Linkliste der Bavaria Treu AG

Leitfaden zur praktischen Umsetzung der
Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetz (BDSG neu)

in der Wohnungswirtschaft

1. Einleitung

Nach langen Verhandlungen erfolgte im Dezember 2015 die Einigung auf eine europaweit unmittelbar verbindliche EU-Datenschutzgrundverordnung (DS-GVO). Diese wurde am 04.05.2016 im EU-Amtsblatt veröffentlicht. Das formelle Inkrafttreten der DS-GVO erfolgte zum 25.05.2016.

Die DS-GVO wird zu einer weitgehenden Vereinheitlichung des europäischen Datenschutzrechtes füh-ren. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie erhebliche Unterschiede bestanden, wird die Datenschutz-Grundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sogenannter „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen zu erlassen.

Es wurde eine Übergangsphase vereinbart, in der den Unternehmen und Behörden Zeit eingeräumt wurde, die bisher umgesetzten „Datenschutzkonzepte“ entsprechend des geltenden nationalen Rechts (insbesondere Bundesdatenschutzgesetz, BDSG) an die neuen Regelungen der DS-GVO anzupassen.

Diese Übergangsphase endet und die uneingeschränkte Anwendbarkeit der DS-GVO startet zum 25.05.2018. Bis zu diesem Zeitpunkt muss jedes Unternehmen alle von der DS-GVO geforderten Regelungen und Dokumentationen umgesetzt haben.

Ziele und Grundsätze DS-GVO

Die Ziele der DS-GVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DS-GVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DS-GVO).

Die vorangestellten Ziele sollen durch die in Art. 5 DS-GVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:

Rechtmäßigkeit

Treu und Glauben

Transparenz

Zweckbindung

Datenminimierung

Richtigkeit

Speicherbegrenzung

Integrität und Vertraulichkeit

Rechenschaftspflicht

Die DS-GVO wird das bisher geltende Recht (BDSG) nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf.

2. Pflichten für Unternehmen

Die wesentlichen Pflichten für Unternehmen lassen sich in die drei Bereiche „technischer Datenschutz“, „Meldepflicht“ und „Datenschutz-Folgeabschätzung“ einteilen.

2.1. Technischer Datenschutz

Unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten haben die für die Verarbeitung verantwortlichen Unternehmen geeignete technische und organisatorische Maßnahmen zu installieren (Art. 24 DS-GVO).

Der für die Verarbeitung Verantwortliche sollte interne Strategien festlegen und Maßnahmen treffen, die insbesondere dem Grundsatz des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) sicherstellen. Solche Maßnahmen könnten unter anderem darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird, und sie so schnell wie möglich pseudonymisiert/anonymisiert werden, Transparenz in Bezug auf die Funktionen und die Verarbeitung personenbezogener Daten hergestellt wird, der betroffenen Person ermöglicht wird, die Datenverarbeitung zu überwachen, und der für die Verarbeitung Verantwortliche in die Lage versetzt wird, Sicherheitsfunktionen zu schaffen und zu verbessern (Art. 25 DS-GVO und Erwägungsgrund 61 DS-GVO).

Praxishinweis
Grundsätzlich kann festgehalten werden, dass im Bereich des technischen Datenschutzes das Prob-lem auch gleichzeitig die Lösung sein kann:

IT-Systeme mit denen personenbezogene Daten verarbeitet werden

Jedes Wohnungsunternehmen setzt bereits IT-Systeme zur Datenverarbeitung ein. Sei es die Woh-nungswirtschaftliche Software (ERP-System), ein Dokumenten-Management-System (digitales Ar-chiv) oder auch Online-Portale der Messdienstunternehmen zur Übermittlung der Verbrauchsda-ten der Mieter.

Die Auslagerung (Outsourcing) dieser Software-Lösungen, Dienstleistungen und Datenverarbei-tungen an einen qualifizierten Partner, kann für jedes Unternehmen den Vorteil mit sich bringen, dass das Risiko im Bereich des technischen Datenschutzes auf den Dienstleister ausgelagert wird.

Wichtig ist hierbei allerdings die Auswahl eines entsprechend vertrauenswürdigen, professionellen Partners (Dienstleisters). Hier können Zertifizierungen, z.B. der externen Rechenzentren, die not-wendige Sicherheit schaffen. Des Weiteren ist auch die datenschutzkonforme Ausgestaltung der Verträge zur Datenverarbeitung ein notwendiges Kriterium (siehe auch 2.9. Auftragsverarbeitung).

Sollte die Verarbeitung auf unternehmenseigenen IT-Systemen stattfinden (Server im eigenen Haus), dann hat das Unternehmen auch für die Einhaltung des technischen Datenschutzes zu sorgen.

Für eigene IT-Systeme muss entsprechend die notwendige Dokumentation vorgehalten werden (z.B. Netzwerkpläne, Backupkonzepte, Berechtigungskonzepte, Notfallpläne etc.) und vor allem sollten in regelmäßigen Abständen (z.B. 3 JahresRhythmus) sogenannte Penetrationstests des unternehmenseigenen IT-Systems durchgeführt werden (Tests dieser Art können von IT-Forensik-Dienstleistern umgesetzt werden). So erhalten die Wohnungsunternehmen die notwendige Sicherheit und auch den Nachweis der Kontrolle der IT-Systeme.

2.2. Verzeichnis von Verarbeitungstätigkeiten

Die DS-GVO bringt einige Veränderungen mit sich. Vor allem was die umfangreichen Dokumentations-pflichten betrifft, müssen sich die Verantwortlichen – wie z.B. Unternehmen, Freiberufler oder Vereine – künftig auf höhere Anforderungen im Datenschutz einstellen. Einen Kernpunkt wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO bilden.

Das Verzeichnis von Verarbeitungstätigkeiten nach der Datenschutz-Grundverordnung ist im Grundsatz nichts anderes, als das bereits bekannte Verfahrensverzeichnis nach §§ 4g Abs. 2, 4e BDSG. Es handelt sich also um eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Das Verzeichnis von Verarbeitungstätigkeiten löst folglich das alte Verfahrensver-zeichnis ab, bringt allerdings auch einige Neuerungen mit sich.

Die Pflicht, unter gewissen Voraussetzungen ein Verzeichnis über alle relevanten Verarbeitungstätigkeiten führen zu müssen, ist nicht neu. Allerdings war ein Verstoß dagegen bisher nicht direkt bußgeldbewehrt. Mit Einführung der DS-GVO müssen die Verantwortlichen nun die Verzeichnisse von Verarbeitungstätigkeiten jederzeit und vollständig für die Aufsichtsbehörden vorhalten können, ansonsten droht ein Bußgeld (Art. 83 Abs. 4a DS-GVO). Unabhängig von der abzuwartenden Bußgeldpraxis der Aufsichtsbehörden bewegt sich der mögliche Rahmen hier bis zu € 10.000.000,00 oder bei Unternehmen bis zu 2,0 % des Jahresumsatzes, so dass hier in jedem Fall zu entsprechender Vorsorge zu raten ist.

Während das alte Verfahrensverzeichnis in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden.

Der Inhalt der Verzeichnisse für Verarbeitungstätigkeiten wird in Art. 30 DSGVO festgelegt und ähnelt dem der bisherigen Verfahrensverzeichnisse. Demnach müssen die wesentlichen Angaben zur Datenverarbeitung angegeben werden, wie u.a. die Datenkategorien, der Kreis der betroffenen Personen, der Zweck der Verarbeitung und die Datenempfänger. Neu ist, dass neben den verantwortlichen Stellen nun auch die Stellen, die Daten nur im Auftrag der verantwortlichen Stellen verarbeiten (Auftrags-datenverarbeiter), entsprechende Verzeichnisse führen müssen, Art. 30 Abs. 2 DS-GVO.

