Veröffentlicht von Gestern hatten wir ein intensives dreistündiges Arbeitsseminar mit 19 Teilnehmern. Das Foto zu diesem Artikel zeigt die Seminarunterlage: ein Leitzordner mit unserem Skript und vielen Anlagen als Nachschlagewerk.
Wichtig ist daß Sie sich nicht für Abmahner angreifbar machen. Das betrifft primär Ihre nach außen hin sichtbaren Aktivitäten, d.h. die Webseite, Kommunikation, Abfrage von Daten bei Mietinteressenten oder Dritten zu deren Bonität, Bürgen etc. Wichtige Links finden Sie hier:
- Beschluß des Düsseldorfer Kreis vom 27.01.2014: „Einholung von Selbstauskünften von Mietinteressenten“
- Beschluß des Düsseldorfer Kreis vom 22.10.2009: „Bonitätsauskünfte über Mietinteressenten nur eingeschränkt zulässig“
- Beschluß des Düsseldorfer Kreis vom 13./14.09.2016: „Fortgeltung bisher erteilter Einwilligungen unter der DSGVO“
Des weiteren hat die sog. „Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder“ Arbeitspapiere veröffentlicht, die hilfreiche Informationen zur neuen Rechtslage geben:
- Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung
- Kurzpapier Nr. 6: Auskunftsrecht der betroffenen Person
- Kurzpapier Nr. 10: Informationspflichten
- Kurzpapier Nr. 11: Recht auf Vergessenwerden
- Kurzpapier Nr. 1: Verarbeitungsverzeichnis
Den Volltext der DSGVO finden Sie hier.
Was ist bis zum 25. Mai 2018 noch zu tun?
Zunächst brauchen Sie einen Überblick über die in Ihrem Unternehmen anfallenden Datenerhebungs- und Datenverarbeitungsvorgänge. Ermitteln Sie, in welchen Situationen welche Daten anfallen, wie diese bei Ihnen gespeichert werden, an wen sie in welcher Situation weitergegeben werden und wann sie gelöscht werden. Erstellen Sie sodann gemäß Art. 30 DSGVO entsprechende Verarbeitungsverzeichnisse.
Datenzentralisierung zu Auskunftszwecken: um Auskunftsansprüche von Betroffenen (z.B. Mietern, Sondereigentümern) unverzüglich erfüllen zu können, ist es notwendig, Zugriff auf alle zu einer bestimmten natürlichen Person bei Ihnen hinterlegten personenbezogenen Daten zu haben und diese zur Verfügung stellen zu können. Ermitteln Sie deshalb, ob in Ihrem Unternehmen solche personenbezogenen Daten an verschiedenen Stellen hinterlegt sind, und führen Sie diese verschiedenen Datensätze in einem Datensatz zusammen. Sorgen Sie dafür, daß es so bleibt. Hinterlegen Sie diesen Datensätzen gemäß Art. 15 DSGVO Informationen über a) die Zwecke der Datenverarbeitung, b) die jeweilige Rechtsgrundlage, c) die Liste der Empfänger oder Kategorien der Empfänger und d) etwaige weitere Informationen, die Art. 15 DSGVO vorschreibt.
Ermitteln Sie, wem Sie Daten zu Verarbeitungszwecken weitergeben. Prüfen Sie und belegen Sie Ihre Prüfung, ob diese Dienstleister ihrerseits Datenschutzgrundsätze einhalten. Schließen Sie mit diesen Empfängern (außer Anwälten, die ohnehin einer Berufsverschwiegenheit unterliegen) Datenverarbeitungsverträge gemäß Art. 28 DSGVO.
Sorgen Sie dafür, daß Sie gemäß Art. 13 DSGVO Betroffene im Zuge der Datenerhebung über selbige, die Datenverarbeitung und ihre Zwecke informieren. In der Regel wird das bei Ihnen im Zusammenhang mit Mietvertragsabschlüssen stattfinden. Überarbeiten Sie hierfür sämtliche Formulare, die Daten erfassen, bspw. Selbstauskünfte von Mietinteressenten oder Bürgen, Lastschriftermächtigungen etc., und fügen Sie diesen Formularen entsprechende Informationen bei.
