Organisatorische Anforderungen nach der Datenschutz-Grundverordnung (DSGVO)

Um den Anforderungen und Nachweispflichten der DSGVO nachkommen zu können, sind umfassende organisatorische (Arbeitsanweisungen, Zugangs- und Zugriffskontrollen) und technische (Datensicherungen, Zutrittsberechtigungen, Zugriffsberechtigungen) Maßnahmen bei allen Tätigkeiten mit Bezug zu personenbezogenen Daten umzusetzen.

Inhalt:
  1. Verantwortung des Vermieters
  2. Datenschutz durch Technikgestaltung
  3. Datenschutz durch datenschutzfreundliche Voreinstellungen
  4. Datenschutz bei Auftragsverarbeitern
  5. Verzeichnis von Verarbeitungstätigkeiten
  6. Der Datenschutzbeauftragte
  7. Zusammenarbeit mit der Aufsichtsbehörde
  8. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Artikel 34 DSGVO
1. Verantwortung des Vermieters

Nach Artikel 24 Absatz 1 DSGVO setzt der Vermieter unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Mieter geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt. Diese Maßnahmen müssen erforderlichenfalls überprüft und aktualisiert werden. Dazu gehören nach Absatz 2 auch geeignete Datenschutzvorkehrungen.

Der Vermieter muss nach Artikel 32 Absatz 4 DSGVO sicherstellen, dass Personen, die Zugang zu personenbezogenen Daten haben, also vor allem Mitarbeiter, diese nur auf Anweisung des Verantwortlichen verarbeiten.

2. Datenschutz durch Technikgestaltung (Privacy by design)

Nach Artikel 5 Absatz 1f) müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“). Der Vermieter muss daher nach Artikel 25 Absatz 1 DSGVO geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — treffen, um die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen, den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen, also vor allem der Mietinteressenten und Mieter, zu schützen.

Die Einzelheiten dazu regelt Artikel 32 Absatz 1 DSGVO. Danach muss der Vermieter unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; „Pseudonymisierung” ist nach Artikel 4 Nummer 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können. Eine Pseudonymisierung ist nur möglich, wenn die Daten auch ohne Bezug zu einer konkreten Person sinnvoll genutzt werden können. Dies ist im Rahmen der wohnungswirtschaftlichen Datenverarbeitung in der Regel nicht der Fall, so dass sie außer für statistische Auswertungen, die für Dritte wie z.B. Ämter oder Verbände bestimmt sind, nicht in Betracht kommt.

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind nach Artikel 32 Absatz 2 DSGVO insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch — ob unbeabsichtigt oder unrechtmäßig — Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden.

3. Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by default)

Der Vermieter hat nach Artikel 25 Absatz 2 DSGVO sicherzustellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbei­tungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personen­bezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

4. Datenschutz bei Auftragsverarbeitern

Ein Auftragsverarbeiter ist nach Artikel 4 Nummer 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personen­bezogene Daten im Auftrag des Verantwortlichen verarbeitet. Auf den Auftragsverarbeiter als externen Dritten dürfen bestimmte Verantwortlichkeiten und somit auch die Verarbeitung von dazu erforderlichen personenbezogenen Daten wie auf eine interne Stelle delegiert werden. Es geht dabei um Messdienstleister, Lohn- und Geschäftsbuchführung und sonstige IT-Dienstleister. Der Einsatz solcher Dienstleister nimmt in unserer arbeitsteiligen Gesellschaft auch in der Wohnungswirtschaft ständig zu, da die Komplexität der Anforderungen selbst von großen Vermietern kaum noch zu leisten ist. Außerdem sind damit in der Regel Kostenvorteile und einfachere rechtliche Gestaltungsmöglichkeiten verbunden (Stichwort: Make or Buy). Damit die Dienstleister die ihnen übertragenen Leistungen ordnungsgemäß erbringen können, benötigen sie in den meisten Fällen Daten der Mieter. Dies reicht von einfachen Fällen wie der Telefonnummer, die ein Handwerker benötigt, um einen Reparaturtermin zu vereinbaren, bis hin zu komplexen Aufgaben wie der Erstellung der Betriebskostenabrechnung, für die der Dienstleister eine Fülle von Mieterdaten benötigt. Dies gilt aber auch für Clouddienste, deren Anwendung zwangsläufig zu einer Datenübertragung zu Dritten führt.

Die Verarbeitung von Daten bei einem Auftragsverarbeiter bedarf keiner gesonderten Rechtfertigung gegenüber dem Mieter, da sie durch die Rechtsgrundlage der Verarbeitung beim Vermieter mit abgedeckt ist. Der Auftragsverarbeiter wird also wie ein Teil des Vermieters behandelt. Das setzt aber voraus, dass der Auftragsverarbeiter wie ein Teil des Vermieters arbeiten muss, also insbesondere streng weisungsgebunden und keine eigenen über die Auftragsverarbeitung hinausgehenden Zwecke mit der Datenverarbeitung verfolgen darf. Dies muss nicht nur vertraglich so vereinbart sein, sondern durch den Vermieter auch tatsächlich gewährleistet werden können.

Nach Artikel 28 Absatz 1 DSGVO darf man nur mit Auftragsverarbeitern zusammenarbeiten, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet ist. Dies muss bereits bei der Auswahl des Dienstleisters berücksichtigt werden durch die Einbeziehung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens.

Die Verarbeitung durch einen Auftragsverarbeiter darf nach Artikel 28 Absatz 3 DSGVO nur auf der Grundlage eines Vertrags erfolgen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind. Die Vorschrift enthält acht Punkte, die im einzelnen geregelt werden müssen. Von besonderer Bedeutung ist hierbei das Weisungsrecht nach Artikel 28 Absatz 3a) DSGVO.

Jeder Auftragsverarbeiter muss nach Artikel 30 Absatz 2 DSGVO ein eigenes  Verarbeitungsverzeichnis führen.

Der Auftragsverarbeiter darf die Daten gemäß Artikel 29 DSGVO ausschließlich auf Weisung des Verantwortlichen (=Vermieters) verarbeiten. Auch im Fall einer Einbeziehung von Auftragsverarbeitern muss der Vermieter weiterhin die wesentlichen Entscheidungen über Zweck und Mittel der Datenverarbeitung treffen.

5. Verzeichnis von Verarbeitungstätigkeiten

Jeder Vermieter hat nach Artikel 30 Absatz 1 DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Dieses Verarbeitungsverzeichnis ist eines der zentralen Instrumente des Datenschutzes und Ausgangspunkt für die Nachweise im Unternehmen. Die Ausnahmeregelung in Artikel 30 Absatz 5 DSGVO für Unternehmen mit weniger als 250 Mitarbeitern dürfte für Vermieter in der Regel nicht einschlägig sein, da bei ihnen die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt. Für sämtliche Kernprozesse von Wohnungsunternehmen wie die Vermietung, die Betriebskostenabrechnung, das Forderungsmanagement oder das Personalwesen ist daher die Führung eines Verfahrensverzeichnisses unabhängig von der Unternehmensgröße erforderlich (GdW, DSGVO, Seite 19).

Das Verzeichnis ist eine Dokumentation und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden und muss folgenden Angaben enthalten:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Das Verzeichnis ist nach Artikel 30 Absatz 3 DSGVO schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Das Verzeichnis muss nach Artikel 30 Absatz 4 DSGVO der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Verstöße gegen die Pflichten im Zusammenhang mit dem Verarbeitungsverzeichnis sind nach Artikel 83 Absatz 4a DSGVO bußgeldbewehrt.

Hinweise und ein Muster zum Verarbeitungsverzeichnis findet man auf der Website des Bayerischen Landesamtes für Datenschutzaufsicht:

https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

Jedes Verfahrensverzeichnis muss auch bei der Verwendung von Mustern immer auf die jeweils geltenden technischen und organisatorischen Bedingungen eines Wohnungsunternehmens angepasst werden (GdW, DSGVO, Seite 22).

6. Der Datenschutzbeauftragte

Die DSGVO führt die in Deutschland schon seit Langem bestehende Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nun auch europaweit ein. Die Regelungen über den Datenschutzbeauftragten finden sich im 4. Abschnitt der DSGVO in den Artikeln 37 bis 39 und in § 38 BDSG.

Der Vermieter muss nach Artikel 37 Absatz 4 DSGVO, § 38 Absatz 1 BDSG einen Datenschutzbeauftragten benennen, soweit er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Da der Begriff der Verarbeitung nach Artikel 4 Nummer 2 DSGVO sehr weit gefasst ist und schon beim E-Mail-Verkehr mit den Mietern beginnt, sollte man im Zweifel davon ausgehen, dass ein Wohnungsunternehmen zur Benennung eines Datenschutzbeauftragten verpflichtet ist, wenn es mehr als 9 Mitarbeiter hat. Eine Unternehmensgruppe darf nach Artikel 37 Absatz 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Der Datenschutzbeauftragte muss nach Artikel 37 Absatz 5 DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt werden, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. Die Sachkunde und Erfahrung sollte folgende Fachgebiete umfassen (GdW, DSGVO, Seite 26):

–  Fachkompetenz auf dem Gebiet des nationalen und europäischen Datenschutzrechts und der Datenschutzpraxis einschließlich eines umfassenden Verständnisses der DSGVO,

–  Verständnis der jeweils im Unternehmen durchgeführten Verarbeitungsvorgänge,

–  Kenntnisse in den Bereichen IT und Datensicherheit,

–  Kenntnis der jeweiligen Branche und Einrichtung,

–  die Fähigkeit, eine Datenschutzkultur innerhalb des Unternehmens zu fördern.

Der Datenschutzbeauftragte kann nach Artikel 37 Absatz 6 DSGVO Beschäftigter des Vermieters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Der Datenschutzbeauftragte kann nach Artikel 38 Absatz 6 DSGVO auch andere Aufgaben und Pflichten wahrnehmen. Der Vermieter muss aber sicherstellen, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Daher sollte der Datenschutzbeauftragte nicht aus dem Kreis des leitenden Managements kommen.

Zu Form und Dauer der Bestellung gibt es in der DSGVO und im BDSG keine Vorgaben.

Nach bisherigem Recht hat der Datenschutzbeauftragte eine beratende und unterstützende Funktion. Nach der DSGVO umfasst sein Aufgabenbereich nunmehr echte Kontroll- und Überwachungspflichten. Nach Artikel 39 Absatz 1 DSGVO obliegen dem Datenschutzbeauftragten obliegen zumindest folgende Aufgaben:

a) Unterrichtung und Beratung des Vermieters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutz­vorschriften der Union bzw. der Mitgliedstaaten;

b) Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Vermieters oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungs­vorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;

c) Beratung — auf Anfrage — im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;

d) Zusammenarbeit mit der Aufsichtsbehörde; allerdings darf der Datenschutzbeauftragte aufgrund seines Treueverhältnisses zu seinem Auftraggeber zunächst alle internen Möglichkeiten zur Beseitigung des Verstoßes ausschöpfen, bevor er sich an die Aufsichtsbehörde wenden muss.

e) Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Dem Datenschutzbeauftragten können nach Artikel 38 Absatz 6 DSGVO auch noch weitere Aufgaben und Pflichten übertragen werden. Typische Beispiele für weitere Aufgaben sind das Verzeichnis der Verarbeitungstätigkeiten oder Mitarbeiterschulungen.

Betroffene Personen, also vor allem Mieter und Mitarbeiter, können den Datenschutzbeauftragten gemäß Artikel 38 Absatz 4 DSGVO zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen. Der Datenschutzbeauftragte unterliegt in diesem Zusammenhang nach Artikel 38 Absatz 5 DSGVO i.V.m. §§ 38 Abs. 2, 6 Abs. 5 Satz 2 BDSG n. F. der Schweigepflicht.

Der Datenschutzbeauftragte muss bei der Erfüllung seiner Aufgabe nach Artikel 39 Absatz 2 DSGVO dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen und dabei die Art, den Umfang, die Umstände und die Zwecke der Datenverarbeitung berücksichtigen. Daraus folgt, dass er auch selbst darüber entscheidet, welche Vorgänge er wann untersucht.

Damit er seine Aufgaben ordnungsgemäß erfüllen kann, muss der Vermieter gemäß Artikel 38 Absatz 1 DSGVO sicherstellen (Z.B. durch eine entsprechende Arbeitsanweisung), dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Der Vermieter muss den Datenschutzbeauftragten gemäß Artikel 38 Absatz 2 DSGVO bei der Erfüllung seiner vorgenannten Aufgaben unterstützen, indem er die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen (=Fortbildung) zur Verfügung stellt.

Nach Artikel 38 Absatz 3 DSGVO ist durch den Vermieter sicherzustellen, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält. Er darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden und berichtet unmittelbar der höchsten Managementebene.

Gemäß den §§ 38 Abs. 2, 6 Abs. 4 BDSG n. F. ist auch zukünftig eine Kündigung des Datenschutzbeauftragten nur unter den besonderen Voraussetzungen des § 626 BGB (Kündigung aus wichtigem Grund) möglich. Dieser Schutz gilt weiterhin auch nach der Abberufung des Beauftragten für ein Jahr fort.

Der Vermieter muss die Kontaktdaten des Datenschutzbeauftragten nach Artikel 37 Absatz 7 DSGVO veröffentlichen und sie der Aufsichtsbehörde mitteilen. Die Veröffentlichung sollte mindestens auf der Website des Vermieters erfolgen. Es müssen nur die Kontaktdaten mitgeteilt werden, nicht der Name.

Verstöße gegen die Pflichten im Zusammenhang mit dem Datenschutzbeauftragten sind nach Artikel 83 Absatz 4a DSGVO bußgeldbewehrt.

7. Zusammenarbeit mit der Aufsichtsbehörde

Die Einhaltung des Datenschutzes wird durch unabhängige öffentliche Aufsichtsbehörden überwacht. Nach § 40 Absatz 1 BDSG ist dies bei nichtöffentlichen Stellen, zu denen auch die Unternehmen der Wohnungswirtschaft gehören, die nach Landesrecht zuständige Behörde, in Berlin also die „Berliner Beauftragte für Datenschutz und Informationsfreiheit”. Hat das Wohnungsunternehmen mehrere inländische Niederlassungen, findet gemäß § 40 Absatz 2 BDSG für die Bestimmung der zuständigen Aufsichtsbehörde Artikel 4 Nummer 16 der Verordnung (EU) 2016/679 entsprechende Anwendung und somit der Sitz der Hauptniederlassung.

Der Vermieter und seine Auftragsverarbeiter müssen nach Artikel 31 DSGVO auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenarbeiten. Dies ist auch eine zentrale Aufgabe des Datenschutzbeauftragten (siehe vorherigen Abschnitt).

Das Verarbeitungsverzeichnis muss nach Artikel 30 Absatz 4 DSGVO der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Anders als das bisherige Datenschutzrecht sieht die DSGVO umfassende Meldepflichten gegenüber der Aufsichtsbehörde vor. Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Vermieter nach Artikel 33 Absatz 1 DSGVO unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Aufsichtsbehörde melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen. Wenn dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, muss er diese gemäß Artikel 33 Absatz 2 DSGVO unverzüglich dem Vermieter melden.

Die Meldung muss gemäß Artikel 33 Absatz 3 DSGVO zumindest folgende Informationen enthalten:

a)  eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;

b)  den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;

c)  eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

d)  eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Nach Artikel 33 Absatz 5 DSGVO muss der Vermieter desweiteren Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen dokumentieren. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen dieses Artikels ermöglichen.

8. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person gemäß Artikel 34 DSGVO

Hat eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Vermieter nach Artikel 34 Absatz 1 DSGVO die betroffene Person, in der Regel also den Mietinteressenten oder den Mieter, unverzüglich von der Verletzung benachrichtigen.

Die Benachrichtigung muss nach Artikel 34 Absatz 2 DSGVO in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten, den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten.

Die Benachrichtigung ist gemäß Artikel 34 Absatz 3 DSGVO nicht erforderlich, wenn

a)  der Vermieter geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung;

b)  der Vermieter durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 aller Wahrscheinlichkeit nach nicht mehr besteht;

c)  die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Bild: magele-picture / Fotolia

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere