Dokumentationspflichten der Wohnungsunternehmen

Zusammenfassung

 

Überblick

Der Verantwortliche, also das Geschäftsführungsorgan, ist für die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen (sog. Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Jederzeit muss der Nachweis erbracht werden können, dass bei der Verarbeitung dieser Daten die Datenschutzgrundsätze der DSGVO und des BDSG eingehalten werden. Dieser Beitrag gibt einen ausführlichen Überblick über die künftig einzuhaltenden Dokumentationspflichten im Wohnungsunternehmen.

1 Allgemeines

Pflichten der Wohnungsunternehmen

Die Rechenschaftspflichten führen zu einer Beweislastumkehr. Wird dem Unternehmen von der Aufsichtsbehörde oder Betroffenen vorgehalten, gegen Datenschutzregeln verstoßen zu haben, muss sich das Unternehmen entlasten können. Um sich entlasten zu können, ist eine Datenschutz-Dokumentation vorzuhalten, die folgenden Inhalt haben sollte:

Dokumentationspflichten

Form

Es bestehen keine Vorgaben, wie die Dokumentation vorzuhalten ist; sie kann z. B. in einem Handbuch erfolgen. Sinnvoller erscheint aber eine elektronische Dokumentation, weil mindestens einmal jährlich zu prüfen ist, ob die Dokumentation noch aktuell ist.

Zuständigkeit

Auch wenn der Verantwortliche für die Dokumentation zuständig ist, ist es sinnvoll, dass der Datenschutzbeauftragte die Dokumentationspflichten erfüllt, weil er aufgrund seiner Fachkompetenz und im Rahmen seiner Pflichten dem Thema am nächsten ist.

1.1 Verantwortliche/Datenschutzbeauftragter

In der Regel ergeben sich die Verantwortlichen und der Datenschutzbeauftragte bereits aus der Homepage des Unternehmens. Dennoch verlangt das Gesetz, dass diese Personen in der Verarbeitungsübersicht aufgeführt werden. Es ist darauf zu achten, dass erforderliche Angaben aktuell gehalten werden.

Aufgaben des Datenschutzbeauftragten

1.2 Technisch-organisatorische Maßnahmen (TOMs)

Zunächst sind die TOMs zu erheben und dann auf dem aktuellen Stand zu halten. Es empfiehlt sich hierfür ein Datenblatt anzufertigen, das wie das unten in Kap. 3.3 enthaltene Muster aufgebaut sein kann.

Ein wichtiger Bestandteil der TOMs ist die IT-Dokumentation. Hierzu gehört die Dokumentation

  • der eingesetzten Hard- und Software,
  • der Serverstruktur und Anwenderstruktur,
  • das Datensicherungskonzept und
  • die IT-Notfallplanung.

Ausführliche weitere Informationen zu den TOMs enthalten die Ausführungen in Kap. 3, Technische und organisatorische Maßnahmen in diesem Beitrag.

1.3 Verzeichnis der Verarbeitungstätigkeiten (VVT)

Die Verantwortlichen oder deren Vertreter haben ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten im Unternehmen zu führen. Da es im Datenschutzrecht kein Konzernprivileg gibt, hat jedes rechtlich selbstständige Unternehmen ein Verfahrensverzeichnis zu führen. Das Verfahrensverzeichnis ist nicht den Betroffenen auf ihr Verlangen hin auszuhändigen, vielmehr sind jetzt die Aufsichtsbehörden bei Kontrollen befugt, das Verzeichnis der Verarbeitungstätigkeiten anzufordern. Die verantwortliche Stelle hat gem. Art. 30 Abs. 4 DSGVO das Verzeichnis den Behörden auf deren Verlangen hin vorzulegen.

Einzelheiten zum Verfahrensverzeichnis sowie Muster hierzu enthält Kap. 2, Verzeichnis der Verarbeitungen.

1.4 Auftragsverarbeitung

Nach Art. 30 DSGVO ist ein Verzeichnis der Auftragsverarbeitungen zu führen. In der Wohnungswirtschaft kommt es idealtypisch zu folgenden Auftragsverarbeitungen:

  • Wärmemess- und Abrechnungsdienstleistungen
  • ERP-System, Leistungen von Rechenzentren
  • EDV-Dienstleistungen, IT-Support
  • Printagentur
  • Dokumentenvernichtung
  • Lohn- und Gehaltsabrechnung
  • Web-Hosting
  • Web-Analyse-Tools
  • Anbieter Internet, Telefon, Television
  • Meldungen nach § 45d und KiStAM-Abfrage durch Steuerberater oder andere Beauftragte

Neben der Auflistung der Auftragsverarbeitungen empfiehlt es sich, in der Dokumentation auch die Verträge mit den Auftragsverarbeitern vorzuhalten. Einzelheiten zur Auftragsverarbeitung nebst Checkliste finden sich unten in Kap. 5 Auftragsverarbeitung.

1.5 Löschungskonzept

Nach Art. 17 Abs. 1 DSGVO kann ein Betroffener die Löschung der ihn betreffenden personenbezogenen Daten nur verlangen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die Einwilligung zur Verarbeitung zurückgezogen wird. In der Regel erfolgt die Verarbeitung personenbezogener Daten in Wohnungsunternehmen aufgrund einer rechtlichen Grundlage wie z. B. eines Miet- oder Arbeitsvertrags oder der Anbahnung eines Vertrags (mit Miet- oder Kaufinteressenten). Daraus folgt, dass kein Anspruch auf Löschung besteht, solange die entsprechende Vertragsbeziehung besteht oder der Vertrag sich in der Anbahnungsphase befindet.

Somit kommt der Löschung personenbezogener Daten nur bei folgenden Personen besondere Bedeutung zu:

  • beendete Mietverhältnisse,
  • beendete Beschäftigungsverhältnisse,
  • beendete Vertragsanbahnungen im Bereich Personal, Vermietung oder Verkauf.

Datenschutzrechtlich ist eine möglichst schnelle Löschung der personenbezogenen Daten erwünscht. Dem stehen aber die handels- und steuerrechtliche Aufbewahrungspflichten entgegen. Auch ist es bei den verwendeten ERP- und Archivierungssystemen bisher teil...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr? Dann testen Sie hier live & unverbindlich VerwalterPraxis 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge