HIP Hop Flyer 2 1 17 A3 - ista International GmbH...4 Das neue Datenschutzrecht für die Praxis der Verwalter und Vermieter – DSGVO IVD Bundesverband e.V. und ED Computer & Design

IVD Bundesverband e.V. und ED Computer & Design GmbH & Co. KG

Immobilienverband IVD

Das neue Datenschutzrecht

für die Praxis der Verwalter und Vermieter

Hier ist Immobilienkompetenz zu Hause

2 Das neue Datenschutzrecht für die Praxis der Verwalter und Vermieter – DSGVO


ImpressumHerausgeberImmobilienverband Deutschland IVD Bundesverband der Immobilienberater, Makler, Verwalter und Sachverständigen e.V.Littenstraße 10, 10179 Berlin, Tel.: 0 30 – 27 57 26-0, Fax: 0 30 – 27 57 26-49Mail: [email protected]

Layoutwww.die-grafikagentur.de | Berlin; www.medienatelier.de

Die vorliegende Broschüre wurde mit inhaltlicher Unterstützung von ED Computer & Design erstellt.

8. März 2018

3Das neue Datenschutzrecht für die Praxis der Verwalter und Vermieter – DSGVO


InhaltI. Einleitung ...................................................................................................................................................4 1. Betroffene Unternehmen ...........................................................................................................................................4 2. Zweck des Datenschutzes..........................................................................................................................................4 3. Geschützte Daten .........................................................................................................................................................4

II. Verzeichnis der Verarbeitungstätigkeiten...........................................................................................5

III. Datenverarbeitung...................................................................................................................................6

IV. Informations- und Transparenzpflicht des Immobilienmaklers......................................................7

V. Verwalter- und vermieterspezifische Besonderheiten.....................................................................8 1. Vermietung einer Wohnung.......................................................................................................................................8 2. Mieterhöhung bis zur ortsüblichen Vergleichsmiete (§ 558 Abs. 2 BGB).................................................9 3. Mietpreisbremse, Angabe der Vormiete..............................................................................................................10 4. Namen und Daten von Nachbarn .........................................................................................................................10 5. Fotos der Wohnung.....................................................................................................................................................10 6. Untervermietung..........................................................................................................................................................10 7. Videoüberwachung durch Vermieter....................................................................................................................10 8. Weitergabe der Daten an Handwerksunternehmen ........................................................................................11 9. Weitergabe der Daten an Dienstleister, Auftragsverarbeitung (Art. 28 DSGVO..................................12 10. Verbrauchsdaten .........................................................................................................................................................12 11. Vermieterbescheinigung ...........................................................................................................................................13 12. Löschung der Daten....................................................................................................................................................13

VI. Gesetzliche Aufbewahrungspflichten.................................................................................................14

VII. Datenschutzbeauftragter .....................................................................................................................14

VIII. Auskunftsrecht ........................................................................................................................................15

IX. Verpflichtung von Beschäftigten auf das Datengeheimnis ...................................................................15

X. Technische und organisatorische Maßnahmen zum Schutz der Daten (TOM), (Art. 32 Abs. 1 DSGVO) ...........................................................................................................................15

XI. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung ...............17

XII. Behördliche Aufsicht ..............................................................................................................................17

XIII.Datenschutzerklärung nach § 13 TMG ................................................................................................18

XIV.E-Mail-Marketing/Newsletter..............................................................................................................19

XV. Anlagen/Muster .....................................................................................................................................20 1. Verzeichnis über Verarbeitungstätigkeiten.......................................................................................................20 2. Pflichtangaben nach Art. 12 ff DSGVO.................................................................................................................21 3. Verpflichtung auf die Vertraulichkeit personenbezogener Daten............................................................22 4. TOM Ausfüllhilfe ...........................................................................................................................................................23 5. Datenschutzfolgeabschätzung.............................................................................................................................26



I. Einleitung

Am 25. Mai 2018 tritt die Datenschutzgrundverord-nung der EU (DSGVO) in Kraft. Die Verordnung| wirdunmittelbar in sämtlichen Ländern der EU gelten.Gleichzeitig tritt die geänderte Fassung des Bun-desdatenschutzgesetzes (BDSG) in Kraft, das er-gänzend gilt.

Da schon das in Deutschland bisher geltende Daten-schutzrecht sehr streng war, ergeben sich für deut-sche Unternehmen keine schwerwiegenden Änderun-gen. Wichtig ist vor allem, dass die Anforderungen andas Verfahrensverzeichnis ausgeweitet worden sind(Art. 30 DSGVO).

Nach der DSGVO heißt dieses jetzt „Verzeichnis derVerarbeitungstätigkeit“ und muss der Aufsichtsbehördeauf Verlangen vorgelegt werden. Neu sind auch dieTransparenzpflichten in Gestalt einer Informations-pflicht über die zu speichernden Daten gegenüber demBetroffenen (Kunde, Mitarbeiter etc.). Wer sich bisherum das Datenschutzrecht nicht gekümmert hat, solltedies jetzt tun, da die Prüfungen durch die Aufsichts-behörden intensiver sein werden und auch höhereBußgelder verhängt werden können.

Die nachfolgenden Informationen dienen insbe-sondere dem Verwalter und Vermieter von Woh-nungen und sonstigen Flächen zur Umsetzung ihrerdatenschutzrechtlichen Pflichten. Zahlreiche wei-tere Informationen, Orientierungshilfen finden sichim internen Bereich der Internetseite des IVD(www.ivd.net) und auf der Internetseite der Gesell-schaft für Datenschutz und Datensicherheit e.V.(www.gdd.de).

1. Betroffene Unternehmen

Zur Einhaltung des Datenschutzrechts sind sämtli-che Personen verpflichtet, die personenbezogeneDaten verarbeiten. Hierzu gehören auch (private)Vermieter, Hausverwalter und Makler. Auf dieRechtsform oder die Größe des Unternehmenskommt es nicht an (Art. 4 Nr. 18 DSGVO). Auchkommt es nicht darauf an, ob der entsprechendeVertrag mit einem Verbraucher oder Unternehmergeschlossen wird. Lediglich die rein private Samm-lung von Daten etwa in einem Fotoalbum oder pri-vaten Telefonbuch ist nicht betroffen.

2. Zweck des Datenschutzes

Das Datenschutzrecht will erreichen, dass personen-bezogene Daten nur in dem Umfang erhoben und ge-speichert werden, in dem dies zur Erreichung des je-weiligen Zwecks (Vertragszweck oder zur Erfüllunggesetzlicher Verpflichtungen) erforderlich ist (Grund-satz der Datenminimierung, ehem. Datensparsamkeit,Art. 5 Abs. 1 c DSGVO). Entfällt dieser Grund später,etwa weil die gesetzliche Aufbewahrungspflicht abge-laufen oder der Vertragszweck erreicht ist, müssen dieDaten wieder gelöscht werden.

Außerdem dürfen die Daten nur zu dem Zweck ver-wendet werden, zu dem sie erhoben worden sind(Grundsatz der Zweckbindung).

3. Geschützte Daten

Dem Datenschutz unterliegen „personenbezogeneDaten“, die verarbeitet oder in einem Datensystemgespeichert werden. Als personenbezogene Datengelten sämtliche Informationen, die einer Personzugeordnet werden können.

Dazu gehören insbesondere: Name, Anschrift,Telefonnummer, Steuernummer, Bankverbindungusw. Besonders strenge Regeln gelten für sensi-

25. Mai 2018



ble Daten, wie beispielsweise über ethnische Zu-gehörigkeit, Sexualleben, Gesundheit etc. (Art. 9DSGVO, §§ 22, 48 BDSG). Die Verarbeitung der-artiger Daten ist grundsätzlich unzulässig.

Geschützt sind nur die Daten von natürlichen Per-sonen. Daten juristischer Personen sind nicht ge-schützt. Allerdings sind die Daten derjenigen Perso-nen geschützt, die für dieses Unternehmen handelnoder ihr Ansprechpartner sind.

Der Begriff der Verarbeitung von Daten ist sehr weit-gehend und umfasst insbesondere das Erfassen, Or-ganisieren, Ordnen, Speichern, Anpassung oder Ver-änderung, Auslesen, Abfragen, Verwendung undOffenlegung durch das Übermitteln von Daten.

Dies gilt nicht nur bei einer Verarbeitung mithilfevon Computern, sondern auch bei (analogen) Auf-zeichnungen, die etwa handschriftlich erfolgen.

II. Verzeichnis der Verarbeitungstätigkeiten

Art. 30 DSGVO verlangt, dass jedes Unternehmenein Verzeichnis seiner Verarbeitungstätigkeiten führt.Das Verzeichnis muss – anders als nach dem bishe-rigen Recht – nicht veröffentlicht werden. Auf Ver-langen muss es jedoch der Aufsichtsbehörde vor-gelegt werden. Das Verzeichnis muss bestimmteMindestangaben enthalten, die in Art. 30 DSGVO ge-nannt sind:

• Name und Kontaktdaten des Verantwortlichen(Praxistipp: An dieser Stelle müssen die Namenund Kontaktdaten des Verantwortlichen und ge-gebenenfalls des gemeinsam mit ihm Verantwort-lichen, des Vertreters des Verantwortlichen sowieeines etwaigen Datenschutzbeauftragten ange-geben werden. Gemeinsam verantwortlich sindauch Auftragsverarbeiter.)

