Wichtige Änderungen durch die DSGVO und das novellierte BDSG für den Datenschutz in Wohnungsunternehmen ab 25.5.2018

Zusammenfassung

 

Überblick

Seit 25.5.2018 ist die EU-Datenschutz-Grundverordnung (DSGVO) zu beachten. Die DSGVO gilt im Unterschied zur bisherigen Datenschutzrichtlinie unmittelbar und ohne das Erfordernis von weiteren Umsetzungs- oder Transformationsakten der Mitgliedstaaten. Das bedeutet, dass die Verordnung unmittelbar geltendes Recht ist und damit auch dem Bundesdatenschutzgesetz (BDSG) vorgeht. In der Richtlinie sind aber auch Spielräume enthalten, die die nationalen Gesetzgeber nutzen können. Die Bundesrepublik Deutschland hat im Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), mit dem das BDSG geändert wird und ebenfalls am 25.5.2018 in Kraft tritt, die in der Richtlinie eingeräumten Spielräume genutzt. Es ergeben sich zahlreiche Änderungen, die im Folgenden dargestellt werden.

1 Begrifflichkeiten

Abweichende Begrifflichkeiten

Teilweise verwendet das alte BDSG andere Begrifflichkeiten als die DSGVO oder das BDSG n. F., ohne dass damit aber eine inhaltliche Änderung verbunden ist.

  • So verwendet das BDSG a. F. den Begriff "verantwortliche Stelle", während die DSGVO vom "Verantwortlichen" spricht. Letztlich ist damit die Unternehmensleitung, also die Geschäftsführer bei Kapitalgesellschaften bzw. der Vorstand bei Genossenschaften gemeint.
  • Das BDSG a. F. verwendet den Begriff des "Betroffenen", während die DSGVO den Begriff der "betroffenen Person" verwendet. Bei den Begrifflichkeiten ist damit eine identifizierte oder identifizierbare natürliche Person gemeint.
  • Während das BDSG a. F. vom "Auftragsdatenverarbeiter" spricht, ist die Begrifflichkeit in der DSGVO "Auftragsverarbeiter". Inhaltlich decken sich die Begriffe.

2 Rechtfertigung für Datenerhebung und -verarbeitung

Ausdrückliche Einwilligung

Wie schon nach bisherigem Recht, ist die Verarbeitung personenbezogener Daten nur dann zulässig, wenn der Betroffene eine ausdrückliche Einwilligung gegeben hat oder eine Rechtsvorschrift die Verarbeitung erlaubt. Die wesentlichen Erlaubnistatbestände sind:

Formale Voraussetzungen

Änderungen ergeben sich in Bezug auf die formalen Voraussetzungen einer Einwilligung. Bisher musste die Einwilligung durch den Betroffenen schriftlich erfolgen. Zukünftig ist bereits dann eine Einwilligung gegeben, wenn der Betroffene eine unmissverständliche Willensbekundung in Form einer Erklärung abgibt oder eine sonstige eindeutige bestätigende Handlung vornimmt, mit der zu verstehen gegeben wird, dass er mit der Verarbeitung seiner personenbezogenen Daten einverstanden ist.

3 Öffentliches Verfahrensverzeichnis / Rechenschafts- und Dokumentationspflichten

Bisher war ein öffentliches Verfahrensverzeichnis zu erstellen und zu führen. Das öffentliche Verfahrensverzeichnis war jedermann auf sein Verlangen hin zugänglich zu machen.

3.1 Verfahrensverzeichnisse

Personenbezogene Daten

Nach neuem Recht haben künftig die "Verantwortlichen" ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten (VVT) personenbezogener Daten im Unternehmen zu führen. Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis der Verarbeitungstätigkeiten zu führen, sofern keine besonders schutzwürdigen personenbezogenen Daten (z. B. Daten zur Religion) verarbeitet werden. Im Rahmen der Lohn- und Gehaltsabrechnung oder bei Gewinnausschüttungen an natürliche Personen werden wegen des Kirchensteuerabzugs Religionsdaten verarbeitet, sodass diese Vereinfachungsregelung in Deutschland nur in seltenen Fällen greifen wird. Der Betroffene hat keinen Anspruch darauf, dass ihm die Verarbeitungsübersicht ausgehändigt wird, wohl aber die Aufsichtsbehörde.

Rechenschaftspflicht

Geschäftsführungsorgan verantwortlich

Selbst wenn keine Verpflichtung zur Führung der Verarbeitungsverzeichnisse bestehen sollte, kann es sinnvoll sein, das Verarbeitungsverzeichnis zu führen. Das Geschäftsführungsorgan des Wohnungsunternehmens muss die Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten und die getroffenen technischen und organisatorischen Maßnahmen gegenüber der Aufsichtsbehörde jederzeit nachweisen können (Rechenschaftspflicht).

Beweislastumkehr

Die Rechenschaftspflicht führt zu einer Beweislastumkehr. Wird dem Unternehmen durch die Aufsichtsbehörde oder Betroffenen vorgehalten, gegen Datenschutzregeln verstoßen zu haben, muss sich das Unternehmen entlasten. Dies setzt voraus, dass eine Dokumentation vorgelegt werden kann.

Datenschutz-Dokumentation

Sinnvoll ist es, eine Datenschutz-Dokumentation mit folgendem Inhalt vorzuhalten:

  • die technisch-organisatorischen Maßnahmen,
  • die Verarbeitungsübersichten,
  • Angaben zur Auftragsverarbeitung.
 

Hinweis

Muster zu Datenschutz-Dokumentationen

Zu den Datenschutz-Dokumentationen bieten sich folgende Mustervorlagen an:

Dokumentation zu technisch-organisatorischen Maßnahmen

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr? Dann testen Sie hier live & unverbindlich VerwalterPraxis 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge