MARKT UND MANAGEMENT
60
3|2018
Gerade in der Wohnungswirtschaft
Datenschutz muss Chefsache werden
Und noch einmal das Datum 25. Mai 2018: Ein Datum, das man im Kalender markieren sollte, denn bis
dahin gibt es für viele Unternehmen noch einiges zu tun, um die deutlich gestiegenen Anforderungen der
Datenschutzgrundverordnung zu erfüllen. In diesem Artikel geht es um das „warum“, „wofür“ und „wie“.
Ab dem 25. Mai 2018 wird die Datenschutz-
grundverordnung (kurz „DSGVO“) das derzeitige
Bundesdatenschutzgesetz (BDSG) vollständig er-
setzen. Ab diesem Zeitpunkt wird innerhalb der
gesamten Europäischen Union (EU) ein – größten-
teils – einheitliches Datenschutzrecht gelten. Die
Umstellung geschieht alles andere als plötzlich,
denn die DSGVO wurde schon über zwei Jahre
vor dem Geltungsdatum, am 4. Mai 2016, ver-
öffentlicht und war davor ausschweifend und
kontrovers in verschiedenen Gremien diskutiert
worden. Trotzdem scheint es für viele Betroffene
nun so, als hätte man nicht genügend Zeit für die
Vorbereitung gehabt.
Doch worumgeht es bei dem „Datenschutz“ nach
der DSGVO eigentlich, was soll die DSGVO bewir-
ken und was ändert sich dadurch imVergleich zur
jetzigen Rechtslage undwarum ist dieWohnungs-
wirtschaft vielleicht stärker von den Neuerungen
betroffen als andere Unternehmen?
Die Datenschutzgrundverordnung
Seit dem Volkszählungsurteil des Bundesverfas-
sungsgerichts (1983) ist das Grundrecht auf infor-
mationelle Selbstbestimmung anerkannt. Danach
hat jeder Einzelne das Recht, über die Preisgabe
und Verwendung seiner personenbezogenen Da-
ten selbst zu bestimmen. Und so sind auch das
BDSG und die DSGVO ausgerichtet: Es handelt
sich dabei jeweils um ein sog. Verbotsgesetz mit
Erlaubnisvorbehalt, das heißt, dass grundsätzlich
jede Verarbeitung von personenbezogenen Daten
verboten ist, wenn sie nicht durch einen gesetzli-
chen Ausnahmetatbestand erlaubt ist oder wenn
der Betroffene eingewilligt hat.
Früher war der Datenschutz rein national geregelt,
dann kamen europäische Richtlinien hinzu, um
europaweit eine gewisse Einheitlichkeit sicher-
zustellen. Weil Richtlinien den Mitgliedsstaaten
aber einen Spielraum bei der Umsetzung lassen,
ergaben sich EU-weit immer noch erhebliche Un-
terschiede, wie der Datenschutz gelebt wurde. Ab
dem25. Mai 2018 gilt nun die europäische Daten-
schutzgrundverordnung direkt und unmittelbar
in allen EU-Mitgliedsstaaten. Öffnungsklauseln in
der DSGVOwerden zusätzlich in nationalen Geset-
zen – in Deutschland durch das neue BDSG („BDSG
(neu)“) – ausgestaltet, der Spielraum ist aber weit
geringer, als er bei einer Richtlinie wäre.
Datenschutz soll mit der DSGVO Chefsache wer-
den, und bei jeder Verarbeitung von personenbe-
zogenen Daten soll deren Sicherheit von Anfang
an im Mittelpunkt stehen – so lautet (neben der
Vereinheitlichung des Datenschutzniveaus in der
EU) ein Ziel der DSGVO.
Zur Sicherstellung, dass das Thema „Datenschutz“
bei den Unternehmen „ganz oben“ aufgehängt
wird, können ab dem 25. Mai 2018 nun drako-
nische Bußgelder von bis zu 20 Mio. € oder 4%
des gesamten weltweit erzielten Jahresumsatzes
verhängt werden. Nur zum Vergleich: Das BDSG
heute sieht nur Bußgelder von bis zu 50.000 €
bzw. bis zu 300.000 € vor.
Personenbezogene Daten in der
Wohnungswirtschaft
Unter „Datenschutz“ nach der DSGVO und dem
BDSG ist nicht der Schutz von Betriebs- und
Geschäftsgeheimnissen zu verstehen, sondern
alleine der Schutz von sog. personenbezogenen
Daten. Definiert wird der Begriff – derzeit noch –
imBundesdatenschutzgesetz und ab dem25. Mai
2018 in der Datenschutzgrundverordnung, wo es
in Artikel 4 Ziffer 1 heißt: „Personenbezogene Da-
ten sind alle Informationen, die sich auf eine iden-
tifizierte oder identifizierbare natürliche Person
(imFolgenden „betroffene Person“) beziehen; als
identifizierbar wird eine natürliche Person angese-
hen, die direkt oder indirekt, insbesonderemittels
Zuordnung zu einer Kennung wie einem Namen,
zu einer Kennnummer, zu Standortdaten, zu einer
Online-Kennung oder zu einemoder mehreren be-
sonderen Merkmalen identifiziert werden kann,
die Ausdruck der physischen, physiologischen,
genetischen, psychischen, wirtschaftlichen, kul-
turellen oder sozialen Identität dieser natürlichen
Person sind.“
Auffällig ist bei der Definition noch, dass nur die
Daten von natürlichen Personen, also Menschen
aus Fleisch und Blut, durch die DSGVO (wie auch
schon durch das BDSG) geschützt werden; die Da-
ten von juristischen Personen (z. B. einer GmbH)
fallen nicht hierunter.
Personenbezogen sind also Daten wie u. a. Name,
Adresse, Kontonummer, SCHUFA-Auskunft oder
Familienverhältnisse. Selbst die IP-Adresse gilt
als personenbezogen, weil über einen Dritten
(den Zugangsprovider) eine Zuordnung zu einem
Betroffenen möglich ist, sodass auch die Daten-
erfassung auf der Website datenschutzrechtliche
Relevanz hat und eine fehlende Datenschutzerklä-
rung auf der Website kostenpflichtig abgemahnt
werden könnte.
Personenbezogen wäre aber z. B. auch die Tat-
sache, welche Haar- und Augenfarbe Herr Mei-
er hat oder welche Angewohnheiten, z. B. ob er
abends gerne länger duscht, welche Wasser- und
Raumtemperatur ihm angenehm sind, ob er sei-
ne Wohnung ausreichend lüftet, welche Filme er
im Fernsehen anschaut usw. Spätestens hier fällt
auf, dass gerade dieWohnungswirtschaft – zumin-
dest potenziell und in zukünftig immer stärkerem
Maße – eine erhebliche Anzahl an Daten erheben
Florian Eckert
Heussen Rechtsanwalts-
gesellschaft mbH
München
