Wohnungsunternehmen sind wahre Datensammler: Sie bekommen von ihren Mietern und von Wohnungsinteressenten jede Menge personenbezogener Informationen zur Verfügung gestellt, aber auch von Handwerkern, Zulieferern oder den eigenen Mitarbeitern. Mit diesen Daten müssen die Firmen zukünftig noch sensibler umgehen. Das fordert die neue EU-Datenschutzgrundverordnung (EU-DSGVO), die bis Mai 2018 umgesetzt werden muss. Andernfalls drohen hohe Geldstrafen.

Die EU-Datenschutzgrundverordnung (EU-DSGVO) schafft europaweit einen einheitlichen Rahmen für die Speicherung und die Verarbeitung personenbezogener Daten.

Click to tweet

Anders als etwa bei einer EU-Richtlinie muss die neue Verordnung nicht erst über ein Gesetzgebungsverfahren in deutsches Recht umgesetzt werden. Die Verordnung gilt ab 25.5.2018 unmittelbar und ersetzt ab diesem Termin das bisherige deutsche Datenschutzgesetz.

Vieles ist allerdings in den bereits strengen deutschen Datenschutzregelungen enthalten gewesen. Dementsprechend glauben viele Unternehmen jedoch, dass es keinen Handlungsbedarf gibt, bemängelt das Cloud-Datenmanagement-Unternehmen Veritas Technologies. „In der Tat sind die Unterschiede zum bisherigen Bundesdatenschutzgesetz nicht so groß“, so Raik Mickler, Datenschutzbeauftragter bei der Haufe Group. Allerdings gelte das nur für Unternehmen, die den Datenschutz bisher schon ernst genommen haben.

Fehlender Datenschutz: Hohe Bußgelder drohen

Auf alle anderen kommt bis Mai viel Arbeit zu. Und auch Wohnungsunternehmen, die sich bisher schon gut aufgestellt fühlen, sollten ihre Datenschutzorganisation und ihre Prozesse nochmals gründlich überprüfen. Denn die Bußgelder wurden drastisch erhöht. Waren die Strafen mit maximal 300.000 Euro eher übersichtlich gehalten, sieht die EU-Verordnung bei Verstößen Zwangsgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des Gesamtumsatzes vor. Dabei wird etwa bei Tochterunternehmen der gesamte Umsatz des weltweiten Mutterkonzerns zugrunde gelegt. Gerechnet wird immer die höhere Strafe. Allerdings sieht eine Empfehlung vor, dass unabsichtliche Fehler oder Erstverstöße nachsichtig geahndet werden sollen.

EU-DSGVO muss bis 25.5.2018 umgesetzt sein

Doch viele Unternehmen haben die neuen Regelungen noch gar nicht auf dem Schirm. Verschiedene Studien zeigen, dass sich die Firmen noch keine großen Gedanken über die Folgen der neuen Verordnung gemacht haben. So zweifelt nach einer Umfrage des IT-Sicherheitsdienstleisters Kaspersky Lab ein Viertel der IT-Verantwortlichen in den deutschen Unternehmen an, dass die EU-DSGVO bis zum 25.5.2018 in ihrer Organisation umgesetzt werden kann.

Laut Veritas fehlt es in vielen Unternehmen nach wie vor an dem Wissen, welche Daten gesichert und welche gelöscht werden müssen. Hinzu kommt, dass in vielen Fällen die personenbezogenen Daten an unterschiedlichen Stellen gespeichert werden, sodass kaum zu ermitteln ist, wo welche Daten liegen und wie sie effizient verwaltet werden können. Einige Unternehmen haben zudem Angst, sie könnten Daten löschen, die künftig noch nützlich sein könnten.

In der Vergangenheit hatte es immer wieder Kritik am Datenschutz in der Immobilienbranche gegeben. 2016 war Wohnungsbaugesellschaften vorgeworfen worden, dass sie zu lax mit Kundendaten umgehen. Auch der Deutsche Mieterbund hatte in diesem Frühjahr bemängelt, dass Wohnungssuchende zu viele sensible Daten von sich preisgeben müssten, insbesondere in Gebieten mit knappem Wohnraum.

DSGVO Immobilienwirtschaft: Mieter werden ihre Rechte auf Datenschutz einfordern

Mieter hatten bisher auch schon das Recht, Auskunft über ihre Daten zu erhalten oder die Löschung zu verlangen. Wohnungsunternehmen sollten sich darauf einstellen, so meint Raik Mickler, dass mit der verstärkten Präsenz des Themas in den Medien in den kommenden Monaten die Wahrscheinlichkeit steige, dass die Mieter dieses Recht auch einfordern. Fragen die Kunden nach, werden bei langsamer oder unvollständiger Auskunft Schwachstellen beim Datenschutz schneller aufgedeckt, als es bisher der Fall war. Mickler rät den Unternehmen, bei Anfragen zum Datenschutz nicht auf Zeit zu spielen und sich auf die Standardanfragen bereits jetzt einzurichten.

„Wenn die Beantwortung von Anfragen zum Datenschutz zu lange dauert, vermuten die Mieter, dass das Unternehmen das Thema offenbar nicht so ernst nimmt oder keinen guten Überblick über die Datenflüsse besitzt.“ Raik Mickler, Datenschutzbeauftragter bei der Haufe Group

Vermuten der Mieter oder die Aufsichtsbehörde einen Verstoß gegen die EU-DSGVO, muss das Unternehmen beweisen, dass es die Vorgaben der Verordnung eingehalten hat. Das bedeutet vor allem deutlich mehr Aufwand bei der Dokumentation.

Doch wie können sich die Unternehmen vorbereiten? Die Haufe Group analysiere derzeit alle internen Geschäftsprozesse, Softwaresysteme und Produkte im Hinblick auf die Anforderungen der neuen Verordnung, erklärt Mickler. Bis Mai 2018 möchte das Unternehmen alle Prozesse und Softwarelösungen an die neuen Anforderungen angepasst haben.

EU-DSGVO: Was müssen Unternehmen künftig tun? Die wichtigsten Punkte:

- Unternehmen müssen nachweisen, dass sie den Datenschutz ernst nehmen und entsprechende Maßnahmen zur Einhaltung der DSGVO getroffen haben.

- Gestohlene oder verschwundene Daten müssen etwa innerhalb von 72 Stunden entdeckt und gemeldet werden können. Auch die betroffenen Kunden oder Mieter müssen umgehend informiert werden. Wird ein Datenleck zu spät gemeldet, drohen Strafen.

- Die Herkunft von Daten und ihr Verwendungszweck müssen klar definiert sein. Das gilt sowohl für neu erhobene Daten als auch für bereits vorhandene. Firmen müssen also erklären können, woher sie die Daten haben und zu welchem Zweck sie ursprünglich erhoben wurden. Personenbezogene Daten dürfen ausschließlich zu diesem Zweck verwendet und müssen danach gelöscht werden. Sollen die Daten für einen anderen Zweck genutzt werden, muss die betroffene Person erneut informiert werden und einwilligen. Betroffene müssen außerdem informiert werden, auf welcher Rechtsgrundlage die Daten erhoben und verarbeitet werden und wie lange sie gespeichert werden.

- Personen bekommen ein Recht auf „Vergessenwerden“. Sie können verlangen, dass ihre personenbezogenen Daten aus Datenbanken gelöscht werden. In vielen Unternehmen ist es ein Problem, diese Daten rechtzeitig zu finden und dann zu löschen. (Personenbezogene Daten sind alle Daten, die Rückschlüsse auf eine Person zulassen, etwa Name, Telefonnummer, E-Mail-Adresse, IP-Adresse oder IBAN.)

- Mitarbeiter, die aus dem Unternehmen ausscheiden, dürfen keinen Zugriff mehr auf Unternehmensdaten haben.

- Kunden bekommen ein Recht auf Portabilität ihrer Daten zugesprochen. Sie haben einen Anspruch darauf, eine Kopie ihrer personenbezogenen Daten in einem gängigen und maschinenlesbaren Format ausgehändigt zu bekommen. Das zielt vor allem auf Unternehmen wie Google oder Facebook. Aber auch Wohnungsunternehmen können mit so einem Herausgabeanspruch konfrontiert werden, etwa wenn der Mieter umzieht.

- Mitarbeiter müssen verpflichtend im Umgang mit Daten und zum Datenschutz geschult werden.

- Unternehmen müssen umfassend und verständlich schon bei der Erhebung der Daten über die Verwendung und den Umgang mit den Daten informieren. Wie bisher dürfen Unternehmen personenbezogene Daten nur erheben, verarbeiten oder nutzen, wenn es das Gesetz ausdrücklich erlaubt oder der Betroffene einwilligt. Neu ist ein Koppelungsverbot bei der Einwilligung: Leistungen dürfen nicht mehr daran geknüpft werden, dass der Betroffene der Verarbeitung seiner Daten zustimmt. Außerdem muss die Einwilligung freiwillig und durch eine eindeutige Handlung erfolgen. Standardmäßig angehakte Kästchen, Einwilligung durch Nichtstun oder ein stillschweigendes Einverständnis sind nicht zulässig. Der Widerruf der Einwilligung muss künftig ebenso einfach sein wie die Einwilligung selber.

- Datenschutzbeauftragte und Manager haften künftig auch persönlich bei Verstößen. Bisher mussten vor allem die Datenschutzbeauftragten in Deutschland nur darauf „hinwirken“, dass im Unternehmen die Vorschriften eingehalten werden. Jetzt müssen sie die Einhaltung auch überwachen. Vorstände und Geschäftsführer haben weiterhin weitreichende Kontrollpflichten.

Weitere Informationen zum Thema:

Europäische Datenschutzgrundverordnung: Informationen und Hilfestellungen

Schlagworte zum Thema:  Datenschutz, Wohnungswirtschaft, EU-Verordnung