Die neue Datenschutzgrundverordnung tritt am 25. Mai 2018 in Kraft Bild: MEV-Verlag, Germany

Am 25.5.2018 tritt die europäische Datenschutzgrundverordnung (DSGVO) in Kraft. Ab diesem Zeitpunkt gelten die neuen Regelungen im Umgang mit personenbezogenen Daten unmittelbar für alle Unternehmen mit Sitz in Deutschland beziehungsweise der Europäischen Union. Christian Gebhardt und Carsten Herlitz vom GdW Bundesverband deutscher Wohnungs- und Immobilienunternehmen e.V. erläutern die für Wohnungsunternehmen wichtigsten Punkte.

In erster Linie behandelt die Datenschutzgrundverordnung nicht das "Ob" der Datenerhebung und -verarbeitung, sondern regelt vor allem den Umgang mit den Daten, also das "Wie". Wie schon im Januar online berichtet, gibt die DSGVO in diesem Bereich eine Vielzahl von neuen Anforderungen vor, die eine umfangreiche Analyse und Anpassung von bestehenden Prozessen im Wohnungsunternehmen erfordern.

Wohnungsunternehmen als "Verantwortliche" für Datenverarbeitungen

Die Datenschutzgrundverordnung richtet sich in erster Linie an "Verantwortliche" beziehungsweise "Auftragsverarbeiter". Mit dem Begriff  "Verantwortlicher" meint das Gesetz eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Insofern richtet sich die Datenschutzgrundverordnung ausdrücklich auch an Wohnungsunternehmen.

Der Begriff "Auftragsverarbeiter" ist eng mit dem Begriff des Verantwortlichen verbunden und legt den verantwortlichen Akteur in den Fällen fest, in denen entsprechende Verantwortlichkeiten auf externe Dritte delegiert werden. Erfasst sind Fälle, in denen Wohnungsunternehmen als "Verantwortliche" etwa Messdienstleister mit der Verarbeitung von personenbezogenen Daten betrauen. Letztere bezeichnet das Gesetz als Auftragsverarbeiter. Aber auch für den Fall einer Einbeziehung von Auftragsverarbeitern bleibt es dabei, dass der "Verantwortliche" weiterhin die wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung trifft.

Die Datenschutzgrundverordnung richtet sich ausdrücklich auch an Wohnungsunternehmen Bild: MEV-Verlag, Germany

Stellung des Datenschutzbeauftragten

Nach bisherigem Recht hat der Datenschutzbeauftragte eine lediglich beratende und unterstützende Funktion und übernimmt keine Gewähr dafür, dass die für die Datenverarbeitung verantwortliche Stelle auch alle datenschutzrechtlichen Standards umsetzt.

Die DSGVO erweitert den Aufgabenbereich des Datenschutzbeauftragten deutlich.


Dieser umfasst nunmehr echte Kontroll- und Überwachungspflichten. Danach obliegen dem Datenschutzbeauftragten unter anderem folgende Aufgaben:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO,
  • Überwachung der Einhaltung der DSGVO sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen,
  • Zusammenarbeit mit der Aufsichtsbehörde,
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation und ggf. Beratung zu allen sonstigen Fragen.

Wohnungsunternehmen sollten den Datenschutzbeauftragten und seinen Stellvertreter auf der Homepage ihres Unternehmens nennen.

Datenschutz als Organisationsaufgabe

Um den umfangreichen Anforderungen und Nachweispflichten der DSGVO nachzukommen, ist eine umfassende Bestandsaufnahme aller Tätigkeiten mit Bezug zu personenbezogenen Daten, deren Analyse und risikobezogene Bewertung erforderlich.

Nach der DSGVO muss das Wohnungsunternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet. Die hier geregelte Nachweispflicht ist zum Nachweis der Erfüllung der Überwachungspflicht demnach auch für den Datenschutzbeauftragten von ganz erheblicher Bedeutung. Auftragsverarbeiter müssen dem Wohnungsunternehmen zudem alle erforderlichen Informationen zur Verfügung stellen, damit es nachweisen kann, dass es seine gemäß Datenschutzverordnung ergebenen Pflichten erfüllen kann.

Verzeichnis von Verarbeitungstätigkeiten ("Verarbeitungsverzeichnis")

Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten folgt aus der Pflicht, die Einhaltung der DSGVO nachweisen zu können. Das Verarbeitungsverzeichnis ist Dreh- und Angelpunkt der Verordnung, gewissermaßen der "Spielmacher" des neuen Datenschutzrechts. Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten obliegt dem Wohnungsunternehmen. Das Verzeichnis sollte folgende Angaben enthalten:

  • den Namen und die Kontaktdaten des Wohnungsunternehmens sowie eines etwaigen Datenschutzbeauftragten,
  • die Zwecke der Verarbeitung,
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch offen gelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (Sicherheit der Verarbeitung).

Auf Anfrage ist das Verzeichnis der Aufsichtsbehörde zur Verfügung zu stellen.

Erweiterte Transparenzvorschriften

Wohnungsunternehmen müssen betroffene Personen deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, ob und wie sie deren Daten verarbeiten. Macht eine betroffene Person ihr Auskunftsrecht darüber geltend, ob und welche personenbezogenen Daten ein Wohnungsunternehmen von ihr verarbeitet, muss ihr das Wohnungsunternehmen als Verantwortliche unter anderem eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen.

Die DSGVO sieht umfassende Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor Bild: mauritius images / Mint Images Ltd. /

Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Anders als das bisherige Datenschutzrecht sieht die DSGVO umfassendere Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor. In diesem Zusammenhang ist auch die Definition einer Datenschutzverletzung deutlich weiter als nach dem bisherigem Recht.

Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem dem Verantwortlichen die Verletzung bekannt wurde.


Nur ausnahmsweise besteht keine Pflicht zur Meldung bei der Aufsichtsbehörde, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten der von der Datenschutzverletzung betroffenen Personen führt.

Zudem muss der Verantwortliche grundsätzlich die betroffenen Personen selbst ohne unangemessene Verzögerung benachrichtigen, wenn eine Datenschutzverletzung voraussichtlich ein hohes Risiko für ihre persönlichen Rechte und Freiheiten zur Folge hat.

Höhere Bußgelder

Die DSGVO sieht für Unternehmen Bußgelder von bis zu vier Prozent des Umsatzes vor. An Verstößen gegen die DSGVO beteiligte natürliche Personen müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen. Damit verschärft sich der Bußgeldrahmen gegenüber dem bisherigen Recht drastisch. Bislang sah das Bundesdatenschutzgesetz Bußgelder von maximal 300.000 Euro vor.

Empfehlungen bis zur Geltung der DSGVO

Die vorgenannten (nicht abschließenden) Änderungen zeigen auf, dass es gerade vor dem Hintergrund der erweiterten Haftung für Verantwortliche und Auftragsverarbeiter umso wichtiger wird, Datenschutzmaßnahmen umfassender zu dokumentieren, das heißt Archivierungs- und Löschkonzepte zu beschließen und zeitnah Strukturen und Prozesse zu schaffen, um die detaillierten Anforderungen der DSGVO spätestens bei ihrem Inkrafttreten zu erfüllen. Gerade die enorm gestiegenen Bußgeldrisiken legen es nahe, Datenschutzmanagementsysteme nach dem Vorbild entsprechender Compliancestrukturen zu etablieren.

Da im Schwerpunkt vor allem Rechtsfolgen, wie etwa im Bereich der Informationspflichten, modifiziert werden und aus dem Grundsatz der zweiten Rechenschaftspflicht umfassende Nachweis- und Dokumentationserfordernisse abgeleitet werden, sollten Unternehmen insbesondere mit komplexeren Verarbeitungsprozessen ihre Verfahren analysieren und Anpassungsschritte einleiten, selbst wenn in Einzelfragen noch Rechtsunsicherheiten verbleiben.

Folgende Maßnahmen bieten sich dazu an:

  • Information der gesamten Geschäftsleitung und aller Mitarbeiter,
  • Erhebung und Anpassung derzeitiger Prozesse, Rechtsgrundlagen und bestehender Datenschutzorganisation,
  • Aufbau einer Dokumentation (Verarbeitungsverzeichnis),
  • Erstellung und Umsetzung eines Löschkonzepts,
  • Prüfung und Anpassung der ADV-Verträge/Dienstleistungsbeziehungen oder sogenannten Funktionsübertragungen,
  • Identifikation des Anpassungsbedarfs bei der IT-Sicherheit und Umsetzung,
  • Prüfung und Anpassung von Betriebsvereinbarungen,
  • Umsetzung der Informationspflichten und Betroffenenrechte.

Die Autoren:

Christian Gebhardt ist Referatsleiter Betriebswirtschaft, Rechnungslegung und Förderung beim GdW Bundesverband deutscher Wohnungs- und Immobilienunternehmen sowie Vorstand der GdW Revision AG.

Carsten Herlitz ist GdW-Justiziar.

Dieser Artikel ist auch in der DW Die Wohnungswirtschaft 3/2018 erschienen.

Weitere Informationen:

Internetseite der GdW-Prüfungsverbände

Europäische Datenschutzgrundverordnung: Informationen und Hilfestellungen

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, Wohnungswirtschaft

Aktuell
Meistgelesen