63
5|2017
darauf zu achten, dass Vertraulichkeit, Integri-
tät, Verfügbarkeit und Belastbarkeit gewährleis-
tet sind. Die Belastbarkeit der IT-Systeme wurde
bisher nicht in die Betrachtung einbezogen. Wie
die Auslegung des Begriffs „Belastbarkeit“ sein
wird, bleibt abzuwarten.
Technisch organisatorische Maßnahmen zum
Datenschutz sind unter Abwägung des Stands
der Technik, den Implementierungskosten, dem
Zweck der Verarbeitung, der Eintrittswahrschein-
lichkeiten und nach der Schwere des Risikos für
die Betroffenen zu bestimmen.
Einwilligungserklärungen
Die Einwilligungserklärung bleibt weiterhin einer
der zentralen Bestandteile bei der Zulässigkeit der
Datenerhebung. Soweit die Zulässigkeit der Da-
tenerhebung nicht aus einer Rechtsvorschrift ab-
geleitet werden kann, ist weiterhin die bewusste
Zustimmung und die Möglichkeit der Ablehnung
erforderlich.
Die Schriftform ist nicht mehr erforderlich,
auch eine stillschweigende Erklärung, soweit sie
eindeutig ist, ist zulässig. Stillschweigen oder
vermutetes Interesse genügt jedoch nicht. Das
Unternehmen hat den Nachweis über die Abgabe
zu führen, so dass weiterhin die Einhaltung der
Schriftform zu empfehlen ist.
Information bei Datenerhebung (Art. 13) –
Transparenzgrundsatz
Werden personenbezogene Daten bei der betroffe-
nen Person erhoben, hat der Verantwortliche der
betroffenen Person zum Zeitpunkt der Erhebung
dieser Daten Folgendes mitzuteilen:
• den Namen und die Kontaktdaten des Verant-
wortlichen sowie gegebenenfalls seines Vertre-
ters,
• die Kontaktdaten des Datenschutzbeauftrag-
ten,
• die Zwecke, für die die personenbezogenen
Daten verarbeitet werden sollen, sowie die
Rechtsgrundlage für die Verarbeitung,
• ggf. das berechtigte Interesse,
• ggf. die Empfänger oder Kategorien von Emp-
fängern der personenbezogenen Daten.
Zum Zeitpunkt der Erhebung der personenbezo-
genen Daten sind folgende weitere Informationen
zur Verfügung zu stellen, die notwendig sind, um
eine faire und transparente Verarbeitung zu ge-
währleisten:
• die Dauer, für die die personenbezogenen Da-
ten gespeichert werden, oder, falls dies nicht
möglich ist, die Kriterien für die Festlegung
dieser Dauer,
• die Hinweispflicht auf das Recht auf Auskunft
über die angeforderten personenbezogenen
Daten sowie die Möglichkeit der Berichtigung
oder Löschung oder Einschränkung der Verar-
beitung oder eines Widerspruchsrechts gegen
die Verarbeitung,
• die Hinweispflicht auf die Möglichkeit zur Wi-
derrufbarkeit von Einwilligungen,
• die Hinweispflicht auf das Beschwerderecht
bei einer Aufsichtsbehörde, zu den Fragen, ob
die Erhebung der personenbezogenen Daten
gesetzlich oder vertraglich vorgeschrieben
ist, ob die erhobenen Daten für den Vertrags-
abschluss überhaupt erforderlich sind, ob die
betroffene Person verpflichtet ist, die perso-
nenbezogenen Daten bereitzustellen, und wel-
che möglichen Folgen die Nichtbereitstellung
hätte.
• Hinzuweisen ist auch auf das Bestehen einer
automatisierten Entscheidungsfindung ein-
schließlich Profiling. Aussagekräftige Infor-
mationen über die involvierte Logik sowie die
Tragweite und die angestrebten Auswirkungen
einer derartigen Verarbeitung sind der betrof-
fenen Person mitzuteilen.
Insbesondere bei der Neuvermietung könnte dies
zu einem zusätzlichen Verwaltungsaufwand füh-
ren. Wie die praktische Umsetzung zu erfolgen
hat, bleibt abzuwarten.
Löschung von Daten und
Recht auf Vergessenwerden
Es bestehen nun umfassendere Löschpflichten als
bislang in § 35 BDSG. Löschkonzepte sind zu ent-
wickeln und zu beachten, um die Einhaltung der
Vorgaben der Verordnung nachweisen zu können.
Dies betrifft vor allem Unterlagen abgelehnter
Mietbewerber, beendeter Mietverhältnisse und
ausgeschiedener Mitarbeiter.
Haftung und Sanktionen
Die Haftung der Verantwortlichen für den Daten-
schutz wird erweitert. Zukünftig sind den Betrof-
fenen neben den materiellen auch immaterielle
Schäden zu erstatten, die auf Datenschutzverstö-
ßen beruhen.
Gleichzeitig wird der Sanktionsrahmen erheblich
verschärft. Für Verstöße ist ein Bußgeld von bis
zu 20 Mio. € oder bis zu 4% des gruppenweiten
Jahresumsatzes vorgesehen – je nachdem, wel-
cher Betrag höher ist (Art. 83 Abs. 6 DS-GVO). Im
BDSG ist bisher die Verhängung eines Bußgelds
nur in Höhe von maximal 300.000 € möglich
(§ 43 Abs. 3 BDSG).
Ausblick
Durch die DS-GVO ist vom Grundsatz her eine
deutliche Verschärfung der Datenschutzvor-
schriften und der Sanktionen bei Verstößen
gewollt. Ausschlaggebend für die praktische
Umsetzung, insbesondere in dem für Wohnungs-
unternehmen wichtigen Bereich der Datenerhe-
bung bei der Anbahnung von Mietverhältnissen,
werden die Auslegungshinweise der Aufsichtsbe-
hörden sein, diese und die Novellierung des BDSG
stehen noch aus. Für die Wohnungswirtschaft ist
zu befürchten, dass insbesondere die neuen Infor-
mationspflichten bei der Datenerhebung bei den
Unternehmen zu einem erhöhten Verwaltungs-
aufwand führen.
Weitere Informationen:
Neubau und Sanierung
Energie und Technik
Rechtssprechung
Haufe Gruppe
Markt undManagement
Stadtbauund Stadtentwicklung
TRANZPARENZGRUNDSATZ
Transparenzgrundsatz
Transparente Verarbeitung der Daten durch
Informationspflichten, Auskunftsrechte und Rechte der Betroffenen
Artikel 13 und 14
DS-GVO
Informationspflich-
ten bei der
Datenerhebung beim
Betroffenen
Artikel 15 DS-GVO
Auskunftsrecht des
Betroffenen
Artikel 16 bis 21
DSGVO
Recht auf:
Berichtigung,
Löschung,
Sperrung,
Widerspruch
des Betroffenen
Quelle: WTS
