Die Top 5 der Datenschutzverstöße
einer Hausverwaltung
Reinhold Okon, München
Die Erfahrungen der letzten Jahre haben gezeigt, dass viele Haus-
und Immobilienverwaltungen – bewusst oder unbewusst – Da-
tenschutzverstöße begehen. Dies kann nicht nur die Aufsichtsbe-
hörde auf den Plan rufen, sondern es drohen auch Abmahnungen
und Unterlassungserklärungen. Als externer Datenschutzbeauf-
tragter, der auf Haus- und Immobilienverwaltungen spezialisiert
ist, möchte ich Sie auf die häufigsten Datenschutzverstöße sei-
tens der Hausverwaltung aufmerksam machen.
1. Bestellung eines Datenschutzbeauftragten (DSB)
Viele Verwalter wissen oft gar nicht, dass sie per Gesetz verpflichtet
sind, unter bestimmten Voraussetzungen einen Datenschutzbeauf-
tragten (DSB) zu bestellen. Gemäß § 4f BDSG sind alle öffentlichen
(Behörden) und nichtöffentlichen Stellen (u. a. Unternehmen, Vereine,
Rechtsanwälte, Architekten, AGs) verpflichtet, einen DSB zu bestellen.
Voraussetzung hierfür ist, dass sie automatisiert (z. B. Einsatz eines PC)
oder auch nicht automatisiert (z. B. Karteikarten) personenbezogene
Daten verarbeiten, nutzen oder erheben.
Ein Datenschutzbeauftragter muss bestellt werden wenn:
mehr als 9 Personen ständig mit der Erhebung, Verarbeitung und
Nutzung von personenbezogenen Daten in automatisierter Form be-
schäftigt sind;
ein Unternehmen mehr als 20 Personen beschäftigt, die personenbe-
zogene Daten verarbeiten oder nutzen, jedoch in nichtautomatisier-
ter Form.
Was versteht man unter automatisierter Verarbeitung?
Logischerweise der Einsatz eines klassischen Hausverwaltungspro-
gramms. Sobald ein Mitarbeiter Daten in dieses Programm eingibt, ver-
ändert, speichert, löscht etc., liegt eine automatisierte Verarbeitung vor.
Selbst wenn ein Verwalter kein Hausverwaltungsprogramm einsetzen
sollte, sind die Voraussetzungen aber auch schon bei Einsatz von Text-
verarbeitungs- und/oder Tabellenverarbeitungsprogrammen (z. B. Word
und Excel) gegeben. Auch ein E-Mail-Programm gehört dazu, denn auch
hier werden personenbezogene Daten verarbeitet.
Welche Personen zählen zu den „verarbeitenden“ Personen?
Zu den „normalen“ Mitarbeitern müssen noch Personen wie Auszubilden-
de, Praktikanten und externe Mitarbeiter hinzugerechnet werden. Nicht
zu vergessen die Personen, die über einen Heimarbeitsplatz mit dem Un-
ternehmen verbunden sind. Dagegen zählen Geschäftsführer grundsätz-
lich nicht zu den Personen, die personenbezogene Daten verarbeiten.
Wer darf DSB sein?
Kurzum alle natürlichen Personen, die ein erforderliches Maß an Fach-
kunde und Zuverlässigkeit besitzen. Zur Fachkunde gehören dabei
■
■
Kenntnisse über Organisation und Abläufe, Datenschutzrecht, IT- und
auch juristische Kenntnisse.
Als DSB können nicht bestellt werden:
Angehörige der Unternehmensleitung (auch nicht Verwandte und Fa-
milie) oder Vorstand,
Inhaber,
Personalleiter,
EDV-Administratoren (intern oder extern),
Leiter der IT-Abteilung.
Es ist festzustellen, dass viele Verwalter trotz Pflicht zur Bestellung kei-
nen DSB bestellen. Die Gründe hierfür sind sicherlich vielseitig. Sicher
ist aber auch, dass eine Nichtbestellung ziemlich teuer kommen kann.
§ 43 Absatz 1 Satz 2 BDSG verdeutlicht:
„Ordnungswidrig handelt, wer
vorsätzlich oder fahrlässig […] einen Beauftragten für den Datenschutz
nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig be-
stellt.”
Weiter heißt es dann im Absatz 3:
„Die Ordnungswidrigkeit kann im
Fall des Absatzes 1 mit einer Geldbuße bis zu 50.000 Euro geahndet
werden.”
2. Falsches oder lückenhaftes Impressum auf der Homepage
Eine eigene Homepage gehört heute fast zum guten Ton. Dabei ist lei-
der festzustellen, dass die Datenschutzerklärung häufig entweder gar
nicht vorhanden oder falsch in das Impressum eingebunden ist.
Grundsätzlich muss die Datenschutzerklärung (wie auch das Impres-
sum) durch einen Navigationsbutton eindeutig auf jeder Unterseite
sicht- und erreichbar sein.
Die Datenschutzerklärung kann zwar ohne Probleme in die Impressums-
Seite eingebunden werden. Dann ist es jedoch wichtig, dass der Name
des Navigationsbuttons entsprechend geändert wird, z. B. in „Impres-
sum & Datenschutzerklärung“.
Was muss die Datenschutzerklärung enthalten?
Sofern personenbezogene Daten erhoben oder verarbeitet werden,
muss die Datenschutzerklärung folgende Punkte enthalten:
Informationen darüber, welche personenbezogenen Daten auf der
Webseite erfasst werden.
Informationen und Auskunft darüber, zu welchem Zweck die Daten
gespeichert werden.
Informationen, an wen die Daten möglicherweise weitergegeben
werden.
Informationen, ob auf der Webseite ein Web-Analyse-Tool eingesetzt
wird und wie der Sicherheitsstandard aufgebaut ist.
WICHTIG!
Wird
ein Web-Analyse-Tool eingesetzt, so muss dem Webseiten-Besucher
die Möglichkeit gegeben werden, der Verwendung zu widersprechen
(z. B. Haken setzen oder entfernen). Der Webseiten-Besucher muss
klar erkennen können, dass er beim Besuch auf der Webseite Daten
hinterlässt.
■
■
■
■
■
■
■
■
■
4
Verwalterthema
des Monats
Zählen Sie Ihre Mitarbeiter. Bei mehr als 9 Personen, die ständig
im Hausverwalterprogramm arbeiten, sollten Sie schnellstens einen
DSB bestellen.
PRAXIS-TIPP:
Prüfen Sie Ihren Webauftritt kritisch. Es drohen teure Abmahnungen
und Unterlassungserklärungen.
PRAXIS-TIPP: