>

Neue Herausforderungen im Jahr 2018 – Handlungsbedarf für die Wohnungsunternehmen aufgrund der Anwendbarkeit der DSGVO ab dem 25.05.2018 – Teil 1

Das Thema Datenschutz nahm bereits bei unserem diesjährigen Mandantentreffen aus aktuellem Anlass einen großen Stellenwert ein. In fünf Monaten wird die Datenschutzgrundverordnung (DSGVO) anwendbar und zwingendes Recht sein. Zudem tritt ein geändertes Bundesdatenschutzgesetz (BDSG-neu) in Kraft. Damit verbunden sind zahlreiche Neuerungen, die Handlungsbedarf bei den meisten Wohnungsunternehmen hervorrufen. Die rechtlichen Änderungen betreffen jedoch weniger die Fragen, ob und welche personenbezogenen Daten überhaupt erhoben, verarbeitet und genutzt werden dürfen, sondern mehr die Frage des „Wie“. Die Unternehmen müssen nicht nur sicherstellen, dass sie die Vorgaben der DSGVO einhalten, sondern dies auch nachweisen können. Im Folgenden sollen die wesentlichen Änderungen dargestellt werden, die für die Unternehmen der Wohnungswirtschaft die meiste Relevanz aufweisen.

Datenschutzbeauftragter

In Ergänzung zu Art. 37 Abs. 1 DSGVO bestimmt zukünftig § 38 Abs. 1 BDSG-neu, dass Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigen. Als Datenschutzbeauftragter kann sowohl ein Mitarbeiter des Unternehmens als auch ein Externer bestellt werden, vgl. Art. 37 Abs. 6 DSGVO. Jedes Wohnungsunternehmen sollte daher nochmals prüfen, ob es verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und er diese Aufgabe übernehmen soll.

Die derzeitige Aufgabe des Datenschutzbeauftragten, auf die Einhaltung der datenschutzrechtlichen Vorgaben im Unternehmen hinzuwirken, wird in Art 39 Abs. 1 DSGVO erheblich erweitert. So obliegen ihm zukünftig u. a. folgende Aufgaben:

  • Unterrichtung und Beratung der Verantwortlichen, der Auftragsverarbeiter und der Beschäftigten
  • Überwachung der Einhaltung der DSGVO und nationaler Sonderregelungen
  • Sensibilisierung und Schulung
  • Beratung und Überwachung im Zusammenhang mit der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit der Aufsichtsbehörde

Rolle der Aufsichtsbehörden

Nicht nur die Aufgaben des Datenschutzbeauftragten werden erweitert, sondern auch die der Aufsichtsbehörden. Neben der Kernaufgabe „Überwachung und Durchsetzung des Datenschutzes“ sollen diese zukünftig Öffentlichkeitsarbeit betreiben, eine Klassifizierung von Datenverarbeitungsprozessen mit und ohne zwingender Datenschutz-Folgenabschätzung vornehmen und die Unternehmen zu datenschutzrechtlichen Pflichten aufklären. Letztere Aufgabe könnte dazu führen, dass die Aufsichtsbehörde bei erstmals festgestellten Verstößen nur eine Aufklärung vornimmt und nicht sofort eine Sanktion verhängt, da das Unternehmen gegen eine Sanktion einwenden könnte, nicht hinreichend aufgeklärt worden zu sein. Dazu muss jedoch die Praxis abgewartet werden.

Verzeichnis von Verarbeitungstätigkeiten

Den meisten Handlungsbedarf dürfte die Einführung der umfangreichen Dokumentationspflichten auslösen. Zwar besteht auch derzeit unter bestimmten Voraussetzungen eine Pflicht zur Führung eines Verfahrensverzeichnisses, vgl. § 4e BDSG-alt. Nunmehr wird jedoch in Art. 30 DSGVO die allgemeine Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten eingeführt. Soweit ein solches Verzeichnis bisher nicht im Unternehmen existiert, muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten erhoben und verarbeitete werden, um dann das entsprechende Verzeichnis zu erstellen. In das Verzeichnis aufzunehmen sind u. a. die Kontaktdaten des Verantwortlichen und eines etwaigen Datenschutzbeauftragten, der Zweck der Verarbeitung, die Datenkategorien und wenn möglich, die vorgesehenen Fristen für die Löschung er verschiedenen Datenkategorien und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Damit wird das Verzeichnis in der Praxis in aller Regel aus vielen verschiedenen Einzelverzeichnissen bestehen.

Neu ist zudem, dass auch die nur im Auftrag der verantwortlichen Stellen Daten verarbeiten, entsprechende Verzeichnisse zu erstellen haben. Verstieß bisher ein Verantwortlicher gegen diese Verpflichtung, so blieb dies sanktionslos. Kann der Verantwortliche oder Auftragsdatenverarbeiter der Aufsichtsbehörde auf deren Verlangen hin kein solches Verzeichnis vorlegen, droht ihnen ein empfindliches Bußgeld.

Datensicherheit

Die Anforderungen an die Sicherheit der Daten bei der Verarbeitung ist in Art. 32 DSGVO geregelt, ersetzt den bisherigen § 9 BDSG nebst Anlagen und ist nun noch abstrakter formuliert. Neu ist, dass die umgesetzten Maßnahmen dem „Stand der Technik“ entsprechen müssen. Damit sollen nach der bisherigen Praxis Maßnahmen gemeint sein, die zur Verfügung stehen und sich bereits in der Praxis bewährt haben. Dies bedeutet jedoch, dass der Stand der Technik kontinuierlich geprüft werden muss und die Maßnahmen bei einer Fortentwicklung angepasst werden müssen. Die ergriffenen Maßnahmen müssen ein dem Risiko „angemessenes Schutzniveau“ zu gewährleisten.

Um diesen Anforderungen zu genügen, wird es notwendig sein, eine Risikobewertung vorzunehmen.

Der Verantwortliche muss die Einhaltung der Datensicherheit auch nachweisen. Verstöße gegen die Datensicherheit sind – im Gegensatz zur bisherigen Rechtslage – zukünftig auch bußgeldbewehrt.

Der Artikel wird im Kanzleiforum Ausgabe März 2018 fortgesetzt.

Jana Wegert

Rechtsanwältin

Kanzleiforum 12/2017
Rechtsanwälte Strunz ♦ Alter, Chemnitz