Datenschutz

Mit der DSGVO sind seit Mai 2018 die rechtlichen Anforderungen an den Datenschutz deutlich gestiegen.

Strukturelle Anforderungen

Neben der üblichen Datenschutzerklärung nach Art. 12, 13 DSGVO und eventuellen Einwilligungserklärungen im Rahmen der Nutzung der Webseite sind viele weitere strukturelle Anforderungen zu erfüllen und zu dokumentieren, so unter anderem:

  • Verarbeitungsverzeichnis
  • Mitarbeiterrichtlinie
  • Verschwiegenheitsverpflichtung
  • Richtlinie Betroffenenrechte für Art. 15 ff. DSGVO
  • Richtline Datenpannen
  • Löschkonzept
  • Berechtigungsmanagement

Bedeutung der IT-Sicherheit

Die Komplexität der zu erfüllenden Anforderungen erhöht sich zusätzlich durch die steigende Bedeutung der IT-Sicherheit. Zu diesen Themen müssen die datenschutzrechtlich Verantwortlichen – alle, die personenbezogene Daten verarbeiten – eine Vielzahl von Maßnahmen dokumentieren, d.h. strukturiert erfassen und regelmäßig überprüfen und anpassen. So müssen z.B. alle Prozesse in Verarbeitungsverzeichnisse erfasst und die Datenminimierung durch Löschkonzepte sichergestellt werden. Mit Vertragspartnern sind ggf. Auftragsverarbeitungsvereinbarungen abzuschließen. Dies und die Schulung von Mitarbeitern sowie die Einführung datenschutzrechtlicher Strukturen im Unternehmen sind wichtige Bausteine, bei deren Fehlen empfindliche Bußgelder drohen. Dies gilt insbesondere bei Datenpannen, die kurzfristig zu bewerten und ggf. zu melden sind. Hinzu kommt die Berufung eines Datenschutzbeauftragten, wenn die entsprechende Anzahl von Mitarbeitern überschritten ist.

Unsere Leistungen

Unsere Leistungen umfassen daher:

  • Durchführung von Datenschutzaudit
  • Formularprüfung und -erstellung
  • Erstellung von Datenschutzhinweisen online/offline 
  • Erstellung von Datenschutzrichtlinien
  • Beauftragung als externe Datenschutzbeauftrage
  • Beratung und Beantwortung im Falle von Betroffenenanfragen
  • Erstellen von Auftragsverarbeitungsverträgen für Dienstleister
  • Korrespondenz mit den Behörden
  • Durchführung von In-House-Schulungen 
  • Vorträge zum Thema Datenschutz auf Fachveranstaltungen 
  • Folgen Sie unserem Blog zu den wichtigsten Entwicklungen

Datenschutz in Immobilienunternehmen

Gerade bei Immobilienverwaltungen wird diese Komplexität besonders deutlich: Ein Verwalter oder auch Vermieter arbeitet mit personenbezogenen Daten der Eigentümer/Mieter, andernfalls ist eine Vermietung oder Verwaltung nicht möglich. Allerdings darf er nur erforderliche Daten erheben, weshalb z.B. im Vermietungsprozess eine nur abgestufte Vorgehensweise erlaubt ist. Was aber gilt z.B. bei anstehenden Reparaturen für die Weitergabe von Telefonnummern an Handwerker (Dritte)? Auch sind Daten, die nicht mehr benötigt werden zu löschen. Regelmäßig ist daher eine Überprüfung anhand des Löschkonzeptes erforderlich. Ist das nicht der Fall oder sieht das verwendete Archivsystem erst gar keine Löschmöglichkeit vor, so kann dies zu hohen Bußgeldern führen, wie zuletzt im Fall der  Deutsche Wohnen SE. Mit 14,5 Millionen Euro gab es hier das bisher höchste Bußgeld von Seiten deutscher Datenschutzbehörden. Sanktioniert wurde das strukturelle Problem, dass das Archivsystem keine bzw. letztlich keine ausreichende Löschmöglichkeit personenbezogener Daten vorsah. Dabei wurde der vorgegebene Bußgeldrahmen von ca. 28 Millionen Euro nicht einmal ausgenutzt. 

Die Auftragsverarbeitung, die IT-Sicherheit, das Berechtigungsmanagement sowie Löschkonzepte von Daten sind bußgeldträchtige strukturelle Anforderungen nach der DSGVO, die oft aus Unkenntnis oder fehlender Zeit übersehen werden.

Analysetools und Cookies

Die Nutzung von gängigen Tools wie der Google Tools, insbesondere Analytics, Survey Monkey, MailChimp etc. unterliegen strengen Anforderungen und sind zum Teil datenschutzrechtlich nicht zulässig. Die Prüfung der Zulässigkeit sowie die Vornahme der erforderlichen Maßnahmen – Aufnahme von Erläuterungen in der Datenschutzerklärung sowie eventuell die rechtssichere Formulierung von Einwilligungserklärungen – sind dringend zu empfehlen. Dies gilt insbesondere, wenn die Dienstleister ihren Sitz außerhalb der EU oder des EWR haben. Eine besondere Rolle spielt in diesem Zusammenhang die Rechenschaftsverpflichtung des datenschutzrechtlich Verantwortlichen, nach der den Behörden die Einhaltung aller Vorgaben unabhängig von Verstößen nachzuweisen sind.