Typische Prozesse bei Wohnungsunternehmen, für die jeweils ein Verfahrensverzeichnis vorhanden sein muss, sind:

  • Interessentenverwaltung / Wohnungs-vergabe
  • Betriebskostenablesung / Messdienste
  • Betriebskostenabrechnung
  • Mahn- und Klagewesen
  • Mieter- / Mitgliederverwaltung (Genos-senschaften)
  • Mietbuchhaltung
  • Personalverwaltung
  • E-Mail-Archivierung
  • DMS
  • Wohnungsabnahme / -übergabe
  • Rechnungsdurchlauf
  • Zeiterfassung / elektr. Zutrittskontrolle
  • Internetauftritt
  • Telekommunikation, Telemedien (z.B. SmartPhones, ImmoScout, etc.)
  • Technisches Immobilienmanagement
  • Geschäftsbesorgungen, WEG- und Fremdverwaltungen.
  • etc.

Praxishinweis
Die bayerische Datenschutzaufsichtsbehörde (wie auch die Datenschutzaufsichtsbehörden anderer Bundesländer, z.B. Thüringen u.a.) hat auf ihrer Homepage ein Musterformular zur Dokumentation der Verfahren in Unternehmen veröffentlicht (vgl. Anlage 1). Auszufüllen ist dieses für die bereits genannten wohnungswirtschaftlichen Prozesse wie folgt:

  • Angaben zum Verantwortlichen: Daten des Wohnungsunternehmens eintragen
  • Angaben zum ggf. gemeinsam mit diesem Verantwortlichen: Auszufüllen wenn eine gemeinsame Verantwortlichkeit mit einem weiteren Unterneh-men vorliegt (z.B. bei Geschäftsbesorgung)
  • Angaben zum Vertreter des Verantwortlichen: Daten des Geschäftsführers/Vorstands inkl. dienstlicher Anschrift
  • Angaben zur Person des Datenschutzbeauftragten: Daten des Datenschutzbeauftragten (egal ob extern oder intern) inkl. Anschrift (dienst-lich)
  • Verantwortliche Fachabteilung/ Ansprechpartner: z.B. Mietverwaltung; Bereichsleitung Herr/Frau XXXXXXX (dienstliche Kontaktdaten)
  • Zwecke der Verarbeitung: z.B. Vermietung, Verkauf, Anstellung Beschäftigte, rechtsgeschäftsähnliches Schuldver-hältnis, etc.
  • Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Mieter, Käufer, Beschäftigte, etc.
  • Beschreibung der Kategorien von personenbezogenen Daten: z.B. Name, Kontakt, Kontodaten, Bonität, Zahlungsdaten, Mitarbeiterdaten, Sozialdaten (z.B. Wohnberechtigungsschein), etc.
  • Kategorien von Empfängern: z.B. extern -> IT-Dienstleister, Steuerberater, Messdienst, Handwerksunternehmen, etc.
  • Übermittlungen von personenbezogenen Daten an ein Drittland: i.d.R. in der Wohnungswirtschaft keine Übermittlung außerhalb der EU
  • Fristen für die Löschung der verschiedenen Datenkategorien (siehe hierfür 2.6. Archivie-rungsdokumentation und Anlage 2)

2.3. Meldepflicht

Gemäß Art. 33 DS-GVO müssen Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde gemeldet werden. Die Meldung hat unverzüglich und ohne unangemessene Verzögerung (d.h. möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung) zu erfolgen.

Entsprechend Art. 34 DS-GVO muss der Betroffene ebenfalls benachrichtigt werden. Die Benachrichtigung sollte eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten sowie an die betroffene Person gerichtete Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen dieser Verletzung enthalten und so rasch wie nach allgemeinem Ermessen möglich geschehen (vgl. Erwägungsgründe 85, 86 der DS-GVO).

Praxishinweis
Das Risiko im Bereich der Meldepflicht kann bei einer umfangreichen Auslagerung von IT-Systemen und Anwendungen auf qualifizierte Dienstleister abgewälzt werden (siehe auch Punkt 2.1 Techni-scher Datenschutz).

2.4. Datenschutz-Folgeabschätzung

Die Datenschutzfolgeabschätzung ersetzt in der DS-GVO die bisher durchzuführende Vorabkontrolle. Eine Vorabkontrolle musste bisher laut BDSG immer dann durchgeführt werden, wenn eine automatisierte Verarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen" aufweist. Das ist insbesondere dann der Fall, wenn

  • „besondere Arten von personenbezogenen Daten" nach § 3 Abs. 9 BDSG verarbeitet werden (z.B. Gesundheitsdaten) oder
  • die Verarbeitung dazu „bestimmt ist", die Persönlichkeit des Betroffenen zu bewerten (einschließlich seiner Fähigkeiten, Leistung, Verhalten) (z.B. Assessment-Verfahren, Beförderungsranglisten).

Besondere Risiken werden auch im Fall von Videoüberwachungen oder bei Sparbetrieben gesehen. Ebenso beim Austausch von Gesundheitsdaten im Rahmen von betreuten Wohnprojekten, verwalteten Pflegeeinrichtungen, Haus-Notruf-Projekten etc. in Zusammenarbeit mit Pflegediensten oder medizini-schen Organisationen (z.B. Johanniter, Caritas etc.).

Eine Datenschutzfolgeabschätzung ist gemäß Art. 35 DS-GVO dann durchzuführen, wenn eine Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke.

Beispiele für derartige Technologien sind:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen aufgrund automatisierter Verarbeitung
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten
  • systematische weiträumige Überwachung öffentlich zugänglicher Bereiche

Sollte aus der Datenschutzfolgeabschätzung die Verarbeitung der personenbezogenen Daten ein hohes Risiko für die Betroffenen darstellen, ist gemäß Art. 36 DS-GVO die zuständige Aufsichtsbehörde zu konsultieren. Die Datenschutzaufsichtsbehörden werden hierfür noch Positv- / NegativListen zu um-fassten Technologien veröffentlichen.

Praxishinweis
Eine einfache Videokamera im Eingangsbereich oder auch eine Klingelkamera sind keine Verarbei-tungen, bei denen eine Folgeabschätzung durchgeführt werden muss. Die meisten Wohnungsun-ternehmen nutzen auch nicht die Möglichkeit von Assessment-Centern für die Einstellung von Per-sonal oder verarbeiten personenbezogene Daten der Mieter in einem Umfang der eine Folgeab-schätzung notwendig macht.

Hinweis: Die Positiv- / Negativ-Listen der Aufsichtsbehörden sind zum Stichtag noch nicht veröf-fentlicht worden.

2.5. Informationspflichten

Informationspflichten bei der Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Mit der DS-GVO erhöhen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Werden personenbezogene Daten beim Betroffenen erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DS-GVO folgende In-formationen mitteilen:

  • Identität des Verantwortlichen
    Name und Anschrift des Wohnungsunternehmens sowie des Geschäftsführers / Vorstands (dienstlich)
  • Kontaktdaten des Datenschutzbeauftragten
    Neu ist auch die Verpflichtung zur Mitteilung der Kontaktdaten des Datenschutzbeauftrag-ten des Verantwortlichen, egal ob extern oder intern.
  • Verarbeitungszwecke und Rechtsgrundlage
    z.B. Vermietung, Verkauf, Beschäftigungsverhältnis, Mitgliedschaft, WEG-Verwaltung etc. sowie die entsprechende Rechtsgrundlage (Vertragsanbahnung, Mietrecht, Melderecht, Ge-nossenschaftsgesetz, etc.)
  • berechtigtes Interesse
    Sollte die Verarbeitung personenbezogener Daten zur Wahrung berechtigter Interessen des Verantwortlichen (des Wohnungsunternehmens) erforderlich sein, beziehen sich die Informationspflichten auch auf eine Aufklärung über diese Interessen. Dies findet in der Regel jedoch nur selten Anwendung.
  • Empfänger
    Grundsätzlich ist die Nennung von Kategorien von Empfängern ausreichend.
  • Übermittlung in Drittstaaten
    in der Regel in der Wohnungswirtschaft nicht gegeben.

Nach Art. 13 Abs. 2 DSGVO muss der Verantwortliche dem Betroffenen darüber hinaus weitere Informationen mitteilen, die insbesondere notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Dies umfasst:

  • Dauer der Speicherung
    Meist entspricht diese den gesetzlichen Aufbewahrungszeiträumen (siehe hierfür 2.6. Ar-chivierungsdokumentation)
  • Rechte der Betroffenen
    Die Betroffenen sind über ihre Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit hinzu-weisen.
  • Widerrufbarkeit von Einwilligungen
    Soweit die Verarbeitung auf einer Einwilligung des Betroffenen beruht, ist auch darauf ge-sondert hinzuweisen.
  • Beschwerderecht bei der Aufsichtsbehörde
    Der Betroffene ist darüber aufzuklären, dass er sich gemäß Art. 77 DS-GVO bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner per-sonenbezogenen Daten rechtswidrig erfolgt.
  • Verpflichtung zur Bereitstellung personenbezogener Daten
    Der Verantwortliche (das Wohnungsunternehmens) muss den Betroffenen darüber infor-mieren, ob die Bereitstellung seiner personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben, für einen Vertragsschluss erforderlich ist oder eine sonstige Verpflichtung besteht und welche Folgen eine Nichtbereitstellung hätte.
  • automatisierte Entscheidungsfindung und Profiling
    In der Regel in der Wohnungswirtschaft nicht im Praxiseinsatz

Praxishinweis
In der Anlage 3 zu diesem Leitfaden ist ein Musterdokument bzgl. der Informationspflicht beige-fügt.

Grundsätzlich muss dieses Dokument auf der Homepage des Unternehmens unter dem Menüpunkt Datenschutzhinweis platziert werden. Daneben ist eine Veröffentlichung in den Büro-räumen zwingend erforderlich. Betroffene, Mieter und Interessenten müssen jederzeit vor der Da-tenerhebung die Möglichkeit haben, das Dokument einzusehen.

Zusätzlich ist ein Hinweis auf den Mieterselbstauskunftsbögen zu hinterlegen, dass die Informati-onspflichten gemäß Art. 13 DS-GVO auf der Homepage unter „Datenschutzhinweise“ und in den Büroräumen (z.B. im Empfangs- oder Infobereich) einzusehen sind.

Eine Aushändigung des drei bis vier Seiten langen Dokuments ist nicht zwingend erforderlich. Der Betroffene muss allerdings rechtzeitig auf diese Informationen hingewiesen werden.

2.6. Archivierungsdokumentation

Vor dem Hintergrund des Transparenzgedankens, der Dokumentationspflicht und auch der Informationspflicht der DS-GVO ist die Dokumentation der Speicherung, Archivierung sowie auch Löschung / Vernichtung von personenbezogenen Daten unumgänglich.

Praxishinweis
Um dies auf einfache und übersichtliche Weise festhalten zu können, finden Sie als Anlage 2 zu diesem Leitfaden eine Excel-Liste zur Dokumentation.

Das Dokument enthält im Wesentlichen nur vier Eingabebereiche:

  • Prozess / Verarbeitung
    Hier wird festgehalten um welche Verarbeitung es sich handelt. Im Muster sind bereits die Kernprozesse der Wohnungswirtschaft hinterlegt
  • technische Lösung
    Hier muss in Fließtext mit wenigen Sätzen festgehalten werden, wie die Daten des Prozesses im Unternehmen abgelegt / gespeichert werden. Es kann hierbei sowohl EDV-Speicherung in Software als auch Papierablage in Ordnern vorhanden sein. Beides ist hier festzuhalten.
  • Aufbewahrungsdauer soll / ist
    Die Spalte „soll“ gibt im Wesentlichen die gesetzlichen Zeiträume der Aufbewahrung wider. Für die Aufbewahrung von abgelehnten Interessentendaten gilt nach herrschen-der Meinung ein Zeitraum von sechs Monaten.
  • das tatsächliche „ist“ muss in den Abteilungen erfragt und eingetragen werden. Wichtig sind hier sowohl Papierunterlagen im Archiv als auch die Dauer der Datenspeicherung in IT-Systemen.
  • Löschung / Sperrung
    Hier muss festgehalten werden, auf welche Art und Weise die Daten wieder entfernt bzw. vernichtet werden. Dies kann sowohl automatisch durch die Software erfolgen als auch manuell durch einen Administrator oder händisch durch den Sachbearbeiter und einen Aktenvernichter (z.B. bei alten Papierakten).

Achtung
Wichtig ist hierbei, dass die Dokumentation erst einmal niedergeschrieben wird. Auch wenn es noch zu Abweichungen bei den Soll- / Ist-Zeiträumen kommen sollte.

2.7. Datenschutzhinweise-Homepage und Homepage-Verschlüsselung

Auch wenn die Homepage für die meisten Wohnungsunternehmen nicht zu den Kernprozessen der täglichen Verwaltung gehört muss hier aus Datenschutzsicht eine erhöhtes Risiko festgehalten werden. Es werden bei fast jeder Homepage auch personenbezogene oder personenbeziehbare Daten erhoben (z.B. IP-Adressen). Diese Daten werden meist in Cookies gespeichert oder über Web-Analysetools (z.B. eTracker oder Google-Analytics) ausgewertet. Außerdem bieten viele Homepages die Möglichkeit der Kommunikation mittels Kontaktformularen.

Praxishinweis
Wohnungsunternehmen müssen auf der Homepage Hinweise zum Datenschutz geben. Diese sind in Textform als separater Link, z.B. neben dem Impressum zu platzieren. Die Hinweise müssen von jedem Bereich der Homepage aus mit nur einem Klick erreichbar sein. Ein Mustertext für zu hinter-legende Datenschutzhinweise ist in Anlage 5 dieses Leitfadens bereitgestellt.

Des Weiteren sollte auf der Homepage auch eine SSL- bzw. TLS-Verschlüsselung hinterlegt werden (HTTPS), da mit Hilfe des Kontaktformulars oder Schadensmeldungsformularen personenbezogene Daten ansonsten unverschlüsselt übermittelt werden (Bußgeldtatbestand).

Zusätzlich ist mit dem Unternehmen, welches die Homepage Hostet (z.B. 1&1 oder Strato), eine Vereinbarung zur Auftragsverarbeitung zu schließen (siehe auch 2.8. IT-Sicherheitsdokumentation sowie Richtlinien, Betriebsvereinbarungen, Arbeitsanweisungen).

2.8. IT-Sicherheitsdokumentation sowie Richtlinien, Betriebsvereinbarungen, Arbeitsanweisungen

Die allgemeinen organisatorischen Maßnahmen für ein IT-Sicherheits- und Datenschutzkonzept erfordern sowohl technische als auch organisatorische Maßnahmen. Letztere sind überwiegend von Dokumentationsaufgaben geprägt, die jedoch in Teilbereichen (Datensicherung, Notfallplan, Zugriffsrechte usw.) in Dienstanweisungen dokumentiert werden können. Im Wesentlichen hängt dies von der Organisationsstruktur des Unternehmens ab.

Sämtliche getroffenen organisatorischen Maßnahmen sollten dokumentiert werden und allen Mitarbeitern zugänglich gemacht werden und bekannt sein. Die Ausprägung und Tiefe der Dokumentation kann in Abhängigkeit der Struktur und Größe des Unternehmens erfolgen.

Typische und wichtige Dokumentationen und Richtlinien sind:

  • IT-Notfallhandbuch
  • Netzwerkdokumentation
  • Datensicherungskonzept
  • Zugriff-Berechtigungskonzept
  • Kennwortrichtlinie
  • Richtlinie zur privaten Nutzung von In-ternet und E-Mail
  • Richtlinie zur Nutzung mobiler Endgerä-te
  • Richtlinie zur Daten- und Papiermüllent-sorgung
  • Schulungsnachweis zur regelmäßigen Mitarbeitersensibilisierung
  • Richtlinie zum Umgang mit Auskunftser-suchen nach Art. 15 Abs. 1 DSGVO

Ist im Unternehmen eine Arbeitnehmervertretung oder ein Betriebsrat vorhanden, sind ggf. den Inhalten entsprechende Betriebsvereinbarungen zu treffen, die auch die Einbeziehung der Mitarbeitervertretung hinsichtlich Auswertbarkeit, Kontrolle und Sanktionierung sowie Umsetzung der Vorgaben regelt. Typische Betriebsvereinbarungen (BV) hierzu sind beispielsweise:

  • BV zur Videoüberwachung im Unternehmen
  • BV zur elektronischen Arbeitszeiterfassung
  • BV zur elektronischen Zutrittskontrolle

All diese Dokumente sollten einer turnusgemäßen Überprüfung zur Aktualisierung und Anpassung an die betrieblichen-, technischen- oder gesellschaftlichen Begebenheiten unterliegen.

2.9. Auftragsverarbeitung

In der DS-GVO wird die Auftragsdatenverarbeitung (BDSG alt) europaweit einheitlich geregelt. Obwohl sich die neuen Regelungen inhaltlich an dem bekannten § 11 BDSG orientieren und diesen im Prinzip auf ein europäisches Level heben, sind einige Unterschiede zu beachten.

Die Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen der verantwortlichen Stelle (Auftraggeber) auf Grundlage eines schriftlichen Vertrags. Mit Art. 28 ff. DS-GVO erfährt nun auch die Auftragsdatenverarbeitung eine detaillierte gesetzliche Regelung auf europäischer Ebene.

Die inhaltlichen Anforderungen an einen Vertrag zur Datenverarbeitung im Auftrag orientieren sich sehr stark an den in Deutschland bereits bekannten Punkten. Nach Art. 28 Abs. 3 DS-GVO sind zu regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien von betroffenen Personen
  • Umfang der Weisungsbefugnisse
  • Verpflichtung der zur Verarbeitung befugten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen
  • Hinzuziehung von Subunternehmern
  • Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
  • Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
  • Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
  • Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
  • Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
  • Benennung und Auflistung relevanter Subunternehmer, die in die Datenverarbeitung involviert sind.

Praxishinweis
Als Anlage 4 ist eine Mustervereinbarung zur Auftragsverarbeitung beigefügt. Diese muss je nach dem welcher Dienstleister tätig wird auf die durchgeführte Datenverarbeitung angepasst werden. Des Weiteren sind vom Dienstleister auch alle Subunternehmen sowie die vorhandenen techni-schen und organisatorischen Maßnahmen zu bestimmen.

Viele Dienstleister haben bereits eigene Mustervereinbarungen zur Auftragsverarbeitung entwor-fen. Auch diese können verwendet werden, sollten jedoch alle unter 2.8 IT-Sicherheitsdokumentation sowie Richtlinien, Betriebsvereinbarungen, Arbeitsanweisungen ge-nannten Inhalte aufweisen können.

Mögliche Bereiche von Datenverarbeitung im Auftrag sind bei Wohnungsunternehmen:

  • ERP-System-Betreuung
  • EDV-Betreuung
  • Organisations- und Projektberatung
  • externe Erstellung von Lohnabrechnungen
  • externe Dokumenten- / Papiervernichtung
  • Ablesetätigkeit im Rahmen der BK / HK durch Ableseunternehmen
  • Wartung des Zeiterfassungssystems für Mitarbeiter
  • Geschäftsbesorgung
  • Fremdverwaltung
  • Telefonanlage (Provider, Wartung)
  • Integration und Betreuung eines Dokumenten-Management-Systems
  • mobile Prozessunterstützung
  • Call-Center
  • Handwerkerkopplung

2.10. Bestellung eines Datenschutzbeauftragten

An den Anforderungen zur Bestellpflicht eines Datenschutzbeauftragten (DSB) hat sich nichts geändert. Auch künftig müssen Unternehmen einen DSB bestellen / benennen, sobald mindestens zehn Personen mit der Verarbeitung von personenbezogenen Daten beauftragt sind. Die Benennung eines internen oder externen DSB ist weiterhin möglich.

Die Aufgaben und Pflichten eines betrieblichen DSB sind in Art. 39 DS-GVO geregelt und umfassen:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Be-schäftigten
  • Überwachung der Einhaltung der DS-GVO und nationaler Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Grundsätzlich bleibt für die Einhaltung der datenschutzrechtlichen Vorschriften das Unternehmen selbst verantwortlich; der betriebliche DSB wirkt insofern weiterhin in ausreichendem Maße auf die Einhaltung hin. Die Aufgaben ähneln dem aus dem BDSG Bekannten sehr. Um diesen Aufgaben und Pflichten nachkommen zu können, regelt die DS-GVO explizit, dass der DSB „ordnungsgemäß und früh-zeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden ist (vgl. Art. 38 Abs. 1 DS-GVO).

2.11. Fazit

In Anbetracht der umfangreichen Pflichten, die sich aus der DS-GVO ergeben, kurz zusammengefasst:
Welche Punkte sind verpflichtend umzusetzen?

  • Bestellung eines DSB sobald 10 Personen im Unternehmen personenbezogene Daten verarbeiten
  • Meldung des DSB bei der Aufsichtsbehörde
  • Abschluss von Vereinbarungen zur Auftragsverarbeitung mit Dienstleistern
  • Dokumentation der Kern-Verfahren mit Hilfe der Musterverzeichnis-Vorlage
  • Datenschutzhinweise und TLS-Verschlüsselung auf der Homepage einrichten
  • Archivierungs-Dokumentation mit Mustervorlage erstellen
  • Informationspflicht auf Homepage veröffentlichen und im Büro bereitstellen (Muster in An-lagen)
  • Möglichkeit von künftigen Outsourcing an professionellen Dienstleister prüfen
  • ggf. regelmäßige Tests der IT-Infrastruktur beauftragen
  • zuzüglich noch weitere Dokumentationen wie z.B. Richtlinien zur Papiervernichtung, Nutzung von Internet, Email und Telefon am Arbeitsplatz, Nutzung mobiler Endgeräte, etc. fixieren.

Im Mandantenbereich der Homepage der Bavaria Treu AG sind zusätzliche Arbeitshilfen und Muster-vorlagen zum Datenschutz bereitgestellt.
Diese werden laufend ergänzt (https://bavariatreu.de/mandantenbereich).

Besuchen Sie auch die sehr informativen und mit wertvollen Informationen und Orientierungshilfen ausgestatteten Homepages der zuständigen Datenschutzaufsichtsbehörden, wie z.B. des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) unter https://www.datenschutz.thueringen.de u.a.

Ansprechpartner

Sollten Sie Fragen zur praktischen Umsetzung der DS-GVO haben, wenden Sie sich vertrauensvoll an unsere Datenschutz-Experten der Bavaria Treu AG:

Christian Fischer
E-Mail: christian.fischer@bavariatreu.de
Michael Fischer
E-Mail: michael.fischer@bavariatreu.de

Anlagen:

  1. Leitfaden zur praktischen Umsetzung des DS-GVO und BDSG in der Wohnungswirtschaft
  2. Muster zur Dokumentation der Verfahrensverzeichnisse
  3. Muster „Archivierungsdokumentation“
  4. Muster „Informationspflicht gemäß Art. 13 DS-GVO“
  5. Muster „Vereinbarung zur Auftragsverarbeitung“
  6. Muster „Datenschutzhinweise Homepage“

Sie haben Fragen. Rufen Sie uns an!

Telefonnummer
+49 (0)89-29 00 20 417

Alles im Überblick

BavariaTreuAG

Kontakt

Bavaria Revisions- und Treuhand Aktiengesellschaft
Wirtschaftsprüfungsgesellschaft
Steuerberatungsgesellschaft
Stollbergstr. 7 - 80539 München
Deutschland
Telefon: +49 (0)89-29 00 20 417
Telefax: +49 (0)89-29 00 20 489
 

Niederlassungen

Hauptsitz München
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Telefon: +49 (0)89 - 29 00 20 - 417
Niederlassung Erfurt
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Telefon: +49 (0)361 - 340 62 - 0
Niederlassung Dresden
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Telefon: +49 (0)351 - 811 82 - 60
Niederlassung Schwerin
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Telefon: +49 (0)385 - 55 58 11 - 15
Niederlassung Potsdam
Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!
Telefon: +49 (0)331 - 97 99 17 - 20