Das gleiche gilt in Bezug auf interne Daten, z.B. Mitarbeiterverträge. Verpflichten Sie außerdem Ihre Mitarbeiter, die Datenschutzgrundsätze Ihres Unternehmens zu beachten.
Sofern über Ihre Webseite Daten erfasst werden – bspw. wenn Sie einen Newsletter zur Verfügung stellen und man sich dafür anmelden kann, oder wenn man sich online auf eine Wohnung bei Ihnen bewerben kann – überarbeiten Sie ihre Webseite: sorgen Sie dafür, daß die Webseite die notwendigen Informationen enthält, technisch die Privacy-Grundsätze des Art. 25 DSGVO wahrt und Ihr Datenschutzbeauftragter auf ihr zu finden ist.
Entwickeln Sie interne Richtlinien und Routinen und schreiben Sie sie möglichst auf. Schulen Sie Ihre Mitarbeiter und entwickeln Sie standardisierte Abläufe. Wie reagieren Mitarbeiter, wenn Betroffene (Mieter, Sondereigentümer, Untermieter, Familienangehörige, Hausmeister, Eigentümer) fragen, welche Daten von Ihnen gespeichert wurden? Wie werden Betroffene über die Verarbeitung ihrer Daten informiert? Was ist der Prozess, wenn ein Betroffener darauf besteht, dass seine Daten gelöscht werden? Wer ist dafür verantwortlich? Was ist der Prozess, falls Daten verloren gehen (z.B. wenn Sie Ihr Handy verlieren, ein Laptop gestohlen wird, eine Mieterakte zusammen mit Ihrem Auto geklaut wird o.ä.) und personenbezogene Daten in falsche Hände geraten? Wie gewährleisten Sie, daß Sie binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren können? Wie wird ermittelt, ob Daten noch benötigt werden, und wie wird sichergestellt, daß nicht mehr benötigte Daten gelöscht werden? Definieren Sie, für welche Daten unter welchen Voraussetzungen das der Fall ist. Wie werden Mitarbeiter geschult, damit sie diese Prozesse kennen und ausführen können?
Dokumentieren Sie, welche Datensicherheitsvorkehrungen Sie treffen, und passen Sie diese ggf. dem Stand der Technik an. Prüfen Sie, ob Daten unnötigerweise extern lagern (Dropbox, iCloud, Google-Drive, emails bei Ihrem Internetprovider), ob Sie Daten außerhalb Ihres Hauses verarbeiten (z.B. über eine webbasierte Textverarbeitungssoftware), ob Sie Daten über externe Dienstleister versenden, bei denen Sie nicht positiv wissen, daß Sie Ihre Datenschutzgrundsätze beachten (z.B. WhatsApp oder andere Messenger-Programme, auch auf Computern) oder ob Sie Dienstleistern externen Zugriff auf Ihre Daten geben (z.B. Fernwartungs- und Fernadministrations-Zugänge Ihrer IT-Leute). Ändern Sie das, wenn es nicht zwingend notwendig ist, oder schließen Sie mit diesen Dritten entsprechende Datenschutzvereinbarungen.
Wenn Ihre Betriebsgröße es erfordert (dann zwingend) oder wenn Sie wollen, daß sich jemand permanent um all diese Dinge kümmert (dann sinnvoll), bestellen Sie einen Datenschutzbeauftragten, melden Sie ihn bis zum 25.05.2018 der Aufsichtsbehörde und sorgen Sie dafür, daß er hinreichend in der Materie geschult ist. Geben Sie ihm die Freiheiten, die er benötigt, um Ihr Unternehmen so anzupassen, daß es die Vorschriften wahrt.
Dokumentieren Sie sämtliche Datenschutz-Anstrengungen: zu welchem Seminar ist der Datenschutzbeauftragte gegangen? Welche Datenverarbeitungsverträge wurden mit Dienstleistern geschlossen? Welche technischen Änderungen haben Sie aus Sicherheitsaspekten vorgenommen? Welche Routinen haben Sie implementiert?