HomeIco

Home

 InternIco

Intern
Deutsch|English
Weltweit
Themen EU-Datenschutz-Grundverordnung (steht in den Startlöchern)

EU-Datenschutz-Grundverordnung (steht in den Startlöchern)

PrintMailRate-it

veröffentlicht am 02. November 2017

 

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union rechtskräftig und ist überall in der EU unmittelbar anwendbar. Alle datenschutzrelevanten Prozesse sollten bis zu diesem Zeitpunkt den Regularien der DSGVO entsprechen, womit die Anforderungen an Unternehmen hoch sind und erheblichen Einfluss auf die Prozesse haben können. Gerade Unternehmen der Immobilienbranche sollten sich einer Risikoanalyse und Erstevaluierung unterziehen.

 

​Datenschutz in der Immobilienwirtschaft

Die Digitalisierung findet auch in der Immobilienwirtschaft Einzug. Eine Studie des Zentralen Immobilien Ausschusses (ZIA) zeigt, dass 90 Prozent der 300 befragten Mitarbeiter aus privatwirtschaftlichem und öffentlichem Bereich der Immobilienwirtschaft das Thema Digitalisierung als sehr relevant für ihr Unternehmen ansehen. Bereits 5 Prozent des Jahresumsatzes investieren Unternehmen im Schnitt für Digitalisierungsmaßnahmen. Daraus resultiert, dass auch der tägliche Umgang mit Daten von Mietern, Interessenten, Beschäftigten, externen Verwaltern und Handwerkern zunimmt. Hinsichtlich der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung müssen Unternehmen aus der Immobilienwirtschaft in diesem Bereich für eine erfolgreiche Zukunft gut aufgestellt sein. Die Frankfurter Allgemeine Zeitung hat bereits im Oktober 2016 eine Recherche veröffentlicht, in der laut FAZ mehrere Wohnungsbaugesellschaften und digitale Wohnungssuch-Portale gegen Datenschutzregularien verstoßen haben. Die Bundesregierung hat auf eine kleine Anfrage (18/11051) der Fraktion Die Linke reagiert und prüft die Datenschutzverstöße bei der Übertragung und Weitergabe der persönlichen, personenbezogenen Daten. Weiter soll sie prüfen, wie hoch die Gefahr eines Abfangens verschlüsselter Daten ist. Ferner gilt es zu klären, ob Wohnungsbaugesellschaften, Vermieterbünde und Wohnungssuch-Portale auf der Agenda der Datenschutzbeauftragten stehen und ob in Zukunft eine schnelle Feststellung von Datenschutzverstößen bei der Übertragung von Sozialdaten gewährleistet werden kann.


Datenschutzverarbeitung durch Dritte

Wie kann es zu solchen Verstößen kommen? Zum Beispiel im Rahmen von ausgelagerten IT-Prozessen oder von Callcenter-Dienstleistungen. In diesen Fällen wird die personenbezogene Datenverarbeitung von Dritten vorgenommen. Bereits das Lesen von personenbezogenen Daten durch Dritte genügt, um einen Verstoß der Datenschutzregularien festzustellen. Nach aktueller Rechtslage sind die Datenverarbeitung sowie das Lesen durch Dritte nur dann zulässig, wenn es neben dem eigentlichen Dienstleistungsvertrag auch noch einen Auftragsdatenverarbeitungsvertrag (ADV-Vertrag) gibt. Im Rahmen der in Kraft tretenden DSGVO wird sich dies nicht ändern.


Hat der Dritte, der im Auftrag des Unternehmens personenbezogene Daten verarbeitet, seinen Sitz außerhalb der Europäischen Union, sollte geprüft werden, ob die Übermittlung der personenbezogenen Daten in den Drittstaat zulässig ist.

 

Datenschutzverarbeitung im Konzern

Unternehmen aus der Immobilienwirtschaft sind nicht selten in der Struktur eines Konzerns organisiert. Laut DSGVO gilt diese Unternehmensform als Unternehmensgruppe, bei der es ein übergeordnetes Unternehmen und weitere, von diesem Unternehmen abhängige Gesellschaften gibt. Eine Sonderbehandlung für Unternehmensgruppen gibt es laut DSGVO nicht. Die jeweiligen Gesellschaften werden zueinander wie Dritte behandelt. Die Weitergabe von personenbezogenen Daten innerhalb der Unternehmensgruppe muss also den Datenschutzregularien unterliegen und vor allem nachvollziehbar sowie transparent geregelt sein. In der Praxis wäre es denkbar, dass Unternehmen A und Unternehmen B für das Unternehmen C der Unternehmensgruppe ABC personenbezogene Daten verarbeiten. Nach der DSGVO muss in diesem Fall eindeutig geklärt sein, welches der Unternehmen wie, wann, wo und zu welchem Zweck die Daten bezieht, speichert oder weiterverarbeitet. Mit Verarbeitungsverzeichnissen und ADV-Verträgen zwischen den Unternehmen muss der Zweck der Verarbeitung deutlich und auf Nachfrage nachvollziehbar offengelegt werden. Ein Beispiel für einen solchen Vorgang könnten Bestellungseingänge oder die Verarbeitung von Arbeitnehmerdaten darstellen. In beiden Fällen ist zwingend notwendig, dass die Betroffenen Zugang oder Einsicht zur Vereinbarung zwischen den einzelnen Unternehmen der Unternehmensgruppe haben.

 

Rechenschaftspflicht

Der für die Datenverarbeitung Verantwortliche ist schließlich verpflichtet, die Einhaltung der dargestellten Datenschutzgrundsätze sicherzustellen und muss die Einhaltung nachweisen (Rechenschaftspflicht). Insbesondere die Nachweispflicht birgt ein erhebliches Risikopotenzial: Der Verantwortliche muss nicht nur die Erhebung und Verarbeitung personenbezogener Daten im Unternehmen daraufhin überprüfen, ob sie anhand der Datenschutzgrundsätze und der weiteren detaillierten Regelungen der Verordnung zu irgendeinem Zeitpunkt rechtmäßig erfolgen. Zum Nachweis der Einhaltung der Grundsätze wird er vielmehr regelmäßige Kontrollen durchführen und deren Ergebnisse dokumentieren müssen.


Vorbereitungsstand zur DSGVO noch immer unzureichend

Der 25. Mai 2018 scheint noch in weiter Ferne zu liegen, die Zeit zur Vorbereitung auf die EU-Datenschutz-Grundverordnung ausreichend. Doch weit gefehlt, denn viele Unternehmen weisen heute schon bei der Umsetzung der Anforderungen durch das aktuell geltende Bundesdatenschutzgesetz (BDSG) Defizite auf. Die EU-DSGVO fordert aufgrund ihres aktuellen Bezugs erheblich mehr, als es das BDSG getan hat. Faktisch also eine Erweiterung des Aufgaben- und Pflichtenkatalogs, den die Unternehmen erfüllen müssen. Eine 2017 durchgeführte Studie von bitkom unter 507 Unternehmen ab 20 Mitarbeitern ergab, dass sich 20 Prozent der Befragten bisher noch überhaupt nicht mit dem Thema Datenschutz und EU-Datenschutz-Grundverordnung auseinandergesetzt haben. Weitere 13 Prozent werden sich bewusst nicht mit dieser Thematik auseinandersetzen. Angesichts der zu erwartenden Strafen von bis zu 2 Prozent des Jahresumsatzes bei Nichteinhaltung des Gesetzes eine nicht ganz nachvollziehbare Haltung.

 

Status quo: Der Datenschutzbeauftragte in Ihrem Unternehmen

Prüfen Sie zunächst, ob Ihre Unternehmensstruktur einen Datenschutzbeauftragten erfordert. Die Bestellung eines Datenschutzbeauftragten ist im privatwirtschaftlichen Umfeld unter folgenden Voraussetzungen in jedem Falle durchzuführen:

 

  • Die Kerntätigkeit des Unternehmens (als Verantwortlicher oder als Auftragsdatenverarbeiter) erfordert eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen.
  • Oder die Kerntätigkeit des Unternehmens liegt in der umfangreichen Verarbeitung von Daten besonderer Kategorien (Daten über Rasse, ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben/sexuelle Orientierung) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.
    • Oder das Unternehmen nimmt Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung unterliegen. Dies ist der Fall, wenn 

        • – die Form der Verarbeitung, insbesondere die Verwendung neuer Technologien,

         

        – aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
        – voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

         

    • Oder das Unternehmen verarbeitet die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.


Der Datenschutzbeauftragte muss eine spezielle Ausbildung vorweisen und über entsprechende Qualifikationen verfügen, insbesondere über praxisrelevantes Fachwissen. Er kann und darf zusätzliche Aufgaben innerhalb Ihres Unternehmens wahrnehmen, die jedoch in keinem Interessenkonflikt stehen dürfen.

 

Status quo: Die digitalgestützte Erstevaluierung

Neben der Bestellung eines internen Datenschutzbeauftragten oder der Abgabe des Mandats an externe Datenschutzbeauftragte empfiehlt es sich, datenschutzrelevante Fragestellungen in einer Erstevaluierung festzustellen. Sollten Sie nach dem 25. Mai 2018 einer Prüfung der jeweiligen Landesdatenschutz-Aufsichts-Behörde für Datenschutz unterliegen, müssen Sie dem Gesetzgeber verifizieren können, dass Sie die vorgeschriebenen Regularien des Datenschutzes gemäß der EU-Datenschutz-Grundverordnung einhalten.

 

Wir empfehlen und bieten zudem einen globalen Evaluierungsprozess zum Reifegrad Ihres Unternehmens in Bezug auf die Umsetzung der Europäischen-Datenschutz-Grundverordnung.


Die von uns durchgeführte Erstevaluierung umfasst folgende
Themenbereiche:

  • Allgemeines zur Projektorganisation
  • Datenschutzbeauftragter
  • Auftragsdatenverarbeitung aus Sicht eines Auftraggebers
  • Auftragsdatenverarbeitung aus Sicht eines Auftragnehmers
  • Auswirkung durch die Datenschutzfolgenabschätzung
  • Auswirkungen durch die Betroffenenrechte
  • Anforderungen an Technik und Organisation


Abschließend erhalten Sie von uns einen Report über Ihren Reifegrad. Mit einem abgeleiteten Maßnahmenkatalog können Sie sich schrittweise auf die Umsetzung der Anforderungen durch die DSGVO vorbereiten.

Aus dem Newsletter

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Wir beraten Sie gern!

Arbeitshilfen für das Facility Management
Schaubilder Arbeitshilfen FM

Arbeitshilfen

Erhalten Sie ausgewählte Schaubilder in den Formaten DIN A1 und DIN A3 als Arbeitshilfen für das Facility Management kostenlos als Download.​ Mehr »

 
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu