[datensicherheit.de, 26.05.2018] In seiner Stellungnahme zum endgültigen Inkrafttreten der DSGVO weist die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) auf einen ambitionierten Anspruch hin: Zum einen sollen für über 500 Millionen EU-Bürger stärkere Datenschutzrechte durchgesetzt werden, auf der anderen Seite soll der freie Verkehr personenbezogener Daten in einer der größten Volkswirtschaft der Welt weder eingeschränkt noch verboten werden.

Bewährungsprobe für die DSGVO

Die DSGVO müsse nunmehr beweisen, ob sie in diesem Spannungsverhältnis bestehen wird. Ein reformiertes Datenschutzrecht sei gerade in Zeiten von „Big Data“ und der Digitalisierung richtig und wichtig, um der Gefährdung der Freiheit der Menschen, über ihre Daten selbst zu bestimmen, entgegenzuwirken.
Im Rahmen der Verordnung müssten aber Vereine auch weiter ihre „unverzichtbaren gesellschaftlichen Aufgaben“ erfüllen und Unternehmen „wettbewerbsfähige Geschäftsmodelle der Zukunft“ entwickeln können.

Deutsches Datenschutzrecht weitgehend ersetzt

Die DSGVO ist nun „direkt anwendbares Recht und ersetzt damit weitgehend das deutsche Datenschutzrecht“. Nationale Regelungsspielräume bestünden nur noch in einem begrenzten Umfang. Das neue Bundesdatenschutzgesetz setze einzelne Regelungsaufträge der Verordnung um und schaffe ergänzende Vorschriften dort, wo Öffnungsklauseln der Verordnung es erlauben – es sei zeitgleich in Kraft getreten.
Die Verordnung erlaube es z.B., die Pflicht zur Benennung eines Datenschutzbeauftragte in nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen. Der Bundesgesetzgeber habe diesen Regelungsspielraum im neuen Bundesdatenschutzgesetz genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragte dem in Deutschland bestehenden Status quo anzupassen.

Aufsichtsbehörden haben „Werkzeugkasten“ für Sanktionen

Im Vordergrund der Debatte stehen laut LDI NRW häufig die Befürchtungen, dass Verstöße gegen die Verordnung in Zukunft mit Geldbußen in Millionenhöhe geahndet werden können. Unerwähnt bleibe dabei oft, dass die Verordnung den Aufsichtsbehörden einen „Werkzeugkasten“ in die Hände gegeben habe, um jeden Einzelfall datenschutzrechtlicher Missstände angemessen zu beheben – Geldbußen seien darin nur eine von vielen Möglichkeiten. An erster Stelle steht die Beratung.
Auch von Sanktionen würden die Aufsichtsbehörden Gebrauch machen – jedoch mit Augenmaß. Für die konkrete Bestimmung der Höhe eines Bußgeldes werde eine Vielzahl von Aspekten einzubeziehen sein: „Art, Schwere und Dauer des Verstoßes, aber auch, ob und wie mit den Aufsichtsbehörden zusammengearbeitet wurde, um Verstößen abzuhelfen, und ob diese eigenständig mitgeteilt wurden.“

Europäischer Datenschutzausschuss und Datenschutzkonferenz

Die nationalen Datenschutzbehörden würden in einem neuen Format zusammenarbeiten: Der Europäische Datenschutzausschuss solle gewährleisten, dass die Rechtsauslegung europaweit vereinheitlicht wird. Im Einzelfall würden seine Entscheidungen verbindlich sein.
Die Datenschutzkonferenz werde in Deutschland auch in Zukunft schwerpunktmäßig praxisgerechte Auslegungs- und Anwendungsfragen zur Verordnung klären.

Die Vorsitzende der Datenschutzkonferenz, Helga Block (LDI NRW): „Die Forderungen an die Aufsichtsbehörden, Klarheit in strittige Auslegungs- und Anwendungsfragen der Datenschutz-Grundverordnung zu bringen, sind berechtigt. Diese Auslegungen stehen jedoch unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses.“

ePrivacy-Verordnung soll DSGVO präzisieren

Die DSGVO spreche viele Themen an, ohne sie explizit zu regeln. Insbesondere im Hinblick auf die elektronische Kommunikation solle die ePrivacy-Verordnung die Datenschutz-Grundverordnung präzisieren und ergänzen. Sie werde das deutsche Telekommunikationsgesetz und Telemediengesetz in der bisherigen Form teilweise ersetzen, bzw. werde auch hier eine Anpassung des deutschen Gesetzgebers notwendig sein.
Mit dem Inkrafttreten im Jahr 2018 sei jedoch nicht mehr zu rechnen. Die derzeit herrschenden Unklarheiten müssten schnell mit klaren Gesetzen beseitigt werden.

