Sind die Daten Ihrer Kunden bei Ihnen gut aufgehoben? Sind Sie sich da sicher? Denn genau das werden Sie ab 25. Mai 2018 nachweisen müssen. Ab dann wird für den Schutz personenbezogener Daten von natürlichen Personen die EU-Datenschutz-Grundverordnung (DSGVO) gelten – mit ihr kommt die neue Rechenschaftspflicht.

Die Verordnung wurde bereits im vergangenen Jahr (4. Mai 2016) im Amtsblatt veröffentlicht. Wenn der deutsche Gesetzgeber bis zum 25. Mai 2018 kein Umsetzungsgesetz verabschiedet, gilt die DSGVO direkt.

Was bedeutet das?

Erstmal darf durchgeatmet werden: Da wohl kaum ein anderes Land im EU-Vergleich so hohe Ansprüche an das Datenschutzrecht hat wie Deutschland, werden zum Glück keine größeren Änderungen in Kraft treten. Neu ist allerdings die Einführung einer Rechenschaftspflicht für alle Unternehmen, die personenbezogene Daten verarbeiten – dazu gehören auch Haus- und Wohnungsverwalter. Denn sie erheben, verarbeiten und nutzen personenbezogene Daten, wie z. B. Adressdaten, Bankverbindungen, Geburtsdaten oder Kommunikationsdaten von Eigentümern und Mietern.

Was besagt die Rechenschaftspflicht?

Dass es vorbei ist mit Abwarten: Muss man bisher erst tätig werden, sofern die Datenschutzbehörde einen Verstoß gegen den Datenschutz nachweist, muss nun jeder Verantwortliche nachweisen können, dass im Geschäftsbetrieb geeignete Maßnahmen ergriffen werden, um die DSGVO einzuhalten.

Das müssen Verwalter nun prüfen

• Setzen Sie die technischen und organisatorischen Maßnahmen in ausreichender Weise um?

Orientieren Sie sich an der Aufzählung in der Anlage zu § 9 des derzeitigen Bundesdatenschutzgesetzes,
z. B.» hier

• Führen Sie regelmäßige Schulungen aller Mitarbeiter durch, die ständig mit personenbezogenen Daten umgehen?

Es gibt Online-Schulungstools, die recht preiswert sind, und dennoch das nötige Wissen vermitteln. Nach Abschluss sollte jeder Mitarbeiter ein Zertifikat über die erfolgreiche Durchführung der Schulung erhalten.

• Haben Sie mit allen externen Dienstleistern Datenschutzvereinbarungen abgeschlossen?

Bei externen IT-Dienstleistern oder Abrechnungsunternehmen ist eine Vereinbarung für die Auftragsdatenverarbeitung notwendig. Bei der Kalorimeta AG & Co. KG (Kalo) ist die Pflichtenbeschreibung für die Auftragsdatenverarbeitung in den Allgemeinen Geschäftsbedingungen enthalten.

• Wann ist ein Datenschutzbeauftragter zu bestellen?

Dies ist der Fall, wenn im Unternehmen mindestens 10 Mitarbeiter ständig personenbezogene Daten erheben, verarbeiten oder nutzen. Hier zählen „Köpfe“, nicht Vollzeitbeschäftigte.

• Haben Sie dem Datenschutz ein eigenes Budget eingeräumt – auch wenn es nur ein geringer Betrag ist?

Dies dokumentiert, dass man sich aktiv um den Datenschutz kümmert und gilt als Nachweis bei einer Prüfung durch die Aufsichtsbehörde.

Was passiert, wenn Sie die Rechenschaftsplicht nicht erfüllen?

Durch das neue Datenschutzgesetz werden die Sanktionen bei Geldbußen und Schadenersatzforderungen auf bis zu 20 Mio. Euro festgelegt. Sehr viel höher als im derzeit gültigen Datenschutzrecht.

Wo erhalten Sie weitere Informationen?

Welche Rechte Eigentümern und Mietern hinsichtlich der Einsicht in Abrechnungsunterlagen zustehen, können Sie in unserem nächsten Praxistipp zum Thema Datenschutz lesen.