Ein Jahr neue Datenschutz-Grundverordnung

Es bleibt noch viel zu tun

Ein Jahr nach Inkrafttreten der europaweit geltenden Datenschutzgrundverordnung (DSGVO) besteht in vielen Verwaltungen Optimierungsbedarf, was Abläufe und deren Dokumentation betrifft.

In der letzten Zeit hätten sich Beschwerden von Mietinteressenten darüber gehäuft, mangelhaft über die Weiterverwendung ihrer Daten informiert worden zu sein, erklärt etwa der Datenschutzbeauftragte und geprüfte Sachverständige Reinhold Okon. „Jedes Unternehmen muss schon bei der Vertragsanbahnung darüber informieren, in welchem Umfang personenbezogene Daten (Beispiel Mietinteressenten) in der Hausverwaltung verarbeitet werden“, stellt der Experte klar.

Nur wenige mit Infobroschüren und Aushängen ausgestattet
Zur Erinnerung: Gemäß der Informationspflichten gemäß Art. 13 DSGVO ist es notwendig, dass ein Mietinteressent bei der Abgabe der Mieterselbstauskunft im Gegenzug ein Formular erhält, welches ihn umfangreich darüber informiert, wie die Daten innerhalb der Hausverwaltung verarbeitet werden. „Die Vergangenheit zeigt, dass dies zum Teil wirklich sehr nachlässig durch die Hausverwaltungen vorgenommen wurde.“, sagt Okon. Es hapere an Informationsbroschüren genauso wie an Aushängen oder Verweisen auf die Informationspflicht auf der Webseite. Aufsichtsbehörden und Betroffene selbst nehmen diesen Umstand Okon zufolge sehr wohl wahr.

Auskunftspflichten werden nur ungenügend erfüllt
Auch bezüglich der Auskunftspflicht gemäß Art. 15 DSGVO häuften sich die Beschwerden bei den zuständigen Aufsichtsbehörden. Hier geht es um die gespeicherten personenbezogenen Daten in der Hausverwaltung. „Verwalter versäumen es immer noch, eine konforme Auskunft gemäß Art. 15 DSGVO an den Anfragenden zu übersenden. Zum einen erkennen viele Verwalter nicht, dass es sich um eine Auskunft nach Art. 15 DSGVO handelt. Zum anderen sind sie nicht über die notwendige Form der Auskunft informiert“, erklärt Okon. So werde zum Beispiel eine klassische E-Mail an den Anfragenden übersendet, in welchen ihm dann Datenkategorien, aber keine Datenwerte übermittelt werden.

Datenpannen müssen innerhalb von 72 Stunden gemeldet werden
Schließlich ist die Meldung von Datenpannen bei Hausverwaltern mit Problemen behaftet. Viele Datenpannen würden nicht gemeldet, weil man es zum einen gar nicht als Datenpanne erkannt hat und zum anderen es einem eher peinlich ist, dies der Aufsichtsbehörde zu melden, hält Okon fest. „Die Befürchtung, dass Aufsichtsbehörden sofort ein Bußgeld verhängen würden, ist groß.“ Außerdem sind die Abläufe zur Meldung einer Datenpanne den wenigsten bewusst: So bleiben nur 72 Stunden Zeit um eine Datenpanne der Aufsichtsbehörde zu melden. Wer über diese Frist hinausgeht, riskiert sehr schnell eine Überprüfung und möglicherweise ein entsprechendes Bußgeld.

Keine Entschärfung, sondern Beschneidung des Datenschutzes vorgesehen
Weiteren Optimierungsbedarf sieht der Datenschutzexperte bei der Dokumentation von datenrechtlichen Prozessen sowie bei der Aktenvernichtung – hier fehlten oft verbindliche, durchgängige Handlungsanweisungen für Mitarbeiter.
Um so wichtiger ist nach Ansicht Okons ein Experte in der Verwaltung, der souverän den Überblick über die datenschutzrechtlichen Belange behält und rechtssicher handelt. Er findet daher das Signal fatal, das von den jüngst beschlossenen Neuregelungen zur Bestellung eines Datenschutzbeauftragten ausging. Künftig muss erst ab einer Unternehmensgröße von 20 Mitarbeitern, die regelmäßig am PC personenbezogene Daten verarbeiten, ein Datenschutzbeauftragter bestellt werden. „Anstatt eine tatsächliche Entschärfung für den Datenschutz vorzunehmen, hat man hier nun eine Beschneidung vorgenommen“, kritisiert Okon. „Die Botschaft, die hier hauptsächlich von den kleinen und mittleren Unternehmen verstanden wird, lautet: ich brauche keinen Datenschutz mehr machen.“ Das aber sei schlicht falsch: Die Anforderungen an den Datenschutz selbst bleiben ja erhalten. Nun müssten die Aufsichtsbehörden selbst wesentlich mehr kontrollieren, ob Datenschutz wirklich umgesetzt wird. Okon fürchtet, dass die Neuregelungen dazu führen, dass Datenschutz in kleinen Unternehmen überhaupt nicht mehr implementiert wird.
„Der Datenschutzbeauftragte wird jetzt wichtiger als vorher“, sagt der Experte. Er muss nicht nur dafür sorgen, dass säumige und schleppende Prozesse wie oben ausgeführt angestoßen und konsequent verfolgt werden.

Schutz durch Datenschutzbeauftragten eingeschränkt
Ein Datenschutzbeauftragter könne sich zugleich schützend vor eine Verwaltung stellen, wenn Kunden – Mieter, Eigentümer, Mietinteressenten – die DSGVO als Druckmittel einsetzen wollen. „Die DSGVO ist vermehrt sozusagen zur Spielwiese für Unzufriedene geworden“, sagt Okon. Dabei sei es selten um Inhalt oder tatsächlichen Umstand gegangen, sondern schlicht darum, sich zu beschweren; rechtssichere Beauftragte könnten mit solchen Drohungen souverän umgehen und Schaden von der Verwaltung abwenden, so Okon.

BVI e.V.
www.bvi-verwalter.de

Störer:
Fragen zum Datenschutz? – Nutzen Sie die maßgeschneiderten Leistungspakete des BVI!

Einen Kommentar schreiben
Kommentieren