BBU: Neue Informationen zur Umsetzung der Datenschutz-Grundverordnung

Der Verband Berlin-Brandenburgischer Wohnungsunternehmen e.V. (BBU) hatte im Sommer 2017 auf die Neuregelungen der EU-Datenschutz-Grundverordnung und des neuen Bundesdatenschutzgesetzes (BDSG 2018) hingewiesen. Hierzu hatte der GdW ein Rundschreiben vom 23. Juni 2017 veröffentlicht, das den Mitgliedsunternehmen zugänglich gemacht wurde.

Der GdW hat zu den Neuregelungen am 16. Januar 2018 einen Workshop mit Experten abgehalten und die wesentlichen Ergebnisse in einem aktuellen Rundschreiben vom 6. Februar 2018 zusammengefasst und erste Handlungsempfehlungen für die Wohnungsunternehmen gegeben.

Neu ist, dass der Verantwortliche, also die Unternehmensleitung (Vorstand/Geschäftsführung) für die Einhaltung der Anforderungen der DS-GVO verantwortlich ist und deren Einhaltung nachweisen können muss (Rechenschaftspflicht, Beweislastumkehr). Als erste Schritte werden im Rundschreiben genannt:

  • Bestellung eines Datenschutzbeauftragten und eines Vertreters sowie bei externen Datenschutzbeauftragten eines internen Ansprechpartners
  • Erarbeitung eines Verzeichnisses der Verarbeitungstätigkeiten
  • Erstellung und Bereitstellung von Informationshinweisen zur Datenerhebung
  • Mitarbeiterschulung
  • Anpassung der Verträge mit Unternehmen, die in Ihrem Auftrag Daten verarbeiten (Auftragsverarbeiter)
  • Anpassung der Verpflichtung auf Datengeheimnis
  • Überprüfung und Anpassung der Webseite (Datenschutzerklärung, Impressum)
  • Erstellung von notwendigen Dokumentationen, wie z. B.: IT-Infrastrukturübersicht, Backupkonzept, Notfallplan, –
  • Passwortrichtlinie und Umgang mit Passwörtern, Archivierungs- bzw. Löschkonzept, Richtlinien und .
  • Arbeitsanweisungen etc. und die Vornahme der entsprechenden technischen und organisatorischen Maßnahmen (TOMs)

Im Rundschreiben sind weitere Einzelheiten zu diesen Punkten ausgeführt. Der GdW stellt außerdem verschiedene Muster als Anlagen zur Verfügung, u.a. für einen Teil eines Verfahrensverzeichnisses, einen Fragebogen für Mietinteressenten, ein Informationsblatt für Mietinteressenten sowie SCHUFA-Hinweise zu Mietanträgen und SCHUFA-Informationen und eine Verpflichtung auf die Vertraulichkeit.

Sämtliche Anlagen dienen als erste Orientierung und werden weiter abgestimmt. Sie müssen auf die Besonderheiten im jeweiligen Unternehmen angepasst werden.

2018-02-06_gdw_rs_datenschutzgrundverordnung_-_informationen_ueber_erste

anlage_1_gdw-musterwohnmandant_wohnungsvergabeinteressentenverwaltung

anlage_2_fragebogen_fuer_mietinteressenten

anlage_3_informationsblatt_mietinteressenten

GDD-Praxishilfe_DS-GVO_5

2018-03-14_AH_83__Datenschutzgrundverordnung

Grundlagenveranstaltung des BBU zum Thema „DGSVO in der Wohnungswirtschaft“

BBU-Verbandskonferenz „Datenschutz-Grundverordnung – neue Pflichten für die Wohnungsunternehmen“ am 13. Februar 2018

Der Verband Berlin-Brandenburgischer Wohnungsunternehmen e.V. (BBU) hat am 13. Februar 2018 eine mit 200 Personen sehr gut besuchte Verbandskonferenz zum für alle Mitgliedsunternehmen sehr wichtigen Thema der Auswirkungen der neuen Datenschutz-Grundverordnung, die ab dem 25. Mai 2018 gilt, abgehalten.

Zu Beginn der Verbandskonferenz wies BBU-Vorstand Maren Kern zunächst auf die Bedeutung der neuen Regelungen als vielfach „ungeliebtes Kind“ der Betroffenen hin. BBU-Rechtsanwältin Carin Müller gab einen Überblick über das Gesetzgebungs- und Verordnungsverfahren der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutz-gesetzes (BDSG) und machte deutlich, dass das neue EU-Datenschutzrecht sich an dem Modell des Bundesdeutschen Datenschutzgesetzes orientiert und damit viele Regelungen übernommen wurden, die den Mitgliedsunternehmen bereits bekannt sind. Weiter wies sie auf die wichtigen Vorschriften über Haftung und auf die Bußgeldvorschriften hin. Die Bußgelder werden mit der neuen Verordnung erheblich angehoben, wenn derartige Verstöße festgestellt werden können.

Anschließend stellte ein Mitarbeiter der DOMUS Consult, als externe Datenschutzbeauftragte auch vieler Mitgliedsunternehmen, die neue Stellung des Datenschutzbeauftragten dar. Deutlich wurde, dass zunächst vieles gleich geblieben ist, etwa die Bestellpflicht erst ab zehn Mitarbeitern (§ 38 BDSG neu) und auch die Anforderung an die berufliche Qualifikation und das Fachwissen und darüber hinaus aber neue Aufgaben, wie die Überwachung der Datenschutzvorschriften, der Datenschutzstrategien und der Sensibilisierung der Verantwortlichen und ggf. die Zusammenarbeit mit der Aufsichtsbehörde hinzugekommen sind.

Die Mitgliedsunternehmen müssen ab dem 25. Mai 2018 die von ihnen bestellten Datenschutzbeauftragten den Aufsichtsbehörden benennen. Batras wies darauf hin, dass Nennungen vor dem 25. Mai 2018 nicht berücksichtigt werden. Danach zeigte er die wichtigsten Nachweispflichten, die Implementierung von Informationspflichten, Betroffenenrechte und Löschkonzepte und die notwendigen Anpassungen der Auftragsdatenverarbeitungsverträge auf. Intensiv ging er auch auf die Frage der Notwendigkeit einer Datenschutzfolgenabschätzung ein. Er schilderte auch das notwendige Vorgehen bei festzustellenden Datenpannen und die Notwendigkeit der Anpassung der IT-Sicherheit.

Im Anschluss trug Rechtsanwältin Patricia Will, Arbeitgeberverband Düsseldorf (AGV), zum Beschäftigtendatenschutz nach der DSGVO und dem BDSG vor. Sie machte deutlich, dass die neuen Regelungen des § 26 BDSG 2018 aufgrund der Öffnungsklausel des Artikel 88 DSGVO ähnliche Regelungen enthielt, wie sie bisher in § 32 des alten BDSG enthalten waren. Sie erklärte, dass die Mitgliedsunternehmen, wie auch bisher, aufgrund der vertraglichen Notwendigkeit, Mitarbeiterdaten speichern und verarbeiten dürfen. Sie wies darauf hin, dass die Notwendigkeit besteht, vorhandene Betriebsvereinbarungen und Einwilligungen, insbesondere auf die notwendige Zweckbindung der Datenerhebung zu überprüfen.

Abschließend stellten Jörg Wollenberg und Annika Reichelt (bbg BERLINER BAUGENOSSENSCHAFT eG) und Stephan Greiner-Petter (Rheinsberger Wohnungsgesellschaft m.b.H.) ihre Herangehensweisen in der Praxis des Wohnungsunternehmens an die Herausforderung der Datenschutz-Grundverordnung dar. Es wurde deutlich, dass beide Unternehmen es für sinnvoll hielten, einen externen Datenschutzbeauftragten, im Hinblick auf die Komplexität der Anforderungen, zu beauftragen.

Eine Publikumsfrage richtete sich auf den Einbindungsprozess Dritter, sprich IT-Dienstleistern mit Zugang bzw. Generierung personenbezogener Daten: Hier stehen HKV-Dienstleister im Fokus, denen nach Art 28 DGSVO nun die Pflichten des Wohnungsunternehmens aufzubürden ist: HKV-Daten sind personenbezogen. Jeder Mieter hat das Recht, die DGSVO-Konformität seiner Daten (hier: warme Betriebskosten Heizung)  beim Wohnungsunternehmen abzufragen. Von dort muss auch die Beantwortung kommen. Das Wohnungsunternehmen ist klug beraten, diesen Dienstleister nach Art 31 DGSVO mit seinen Zertifikaten und Garantien einzubinden.

Kern machte in ihrem Schlusswort deutlich, dass die Vorträge einen guten Überblick über die notwendigen zu beachtenden Vorschriften und die Schritte, die die Mitgliedsunternehmen unternehmen müssen, gebracht hätten und der BBU ggf. im Laufe des Jahres eine Folgeveranstaltung durchführen wird.

1_ueberblick_gesetzgebungs-und_vo-verfahren_mueller-1

2_datenschutzbeauftragte_batras

3_dsgvo-compliance_batras

4_beschaeftigtendatenschutz_will