61
3|2018
kann, die sehr leicht (bzw. teilweise automatisch)
einer natürlichen Person (hier: „Herrn Meier“)
zugeordnet werden können, sodass man es mit
geschützten personenbezogenen Daten zu tun
hat; erst eine „Anonymisierung“, die den Perso-
nenbezug aufhebt, würde die Informationen aus
dem Schutzbereich herauslösen. Durch die Zu-
ordnung und Auswertung solcher Daten wäre –
und dies würde quasi den Albtraum eines jeden
Datenschützers darstellen – die Erstellung eines
„Persönlichkeitsprofils“ möglich.
Die immer stärkere Vernetzung im Internet der
Dinge (Internet of Things, IoT) führt – beinahe
unweigerlich – zu dieser neuen Datenqualität und
in Bezug auf dieWohnungswirtschaft fallen dabei
v. a. die beiden Stichworte „Smart Metering“ und
„Smart Home“ ein:
• Smart Metering (also der Einsatz von intelligen-
ten Messsystemen, die sekündlich den Strom-
verbrauch auswerten) soll – neben den damit
einhergehenden Erleichterungen beimAblesen –
erhebliche Energieeinsparungspotenziale he-
ben und wird daher derzeit international stark
befürwortet und gefördert. Die meisten Mit-
gliedsstaaten der EU sprechen sich sogar für den
sog. „Full Rollout“ aus, also den umfassenden,
landesweiten Einbau von intelligentenMesssys-
temen. In Deutschland ist man hier etwas vor-
sichtiger, dasMessstellenbetriebsgesetz (MsbG)
sieht „nur“ einen schrittweisen Rollout vor (ab
2017 ab 10.000 kWh Jahresverbrauch). Aber
eine sekundengenaue Erhebung der Verbrauchs-
daten ist auch datenschutzrechtlich relevant,
denn: Forscher haben in Versuchen herausge-
funden, dass man anhand der von solch einem
intelligenten Stromzähler gelieferten Daten
herausfinden kann, welches Fernsehprogramm
gerade läuft, da sich gerade durchHell-Dunkel-
Abschnitte besonders signifikante Änderungen
im Stromverbrauch ergeben! Die Zuordnung
zumStromzähler und damit zu denMietern einer
speziellenWohnung ist automatisch vorhanden,
sodass derWeg zur Erstellung eines „Persönlich-
keitsprofils“ des Mieters – theoretisch – nicht
weit wäre. Ein Vergleichmit der bisherigen Stro-
mablesung – einmal jährlich (!) – zeigt, dass hier
eine ganz neue Datenqualität geschaffen wird
und dass vor allem auch die Übertragungswege
für dieMesswerte ausreichend gesichert werden
müssen, umsie vor demZugriff Unberechtigter
zu schützen.
1
• Gleiches gilt für das „Smart Home“, also die
Vernetzung von Haustechnik: ImGegenzug für
die Erhöhung von Wohn- und Lebensqualität,
Sicherheit und effizientere Energienutzung fal-
len – teilweise nebenbei – auch sehr detaillierte
personenbezogene bzw. zumindest personen-
beziehbare Daten über Tagesabläufe und Vor-
lieben der Nutzer an, die besonders geschützt
werden müssen.
Auch auf einem anderen Feld wurde der Woh-
nungswirtschaft erst kürzlich aufgezeigt, dass die
teilweise praktizierten Abläufe so nicht weiter Be-
stand haben können. Gemeint ist die umfangreiche
Erhebung von Daten von Mietinteressenten. Der
Landesbeauftragte für den Datenschutz und Infor-
mationsfreiheit Nordrhein-Westfalen (LDI NRW)
hat hierzu erst im April 2017 bei einer Prüfung
bei über 40 Immobilienmaklern sowieWohnungs-
verwaltungsgesellschaften in NRW festgehalten,
dass bei allen geprüften Unternehmen Anlass zu
Beanstandungen bestand, bei einemDrittel gab es
sogar auffällig viele Beanstandungen.
2
Unzuläs-
sig sind beispielsweise die undifferenzierte Frage
nach einer „Schufa-Auskunft“, die Erhebung von
Angaben zumFamilienstand, das Anfertigen einer
Personalausweiskopie und die Frage nach der Dau-
er der Beschäftigung (weil diese das Sicherungs-
bedürfnis – anders als die Frage nach Beruf und
Arbeitsstätte – in einer mobilen Gesellschaft nicht
erfüllen kann, da die Dauer einer Beschäftigung
keine Gewissheit für deren Beständigkeit bietet,
so die Begründung des LDI NRW).
Was ist zu tun?
Nachdem nur noch einige Wochen verbleiben,
sollten die meisten Anforderungen der DSGVO
schon umgesetzt worden sein. Daher sollte nach-
stehende Checkliste
3
nur noch abgehakt werden
können:
• DSGVO-konforme Verarbeitungsverzeichnisse
nach Art. 30 DSGVO liegen vor, die die Daten-
verarbeitungsprozesse ausreichend (also we-
sentlich genauer als das Verfahrensverzeichnis
nach demBDSG, das sog. „Jedermannverzeich-
nis“) beschreiben,
• eine Dokumentation über die Einhaltung der
Grundsätze des Art. 5 Abs. 1 DSGVO wurde er-
stellt,
• die technisch-organisatorischen Maßnahmen
wurden ausreichend beschrieben und es gibt
ein Verfahren zur regelmäßigen Überprüfung,
Bewertung und Evaluierung der Wirksamkeit
dieser Maßnahmen zur Gewährleistung der Si-
cherheit der Verarbeitung (Art. 32 DSGVO),
• neue Vereinbarungen zur Auftragsverarbeitung
nach Art. 28 DSGVO wurden mit den Auftrag-
nehmern (z.B. Lohnbuchhaltung) abgeschlos-
sen (Hinweis: Überarbeitungsbedürftige Ver-
einbarungen können oft daran erkannt werden,
dass dort von dem Auftragsdatenverarbeiter
gesprochen wird, einem Begriff aus dem jetzi-
gen BDSG, der nun abgelöst wird.),
• Einwilligungserklärungen wurden angepasst
– u. a. wird die Rechtsgrundlage für die Verar-
beitung angegeben (Art. 7 DSGVO),
• es gibt ein Löschungskonzept für personenbe-
zogene Daten, das auch das neue „Recht auf
Vergessenwerden“ (Art. 17 Abs. 2 DSGVO)
umsetzt,
• es ist sichergestellt, dass bei einer Datenpanne
innerhalb von 72 Stunden eine Meldung an die
Aufsichtsbehörde gemacht werden kann (Art.
33 DSGVO),
• die Kontaktdaten des Datenschutzbeauftragten
werden veröffentlicht und der Aufsichtsbehör-
de mitgeteilt,
• ein Prozess für die Durchführung einer Daten-
schutz-Folgenabschätzung ist definiert,
• „privacy by design” und „privacy by default”
(Art. 25 Abs. 1 bzw. Abs. 2 DSGVO) werden
beachtet.
Fazit
Die Wohnungswirtschaft verarbeitet schon heute
viele personenbezogene Daten und das wird zu-
künftig noch in erheblichemMaße zunehmen. Das
Projekt zur Umsetzung der Datenschutzgrund-
verordnung sollte daher unbedingt zum Anlass
genommen werden, die Datenverarbeitungs-
prozesse imUnternehmen zu beleuchten, zu über-
prüfen, zu hinterfragen und – vielleicht nicht nur
die Prozesse, die für die DSGVO unbedingt erneu-
ert werden müssen, sondern auch andere, alte
und umständliche Prozesse – neu aufzusetzen. So
könnte die Herstellung der „DSGVO-Compliance“
dem ganzen Unternehmen nutzen; die Vermei-
dung eines beträchtlichen Bußgeldes wäre dann
nur ein (willkommener) Nebeneffekt.
Der Datenschutz wird für die Wohnungswirtschaft zukünftig immer
wichtiger werden. Neue Themen werden neben die „Klassiker“ wie z. B. die
Zulässigkeit einer Videoüberwachung von Gebäuden treten.
1
Vgl. auch auf der Website des Bundesamtes für Sicherheit
in der Informationstechnik:
Themen/DigitaleGesellschaft/SmartMeter/smartmeter.
html.
2
Presseerklärung des LDI NRW vom 13.04.2017, „Daten-
schutz in der Wohnungswirtschaft – Keine Prüfung ohne
Beanstandung“.
3
Die Checkliste erhebt keinen Anspruch auf Vollständig-
keit und stellt die Themen nur verkürzt dar.
