Als Geschäftsführer oder Vorstand in der Immobilienwirtschaft muss man sich fragen, was jetzt zu tun ist, um für die Datenschutzgrundverordung (DS-GVO) gewappnet zu sein. Die Antwort klingt einfach: Alle datenschutzrelevanten Prozesse im Unternehmen sollten einer Risikoanalyse unterzogen werden. Gemeint sind alle laufenden und auch abgeschlossenen Prozesse mit Bezug zu personenbezogenen Daten. Hierzu gehören zum Beispiel Arbeitnehmer- oder Kundendaten. Konkret geht es um Angaben wie Namen, Geburtsdaten, Adressen oder Bankverbindungen von einzelnen Personen. Aber auch „neuartige“ personenbezogene Daten, wie etwa solche aus dem „IoT“ (Internet of Things) gewonnenen Daten.
Personenbezogene Daten können vom Betreiber oder Verwalter einer Liegenschaft zum Beispiel mittels eines zentralen Verwaltungsservers von Mietern oder Eigentümern erhoben werden, die ihre Heizung oder Beleuchtung beispielsweise per App vom Smartphone oder sonst per Fernsteuerung ein- und ausschalten. Deren Energieverbrauch wird regelmäßig mittels Smart Meter ausgewertet. Der Datenfluss läuft dann vom Smartphone oder einem anderen Device über den Verwaltungsserver zum Router des Mieters oder Eigentümers. Der wiederum steuert das Thermostat der Heizung oder die Beleuchtung an.
Aus den auf dem Verwaltungsserver gespeicherten personenbezogenen Daten können so Profile über die Heizgewohnheiten oder über die allabendliche Heimkehr der Mieter oder Eigentümer erstellt werden. Ist das zulässig?
Rechtmäßigkeit der Verarbeitung
Datenschutzrechtlich relevant ist ein Datenverarbeitungsvorgang, wenn die entsprechenden Daten einen Personenbezug aufweisen. Dies trifft auf solche Informationen zu, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ausgenommen von der datenschutzrelevanten Verarbeitung sind Informationen über juristische Personen (Unternehmen). Für die ermittelten datenschutzrelevanten Vorgänge bedarf es einer Erlaubnis: Das Recht zur Verarbeitung ergibt sich aus einem sogenannten Erlaubnistatbestand oder aus der Einwilligung des Betroffenen. In Unternehmen kann die Rechtsgrundlage der Verarbeitung von Mitarbeiterdaten auch eine Betriebsvereinbarung sein.
Einwilligung bei Profiling und Scoring
Wirksam in eine Verarbeitung einwilligen kann nur, wer vorher vollständig und verständlich informiert wurde. Dies ergibt sich schon aus dem datenschutzrechtlichen Transparenzgebot. Datenverarbeitung ist nur rechtmäßig, wenn der Betroffene die Einwilligung in die Verarbeitung seiner personenbezogenen Daten konkret für einen oder mehrere bestimmte Zwecke abgegeben hat. Daraus folgt, dass er den Zweck oder die Zwecke vor Abgabe der Einwilligung kennen muss. Dies gilt beim sogenannten Profiling, also jeder Art der automatisierten Verarbeitung personenbezogener Daten, die verwendet werden, um persönliche Aspekte natürlicher Personen zu bewerten. Hier geht es um Aspekte des Verhaltens, des Aufenthaltsorts oder eines Ortswechsels der natürlichen Person. Diese Daten zu analysieren und zur Prognose zu verwenden, bezeichnet man als Profiling. Wer die Möglichkeiten der Vernetzung von Thermostaten, Beleuchtungsanlagen und sonstigen Haushaltsgeräten mit dem Internet nutzen möchte, braucht eine Einwilligungserklärung und muss umfangreich und verständlich über sein Vorgehen informieren. Dasselbe gilt, wenn Vermieter oder Verwalter sich im Rahmen „grüner“ Verträge („Green Lease“) dazu verpflichten, „intelligente“ Verbrauchserfassungsgeräte zu installieren, um die Umweltfreundlichkeit und nachhaltige Nutzung und Bewirtschaftung eines Objekts zu erhöhen.
Weitere Regelungen der DS-GVO sind zu beachten. Sobald der Verantwortliche Verfahren der automatisierten Entscheidung (sogenanntes „Scoring“) einschließlich Profiling durchführt, muss er die Betroffenen informieren – natürlich auch über die besondere Tragweite und die angestrebten Auswirkungen solcher Verfahren.
Nach Durchführung einer Risikoanalyse bezüglich der Rechtmäßigkeit aller Verarbeitungsvorgänge sind die Einwilligungserklärungen und die vorgehaltenen Informationsblätter für die Betroffenen an die Vorgaben der DS-GVO anzupassen. Während sich die Betroffenenrechte (Auskunft, Korrektur, Löschung) mit der DS-GVO nicht wesentlich ändern, müssen die Verantwortlichen nun Dokumentationspflichten hinsichtlich der Betroffenenrechte erfüllen.
Privacy by Design und Privacy by Default
Schon bei der Planung von Verarbeitungsprozessen und der Programmierung von Software müssen Datenschutzprinzipien beachtet werden. Die DS-GVO fordert von den Verantwortlichen technische und organisatorische Vorkehrungen zum Schutz personenbezogener Daten zu treffen.
Die hierfür eingesetzten Systeme (Hard- und Software) müssen per Voreinstellung (Default) und Systemeigenschaften (Design) bestimmte Vorgaben erfüllen.
Datenverarbeitung durch Dritte
Häufig wird – zum Beispiel im Rahmen ausgelagerter IT-Prozesse oder von Callcenterdienstleistungen – die Datenverarbeitung durch Dritte vorgenommen. Es genügt bereits, wenn ein Dritter Lesezugriff auf personenbezogene Daten hat. Eine Übermittlung der Daten zu diesem Dritten ist nicht erforderlich. Nach derzeitiger Rechtslage ist die Datenverarbeitung durch Dritte nur zulässig, wenn neben dem eigentlichen Dienstleistungsvertrag ein Auftragsdatenverarbeitungsvertrag abgeschlossen wird. Das ändert sich auch mit Inkrafttreten der DS-GVO nicht. Im Rahmen einer Risikoanalyse ist zu prüfen, ob die bestehenden Auftragsdatenverarbeitungsverträge – so diese vorhanden sind – den Vorgaben der DS-GVO genügen. Bei den meisten Verträgen dieser Art wird dies ohne Anpassung nach dem 25.05.2018 nicht mehr der Fall sein.
Hat der Dritte, der im Auftrag des Unternehmens personenbezogene Daten verarbeitet, seinen Sitz außerhalb der EU/des EWR, muss geprüft werden, ob die Übermittlung der Daten in den Drittstaat zulässig ist.
Datenverarbeitung im Konzern
Unternehmen der Immobilienbranche sind häufig als Konzern organisiert. Diese Unternehmensform ist in der DS-GVO als Unternehmensgruppe definiert, die aus einem herrschenden Unternehmen und anderen, von diesem abhängigen Unternehmen besteht. Leider hält die DS-GVO für diese Unternehmensform keine gesonderte Privilegierung bereit. Die jeweiligen Gesellschaften werden zueinander wie Dritte behandelt. Jede Weitergabe personenbezogener Daten innerhalb der Unternehmensgruppe und Weiterverarbeitung durch einzelne Konzerngesellschaften bedarf also einer Rechtfertigung. Ansonsten ist die Datenverarbeitung unzulässig. Auch wenn die alte und neue Rechtslage gleich sind, sollte die Risikoanalyse auch die Überprüfung der Datenflüsse einer Unternehmensgruppe umfassen.
Zwingend zu prüfen ist, ob mehrere für die Verarbeitung personenbezogener Daten Verantwortliche vorhanden sind. So könnten etwa zwei Unternehmen in einer Unternehmensgruppe die Verarbeitung der Arbeitnehmerdaten für die übrigen Unternehmen der Gruppe vornehmen. Diese gemeinsam verantwortlichen Unternehmen sind dann verpflichtet, in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche Verpflichtung nach der DS-GVO erfüllt. Außerdem muss die Vereinbarung die tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Betroffenen (im Beispiel den Arbeitnehmern) wiedergeben. Die Vereinbarung ist den Betroffenen im Wesentlichen zur Verfügung zu stellen.
Datenschutz-Folgenabschätzung
Werden besonders sensible Daten verarbeitet oder ist das Risiko aufgrund des Einsatzes neuer Technologien für die Betroffenen besonders hoch, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen. Wenn Risiken nicht hinreichend ausgeschlossen werden können, muss sich der Verantwortliche bei der zuständigen Datenschutzaufsichtsbehörde Rat holen. In der Immobilienwirtschaft ist das beispielsweise bei der Überwachung von öffentlich zugänglichen Bereichen wie Foyers oder Einkaufszentren oder wenn ein Profiling durchgeführt wird erforderlich.
Dokumentationspflichten
Die DS-GVO erlegt den Verantwortlichen umfangreiche Dokumentationspflichten auf. Verantwortliche müssen dokumentieren, dass sie alle Grundprinzipien des Datenschutzes einhalten. Außerdem müssen Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen. Bestandteil sind hier unter anderem die Kategorien der erhobenen Daten, der Zweck der Verarbeitung, Löschfristen und die zum Schutz der Daten getroffenen technischen und organisatorischen Daten. Die Dokumentationspflichten sollen Verantwortliche in die Lage versetzen, jederzeit die Betroffenenrechte auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung zu gewährleisten.
Handlungsempfehlung
Die DS-GVO verlangt mehr als nur die einmalige Anpassung von Verträgen an die neue Rechtslage oder die Durchführung kleinerer Maßnahmen zur Verbesserung des Datenschutzes. Mit der Einführung der DS-GVO soll sichergestellt werden, dass jede Verarbeitung personenbezogener Daten in einem Unternehmen datenschutzkonform ist, und zwar vom Beginn bis zum Ende eines jeden Verarbeitungsvorgangs. Wer das unterschätzt, muss mit sehr hohen Bußgeldern rechnen.
Unternehmen, die sich bislang noch nicht mit der DS-GVO auseinandergesetzt haben, sollten zunächst eine Risikoanalyse durchführen. So können Unternehmen ermitteln, welche personenbezogenen Daten auf welcher Rechtsgrundlage wie und zu welchem Zweck verarbeitet werden. Anschließend können die Unternehmen zur Sicherstellung der Datenschutzkonformität der Verarbeitungsvorgänge entscheiden, welche Maßnahmen für das eigene Unternehmen sinnvoll sind.
