Dokumentationspflichten (DSGVO) / 5.1 Sorgfaltspflichten bei der Auswahl der Auftragsverarbeiter

Aus Art. 28 Abs. 1 DSGVO ergibt sich zunächst die Pflicht, die Geeignetheit eines Auftragsverarbeiters zu prüfen. Der Auftraggeber muss sich also vor Auftragserteilung darüber informieren, ob der Auftragnehmer in der Lage ist, die notwendigen technischen und organisatorischen Maßnahmen in geeigneter Weise umzusetzen und auf einem ausreichenden Stand zu halten. Dabei muss der Auftraggeber sicherstellen, dass beim Auftragnehmer alle Datenschutzvorkehrungen getroffen werden, die er selbst vornehmen müsste, wenn er die Daten in eigener Regie verarbeiten würde.

Die Geeignetheit des Auftragnehmers ist dann gegeben, wenn er hinreichende Garantien dafür bietet, dass angemessene technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz bestehen. Als Beleg für solche Garantien können genehmigte Verhaltensregeln des Auftragsverarbeiters nach Art. 40 DSGVO oder Zertifizierungen nach Art. 42 DSGVO herangezogen werden.

5.1.1 Verhaltensregeln

Nach Art. 40 DSGVO können Verbände, die Verantwortliche oder Auftragsverarbeiter vertreten, Verhaltensregeln, mit denen die Anwendung der DSGVO präzisiert wird, ausarbeiten, ändern oder erweitern. Bisher sind solche Verhaltensregeln für die Dienstleister von Wohnungsunternehmen noch nicht herausgegeben worden.

5.1.2 Zertifizierung

Nach Art. 42 DSGVO ist vorgesehen, Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen, um die Transparenz zu erhöhen und die Einhaltung der DSGVO zu verbessern. Durch diese Zertifizierungen soll den betroffenen Personen ein rascher Überblick über das Datenschutzniveau einschlägiger Produkte und Dienstleistungen ermöglicht werden. Die Zertifizierung bezieht sich nur auf einzelne Verarbeitungstätigkeiten, die DSGVO-Konformität des gesamten Unternehmens wird damit nicht bestätigt.

Eine Zertifizierung erfolgt durch eine Zertifizierungsstelle, die wiederum von der deutschen Akkreditierungsstelle (DAkkS) akkreditiert und kontrolliert wird. Die DAkkS hat bis Anfang 2022 noch keine Zertifizierungsstellen akkreditiert. Es ist nicht davon auszugehen, dass sich Dienstleister der Wohnungswirtschaft dem aufwendigen Zertifizierungsverfahren unterziehen werden, da seit Inkrafttreten der DSGVO im Jahr 2018 die Auftragsverarbeitungen für Wohnungsunternehmen keine Probleme bereitet haben.