Wie steht es beim Datenschutz um Hausmeister und andere Nicht-Bürokräfte wie Fahrer, Reinigungskräfte et cetera?

Es gilt die gleiche Regel wie für die freien Mitarbeiter. Wer ständigen Zugriff auf personenbezogene Daten hat, im gleichen System wie alle anderen Mitarbeiter seine Aufträge digital erhält, den Abarbeitungsstand dort selbst erfasst und sich die Daten der Kunden aus diesem System selbst zieht, wird in die kritische Anzahl der Mitarbeiter eingerechnet werden. Hier verbietet sich eine pauschale Sichtweise und es wird im Einzelfall zu entscheiden sein.

Wann ist eine Auftragsverarbeitungsvereinbarung abzuschließen?

Die Wartung der IT via Remote-Zugang, die Agentur für die Webseitenpflege, et cetera, haben über externe Systeme häufig Zugang zu den internen Systemen in Immobilienfirmen. Diese Firmen sind in der Regel Auftragsverarbeiter, sodass eine Auftragsverarbeitungsvereinbarung mit ihnen zu schließen ist.

Nach gängigem Rechtsverständnis dürften diese externen Ansprechpartner dann nicht unter die Personen fallen, die im Unternehmen mit der Verarbeitung personenbezogener Daten beschäftigt sind, und so nicht zählen. Es sind aber Fälle denkbar, in denen ein Zugriff auf personenbezogene Daten und eine regelmäßige Verarbeitung besteht. Das kann dann der Fall sein, wenn sich eine Werbeagentur mittels Zugang zum IT-System der Immobilienfirma den Bestand an E-Mail-Adressen zur Vorbereitung und Durchführung des Versandes eines Newsletters zieht. Auch hier sollten die Behörden noch aufklären.

Datenschutzfolgeabschätzung und Datenschutzbeauftragter

Werden Verarbeitungen vorgenommen, für die eine Datenschutzfolgeabschätzung erforderlich ist, muss unabhängig von der Anzahl der Beschäftigten ein Datenschutzbeauftragter eingesetzt werden. Das gilt auch dann, wenn typischerweise die als besonders sensibel geltenden personenbezogenen Daten gemäß Art. 9 DSGVO verarbeitet werden.

Wann könnte das in Immobilienfirmen der Fall sein? Etwa dann, wenn regelmäßig eine Videoüberwachung von verschiedenen Immobilienobjekten erfolgt und diese Daten verarbeitet werden. Auch die regelmäßige Verarbeitung von Gesundheitsdaten könnte darunter fallen, zum Beispiel dann, wenn Pflegeimmobilien projektiert oder vertrieben werden, bei denen oft Gesundheitsdaten als personenbezogene Daten anfallen.

Wann diese Anwendungen vorliegen, dürften die Aufsichtsbehörden in den kommenden Monaten klarstellen.