eG) oder Gesellschaften des bürgerlichen Rechts (GbR). Auch wenn z. B. Gebietskörperschaften Gesellschafter solcher Unternehmen sind, sind diese Unternehmen nichtöffentliche Stellen.

1.2.18Aufsichtsbehörden

Die Einhaltung der Datenschutzvorschriften wird durch unabhängige Aufsichtsbehörden überwacht. Wohnungsunternehmen in privater Rechtsform sind nichtöffentliche Stellen. Nach § 40 BDSG wird die Einhaltung des Datenschutzes bei nichtöffentlichen Stellen durch die nach Landesrecht zuständigen Stellen überwacht.

In Bayern überwacht das Landesamt für Datenschutzaufsicht und in den übrigen Bundesländern überwachen die Landesdatenschutzbeauftragten die Einhaltung des Datenschutzes im nichtöffentlichen Bereich. Die örtliche Zuständigkeit der Aufsichtsbehörde richtet sich danach, wo die nichtöffentliche Stelle ihren Sitz hat.

Die Datenschutzbehörden des Bundes und der Länder haben sich zur Datenschutzkonferenz (DSK) zusammengeschlossen. Die DSK hat die Aufgabe, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht durch Entschließungen, Beschlüsse und die Veröffentlichung von Orientierungshilfen, Stellungnahmen und Pressemitteilungen.

1.2.19Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO)

Eine Verletzung des Schutzes personenbezogener Daten liegt vor, wenn die Sicherheit verarbeiteter personenbezogener Daten unbeabsichtigt oder unrechtmäßig verletzt wird – durch Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung.

1.3Grundprinzipien des Datenschutzes

Nachdem im vorangegangenen Kapitel die Grundbegriffe erklärt wurden, folgt nun eine Erläuterung der Grundprinzipien des Datenschutzes.

[25]1.3.1Sachlicher Anwendungsbereich

Das Datenschutzrecht betrifft ausschließlich die personenbezogenen Daten natürlicher Personen: Die betrieblichen Kontaktdaten oder betriebliche Funktionen sind keine personenbezogenen Daten – private Kontaktdaten oder Fotografien von Mitarbeitern hingegen sind welche und unterliegen damit dem Schutz der DSGVO. Auch die Daten von anderen Unternehmen sind keine personenbezogenen Daten und fallen damit nicht in den Regelungsbereich der DSGVO. Der Schutz personenbezogener Daten erstreckt sich auf alle Arten der Verarbeitung, unabhängig davon, ob diese automatisiert oder nicht automatisiert erfolgen.

Nicht umfasst vom Schutzzweck ist die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (»Haushaltsprivileg«).

1.3.2Verbot mit Erlaubnisvorbehalt

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, steht aber unter dem Erlaubnisvorbehalt des Art. 6 DSGVO. Erlaubt ist die Verarbeitung personenbezogener Daten durch Unternehmen, wenn ein Rechtfertigungsgrund vorliegt.

1.3.3Rechtfertigungsgründe für die Datenerhebung und -verarbeitung

Die Verarbeitung personenbezogener Daten ist zulässig, wenn

eine Einwilligung des Betroffenen vorliegt,die Verarbeitung für die Erfüllung eines Vertrags notwendig ist und der Betroffene Vertragspartei ist,die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist und ein Antrag der betroffenen Person vorliegt,die Verarbeitung in Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erfolgt,die Verarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.

Die Hierarchie der Rechtfertigungsgründe und die ggf. zu beachtenden Besonderheiten bei den einzelnen Rechtfertigungsgründen ergeben sich aus Abbildung 2.

[26]

Abb. 2: Hierarchie der Rechtfertigungsgründe

Bei den Verarbeitungen aufgrund gesetzlicher Verpflichtung und aufgrund eines bestehenden Vertrags bzw. einer Vertragsanbahnung werden den Betroffenen keine weiter gehenden Rechte eingeräumt. Erfolgt die Verarbeitung aufgrund einer Einwilligung, besteht ein Widerrufsrecht, bei Verarbeitung aufgrund von berechtigtem Interesse besteht ein Widerspruchsrecht (vgl. 1.3.5).

Da bei einer Verarbeitung aufgrund von berechtigtem Interesse immer eine Interessenabwägung zwischen den Interessen des Betroffenen und denen des Verantwortlichen vorzunehmen ist, kann die vom Verantwortlichen vorgenommene Interessenabwä-gung – trotz großer Sorgfalt – ermessensfehlerhaft sein. Um sich abzusichern, kann man den Betroffenen um eine Einwilligung zur Verarbeitung bitten. Zur Einwilligung siehe Kapitel 1.2.9.

1.3.4Rechenschaftspflichten der Verantwortlichen (Art. 5 Abs. 2 DSGVO)

Der Verantwortliche ist für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss die Einhaltung nachweisen können. Daraus ergeben sich Dokumentationspflichten (vgl. Kap. 3 »Dokumentationspflichten«).

1.3.5Rechte der Betroffenen (Art. 12–23 DSGVO)

Betroffene haben zahlreiche Rechte aus der DSGVO (vgl. Abb. 3):

[27]

Abb. 3: Betroffenenrechte

1.3.5.1Informations- und Benachrichtigungsrechte (Art. 13 und 14 DSGVO)

Betroffene haben weitgehende Informationsrechte. Damit treffen Wohnungsunternehmen bereits bei der Vertragsanbahnung umfangreiche Benachrichtigungspflichten, die danach differenziert sind, ob die Daten beim Betroffenen direkt erhoben werden oder bei einem Dritten.

Zu Einzelheiten siehe Kapitel 4 »Informationspflichten bei der Datenerhebung«.

1.3.5.2Auskunftsrechte (Art. 15 DSGVO)

Der Betroffene hat das Recht, von einem Verarbeiter eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden. Ist das der Fall, besteht ein Auskunftsanspruch über diese Daten, die Verarbeitungszwecke, die Herkunft der verarbeiteten Daten, über Empfänger dieser Daten und über die Dauer der Speicherung.

Zu Einzelheiten siehe Kapitel 5 »Auskunftspflichten«.

1.3.5.3Löschungsrechte (Art. 17 DSGVO)

Sind Daten für die Verfolgung des Zwecks, zu dem sie ursprünglich erhoben oder verarbeitet wurden, nicht mehr erforderlich oder wurde die dazu erteilte Einwilligung widerrufen, kann der Betroffene die Löschung dieser Daten verlangen. Sollte aber eine gesetzliche Verpflichtung zur weiteren Speicherung oder Aufbewahrung dieser Daten bestehen (z. B. aus dem Handels- oder Steuerrecht), so ist die gesetzliche Verpflichtung vorrangig und die Löschung kann erst verlangt werden, wenn die gesetzliche Verpflichtung nicht mehr besteht.

Zu Einzelheiten siehe Kapitel 9 »Löschkonzepte und die Archivierung von Daten«.

[28]1.3.5.4Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Betroffene haben unter bestimmten Voraussetzungen einen Anspruch darauf, eine Kopie der sie betreffenden personenbezogenen Daten in einem üblichen und maschinenlesbaren Dateiformat zu erhalten. Der Betroffene kann damit seine Daten von einem Anbieter zu einem anderen »mitnehmen«. Das Recht besteht bei jeder automatisierten Verarbeitung personenbezogener Daten auf der Basis einer Einwilligung oder einer Vertragsbeziehung mit dem Betroffenen. Dieses Recht ist auf die Daten beschränkt, die die betroffene Person dem Verarbeiter zur Verfügung gestellt hat.

Grundsätzlich könnte damit ein Mieter vom Vermieter die Herausgabe der diesem gegenüber gemachten Angaben in einer digitalen Datei verlangen, soweit diese Daten beim Wohnungsunternehmen elektronisch gespeichert sind. In der Praxis wird das Recht auf Datenübertragbarkeit bei Wohnungsunternehmen aber keine Relevanz haben.

1.3.5.5Widerspruchsrechte (Art. 21 Abs. 1 DSGVO)

Erfolgt eine Verarbeitung im berechtigten Interesse (Art. 6 Abs. 1 lit. f DSGVO), kann der Betroffene dagegen Widerspruch erheben. Bei einem berechtigten Widerspruch darf der Verantwortliche die Daten nicht mehr verarbeiten. Der Widerspruch ist zu begründen, da ein berechtigter Widerspruch voraussetzt, dass sich die Widerspruchsgründe aus der besonderen Situation des Betroffenen ergeben.

Aus Erwägungsgrund 69 zur DSGVO ergibt sich nicht, was diese besonderen Gründe in der Person des Betroffenen sein sollen. Nicht ausreichend ist jedenfalls, wenn der Betroffene aufgrund bloßer subjektiver Auffassungen (z. B. bei Daten zu Vergleichswohnungen: »Ich will nicht dazu beitragen, dass die Miete bei den anderen Mietparteien erhöht werden kann.«) etwas gegen die Verarbeitung hat. Der Widerspruch muss deshalb vom Betroffenen substantiiert begründet werden, damit es dem Verantwortlichen möglich ist, eine Interessenabwägung durchzuführen. Die Verarbeitung der personenbezogenen Daten nach dem Widerspruch ist nur dann einzustellen, wenn der Betroffene zwingend schutzwürdige Gründe nachweisen kann, die in einer Abwägung die berechtigen Interessen des Wohnungsunternehmens überwiegen.

In der Regel erfolgt die Datenverarbeitung bei Wohnungsunternehmen auf vertraglicher Grundlage, sodass hier kein Widerspruch möglich ist. Nach Auffassung der Aufsichtsbehörden erfolgen folgende Verarbeitungen bei Wohnungsunternehmen aufgrund von berechtigtem Interesse:

die Weitergabe von Daten zu Vergleichswohnungen, vgl. Kapitel 7.1.2.2.6, unddie Weitergabe von Kontaktdaten an Handwerker, vgl. Kapitel 7.1.2.2.2.

[29]Zu den Informationspflichten bei der Verarbeitung aus berechtigtem Interesse siehe Kapitel 4.6.

1.3.5.6Widerruf der Einwilligung

Erfolgt die Verarbeitung aufgrund einer Einwilligung des Betroffenen (vgl. Kap. 1.2.9), kann der Betroffene seine Einwilligung jederzeit widerrufen. Der Widerruf wirkt für die Zukunft – die bis zum Widerruf der Einwilligung erfolgten Verarbeitungen bleiben rechtmäßig. Der Betroffene ist vor Abgabe der Einwilligung über sein Widerrufsrecht zu informieren. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein – der Verantwortliche darf also für den Widerruf der Einwilligung keine Hürden errichten, wie besondere Formulare etc. (Art. 7 Abs. 3 DSGVO). Da die Verarbeitungen bei Wohnungsunternehmen in der Regel aufgrund eines Vertrags erfolgen, ist es nicht zu empfehlen, in diesen Fällen noch zusätzlich eine Einwilligung für die Verarbeitung einzuholen. Der Betroffene könnte in diesem Fall nämlich meinen, er könne die Einwilligung widerrufen, was aber bei einem laufenden Mietverhältnis überhaupt nicht möglich ist.

1.3.5.7Recht auf Berichtigung (Art. 16 DSGVO)

Betroffene können verlangen, dass unrichtige personenbezogene Daten über sie unverzüglich berichtigt werden. Siehe Kapitel 2.6.1 »Berichtigung«.

1.3.5.8Sperrung bzw. Einschränkung der Verarbeitung (Art. 18 DSGVO)

Bei einer Sperrung werden die personenbezogenen Daten nicht gelöscht, doch können sie nur noch für einen bestimmten Zweck verwendet werden. Siehe Kapitel 2.6.3 »Sperrung/Einschränkung«.

1.3.6Sanktionen bei Datenschutzverstößen

Datenschutzverstöße können durch die Aufsichtsbehörden durch die Verhängung von Bußgeldern geahndet werden. Bei vorsätzlichen und schweren Datenschutzverstößen können Gerichte auch Freiheitsstrafen verhängen. Daneben haben Betroffene Schadenersatzansprüche, sofern ihnen aus Datenschutzverstößen ein Schaden entstanden ist; der Schadenersatzanspruch besteht auch bei immateriellen Schäden.

Zu Einzelheiten siehe Kapitel 10 »Sanktionen bei Datenschutzverstößen«.

[31]2Verpflichtungen aus der DSGVO für Unternehmen

von Fritz Schmidt

Aus der DSGVO ergeben sich zahlreiche Verpflichtungen für Unternehmen. Diese Verpflichtungen können folgendermaßen systematisiert werden:

Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO) Pflichten bei der Auftragsverarbeitung Informationspflichten bei der Datenerhebung Auskunfts- und Berichtigungspflichten gegenüber Betroffenen Pflicht zur Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Sperrung/Einschränkung der Verarbeitung (Art. 18 DSGVO) Verpflichtung auf Datenübertragbarkeit Dokumentationspflichten Datenschutz-Folgenabschätzung und Konsultationspflicht Benennung eines Datenschutzbeauftragen Meldepflichten bei Datenpannen

Abb. 4: Verpflichtungen für Wohnungsunternehmen, die sich aus der DSGVO ergeben

[32]2.1Datenschutzkonzept

Es erscheint sinnvoll, ein Datenschutzkonzept zu erstellen und zu dokumentieren, das auf den Säulen Dokumentation, Information und Einzelfallprüfungen der entsprechenden Prozesse und ggf. Einschaltung eines internen oder externen Datenschutzbeauftragten beruht. Nach Art. 32 DSGVO sind alle Sicherungsmaßnahmen am Risiko auszurichten. Deshalb sollte zunächst eine Risikoanalyse durchgeführt werden, um z. B. die technischen und organisatorischen Maßnahmen entsprechend dem Risikoprofil zu wählen. Zu berücksichtigen sind etwa Risiken aus der Vernichtung, dem Verlust oder der Veränderung personenbezogener Daten, der unbeabsichtigten, unrechtmäßigen oder unbefugten Offenlegung und dem unbefugten Zugang zu personenbezogenen Daten. Dabei sind die Risiken nach Schadenshöhe und Eintrittswahrscheinlichkeit zu gewichten. Die Elemente des Datenschutzkonzepts ergeben sich aus den vom Wohnungsunternehmen einzuhaltenden datenschutzrechtlichen Vorschriften.

2.2Einhaltung der Vorgaben der DSGVO bei der Verarbeitung personenbezogener Daten (Art. 5 DSGVO)

In allen Prozessen des Immobilienunternehmens, in denen personenbezogene Daten verarbeitet werden, sind die Vorgaben der DSGVO zu beachten.

Abb. 5: Einzuhaltende Prinzipien bei der Verarbeitung personenbezogener Daten

[33]2.2.1Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO)

Die Verarbeitung personenbezogener Daten muss im Hinblick auf den damit verfolgten Zweck angemessen und sachlich relevant sein. Dabei ist die Datenverarbeitung auf das für den verfolgten Zweck notwendige Maß zu beschränken. Bei der Datenerhebung ist deshalb zu fragen, welche Daten für den konkreten Verarbeitungszweck unbedingt benötigt werden. Nur diese Daten dürfen erhoben werden. Besondere Bedeutung hat dies z. B. bei der Erhebung der Daten von Mietinteressenten (vgl. Kap. 7.1.1.1 »Interessentenselbstauskunft«).

2.2.2Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Änderungen des Verarbeitungszwecks sind nur erlaubt, wenn dies mit dem ursprünglichen Erhebungszweck vereinbar ist.

2.2.3Transparenzprinzip (Art. 5 Abs. 1 lit. a DSGVO)

Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Transparenzprinzip). Aus dem Transparenzprinzip resultieren Informationspflichten für den Verarbeiter. So ist der Betroffene darüber zu informieren, wie und in welchem Umfang seine personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und künftig noch verarbeitet werden sollen. Zu den Informationspflichten im Einzelnen siehe Kapitel 4 »Informationspflichten bei der Datenerhebung«.

2.2.4Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)

Die verarbeiteten personenbezogenen Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden können. Das Prinzip der Richtigkeit steht nach dem Erwägungsgrund 39 DSGVO unter dem Vorbehalt, dass alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht werden. Unternehmen haben ein Eigeninteresse daran, nur mit richtigen Daten zu arbeiten, sodass die Einhaltung dieses Prinzips wohl i. d. R. unproblematisch sein dürfte.

[34]2.2.5Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Personenbezogene Daten sind in einer Form zu speichern, die eine Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Das »Recht auf Vergessenwerden« in Art. 17 Abs. 2 DSGVO besteht allerdings nur, wenn die verantwortliche Stelle die zu löschenden Daten öffentlich gemacht hat. Dies wird bei Wohnungsunternehmen i. d. R. nicht der Fall sein.

2.2.6Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO)

Die Verarbeitung personenbezogener Daten hat in einer Weise zu erfolgen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Verlangt wird nur eine angemessene Sicherheit bei der Verarbeitung, insofern besteht ein Abwägungsspielraum zwischen angestrebtem Schutzzweck und dem erforderlichen Aufwand, um den Schutz sicherzustellen. Die Vertraulichkeit und Integrität der Daten ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Zu Einzelheiten siehe Kapitel 3.2 »Technische und organisatorische Maßnahmen (TOM)«.

2.2.7Pflichten bei der Auftragsverarbeitung (Art. 8 Abs. 1 DSGVO)

Werden personenbezogene Daten im Auftrag durch andere Stellen verarbeitet und die andere Stelle ist den Weisungen des Auftraggebers unterworfen, liegt eine Auftragsverarbeitung i. S. d. Art. 28 Abs. 1 DSGVO vor. Weitere Voraussetzung für eine Auftragsverarbeitung ist, dass der Auftragnehmer keine eigene Entscheidungsbefugnis hat, wie mit den zur Verfügung gestellten Daten umzugehen ist.

Abb. 6: Prozess der Auftragsverarbeitung

[35]