·
04.10.2016
Strategie

Was ist neu an der EU-Datenschutzgrundverordnung (DSGVO)?

Die neue EU-Datenschutzgrundverordnung (DSGVO) verspricht vor allem eins: einheitliche Datenschutz-Standards für alle in der EU tätigen Unternehmen ab Mai 2018. Die vielen inhaltlichen Neuerungen erhöhen die Herausforderungen an das Datenschutzmanagement, um die vielen Transparenz- und Dokumentationspflichten zu erfüllen. Jede sich durch die Digitalisierung wandelnde Branche ist von der DSGVO betroffen. So wird sich auch die Immobilienwirtschaft den neuen Herausforderungen stellen müssen. Ein verkürzter Abriss dieser Herausforderungen folgt hier:

Neue Informationspflichten bei der Erhebung von personenbezogenen Daten


Auch heute gelten gegenüber dem Betroffenen bereits umfangreiche Informationspflichten bei der Erhebung personenbezogener Daten. Diese Transparenzpflichten ergeben sich aus dem Bundesdatenschutzgesetz (BDSG) und für Telemedien wie Apps und Webseiten vor allem aus dem Telemediengesetz (TMG). Hinzukommen nun die Artikel 13 und 14 der DSGVO. Neu an dieser Stelle ist die Angabe der Rechtsgrundlage für die Verarbeitung, die dem Betroffenen gegenüber dargestellt werden muss. Bisher mussten die Verantwortlichen einer Webseite nur den Zweck der Datenverarbeitung leicht verständlich beschreiben. Die neue Herausforderung besteht nun darin, neben dem Zweck auch die Rechtsgrundlage in leicht verständlicher Form bereitzustellen. Wenn zum Beispiel die Anschrift eines Mieters für den Zweck der Kontaktaufnahme erfasst werden soll, muss neben diesem Zweck auch angegeben werden, auf welcher Rechtsgrundlage die Anschrift gespeichert werden darf. Hierzu könnte, je nach Szenario, der Artikel 6 Abs. 1 lit. b) dienen. Dieser würde es erlauben, die Anschrift für die Erfüllung eines Vertragsverhältnisses zu verarbeiten.


Neben Angaben zur Speicherdauer der personenbezogenen Daten, einem Hinweis zum Beschwerderecht bei einer Aufsichtsbehörde und Angaben zum Profiling bestehen zudem Informationspflichten zum neuen Recht der Datenübertragbarkeit. Vorgesehen war dieses Recht vor allem, um den Nutzer einen sauberen Wechsel zwischen sozialen Netzwerken zu ermöglichen bzw. dem Nutzer eine transparente Auskunft über die zu ihm gespeicherten Daten zur Verfügung zu stellen. Anwendung findet das Recht auf Datenübertragbarkeit grundsätzlich auf alle Verantwortlichen, die personenbezogene Daten des Nutzers verarbeiten. Daten sollen künftig direkt zwischen zwei verantwortlichen Stellen ausgetauscht werden, sofern dies technisch machbar ist. Nicht definiert ist, wer die „technische Machbarkeit“ einstuft.


Das neue „Recht auf Vergessenwerden“ und Zweckänderungen


Das Prinzip des „Rechts auf Vergessenwerden“ ist dem aktuellen Bundesdatenschutzgesetz ähnlich: Personenbezogene Daten, für welche der Speicherzweck abgelaufen ist, welche unzulässig verarbeitet werden oder für welche der Betroffene eine Löschung verlangt, müssen gelöscht werden, sofern keine Archivierungspflichten oder andere Regelungen dem entgegenstehen. Neu am „Recht des Vergessenwerdens“ ist an dieser Stelle nur die weitfassende Gültigkeit für die gesamte Europäische Union und die damit verbundenen Bußgelder, sofern die personenbezogenen Daten nicht gelöscht werden oder gar unrechtmäßig verarbeitet werden. In der DSGVO gibt es Vereinfachungen für die Zweckänderung, welche in Artikel 6 Abs. 4 geregelt sind. So ist es nun möglich, die Datensätze mit technischen Maßnahmen zusätzlich abzusichern, um diese für weitere Zwecke zu verarbeiten. Dies erfordert im Vorfeld aber detaillierte Prüfungen der Betroffenenrechte und Dokumentation des Vorhabens.

Informationstechnologie und Immobilien (IT&I) Ausgabe Nr. 25 / Oktober 2017

Möchten Sie unser Magazin regelmäßig erhalten?


Unsere halbjährlich erscheinende Fachzeitschrift „IT&I – Informationstechnologie und Immobilien“ informiert Sie über Hintergründe und Grundlagen zu aktuellen Themen und neuesten IT-Entwicklungen verbunden mit Fachthemen der Immobilienwirtschaft. Bestellen Sie unsere Online- oder Printausgabe hier.

Die Datenschutz-Folgenabschätzung


Das Prinzip der Technik-Folgenabschätzung ist nicht neu. Neu ist aber, dass dieses Vorgehen im Datenschutzkontext angewendet werden muss. Im Rahmen einer Datenschutz-Folgenabschätzung (auch „privacy impact assessment“, PIA genannt) muss jedes Unternehmen bei der Verarbeitung von personenbezogenen Daten eine Abschätzung der Folgen für den Betroffenen durchführen, sofern neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen entsteht. An dieser Stelle hat die Datenschutz-Aufsichtsbehörde die Möglichkeit, Listen zu veröffentlichen, zu welchen Prozessen eine Datenschutz-Folgenabschätzung unbedingt durchzuführen ist. Die zu berücksichtigenden Inhalte und Voraussetzungen sind in Artikel 35 DSGVO beschrieben und schaffen ein Bild vom ungefähren Umfang einer solchen Abschätzung. Durchzuführen ist eine Datenschutz-Folgenabschätzung zum Beispiel immer bei der Überwachung von öffentlich zugänglichen Bereichen mittels optoelektronischer Vorrichtungen - sprich Videoüberwachung, da hier für die Rechte und Freiheiten der Betroffenen ein hohes Risiko droht.


Verhaltensregeln und Zertifizierung


Die Grundlagen für eine einheitliche Zertifizierung und Selbstverpflichtung auf Verhaltensregeln zum Datenschutz fehlen im bisherigen Bundesdatenschutzgesetz. Daher schaffen die Neuerungen aus den Artikeln 40 bis 43 Hoffnung auf zusätzliche Transparenz zur Einhaltung des Datenschutzes. Hier werden vor allem die Aufsichtsbehörden gefordert, bei der Ausarbeitung von Verhaltensregeln mitzuwirken und datenschutzspezifische Zertifizierungsverfahren sowie Datenschutzsiegel und -prüfzeichen einzuführen.


Haftung, Sanktionen und Schadensersatz


Der Bereich Haftung und Sanktionen wird in Kapitel 8 der DSGVO aufgeführt. Hier fallen vor allem die gegenüber dem Bundesdatenschutzgesetz erhöhten Bußgelder auf. Im Bundesdatenschutzgesetz sind es maximal 300.000 Euro pro Verstoß und in der Grundverordnung 20.000.000 Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Die Sanktionsmöglichkeiten erzielen damit in jedem Fall eine abschreckende Wirkung.

Vergleich der Bußgelder nach Bundesdatenschutzgesetz (BDSG) und EU-Datenschutzgrundverordnung (DSGVO)
Abbildung 1: Vergleich der Bußgelder nach Bundesdatenschutzgesetz (BDSG) und EU-Datenschutzgrundverordnung (DSGVO).

Fazit


Es bleibt abzuwarten, wie entsprechende nationale Gesetzgebungen aussehen und wie hier Öffnungsklauseln ausgestaltet werden. Wobei die Öffnungsklauseln keineswegs eine Umgehung der DSGVO zulassen. Stattdessen sollte man diese eher als Optionen oder Konkretisierungen verstehen, welche in einem Nachfolge-Bundesdatenschutzgesetz verankert werden. Auch bleibt abzuwarten, wie schnell die Aufsichtsbehörden den vielen Neuerungen gerecht werden können. Nicht warten sollten aber alle Unternehmen. Bis zur Gültigkeit der Datenschutzgrundverordnung verbleiben nur noch knapp zwei Jahre.

Zur Person:
Andreas Schulz
Andreas Schulz
hat im September 2010 die Zusatzausbildung zum Datenschutzbeauftragten bei der TÜV Akademie GmbH abgeschlossen und war von Januar 2011 bis Oktober 2014 als Datenschutzbeauftragter bei der PROMOS Unternehmensgruppe tätig. Von Oktober 2010 bis November 2014 war er in unterschiedlichen Positionen als Mitarbeiter Innovationsmanagement und Berater Business Process Engineering bei der PROMOS consult tätig. Der studierte Informationswissenschaftler mit der Fachrichtung Dokumentation ist seit Anfang November 2014 Berater im Bereich Datenschutz bei Bitkom Consult, Datenschutzbeauftragter der Bitkom-Gruppe und mehrfach bestellter externer Datenschutzbeauftragter.
Bitte warten