59
3|2018
schäftigten, die Verarbeitungen durchführen,
hinsichtlich ihrer Pflichten nach der DSGVO,
• Überwachung der Einhaltung der DSGVO sowie
der Strategien des Verantwortlichen oder des
Auftragsverarbeiters für den Schutz personen-
bezogener Daten einschließlich der Zuweisung
von Zuständigkeiten, der Sensibilisierung und
Schulung der an den Verarbeitungsvorgängen
beteiligtenMitarbeiter und der diesbezüglichen
Überprüfungen,
• Zusammenarbeit mit der Aufsichtsbehörde,
• Tätigkeit als Anlaufstelle für dieAufsichtsbehör-
de inmit der Verarbeitung zusammenhängenden
Fragen, einschließlich der vorherigenKonsultati-
on und ggf. Beratung zu allen sonstigen Fragen.
Hinweis: Wohnungsunternehmen sollten den Da-
tenschutzbeauftragten und seinen Stellvertreter
auf der Homepage ihres Unternehmens nennen.
Datenschutz als Organisationsaufgabe
Umden umfangreichen Anforderungen und Nach-
weispflichten der DSGVO nachzukommen, ist eine
umfassende Bestandsaufnahme aller Tätigkeiten
mit Bezug zu personenbezogenen Daten, deren
Analyse und risikobezogene Bewertung erfor-
derlich.
Nach der DSGVOmuss das Wohnungsunternehmen
nachweisen können, dass es personenbezogene
Daten in Übereinstimmung mit der Verordnung
verarbeitet. Die hier geregelte Nachweispflicht ist
zum Nachweis der Erfüllung der Überwachungs-
pflicht demnach auch für den Datenschutzbe-
auftragten von ganz erheblicher Bedeutung.
Auftragsverarbeiter müssen demWohnungsunter-
nehmen zudemalle erforderlichen Informationen
zur Verfügung stellen, damit es nachweisen kann,
dass es seine gemäß Datenschutzverordnung er-
gebenen Pflichten erfüllen kann.
Verzeichnis von Verarbeitungstätigkeiten
(„Verarbeitungsverzeichnis“)
Die Pflicht zur Führung eines Verzeichnisses von
Verarbeitungstätigkeiten folgt aus der Pflicht,
die Einhaltung der DSGVO nachweisen zu kön-
nen. Das Verarbeitungsverzeichnis ist Dreh- und
Angelpunkt der Verordnung, gewissermaßen der
„Spielmacher“ des neuen Datenschutzrechts. Die
Führung eines Verzeichnisses von Verarbeitungstä-
tigkeiten obliegt demWohnungsunternehmen. Das
Verzeichnis sollte folgende Angaben enthalten:
• den Namen und die Kontaktdaten des Woh-
nungsunternehmens sowie eines etwaigen
Datenschutzbeauftragten,
• die Zwecke der Verarbeitung,
• Beschreibung der Kategorien betroffener Per-
sonen und der Kategorien personenbezogener
Daten,
• die Kategorien von Empfängern, gegenüber
denen die personenbezogenen Daten offenge-
legt worden sind oder noch offengelegt werden,
einschließlich Empfänger in Drittländern oder
internationalen Organisationen,
• die vorgesehenen Fristen für die Löschung der
verschiedenen Datenkategorien,
• eine allgemeine Beschreibung der technischen
und organisatorischenMaßnahmen (Sicherheit
der Verarbeitung).
Auf Anfrage ist das Verzeichnis der Aufsichtsbe-
hörde zur Verfügung zu stellen.
Erweiterte Transparenzvorschriften
Wohnungsunternehmen müssen betroffene Per-
sonen deutlich umfassender als bislang und in
einer nachvollziehbaren Weise darüber infor-
mieren, ob und wie sie deren Daten verarbeiten.
Macht eine betroffene Person ihr Auskunftsrecht
darüber geltend, ob und welche personenbezo-
genen Daten ein Wohnungsunternehmen von ihr
verarbeitet, muss ihr das Wohnungsunternehmen
als Verantwortliche u.a. eine Kopie der verarbei-
teten personenbezogenen Daten zur Verfügung
stellen.
Melde- und Benachrichtigungspflichten bei
Datenschutzverletzungen
Anders als das bisherige Datenschutzrecht sieht
die DSGVO umfassendere Meldepflichten gegen-
über der Aufsichtsbehörde sowie Benachrichti-
gungspflichten gegenüber den betroffenen Per-
sonen vor. In diesem Zusammenhang ist auch die
Definition einer Datenschutzverletzung deutlich
weiter als nach dembisherigemRecht. Grundsätz-
lich muss das verantwortliche Unternehmen der
Aufsichtsbehörde jede Datenschutzverletzung un-
verzüglich und möglichst innerhalb von 72 Stun-
den melden, nachdem dem Verantwortlichen die
Verletzung bekannt wurde. Nur ausnahmsweise
besteht keine Pflicht zur Meldung bei der Auf-
sichtsbehörde, wenn die Verletzung voraussicht-
lich nicht zu einem Risiko für die persönlichen
Rechte und Freiheiten der von der Datenschutz-
verletzung betroffenen Personen führt.
Zudem muss der Verantwortliche grundsätzlich
die betroffenen Personen selbst ohne unange-
messene Verzögerung benachrichtigen, wenn eine
Datenschutzverletzung voraussichtlich ein hohes
Risiko für ihre persönlichen Rechte und Freiheiten
zur Folge hat.
Höhere Bußgelder
Die DSGVO sieht für Unternehmen Bußgelder von
bis zu 4% des Umsatzes vor. An Verstößen gegen
die DSGVO beteiligte natürliche Personen müs-
sen mit Geldbußen von bis zu 20 Mio. € rechnen.
Damit verschärft sich der Bußgeldrahmen ge-
genüber dem bisherigen Recht drastisch. Bislang
sah das Bundesdatenschutzgesetz Bußgelder von
maximal 300.000 € vor.
Empfehlungen bis zur Geltung der DSGVO
Die vorgenannten (nicht abschließenden) Än-
derungen zeigen auf, dass es gerade vor dem
Hintergrund der erweiterten Haftung für Verant-
wortliche und Auftragsverarbeiter umsowichtiger
wird, Datenschutzmaßnahmen umfassender zu
dokumentieren, d.h. Archivierungs- und Lösch-
konzepte zu beschließen und zeitnah Strukturen
und Prozesse zu schaffen, um die detaillierten
Anforderungen der DSGVO spätestens bei ihrem
Inkrafttreten zu erfüllen. Gerade die enormgestie-
genen Bußgeldrisiken legen es nahe, Datenschutz-
managementsysteme nach dem Vorbild entspre-
chender Compliancestrukturen zu etablieren.
Da im Schwerpunkt vor allem Rechtsfolgen, wie
etwa imBereich der Informationspflichten, modi-
fiziert werden und aus demGrundsatz der zweiten
Rechenschaftspflicht umfassende Nachweis- und
Dokumentationserfordernisse abgeleitet werden,
sollten Unternehmen insbesonderemit komplexe-
ren Verarbeitungsprozessen ihre Verfahren ana-
lysieren und Anpassungsschritte einleiten, selbst
wenn in Einzelfragen noch Rechtsunsicherheiten
verbleiben.
Folgende Maßnahmen bieten sich dazu an:
• Information der gesamten Geschäftsleitung und
aller Mitarbeiter,
• Erhebung und Anpassung derzeitiger Prozes-
se, Rechtsgrundlagen und bestehender Daten-
schutzorganisation,
• Aufbau einer Dokumentation (Verarbeitungs-
verzeichnis),
• Erstellung und Umsetzung eines Löschkon-
zepts,
• Prüfung und Anpassung der ADV-Verträge/
Dienstleistungsbeziehungen oder sog. Funk-
tionsübertragungen,
• Identifikation des Anpassungsbedarfs bei der
IT-Sicherheit und Umsetzung,
• Prüfung und Anpassung von Betriebsvereinba-
rungen,
• Umsetzung der Informationspflichten und Be-
troffenenrechte.
Die regionalen Prüfungsverbände der Wohnungs-
und Immobilienwirtschaft und ihre nahestehenden
Wirtschaftsprüfungsgesellschaften unterstützen
Sie gern bei der Umsetzung der Anforderungen der
neuen Datenschutzgrundverordnung.
Weitere Informationen:
Neubau und Sanierung
Energie und Technik
Rechtssprechung
Haufe Gruppe
Markt undManagement
Stadtbauund Stadtentwicklung