• Zweck der Verarbeitung (Praxistipp: Hier sollte auf-genommen, für welche Zwecke Daten von Betroffe-nen verarbeitet werden. Wobei hierunter vor allemdas Kerngeschäft zu verstehen ist, wie etwa der Ab-schluss und die Durchführung von Mieterverträgenfür die verwalteten Grundstücke sowie der Ab-

schluss und die Durchführung von Verwalterverträ-gen. Hier können auch Beschäftigungsverhältnisseoder andere Verträge Erwähnung finden.)

• Beschreibung der Kategorien betroffener Personenund die Kategorie personenbezogener Daten (Pra-xistipp: Hier ist aufzunehmen, welche personenbe-zogenen Daten je Personengruppe wie Mietinte-ressent, Mieter, Handwerksunternehmen oderübrige Dienstleister erhoben werden, z.B. Name,Kontaktdaten. Das Geburtsdatum sollte nur erho-ben werden, wenn dies unbedingt erforderlich.)

• Kategorie von Empfängern von Daten einschließlichEmpfänger Drittstaaten inkl. Dokumentation geeig-neter Garantien (Praxistipp: Hier sollte in- und ex-ternen Empfängern von Daten unterschieden wer-den.)

• Vorgesehene Fristen zur Löschung (Praxistipp: Grund-sätzlich haben Personen, von den personenbezogeneDaten erhoben wurden, ein Recht auf Vergessen, sodass ihre Daten auf Verlangen zu löschen sind. DieserLöschung können jedoch gesetzliche Regelungen



wie die Abgabenordnung entgegenstehen. Von diesersind beispielsweise alle Unterlagen und Angaben, diefür die Besteuerung des Verantwortlichen relevant. Inder Regel stehen einer Löschung vertragliche Interes-sen des Verantwortlichen entgegen. So darf er natürlichalle Unterlagen aufheben, mit denen er einen Anspruch begründen oder abwehren kann, wobei der Zugriffdurch beispielsweise unbeteiligte Mitarbeiter einzu-schränken ist. Dies sind beispielsweise Verträge, Ge-schäftsbriefe etc. Sobald etwaige Ansprüche verjährtsind, sind die Unterlagen zu löschen, es sei denn, spe-zialgesetzliche Regelungen stehen entgegen (z.B. Ab-gabenordnung).

Im internen Bereich des IVD und www.ivd.net findetsich ein Musterverzeichnis im MS Word-Format

zum Download sowie eins im Anhang dieser Publi-kation. Weitere Arbeitshilfen und Vorlagen findensich im Internet auf der Seite der Gesellschaft fürDatenschutz und Datensicherheit e.V. https://www.gdd.de/

Praxistipp 1

Es empfiehlt sich das Verzeichnis in Gestalt einer Ta-belle zu führen. Um eine Übersichtlichkeit und Les-barkeit zu gewährleisten, empfiehlt es sich ggfls. so-gar für jede Verarbeitungstätigkeit ein eigenesDokument anzulegen, die Gesamtheit der Verarbei-tungstätigkeiten bilden dann das Verzeichnis derVerarbeitungstätigkeiten.

III. Datenverarbeitung

Die Verarbeitung der Daten ist nur dann zulässig,wenn hierfür eine Rechtsgrundlage besteht (Verbotmit Erlaubnisvorbehalt, Art 6 Abs. 1 DSGVO). AlsRechtsgrundlage kommen nur in Betracht:

• Vertragserfüllung und Vertragsanbahnung

• Erfüllung einer rechtlichen Verpflichtung

• Wahrung der berechtigten Interessen

• Einwilligung des Betroffenen.

Die Daten von Mietinteressenten und Mietern dür-fen erhoben und verarbeitet werden, um das Miet-verhältnis anzubahnen und ggfls. den Mietvertragerfüllen zu können (Art. 6 Abs. 1 b DGSVO).

Praxistipp 2

Auf eine Einwilligung des Mieterinteressenten kann man sich grundsätzlich nicht berufen, weil es insofern regelmä-ßig an der Freiwilligkeit des Betroffenen fehlen dürfte. Nach Art. 4 Nr. 11 DSGVO muss jede Einwilligung freiwilligsein und aufgrund ausreichender Information erfolgen (vgl. auch Art. 7 DSGVO). Die erforderliche Freiwilligkeit desMietinteressenten fehlt jedoch, wenn ein erheblicher Nachfrageüberhang besteht und er sich dadurch gezwungensieht, seine Daten etwa in einem Selbstauskunftsbogen anzugeben, um die Wohnung zu erhalten. Dies gilt auchdann, wenn die Felder in einem Selbstauskunftsbogen mit Hinweis „freiwillige Angabe“ versehen ist. Außerdemsetzt die Wirksamkeit einer Einwilligung die Einhaltung erheblicher Formalien voraus, die in der Praxis kaum ge-währleistet werden können. Als Rechtsgrund sollte deshalb bei Verarbeitung der Daten von Vertragspartnern stetsund ausschließlich der Rechtsgrund „Vertragserfüllung bzw. vorvertragliche Maßnahmen“ angegeben werden.



IV. Informations- und Transparenzpflichtder Verwalter und Vermieter

Werden personenbezogene Daten bei der betroffe-nen Person erhoben (z.B. Interessent oder Vermie-ter), so muss der Verwalter/Vermieter der betroffe-nen Person zum Zeitpunkt erstmaligender Erhebungdieser Daten informieren, welche erstmaligen Datenauf welche Art und Weise verarbeitet werden.

Über folgende Daten muss der Verwalter/Ver-mieter informieren:

• Namen und die Kontaktdaten des Verantwort -lichen und ggf. seines Vertreters

• Kontaktdaten des Datenschutzbeauftragten• Falls die Daten weitergegeben werden, die Kate-gorie der Empfänger (Vermieter, Ablesedienst,Handwerker)

• Verarbeitungszwecke und Rechtsgrundlage• die Dauer der Speicherung• die Rechte des Verbrauchers

Auf welche Art und Weise, die Information erfolgenmuss, ist in Art. 12 DSGVO geregelt. Danach sind dieInformationen der betroffenen Person in präziser,transparenter, verständlicher und leicht zugängli-cher Form in einer klaren und einfachen Sprache zuübermitteln. Es empfiehlt sich eine übersichtlicheGestaltung in Form einer Tabelle (siehe Muster XIII.,2.). Im „Online-Bereich“ kann auch auf eine Daten-schutzerklärung verwiesen werden.

Allerdings ist davon auszugehen, dass ein bloßerVerweis auf eine im Internet bereitgestellte Daten-schutzinformationen bei einer Direkterhebung vonpersonenbezogenen Daten im „Offline-Bereich“nicht zulässig ist. Der Betroffene muss daher vorOrt informiert werden. Erfolgt die Erfassung vonKundendaten per Telefon, erscheint es zulässig,dass der Verwalter/Vermieter im Nachgang des Ge-spräches die Information per Email übersendet.



V. Verwalter- und vermieter-spezifische Besonderheiten

1. Vermietung einer Wohnung

Bevor es zum Mietvertrag kommt, werden verschie-dene Daten zu unterschiedlichen Zeitpunkten er-hoben. Dabei gilt der Grundsatz der Datenminimie-rung. Andererseits will der Verwalter im Auftrag desVermieters schon möglichst viel über den Interes-senten wisse, um abschätzen zu können, ob derMietinteressent in Frage kommt.

Häufig werden von den Aufsichtsbehörden folgendeFragen und Sachverhalte beanstandet:

• Kontaktdaten aus vorangegangenenMietverhältnissen

Diese Frage ist unzulässig. Sie ist zum einen fürden Abschluss eines Mietvertrages nicht erforder-lich und widerspricht zum anderen dem Grundsatzder Direkterhebung.

• BonitätsauskünfteDie undifferenzierte Forderung nach Vorlage einer„Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ist vor der Besichtigungunzulässig.

Diese Auskünfte enthalten deutlich mehr Datenk-tegorien als spezielle (häufig kostenpflichtige) zurWeiterleitung an Dritte geeignete Produkte und-führen somit zu einer über das erforderliche Maßhinausgehenden Erhebung von Daten.

Erst wenn der Abschluss des Mietvertrags unmit-tebar bevorsteht, dürfen Bonitätsauskünfte beiAuskunfteien erfragt oder die Vorlage einer Boni-tätauskunft durch (z. B. Schufa-Auskunft) die po-tentielle Mietpartei verlangt werden. Vor der Be-sichtigung darf lediglich gefragt werden, ob dieBonität ausreichend ist.

Praxistipp 3

Welche Daten von dem Mietinteressenten zu wel-chem Zeitpunkt erhoben werden dürfen, kann demRatgeber Nr. 10 des Berliner Beauftragten für denDatenschutz entnommen werden (www.daten-schutz-berlin.de). Eine Orientierungshilfe und weite-re Informationen hierzu finden sich auf der Internet-seite der Landesbeauftragten für Datenschutz undInformationsfreiheit Nordrhein-Westfalen. Die Ori-entierungshilfe „Einholung von Selbstauskünften beiMietinteressenten“ und das Musterformular „Selbst-auskunft zur Vorlage bei der Vermieterin oder demVermieter“ sind abrufbar unterhttps://www.ldi.nrw.de/

Diese Hilfen sind zwar noch vor dem Inkrafttretender DSGVO entstanden, sie haben aber noch unein-geschränkte Gültigkeit, da sich insoweit nichts geän-dert hat.

Praxistipp 4

Vor dem Besichtigungstermin darf der Vermietergrundsätzlich nur den Namen des Mietinteressentenund seine Kontaktdaten erfragen. Außerdem darfnach der Anzahl der Mitmieter, einem Wohnberechti-gungsschein und etwaigen Haustieren gefragt wer-den. Ist die Wohnung noch bewohnt (ausgenommenKleintiere), sind allerdings auch die schutzwürdigenInteressen des derzeitigen Mieters zu berücksichti-gen. Um zu vermeiden, dass die Wohnung auch vonPersonen besichtigt wird, die als Mieter nicht in Be-tracht kommen, darf in diesem Fall bereits vor der Be-sichtigung gefragt werden, wie hoch das Einkommenist, wobei auf die Vorlage von Nachweisen zu diesemZeitpunkt verzichtet werden sollte.



• Angaben zum FamilienstandWird lediglich die Mieterin oder der Mieter Vertrags-partei, sind Angaben zum Familienstand für die Ent-scheidung über den Abschluss eines Mietvertragesnicht erforderlich und daher im Ergebnis unzulässig.Nahe Familienangehörige wie Ehegatten, Lebens-partner und Kinder dürfen nämlich auch ohne Er-laubnis in der Wohnung wohnen. Deshalb sind auchdie Fragen zu Geburtstag sowie Verwandtschafts-verhältnis der zum Haushalt gehörenden Kinder undsonstigen Angehörigen nicht erforderlich und im Er-gebnis unzulässig. Die Frage nach den Namen sowiedem Alter der einziehenden Personen ist dagegenzulässig.

• Fragen zum BerufNach dem Beruf und Arbeitgeber/in darf zur Beur-teilung der Bonität gefragt werden. Die Dauer ei-ner Beschäftigung bietet jedoch in einer mobilenGesellschaft keine Gewissheit für die Beständig-keit einer Beschäftigung. Diese Frage ist dahernicht geeignet, das Sicherungsbedürfnis einerVermieterin oder eines Vermieters zu erfüllen undist damit unzulässig.

• PersonalausweiskopieKopien des Personalausweises sind bei Vermietun-gen in der Regel unzulässig. Gestattet ist allerdings,die Angaben zur Identität durch Vorlage des Perso-nalausweises zu prüfen und das Ergebnis schriftlichfestzuhalten. Notiert werden dürfen die zur Perso-nenidentifikation notwendige Daten: Name und Vor-name, Geburtsdatum und Anschrift. Eine weiterge-hende Notiz, zum Beispiel zur Seriennummer desPersonalausweises, darf nicht erfolgen.

• Nutzung von Online-Kontakt formularenSoweit es sich bei den Online-Formularen um einallgemeines Kontaktformular handelt (HTTPSerforderlich), ist eine Antwort per E-Mail ausrei-chend. Die zusätzliche Angabe von Telefonnum-mer und/oder Anschrift als Pflichtfeldangabe istdamit nicht erforderlich und daher nicht gestat-tet.

(Quelle: Auszug aus Internetseite der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen)

Praxistipp 5

Kommt es nicht zu Abschluss eines Mietvertragesmüssen die Daten des Mietinteressenten wieder gelöscht werden. Die Daten dürfen nur solange ge-speichert bleiben, wie der Mietinteressent mögli-cherweise Ansprüche aus dem allgemeinen Gleich-stellungsgesetz geltend machen kann (§ 19 AGG).Nach § 15 Abs. 4 AGG müssen solche Ansprüche in-nerhalb von zwei Monaten geltend gemacht werden.Wenn der Mietinteressent wünscht, dass seine Datengespeichert bleiben, damit er informiert wird, „wennwieder eine Wohnung frei wird“, ist dies nur zulässig,wenn die formalen Voraussetzungen einer wirksa-men und nachweisbaren Einwilligung (Art. 7 DSGVO)vorliegen.

2. Mieterhöhung bis zur ortsüblichen Ver-gleichsmiete (§ 558 Abs. 2 BGB)

Nach § 558 Abs. 2 BGB kann der Vermieter vondem Mieter verlangen, dass dieser einer Erhöhungder Miete auf die ortsübliche Vergleichsmiete zu-stimmt. Ein solches Mieterhöhungsverlangen istnach § 558 a Abs. 1 BGB nur wirksam, wenn es be-gründet wird. Hierzu kann der Vermieter auf denMietspiegel verweisen oder ein Sachverständigen-gutachten vorlegen.

Gem. § 558 a Abs. 2 Nr. 4 BGB kann der Vermietersein Mieterhöhungsverlangen auch durch die An-gabe von drei Vergleichswohnungen begründen.Nach der Rechtsprechung muss diese Vergleichs-wohnung so genau bezeichnet werden, dass derMieter diese ohne weitere Nachforschungen aufsu-chen kann, um die behauptete Vergleichbarkeit zuüberprüfen.

Auch wenn der Vermieter den Namen des Mietersder Vergleichswohnung nicht angibt, kann der Mie-ter diesen anhand der angegebenen Adresse undLage der Wohnung ausfindig machen. Damit han-delt es sich bei der Miete der Vergleichswohnungum personenbezogene Daten des Mieters dieserWohnung.



Dennoch ist die Mitteilung der Vergleichswohnungzulässig, weil der Vermieter dies tun muss, um seineRechte aus dem Mietverhältnis zu wahren (Berech-tigtes Interesse, Art. 6 Abs. 1 f DSGVO). Der Vermie-ter ist jedoch verpflichtet, dem Mieter der Ver-gleichswohnung mitzuteilen, dass und wem er dieHöhe der Miete seiner Wohnung mitgeteilt hat.

3. Mietpreisbremse, Angabe der Vormiete

Nach der Mietpreisbremse darf die Anfangsmietebei Neuvermietung einer Wohnung in der Regelhöchstens 110 Prozent der ortsüblichen Vergleichs-miete betragen. War die Vormiete höher, kannstattdessen auch diese vereinbart werden.

Wenn der Mieter von dem Vermieter die Benennungder Vormieter verlangt, ist der Vermieter hierzu nachdem Mietrecht verpflichtet. In diesem Fall offenbartder Vermieter dem neuen Mieter personenbezogeneDaten des Vormieters. Auch wenn er den Namen desVormieters nicht nennt oder diesen in der Kopie desVormietvertrages schwärzt, dürfte der Mieter ihnleicht ermitteln können. Dazu ist der Vermieter da-tenschutzrechtlich berechtigt, weil er hierzu zivil-rechtlich verpflichtet ist (Art. 6 Abs. 1 lit. c) DSGVO).Allerdings muss er dem Vormieter mitteilen, dass erdem neuen Mieter seine Miete mitgeteilt hat.

4. Namen und Daten von Nachbarn

Vor Abschluss des Mietvertrages fragen Wohnungs-suchende häufig, wer die neuen Nachbarn sind. Die-se Frage darf nur pauschal beantwortet werden. Kei-nesfalls dürfen die Namen der Mitmieter, derenBerufe, Alter etc. mitgeteilt werden. Das Gleiche giltgegenüber dem Käufer einer Eigentumswohnung.

Dem Käufer eines Mietwohnhauses muss vor dem Kaufdie Mieterliste ausgehändigt werden, weil dieser hieraufeinen zivilrechtlichen Anspruch hat. Natürlich sollte

der Verwalter dies nur im Auftrag des Verkäufers ma-chen. Weitere Daten über die Mieter, wie Telefonnum-mer, Beruf etc., dürfen jedoch nicht mitgeteilt werden.

5. Fotos der Wohnung

Bei Verkauf und Vermietung einer Wohnung werdenin der Regel Fotos der Wohnung angefertigt. Ist dieWohnung noch bewohnt, bedarf es dazu der Zu-stimmung des Mieters. Der Eigentümer hat abergrundsätzlich einen Anspruch darauf, dass der Mie-ter derartige Fotos duldet.

Dem Mieter ist jedoch darzulegen, zu welchemZweck die Fotos angefertigt werden. Nach Möglich-keit sollten die Fotos in Anwesenheit der Mieter ge-macht werden. Der Mieter sollte jedoch keinesfallsauf dem Foto zu sehen sein. Wenn die Fotos keineRückschlüsse auf die Person des Mieters zulassen,dürfen sie auch im Internet veröffentlicht werden.Im Zweifel sollten Verwalter oder Vermieter die Fo-tos gemeinsam mit dem Mieter sichten sich diesefreigeben lassen.

6. Untervermietung

Möchte der Mieter einen Untermieter aufnehmen,benötigt er die Genehmigung des Vermieters.Hierzu muss der Mieter dem Vermieter Namen undAnschrift des vorgesehenen Untermieters nennen.Weitere Angaben muss der Mieter nur in Ausnah-mefällen machen.

7. Videoüberwachung durch Vermieter

Nach § 4 BDSG ist eine Videoüberwachung nur zu-lässig, wenn dies zur Wahrnehmung des Hausrechtsoder berechtigter Interessen für konkret festgeleg-te Zwecke erforderlich ist und keine Anhaltspunktebestehen, dass schutzwürdige Interessen der Be-troffenen überwiegen.



a) öffentlich zugängliche Räume

Bei der Videoüberwachung von

• öffentlich zugänglichen großflächigen Anlagen, wieinsbesondere Sport-, Versammlungs- und Vergnü-gungsstätten, Einkaufszentren oder Parkplätzen,oder

• Fahrzeugen und öffentlich zugänglichen großflä-chigen Einrichtungen des öffentlichen Schienen-,Schiffs- und Busverkehrs

gilt der Schutz von Leben, Gesundheit oder Freiheitvon sich dort aufhaltenden Personen als ein be-sonders wichtiges Interesse. Der Umstand der Be-obachtung und der Name und die Kontaktdatendes Verantwortlichen sind durch geeignete Maß-nahmen zum frühestmöglichen Zeitpunkt erkenn-bar zu machen.

b) Innenbereich

Bei einer Videoüberwachung im Innenbereich einesMehrfamilienhauses, etwa in den Kellerräumen oderden Aufgängen liegt ein berechtigtes Interesse nurvor, wenn die Situation typischerweise gefährlich ist,wie etwa in Selbstbedienungsläden oder Juwelierge-schäften.

In üblichen Mehrfamilienhäusern dürfte dies nicht derFall sein. Hier dürfte ein solches Interesse nur dannvorliegen, wenn konkrete Straftaten vorgekommensind und deshalb ein besonderer Schutz vor Strafta-ten erforderlich ist oder zivilrechtliche Schadener-satzansprüche geltend werden müssen. Die abstrakteAbschreckung von Straftätern rechtfertigt eine dau-erhafte Videoüberwachung dagegen nicht.

Gemäß § 4 Abs. 2 und 4 BDSG müssen jedenfallsder Umstand der Videoüberwachung sowie der Na-me und die Kontaktdaten des Verantwortlichendurch geeignete Maßnahmen zum frühestmögli-chen Zeitpunkt erkennbar gemacht werden.

Außerdem müssen der Zweck der Überwachung unddie Dauer der Speicherung angegeben werden. Hier-zu empfiehlt es sich, entsprechende Hinweisschilderanzubringen. Werden die Daten einer bestimmtenPerson zugeordnet, muss die betroffene Person ge-mäß Art. 13 und 14 DSGVO informiert werden.

Natürlich unterliegen die Aufzeichnungen derZweckbindung und müssen gelöscht werden, wennihre Speicherung nicht mehr erforderlich ist (§ 4Abs. 5 BDSG). Außerdem gilt gemäß Art. 9 Abs. 1DSGVO grundsätzlich ein Verbot der Verarbeitungbiometrischer Daten zur Identifizierung einer natür-lichen Person.

Zu bedenken ist außerdem, dass Mieter und derenBesucher sich mit zivilrechtlichen Unterlassungs-und Abwehransprüchen gegen einen etwaigen Ein-griff in das Persönlichkeitsrecht wehren können.Denn eine dauerhafte Überwachung im Innenbe-reich eines Mehrfamilienhauses, zum Beispiel inTreppenaufgängen, im Fahrstuhlvorraum und imFahrstuhl selbst, stellt einen schweren Eingriff in dasPersönlichkeitsrecht der Betroffenen dar.

In der hierzu ergangenen zivilrechtlichen Rechtspre-chung besteht Einigkeit darüber, dass eine Rundum-überwachung des sozialen Lebens nicht dadurch ge-rechtfertigt werden kann, dass der Vermieter mit derÜberwachung Schmierereien, Verschmutzungenoder einmaligen Vandalismus verhindern möchte. Inder Regel überwiegen daher die schutzwürdigen In-teressen der Mieter und Besucher als Betroffene.

8. Weitergabe der Daten an Handwerksunternehmen

Die Weitergabe der Kontaktdaten des Mieters anHandwerksunter nehmen zur Durchführung von In-standsetzungs- und Instandhaltungsmaßnahmenist auch ohne Einwilligung des betroffenen Mieterszulässig, weil dies zur Erfüllung der mietvertragli-chen Pflichten des Vermieters erforderlich ist.Selbstverständlich ist das Handwerksunternehmen



anzuhalten, den Datenschutz zu beachten und dieerhaltenen Daten zu löschen, wenn sie nicht mehrbenötigt werden.

9. Weitergabe der Daten an Dienstleister,Auftrags ver arbeitung (Art. 88 DSGVO, )

Die Weitergabe der Daten des Mieters an Dienst-leister wie z.B. Unternehmen zur Heizkostenabrech-nung, ist auch ohne Einwilligung des betroffenenMieters zulässig, weil es sich bei den Unternehmenum Auftragsverarbeiter handelt. Eine solche – pri-vilegierte – Auftragverarbeitung liegt vor, wenn dasUnternehmen, an das der (Verwalter/Vermieter) dieDaten weitergibt, den Auftrag weisungsabhängigerfüllt und allein der Verwalter (Vermieter) über dieVerwendung der Daten entscheidet.

Erforderlich ist, dass der Verwalter mit dem beauf-tragten Unternehmen einen speziellen Vertrag überdie Auftragsverarbeitung abschließt, der das Wei-sungsrecht des Verwalters festlegt, die zu erledi-genden Aufgaben genau beschreibt und das be-auftragte Unternehmen zur Vertraulichkeit und zurEinhaltung der Datensicherheit verpflichtet.

Außerdem muss genau festgelegt werden, was mitden Daten nach Abschluss der Arbeiten geschieht(Art. 28 Abs. 3 DSGVO). Grundsätzlich hat der Ver-antwortliche das Recht, den Auftragsdatenverar-beiter zu überprüfen, ob er selbst die datenschutz-rechtlichen Bestimmungen einhält. In der Praxiswird dies oftmals nicht berücksichtigt.

Praxistipp 6

Eine Auftragsdatenverarbeitung liegt vor, wenn einVerantwortlicher eine andere Stelle damit betraut,personenbezogene Daten zu verarbeiten, wobeientscheidend ist, dass der Beauftragte weisungsab-hängig ist („verlängerte Werkbank“): externe Lohn-buchhaltung (auch durch Steuerberater), externeBuchhaltung, Ablesedienstleister, Werbeadressen-verwaltung in einem Lettershop, Aktenvernichter.Keine Auftragsdatenverarbeitung liegt bei einer be-ratenden Tätigkeit durch einen Steuerberater oderRechtsanwalt oder Bank vor, da es grundsätzlich ander Weisungsbefugnis mangelt.

Oftmals haben die Dienstleister entsprechendeMusterverträge. Sollte dies nicht der Fall sein, findetsich ein Formulierungsvorschlag auf der Internetsei-te des IVD (www.ivd.net), der Aufsichtsbehörde desLandes Bayern https://www.lda.bayern.de/media/muster_adv.pdfoder der Gesellschaft für Datenschutz und Datensi-cherheit e.V. (www.gdd.de).

Praxistipp 7

Der Verwalter muss eine Liste der von ihm beschäftig-ten Auftragsverarbeiter führen. Außerdem sind dieAuftragsverarbeiter im Verzeichnis der Verarbei-tungstätigkeiten als „gemeinsame Verantwortliche“zu benennen.

10. VerbrauchsdatenVerbrauchsdaten (Heizung, Wasser, Datenlogger)sind personenbezogene Daten. Ihr Verarbeitung Istzur Vertragserfüllung erforderlich, weil der Verwaltersie benötigt, um die mietvertraglichen Abrechnungs-pflichten bzw. die Instandhaltungspflichten zu erfül-len.

Da die Erhebung der Daten nicht bei den betroffe-nen Personen erfolgt, sind diese gem. Art. 14DSGVO über die Datenerhebung zu informieren.

Wollen Mieter zur Kontrolle der Abrechnung dieVerbrauchswerte der übrigen Mieter erfahren,



haben Sie hierauf mietrechtlich grundsätzlich einenAnspruch und dürfen die Belege einsehen.

Die Weitergabe der Daten durch den Verwalter istzulässig, weil er dazu mietrechtlich verpflichtet ist(Art. 6 Abs. 1 lit. c DSGVO) und er nur dadurch sei-ne berechtigten Interessen wahren kann (Art. 6Abs. 1 lit. f DSGVO).

11. Vermieterbescheinigung

In einigen Fällen erhält der Mieter von dem Jobcentereine sog. „Vermieterbescheinigung“, die der Vermie-ter ausfüllen soll, da sonst keine Leistungsbewilligungmöglich sei. Die Weitergabe der Daten an das Job-center ist nicht zulässig, da der Vermieter hierzurechtlich nicht verpflichtet ist. Nach § 67 a Abs. 2SGB X sind Sozialdaten bei dem Betroffenen zu er-heben (vgl. BSG, Urteil vom 25. Januar 2012, Az. B 14AS 65/11 R 1).

12. Löschung der Daten

a) Daten des Mietinteressenten

Kommt es nicht zum Abschluss eines Mietvertragesmüssen die Daten des Mietinteressenten wieder ge-löscht werden. Die Daten dürfen nur solange gespei-chert bleiben wie der Mietinteressent möglicherweiseAnsprüche aus dem allgemeinen Gleichstellungsge-setz geltend machen kann (§ 19 AGG).

Derartige Ansprüche müssen innerhalb von zwei Mo-naten nach Absage geltend gemacht werden. Nachh.M. sollen die Daten aller Mietinteressenten deshalbgrundsätzlich drei Monate aufbewahrt werden.

b) Daten des Mieters

Gemäß Art. 17 DSGVO sind die Daten des Mieterszu löschen, wenn sie für die Zwecke, für die sie er-hoben wurden, nicht mehr benötigt werden.

c) Betriebskosten

Daten über die Betriebskosten sind mindestens solange aufzubewahren bis die Frist für Einwendungendes Mieters abgelaufen ist. Dies sind gemäß § 556Abs. 3 Satz 4 BGB 12 Monate nach Zustellung derAbrechnung.

.

d) Daten über Ansprüche des Vermieters

Daten über Ansprüche des Vermieters gegen denMieter sind bis zum Ablauf der regelmäßigen Ver-jährungsfrist nach § 195 BGB gespeichert zulassen.Im Falle eines Rechtsstreits mit dem Mieter sind dieDaten bis zum rechtskräftigen Abschluss des Ge-richtsverfahrens aufzubewahren.



VI. Gesetzliche Aufbewahrungspflichten

Gesetzliche Aufbewahrungspflichten etwa nach demHandelsgesetzbuch (HGB) oder der Abgabenord-nung (AO) gehen der Löschungspflicht nach demDatenschutzrecht vor. Nach dem Handels- unddem Steuerrecht müssen Bücher, Aufzeichnungen,Jahresabschlüsse und alle Verträge die Grundlagefür Zahlungspflichten oder Zahlungsansprüche desVerwalters oder sonst für die Besteuerung des Ver-walters relevant sind, 10 Jahre aufbewahrt werden.

Die Daten des Hauseigentümers muss der Verwalterdaher nach Beendigung des Verwaltungsvertragesaus steuer- und handelsrechtlichen Gründen noch10 Jahre aufbewahren. Auch die Daten von Auftrag-nehmer, an die der Hausverwalter Zahlungen ge-leistet hat, muss er 10 Jahre aufbewahren.

Fristbeginn ist in der Regel der 31. Dezember desJahres, in dem die jeweilige Erhebung erfolgt.

VII. Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss bestellt werden,wenn in dem Unternehmen mindestens 10 Perso-nen beschäftigt sind, die personenbezogene Datenverarbeiten (Art. 37 Abs. 1 DSGVO und § 38 BDSG).Maßgeblich ist die Anzahl der beschäftigten Perso-nen, auch wenn diese nur in Teilzeit arbeiten odersich in der Berufsausbildung befinden. Auch wennkeine Pflicht zur Bestellung eines Datenschutzbe-auftragten besteht, kann dieser freiwillig bestelltwerden (Art. 37 Abs. 4 Satz 1 Halbsatz 1 DSGVO).

Als Datenschutzbeauftragter kann ein eigener Mit-arbeiter oder ein externer Dienstleister beauftragtwerden (Art. 37 Abs. 6 DSGVO). Ein eigener Mitarbei-ter darf die Funktion allerdings nur ausüben, wenn esdabei nicht zu einem Interessenkonflikt kommt (Art.38 Abs. 6 Satz 2 DSGVO). Der EDV-Verantwortlichedürfte daher in aller Regel nicht als Datenschutzbe-auftragter geeignet sein. Die Kontaktdaten des Da-tenschutzbeauftragten müssen der Aufsichtsbehör-de mitgeteilt werden (Art. 37 Abs. 7 DSGVO).

Die Form der Benennung muss nicht mehr zwingendschriftlich erfolgen. Dies ist jedoch empfehlenswert,um die Nachweispflichten aus Art. 24 Abs. 1 DSGVOund Art. 5 Abs. 2 DGSVO erfüllen zu können. Eineschriftliche Benennung dient ferner der Rechtssi-cherheit.

Bereits nach dem BDSG erfolgte Bestellungen be-halten grundsätzlich ihre Gültigkeit. Anderenfallsmüssen sie angepasst werden.

Die Kontaktdaten des Datenschutzbeauftragtensind zu veröffentlichen (bspw. auf der Webseite)und der Aufsichtsbehörde mitzuteilen.

Praxistipp 8

Ein Datenschutzbeauftragter ist gesetzlich vorge-schrieben, wenn mehr als neun Personen ständig mitder Verarbeitung von personenbezogenen Datenbefasst sind. Dabei gilt das Kopfprinzip. Ist ein Da-tenschutzbeauftragter nicht erforderlich, befreitdies nicht von den übrigen Pflichten.



VIII. Auskunftsrecht

Der Betroffene hat das Recht (Art. 15 DSGVO), zu er-fahren, welche seiner Daten zu welchem Zweck ge-speichert sind und wie sie genutzt werden. Auf Antragdes Betroffenen muss der Verwalter ihm daher kos-tenlos mitteilen, welche Daten von ihm gespeichert

sind, wozu die Speicherung erfolgt und wann die Da-ten gelöscht werden. Außerdem muss der Betroffeneauf sein Beschwerderecht bei der Aufsichtsbehördehingewiesen werden.

IX. Verpflichtung von Beschäftigten aufdas Datengeheimnis

Das neue Datenschutzrecht sind im Gegensatz zuralten Regelung keine schriftliche Belehrung und Ver-pflichtung der Beschäftigten auf den Datenschutzvor. Dennoch sollte jedes Unternehmen seine Mitar-beiter, die für die Verarbeitung personenbezogenerDaten verantwortlich sind, vor der Aufnahme der Tä-tigkeit schriftlich auf die Vertraulichkeit der Datenverpflichten (vgl. Art. 32 Abs. 4 DSGVO).

Praxistipp 9

Eine Verpflichtung von Beschäftigten auf das Da-tengeheimnis kann auch im Arbeitsvertrag aufge-nommen werden.

X. Technische und organisatorische Maßnahmen zum Schutz der Daten (TOM), (Art. 32 Abs. 1 DSGVO)

Das Unternehmen muss gemäß Art. 32 Abs. 1DSGVO technische und organisatorische Maßnah-men treffen, um die Daten wirksam zu schützen.Dabei sollen die Eintrittswahrscheinlichkeit und dieSchwere des Risikos einer Verletzung des Daten-schutzes berücksichtigt werden. Die Einhaltung die-ser Maßnahmen unterfällt der Rechenschafts-pflicht (Art. 5 Abs. 5 DSGVO).

Die DSGVO fordert:

• die Vertraulichkeit, Integrität, Verfügbarkeit undBelastbarkeit der Systeme und Dienste,

• die Pseudonymisierung und Verschlüsselung vonpersonenbezogenen Daten soweit möglich,



• eine rasche Wiederherstellung der Daten und Zu-gänge nach einem physischen oder technischenZwischenfall

• sowie ein Verfahren zur regelmäßigen Überprü-fung, Bewertung und Evaluierung der Wirksamkeitder technischen und organisatorischen Maßnah-men.

Zu berücksichtigen sind dabei:

• der Stand der Technik,

• der Implementierungskosten,

• Art, Umfang, Umstände und Zwecke der Verarbei-tung

• sowie die unterschiedliche Eintrittswahrscheinlich-keit und Schwere von Datenschutz-Risiken.

Welche Maßnahmen dies sein können, können Sieunserer Ausfüllhilfe für die technischen und organi-satorischen Maßnahmen für die einzelnen Kontroll-ziele entnehmen. Wichtig ist hierbei die erforderlicheRisikoanalyse, da die Eintrittswahrscheinlichkeit undRisiken eine entscheidende Rolle spielen.

Wie die Bezeichnung schon aussagt, sind nicht alleMaßnahmen technischer Natur – natürlich ist dieSicherstellung und Überprüfung damit häufig einfa-cher. Es gibt jedoch auch viele Punkte die organisa-torisch geregelt werden müssen. Das heißt es ist eineganze Reihe an Arbeitsrichtlinien zu definieren undsicherzustellen bspw.:

• Arbeitsplatz/IT-Policy beinhaltet bspw. CleanDeskRegelung inkl. Bildschirmsprerre, Passwort-Rege-lungen, Umgang mit Wechseldaten trägern, Nutzungund Installation von Software/Diensten, Vernichtungvon Papier/Datenträgern

• Mobile Device Policy beinhaltet bspw. Verschlüsslung,erforderlichen Passwortschutz, Meldepflicht bei Ver-lust, keine Weitergabe an Dritte, keine sensiblen Te-lefonate/Datennutzung in der Öffentlichkeit

• E-Mail Policy – dienstlicher E-Mail Account, nurdienstlich!

• Internet-Policy

• Meldepflicht bei Datenpannen Policy

• HomeOffice Policy



XI. Datenschutz durch Technikgestaltungund datenschutzfreundliche Voreinstellung

Gemäß Art. 25 DSGVO soll bereits bei der Einfüh-rung technischer Verfahren die Grundsätze des Datenschutzes berücksichtigt werden. Beispielswei-se soll die eigene Webseite ausschließlich unterHTTPS aufrufbar sein, wenn dort Kontaktformularevorhanden sind (Privacy by design). Außerdem

sollen sämtliche Voreinstellungen datenschutz-freundlich gestaltet sein (Privacy by default). Dahersollten Formulare nur Felder für Daten enthalten, de-ren Angabe zur Vertragserfüllung erforderlich ist(keine freiwillig auszufüllenden Felder).

Praxistipp 10

Kontaktformulare erfreuen sich enormer Beliebtheit. Bei der Gestaltung sind jedoch die Grundsätze des Daten-schutzes zu beachten, insbesondere die sog. Datenminimierung (bisher Datensparsamkeit). Zudem ist darauf zuachten, dass keine Felder vorausgefüllt oder Häkchen bereits gesetzt sind (opt-out). Diese müssen stets vomBetroffenen gesetzt werden (opt-in).

XII. Behördliche Aufsicht

Die Einhaltung des BDSG wird durch Aufsichtsbe-hörden der Länder überwacht (Art. 51 ff DSGVO).Die Aufsichtsbehörden sind befugt, die Geschäfts-räume des Unternehmens während der Geschäfts-zeiten zu betreten und dort die Unterlagen einzu-sehen. Bei Verstößen gegen die DSGVO kann die

Behörde ein Bußgeld von bis zu 20 Mio. Euro oder4% des Vorjahresumsatzes (je nachdem was höherist) verhängen. Hierbei können verbundene Unter-nehmen als Unternehmensgruppe mitbetrachtetwerden.



XIII. Datenschutzerklärung nach § 13 TMG

Nach § 13 Telemediengesetz (TMG) muss der Be-treiber einer Webseite den Nutzer zu Beginn desNutzungsvorgangs über Art, Umfang und Zweckeder Erhebung und Verwendung personenbezogenerDaten sowie über die Verarbeitung seiner Daten inallgemein verständlicher Form unterrichten. Au-ßerdem muss der Nutzer darüber aufgeklärt wer-den, dass er die Möglichkeit hat, die Einwilligungenzur Nutzung seiner Daten jederzeit zu widerrufen.Es muss gewährleistet sein, dass der Nutzer bereitszu Beginn des Nutzungsvorgangs, d. h. bei Aufrufder Startseite des Internetangebots, einen eindeu-tigen Hinweis auf die Unterrichtung erhält und die-ser Hinweis sofort erkennbar ist.

Diese Voraussetzungen sind nach Auffassung derAufsichtsbehörden bei der Aufnahme von Ausfüh-rungen zum Datenschutz unter einem Link auf das„Impressum“ für nicht gegeben. In der Praxis sind diedatenschutzrechtlichen Ausführungen daher häufigunter einem eigenen Link mit Bezeichnungen wie„Datenschutzerklärung“, „Datenschutzhinweis“ undähnliche zu finden.

Praxistipp 11

Die Datenschutzerklärung kann eine idealer Wegsein, um den Transparenzpflichten (Art. 13 DSGVO)zu genügen, wenn hier die entsprechenden Angabenenthalten sind und bei Kontaktformularen ein ent-sprechender Verweis vorhanden ist, idealerweise miteinem zu setzenden Häkchen.

Beim Einsatz der Reichweitenmessung durch Goo-gle Analytics muss der Webseitenbetreiber denWebseitennutzer in seiner Datenschutzerklärungüber den Einsatz von Google Analytics informierenund ihn auf seine Möglichkeiten des Widerspruchsdurch den Einsatz des Browser-Plugins hinweisen.

Die entsprechende Seite muss hinsichtlich der Wi-derspruchsmöglichkeit verlinkt sein. Hinweise zumdatenschutzkonformen Einsatz von Google Analy-tics finden sich auf der Seite des Landesamtes fürDatenschutz Bayern unter:

http://lda.bayern.del

Da IP Adressen als personenbezogene Daten gel-ten, ist hier die anonymisierte Erfassung zu aktivie-ren. Zusätzlich ist mit Google eine entsprechendevertragliche Vereinbarung zu schließen. Zuvor er-fasste Daten sind zu löschen.

Verletzungen der Vorgaben für die Datenschutzer-klärung aus § 13 TMG können nach Auffassung eini-ger Gerichte gemäß §§ 3, 4 Nr. 11 UWG wie eineVerletzung von § 5 TMG kostenpflichtig abgemahntwerden.



XIV. E-Mail-Marketing/Newsletter

Im Online-Marketing spielt der Newsletter eine gro-ße Rolle. Möchte der Unternehmer bestehendenNewsletter-Empfängern weiterhin den Newsletterzustellen, müssen folgende Voraussetzungen erfülltsein (vgl. § 7 Abs. 3 UWG):

• Unternehmer hat E-Mail-Adresse im Zusammen-hang mit einem Vertrag erhalten (in Betrachtkommt hier nur der Verwaltervertrag).

• Unternehmer will Adresse für eigene Zwecke ver-wenden (nicht Angebote Dritter)

• Kunde hat Verwendung der E-Mail-Adresse nichtwidersprochen.

• Kunde wurde bei Erhebung der Adresse und bei je-der Verwendung klar und deutlich darauf hingewie-sen wird, dass er der Verwendung jederzeit wider-sprechen kann (Button: Newsletter abbestellen)

Neuabonnenten dürfen grundsätzlich nur aufge-nommen werden, wenn sie hierzu ihre Einwilligunggeben. Eine bestimmte Form ist für diesen Fallnicht vorgeschrieben.

Ausreichend ist eine eindeutig bestätigende Hand-lung, mit der die betroffene Person zu verstehengibt, dass sie mit der Verarbeitung der sie betref-fenden personenbezogenen Daten einverstandenist. Dies kann das Anklicken eines Kästchens beimBesuch einer Internetseite sein. Das Opt-Out-Ver-fahren ist nach der DSGVO unzulässig.

Bietet ein Unternehmer einen Newsletter auf seinerWebseite an, sollte er diesen in der Datenschutzer-klärung berücksichtigen, die ebenfalls auf derWebseite zur Verfügung gestellt wird.



1. Verzeichnis über Verarbeitungstätigkeiten

Namen und Kontaktdaten des Ver-antwortlichen und gegebenenfallsdes gemeinsam mit ihm Verantwort-lichen, des Vertreters des Verant-wortlichen sowie eines etwaigen Datenschutzbeauftragten

Verantwortlicher:

<Firmenname>Vertreten durch die Geschäftsführer: <Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

gemeinsam Verantwortliche:(Partnerunternehmen, z.B. IT Dienstleister, Aktenvernichter (Auftragsverarbeiter))

<Firmenname>Vertreten durch die Geschäftsführer: <Namen der vertretungsberechtigten Organe(Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

<Beschreibung der Teilleistung>

Datenschutzbeauftragter:<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Zweck der Datenverarbeitung <Zweck z.B. Abschluss und Durchführung von Mieterverträgen für die verwaltetenGrundstücke>

Kategorien der betroffenen Personen

<Auflistung: welche Personengruppen sind betroffen z.B. Mietinteressenten, Mieter, Handwerksunternehmen, Dienstleister, Versorger, Mitarbeiter>

Kategorien der Daten <pro Personengruppe: welche personenbezogenen Daten werden erhoben? z.B.Mieter: Name, Kontaktdaten, Bankverbindung, Geburtsdatum, Mietvertrag>

Kategorien von Empfängern, gegen-über denen die personenbezogenenDaten offengelegt worden sind odernoch offengelegt werden, einschließ-lich Empfänger in Drittländern oder internationalen Organisationen

<Auflistung: wer erhält personenbezogene Daten? z.B. Handwerksunternehmen,Versorger><pro Empfänger: welche personenbezogenen Daten von wem erhält er? z. B. Hand-werksunternehmen: Name und Kontaktdaten><Empfänger in Dittländern und geeignete Garantien>

Vorgesehene Fristen zur Löschung derverschiedenen Datenkategorien

<Fristen der Löschung z. B. Unterlagen, die für die Besteuerung relevant sind, werden nach zehn Jahren vernichtet, Vertragsdaten werden für die Dauer des Vertrages selbst und für die Dauer der regelmäßigen Verjährung (drei Jahre) vonAnsprüchen gespeichert und im Anschluss gelöscht.>

Technische und organisatorischeMaßnahmen (TOM) gemäß Art. 32Abs. 1 DSGVO

In separater Anlage aufgeführt.

XV. Anlagen/MusterDie nachfolgenden Muster können verwendet werden, wobei eine Verwendung auf eigene Gefahr erfolgt.Die Muster erheben keinen Anspruch auf Richtigkeit und Vollständigkeit. Sie wurden seitens der ED Com-puter & Design GmbH Co. KG nach bestem Wissen erstellt. Hilfestellung beim Ausfüllen können der Sys-temadministrator des Verpflichteten oder ein auf Datenschutz spezialisiertes Unternehmen wie ED Com-puter & Design GmbH Co. KG bieten.



2. Informationspflicht/Transparenzpflicht gemäß Art. 13 DSGVO (Direkterhebung)Hinweis an Verpflichteten: Angaben in roter Schriftfarbe sind zu berücksichtigen, wenn Daten durch einen Dritten (z.B. Online-Marktplatz/Portal) erhoben werden (Dritterhebung, Artikel 14 DSGVO).

Hiermit informieren wir Sie, wie wir mit Ihren personenbezogenen Daten verfahren, die wir im Rahmen des Vertragsverhältnisses er-heben und speichern. Personenbezogenen Daten sind Informationen, die sich auf Ihre Person beziehen und zu Ihrer Identifizierungführen können:

Namen und Kontaktdaten des Verantwort -lichen, des Vertreters des Verantwortlichensowie eines etwaigen Datenschutzbeauftrag-ten

Verantwortlicher:

<Firmenname>Vertreten durch die Geschäftsführer:<Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

Datenschutzbeauftragter:(immer eine natürliche Person)<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Zweck der Verarbeitung und Rechtsgrundlage Die Erhebung der Daten erfolgt zum Zwecke <Wieso soll dieser Verarbeitungsvorgang eingeführt werden? Z. B. vorvertraglicheMaßnahme, Vertrag>Verwaltervertrag (Geschäftsbesorgungsvertrag nach §§ 611, 635, 675 BGB) oderMaklervertrag (§ 652 BGB)

Kategorie der Daten Folgende personenbezogene Daten werden erhoben und verarbeitet: <Welche Daten sollen verarbeitet werden?>

Empfänger der Daten Die Daten werden ganz oder teilweise übermittelt an:< Identität der Empfänger, z. B. Vermieter, Eigentümer, Notar, Messdienstleister, etc.>

Dauer der Speicherung Die Daten werden so lange gespeichert, ergänzt und fortgeschrieben, wie es derZweck erfordert, für den die personenbezogenen Daten erhoben werden und dervon Ihnen gewünscht ist, sofern keine anderslautenden gesetzlichen Verpflichtun-gen, wie zum Beispiel Aufbewahrungspflichten nach Geldwäschegesetz (5 Jahre), Handelsrecht (6 Jahre), Steuerrecht (10 Jahre) oder Makler- Bauträger-verordnung (5 Jahre), entgegenstehen.

Recht auf Auskunft Sie haben das Recht, jederzeit Auskunft über Ihre von uns gespeicherten Daten zuverlangen.

Recht auf Berichtigung oder Löschung der Daten

Für den Fall, dass diese Daten unrichtig oder unvollständig gespeichert wurden,haben Sie das Recht, eine Berichtigung oder Löschung zu verlangen.

Recht auf Einschränkung der Verarbeitung Sie dürfen die Einschränkung der Verarbeitung verlangen, wenn Sie die Richtigkeit der erhobenen Daten bestreiten, die Verarbeitung unrechtmäßig oder der Zweck der Verarbeitung erfüllt ist.

Recht auf Widerruf der Einwilligung Soweit die Verarbeitung Ihrer personenbezogenen Daten zu einem bestimmtenZweck aufgrund Ihrer Einwilligung erfolgt, können Sie diese jederzeit widerrufen; biszum Zeitpunkt Ihres Widerrufes bleibt die Datenverarbeitung jedoch rechtmäßig.

Recht auf Widerspruch gegen die Verarbeitung

Der Verarbeitung Ihrer personenbezogenen Daten können Sie jederzeit widerspre-chen; eine Verarbeitung erfolgt dann nicht mehr.

Recht auf Übertragung der Daten Sie haben das Recht, Ihre dem Verantwortlichen zur Verfügung gestellten Datenauf einen Dritten übertragen zu lassen.

Beschwerderecht Sie haben das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten rechtswidrig ist.

Datenquelle <Woher stammen die Daten, z. B. Immobilienportal, Tippgeber? Stammen sie ggfls.aus öffentlich zugänglichen Quellen?>

Automatisierte Entscheidungsfindung(inkl. Profiling)

<Welche Logik wird verwendet? Welche Tragweite und Auswirkungen hat die Verarbeitung für den Betroffenen?>



3. Verpflichtung auf die Vertraulichkeit personenbezogener Daten

Verpflichtung auf die Vertraulichkeit personenbezogener Daten,des Fernmeldegeheimnisses gemäß § 88 Telekommunikationsgesetz (TKG)und zur Wahrung von Geschäftsgeheimnissen

Verpflichtung auf die Vertraulichkeit personenbezogener DatenEs ist mir untersagt, personenbezogene Daten, zu denen ich dienstlich Zugang habe, unbefugt zu erheben, zu ver-arbeiten oder zu nutzen. Dies gilt sowohl für die dienstliche Tätigkeit innerhalb wie auch außerhalb (z.B. bei Kundenund Interessenten) des Unternehmens. Dieses Verbot besteht auch nach der Beendigung meiner Tätigkeit fort.

Verpflichtung auf das Fernmeldegeheimnis nach § 88 TKGIch bin zur Wahrung des Fernmeldegeheimnisses verpflichtet, soweit ich im Rahmen meiner Tätigkeit bei der Erbrin-gung geschäftsmäßiger Telekommunikationsdienste mitwirke.

Verpflichtung auf Wahrung von GeschäftsgeheimnissenÜber alle Angelegenheiten des Unternehmens, beispielsweise Einzelheiten der Organisation, Geschäftsvorgängeund Zahlen des internen Rechnungswesens, ist von mir Verschwiegenheit zu wahren, sofern sie nicht allgemein öf-fentlich bekannt geworden sind. Hierunter fallen auch Vorgänge von Drittunternehmen, mit denen ich befasst bin.Auf die gesetzlichen Bestimmungen über den unlauteren Wettbewerb wurde ich besonders hingewiesen.

Alle Aufzeichnungen, Abschriften, Geschäftsunterlagen, Ablichtungen dienstlicher odergeschäftlicher Vorgänge, die mir dienstlich überlassen oder von mir angefertigt werden, sind vor der Einsichtnahmedurch Unbefugte zu schützen.

Von diesen Verpflichtungen habe ich Kenntnis genommen. Die Pflicht zur Wahrung Vertraulichkeit personenbezo-gener Daten und der genannten Geheimnisse gilt zeitlich unbegrenzt auch über die Beendigung des Arbeitsverhält-nisses hinaus. Ich bin mir bewusst, dass die Verletzung der Vertraulichkeit personenbezogener Daten, des Fernmel-degeheimnisses oder von Geschäftsgeheimnissen strafbar sein kann, insbesondere nach §§ 41 bis 43 BDSG (neu), § 206 StGB und nach § 17 UWG. Das Merkblatt zur Verpflichtungserklärung mit den Abschriften aller genanntenVorschriften habe ich erhalten.

Ggfls. Datenschutzbeauftragte/rDer/Die Datenschutzbeauftragte für dieses Unternehmen ist Name, Kontaktdaten. Er/Sie steht mir für Fragen/Be-ratung mit datenschutzrechtlichem Bezug zur Verfügung.

Ort, Datum Ort, Datum

Vorname Name Arbeitgeber/in Name Arbeitnehmer/in

Quelle: ED Computer



4. Technische und organisatorische Maßnahmen als Teil der Sicherheit der Verarbeitunggemäß Art. 32 EU DSGVO

Verantwortlicher:<Firmenname>vertreten durch <die/die Geschäftsführer/Inhaber/Vorstand>:<Namen der vertretungsberechtigten Personen><Geschäftsadresse>

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen.

Sicherheitsschlösser Manuelles Schließsystem Chipkarten-/Transponder-Schließsystem Schließsystem mit Codesperre Biometrische Zutrittssperren Automatisches Zutrittskontrollsystem Schlüsselregelung (Schlüsselausgabe etc.) Alarmanlage Lichtschranken / Bewegungsmelder Videoüberwachung der Zugänge Personenkontrolle beim Pförtner / Empfang Protokollierung der Besucher Tragepflicht von Berechtigungsausweisen Sorgfältige Auswahl von Wachpersonal Sorgfältige Auswahl von Reinigungspersonal

ZugangskontrolleKeine unbefugte Systembenutzung.

Zuordnung von Benutzerrechten Passwortvergabe sicherer Kennwörtern regelmäßige Passwortänderungen Authentifikation mit Benutzername / Passwort Authentifikation mit biometrischen Verfahren Zuordnung von Benutzerprofilen zu IT-Systemen Schlüsselregelung (Bereichsabhängig etc.) automatische Sperrmechanismen Sperren von externen Schnittstellen (USB etc.) Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten / Tablets Einsatz von zentraler Smartphone-Administrations-Software

(z.B. zum externen Löschen von Daten) Einsatz einer Software-Firewall Einsatz einer Hardware-Firewall Einsatz von Intrusion-Detection-Systemen Einsatz von Virtual Private Networks (VPN) Technologie Einsatz von Anti-Viren-Software Patchmanagement für Betriebssystem und Anwendungen

Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Ent-fernen innerhalb des Systems.

Rechtvergabe nach dem „need to know“ Prinzip Protokollierung von Zugriffen auf Anwendungen, insbesondere

bei der Eingabe, Änderung und Löschung von Daten Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Verwaltung der Rechte durch Systemadministrator Anzahl der Administratoren auf das „Notwendigste“ reduziert automatische Sperrmechanismen Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten/ Tablets physische Löschung von Datenträgern vor Wiederverwendung ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) Einsatz von Aktenvernichtern bzw. Dienstleistern Protokollierung der Vernichtung Sichere Aufbewahrung von Datenträgern



Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unter-schiedlichen Zwecken erhoben wurden.

physikalische Trennung logische Mandantentrennung (softwareseitig) Versehen der Datensätze mit Zweckattributen/ Datenfeldern Erstellung eines Berechtigungskonzepts Sandboxing Trennung von Produktiv- und Testsystem

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten ineiner Weise, dass die Daten ohne Hinzuziehung zu -sätzlicher Informationen nicht mehr einer spezifischenbetroffenen Person zugeordnet werden können, soferndiese zusätzlichen Informationen gesondert aufbewahrtwerden und entsprechende technischen und organisa-torischen Maßnahmen unterliegen.

Nutzung von Pseudonymisierung wo möglich (u.a. bei Weitergabe) geeignete Wahl der Pseudonymisierungsschlüssel Trennung der Zuordnungsdatei und der Aufbewahrung auf einem

getrennten, abgesicherten IT-System

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

WeitergabekontrolleKein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.

E-Mail TLS Verschlüsslung E-Mail TLS Verschlüsslung mit pfs E-Mail End2End Verschlüsslung (u.a. pgp, S/MIME) elektronische Signatur Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten / Tablets Weitergabe von Daten in anonymisierter oder mindestens

pseudonymisierter Form Dokumentation der Empfänger von Daten und der Zeitspannen der

geplanten Überlassung bzw. vereinbarter Löschfristen Erstellen einer Übersicht der Abruf- und Übermittlungsvorgänge Beim physischen Transport: sorgfältige Auswahl von Transport -

personal und -fahrzeugen Beim physischen Transport: sichere Transportbehälter/

-verpackungen

Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Dokumentenmanagement Nachvollziehbarkeit von Eingabe, Änderung und Löschung von

Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Erstellen einer Übersicht, aus der sich ergibt, mit welchen Appli -

kationen welche Daten eingegeben, geändert und gelöscht werden können.

Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Aufbewahrung von Formularen, von denen Daten in automatisierteVerarbeitungen übernommen worden sind

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

VerfügbarkeitskontrolleSchutz gegen zufällige oder mutwillige Zerstörung bzw.Verlust.

gespiegelte Festplatten (RAID) gespiegelte Systeme / Cluster Unterbrechungsfreie Stromversorgung (USV) Schutzsteckdosenleisten in Serverräumen / Überspannungsschutz Einsatz einer Software-Firewall Einsatz einer Hardware-Firewall Einsatz von Intrusion-Detection-Systemen Einsatz von Anti-Viren-Software Erstellen eines Backup- & Recoverykonzepts,

u.a. (online/offline; on-site/off-site) regelmäßige Datenwiederherstellungtests



Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

Klimaanlage in Serverräumen Geräte zur Überwachung von Temperatur und Feuchtigkeit in

Serverräumen Feuer- und Rauchmeldeanlagen Feuerlöschgeräte in Serverräumen (CO2) Serverräume nicht unter sanitären Anlagen, wasserführenden

Leitungen Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Serverräume über der Wassergrenze (Hochwasser) Wartungsverträge mit geeigneter Reaktionszeit Patchmanagement für Betriebssystem und Anwendungen

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Erstellen eines Notfallplans Nutzung virtueller Maschinen mit Offsitesicherung passender Hardware-Service-Vertrag eigene Ersatzteilbevorratung Wartungsverträge mit geeigneter Reaktionszeit

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 DSGVO)

Datenschutz-Management Bestellung eines Datenschutzbeauftragter Einsatz vom Datenschutzkoordinatoren Verzeichnis von Verarbeitungstätigkeiten Datenschutzfolgeabschätzungen Schulungsmaßnahmen/ Sensibilisierungsmaßnamen mit Nachweis Verpflichtung auf Vertraulichkeit der Mitarbeiter definierte und dokumentierte Prozesse Arbeitsanweisungen/ Polices mit Datenschutzhintergrund Review Prozesse

Incident-Response-Management Definition von Zuständigkeiten und Verantwortlichkeiten für Vorfälle(z.B. Vorfallteam)

definierter Meldeprozess definierte Maßnahmen für relevante und denkbare Vorfälle definierte Eskalationswege aktuelle Melde- und Kontaktlisten Prüfungsprozess für gemeldete Vorfälle und anschließender Risiko-

klassifizerung wenn zutreffend vorbereitete Reaktionen auf den Vorfall (Kommunikation wie auch

technische Maßnahmen) Reflexion und Nachbereitungsprozess um aus Vorfällen zu lernen

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Prozess zur Sicherstellung von Privacy by Design bei Änderungen Prozess zur Sicherstellung von Privacy by Default bei Änderungen

AuftragskontrolleKeine Auftragsdatenverarbeitung im Sinne von Art. 28DSGVO ohne entsprechende Weisung des Auftragge-bers, z.B.: Eindeutige Vertragsgestaltung, formalisiertesAuftragsmanagement, strenge Auswahl des Dienstleis-ters, Vorabüberzeugungspflicht, Nachkontrollen.

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten vorherige Prüfung und Dokumentation der beim Auftragnehmer ge-

troffenen Sicherheitsmaßnahmen Sicherstellung der Verpflichtung auf die Vertraulichkeit durch den

Auftragnehmer Auftragnehmer hat Datenschutzbeauftragten bestellt vertraglich festgelegte Verpflichtungen und Zuständigkeiten Auftragsverarbeitungsverträge wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart Vertragsstrafen bei Verstößen / klare Haftungsregelungen schriftliche Weisungen an den Auftragnehmer Sicherstellung der Vernichtung von Daten nach Beendigung des

Auftrags laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten



5. Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO

Name der Folgeabschätzung: <Name des geplanten Verarbeitungsvorgangs>erstellt am: <Datum der Erstellung>betrachtet am: <Datum des letzten jährlichen Reviews – zur Fortschreibung>

Namen und Kontaktdaten des Verantwortlichen, desVertreters des Verantwortlichen sowie eines etwaigenDatenschutzbeauftragten

Verantwortlicher:<Firmenname>Vertreten durch die Geschäftsführer:<Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

Datenschutzbeauftragter:(immer eine natürliche Person)<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Beteiligte an dieser Datenschutzfolgeabschätzung <Vor- und Nachname><Position>

systematische Beschreibung des geplanten Verarbei-tungsvorgangs inkl. der Datenflüsse<Beschreibung>

Kategorien betroffener Personengruppen <Wer ist von diesem Verarbeitungsvorgang betroffen?>

Kategorien von Daten<Welche Daten sollen verarbeitetwerden?>

Zweck der Verarbeitung<Wieso soll dieser Verarbeitungsvorgang eingeführt werden?>

berechtigtes Interesse des Verantwortlichen einschließ-lich der Rechtsgrundlage

<Beschreibung des berechtigten Interesses inkl. der Rechtsgrundlage>

Bewertung der Notwendigkeit und Verhältnismäßigkeit <objektive Bewertung mit Begründung, ob diese Verarbeitung wirklichnotwendig und verhältnismäßig ist>

Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (ohne Abhilfemaßnahmen) –Risikobewertung unter Berücksichtigung a) möglicher physischer, materieller und immateriellerSchäden, b) deren Schwere sowiec) Eintrittswahrscheinlichkeit

<Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen in Bezug auf Schutzklasse, Eintrittswahrscheinlichkeit, Schwere und Folgen, Vertraulichkeit, Integrität, Verfügbarkeit inkl. Begründung ohne Abhilfemaßnahmen>

geplanten Abhilfemaßnahmen zur Bewältigung der Risi-ken einschließlich Garantien, Sicherheitsvorkehrungenund Verfahren – dies sind u.a. technische und organisa-torische Maßnahmen; Wirksamkeitsprüfungen benen-nen; Restrisiken sind ebenfalls zu benennen

<alle konkrete geplanten Maßnahmen, Sicherheitsmaßnahmen, Garantien und Verfahren zur Reduzierung der Risiken für die Rechte und Freiheiten betroffener Personen inkl. der Wirksamkeitsprüfungen sowie evtl. Restrisiken>

Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (mit Abhilfemaßnahmen) –Risikobewertung unter Berücksichtigung a) möglicher physischer, materieller und immateriellerSchäden, b) deren Schwere sowiec) Eintrittswahrscheinlichkeit

<Bewertung der Risiken für die Rechte und Freiheiten betroffener Perso-nen in Bezug auf Schutzklasse, Eintrittswahrscheinlichkeit, Schwere undFolgen, Vertraulichkeit, Integrität, Verfügbarkeit inkl. Begründung unterBeachtung der getroffenen Maßnahmen>

Freigabe des Verarbeitungsvorgang <Kann die Freigabe erfolgen? Sind Auflagen vorhanden die zuersterledigt sein müssen vor einer Erneutbewertung? Freigabe der Aufsichtsbehörde erforderlich?>

Hinweis: Aus Gründen verbesserter Lesbarkeit wurde in der Regel die männliche Schreibweise verwendet.Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sowohl die männliche, als auch die weiblicheSchreibweise gemeint sind.



Immobilienverband Deutschland IVD Bundesverband der Immobilienberater, Makler, Verwalter und Sachverständigen e.V.Littenstraße 1010179 Berlin

Tel.: (030) 27 57 26-0E-Mail: [email protected]: www.ivd.net

ED Computer & Design GmbH & Co. KG ist ein bundesweit tätiger Full Service IT-Dienstleister mit Sitz in Köln. Zum Leistungsportfolio gehört neben dem Webdesign, Webhosting, EDV-Support auch der Datenschutz. Das Unternehmen ist ein langjähriger Kooperationspartner des IVD.

ED Computer & Design GmbH & Co. KGLina-Bommer-Weg 451149 Köln

Telefon +49 (0) 221 28 88 77 66Telefax +49 (0) 221 28 88 77 67

E-Mail: [email protected]: www.edcud.de

Documents

HIP Hop Flyer 2 1 17 A3 - ista International GmbH...4 Das neue Datenschutzrecht für die Praxis der Verwalter und Vermieter – DSGVO IVD Bundesverband e.V. und ED Computer & Design