Weitere Informationen zum Thema:

LDI NRW
Entschließungen der Datenschutzkonferenz

LDI NRW
Kurzpapiere: EU-Datenschutzreform

datensicherheit.de, 17.03.2018
EU-DSGVO: Perspektiven des Datenschutzes nach dem 25. Mai 2018

[datensicherheit.de, 13.04.2017] Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen (LDI NRW) hat nach eigenen Angaben Immobilienmakler sowie Wohnungsverwaltungsgesellschaften in NRW überprüft. Anlass sei eine Zunahme von Bürgerbeschwerden – keine Prüfung sei ohne Beanstandung geblieben.

Umfangreiche, oft sensible Datenerhebungen moniert

Gerade aus Ballungsgebieten erreichten die LDI NRW zunehmend Beschwerden über umfangreiche, oft sensible Datenerhebungen. Viele Mietinteressenten würden genötigt, umfassende Auskunft über sich zu erteilen.
Diese Auskünfte würden aufgrund der knappen Wohnraumsituation oft erteilt, da bei einer Verweigerung nicht selten anderweitig vermietet werde. Grund genug für die LDI NRW, die Wohnungswirtschaft genauer ins Blickfeld zu nehmen.

Wohnungswirtschaft für Datenschutz sensibilisieren!

Ziel der gemeinsam mit dem LDA Bayern durchgeführten Prüfung sei es gewesen, die Wohnungswirtschaft für den Datenschutz zu sensibilisieren. Einbezogen worden seien Immobilienmakler sowie Wohnungsverwaltungsgesellschaften aus allen Regionen. Zudem seien kleine, mittelständische und größere Unternehmen erfasst worden.
Bei allen der über 40 geprüften Unternehmen in NRW habe es Anlass zu Beanstandungen gegeben – in 30 Prozent der Fälle sogar auffällig viele. Fast alle der geprüften Unternehmen hätten ihre Prozesse zwischenzeitlich datenschutzgerechter gestaltet. Einige Unternehmen habe die LDI NRW dabei umfangreich beraten.

Mieterselbstauskunft als Schwerpunkt der Prüfung

Schwerpunkt der Prüfung sei der Inhalt der Mieterselbstauskunftsformulare gewesen. Berücksichtigt worden seien auch Aspekte der Datensicherheit bei der Nutzung von Online-Kontaktformularen und elektronischer Kommunikation sowie die Anfertigung von Personalausweiskopien. Zudem seien Löschroutinen und -konzepte in Bezug auf gespeicherte personenbezogene Daten geprüft worden.
Grundsätzlich sei ein Fragebogen erst dann auszufüllen, wenn nach erfolgter Besichtigung ernsthaftes Interesse an dem Objekt besteht. Aber auch dann dürften nicht jegliche Art von Daten erhoben werden.

Häufig beanstandet worden seien insbesondere folgende Punkte:

• Kontaktdaten aus vorangegangenen Mietverhältnissen
  Diese Frage sei unzulässig. Sie sei zum einen für den Abschluss eines Mietvertrages nicht erforderlich und widerspreche zum anderen dem Grundsatz der Direkterhebung.
• Bonitätsauskünfte
  Die undifferenzierte Forderung nach Vorlage einer „Schufa-Auskunft“ oder „Schufa-Selbstauskunft“ sei unzulässig. Diese Auskünfte enthielten deutlich mehr Datenkategorien als spezielle (häufig kostenpflichtige) zur Weiterleitung an Dritte geeignete Produkte und führten somit zu einer über das erforderliche Maß hinausgehenden Erhebung von Daten. Erst wenn der Abschluss des Mietvertrags unmittelbar bevorsteht, dürften Bonitätsauskünfte bei Auskunfteien erfragt oder die Vorlage einer Bonitätsauskunft durch die potenzielle Mietpartei verlangt werden.
• Angaben zum Familienstand
  Wird lediglich die Mieterin oder der Mieter Vertragspartei, seien Angaben zum Familienstand für die Entscheidung über den Abschluss eines Mietvertrages nicht erforderlich und daher im Ergebnis unzulässig. Nahe Familienangehörige wie Ehegatten, Lebenspartner und Kinder dürften nämlich auch ohne Erlaubnis in der Wohnung wohnen. Deshalb seien auch die Fragen zu Geburtstag sowie Verwandtschaftsverhältnis der zum Haushalt gehörenden Kinder und sonstigen Angehörigen nicht erforderlich und im Ergebnis unzulässig. Die Frage nach den Namen sowie dem Alter der einziehenden Personen sei dagegen zulässig.
• Fragen zum Beruf
  Nach dem Beruf und der Arbeitsstätte dürfe zur Beurteilung der Bonität gefragt werden. Die Dauer einer Beschäftigung biete jedoch in einer mobilen Gesellschaft keine Gewissheit für die Beständigkeit einer Beschäftigung. Diese Frage sei daher nicht geeignet, das Sicherungsbedürfnis einer Vermieterin oder eines Vermieters zu erfüllen und damit unzulässig.
• Personalausweiskopie
  Kopien des Personalausweises seien bei Vermietungen in der Regel unzulässig. Gestattet sei allerdings, die Angaben zur Identität durch Vorlage des Personalausweises zu prüfen und das Ergebnis schriftlich festzuhalten. Notiert werden dürften die zur Personenidentifikation notwendige Daten: Name und Vorname, Geburtsdatum und Anschrift. Eine weitergehende Notiz, zum Beispiel zur Seriennummer des Personalausweises, dürfe nicht erfolgen.
• Nutzung von Online-Kontaktformularen
  Soweit es sich bei den Online-Formularen um ein allgemeines Kontaktformular handelt, sei eine Antwort per E-Mail ausreichend. Die zusätzliche Angabe von Telefonnummer und/oder Anschrift als Pflichtfeldangabe sei damit nicht erforderlich und daher nicht gestattet.
• Lösch- und Sperrkonzepte
  Einige der geprüften Unternehmen hätten zudem kein Konzept für die Löschung bzw. Sperrung nicht mehr erforderlicher personenbezogener Daten vorweisen können. Daten von unberücksichtigt gebliebenen Bewerberinnen und Bewerbern seien teilweise über zehn Jahre gespeichert worden.

In NRW weiterhin Handlungsbedarf

„Die Prüfung hat gezeigt, dass in NRW weiterhin Handlungsbedarf in diesem Wirtschaftsbereich besteht“, sagt die LDI NRW, Helga Block.
Mieter gerade in Ballungsgebieten fühlten sich aufgrund der angespannten Wohnraumsituation genötigt, Informationen preiszugeben, die teilweise weit über das erforderliche Maß hinausgingen. Block: „Die auf diesem Gebiet tätigen Unternehmen werden wir daher besonders im Blick behalten.“

Weitere Informationen zum Thema:

Düsseldorfer Kreis, 27. Januar 2014
Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“

Düsseldorfer Kreis, 27. Januar 2014
„Selbstauskunft zur Vorlage bei dem/der Vermieter/in“

Virtuelles Datenschutzbüro
Ein Informationsangebot der öffentlichen Datenschutzinstanzen

datensicherheit.de, 04.11.2016
Grenzüberschreitender Datenverkehr: Datenschutzbehörden starten Prüfaktion

[datensicherheit.de, 16.06.2016] Die Vorteile von „Open Data“ liegen auf der Hand: Transparenz und Akzeptanz des Verwaltungshandelns sowie nicht zuletzt das immense wirtschaftliche Potenzial.

Zentrale Verfügbarkeit und bessere Nutzbarkeit von Verwaltungsinformationen

Gemeint sind die zentrale Verfügbarkeit und bessere Nutzbarkeit von Verwaltungsinformationen. „GovData – das Datenportal für Deutschland“ soll einen einheitlichen zentralen Zugang zu offenen Verwaltungsinformationen liefern (derzeit aus Bund, einigen Kommunen und noch nicht allen Bundesländern). Mit einer gemeinsamen Entschließung vom 15. Juni 2016 hat die Konferenz der Informationsfreiheitsbeauftragten in Deutschland an alle Bundesländer appelliert, sich an diesem Datenportal zu beteiligen.

Ein weiterer Beitrag zu mehr Transparenz

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen und diesjährige Vorsitzende der Konferenz der Informationsfreiheitsbeauftragten in Deutschland, Helga Block, unterstreicht, dass „GovData“ als zentrales Datenportal mit Suchfunktion zur besseren Nutzbarkeit von amtlichen Informationen beitragen soll. Damit sei es sowohl ein wichtiger Bestandteil von „Open Data“ als auch ein weiterer Beitrag zu mehr Transparenz.

Erst in zwölf Bundesländern Informationsfreiheitsbeauftragte

Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland (IFK) beschäftigt sich mit aktuellen Fragen der Informationsfreiheit, also mit dem Zugang zu und der Veröffentlichung von amtlichen Informationen. Der IFK gehören die Informationsfreiheitsbeauftragten des Bundes und der Länder an. Bislang gibt es in zwölf Bundesländer Informationsfreiheitsbeauftragte.

Weitere Informationen zum Thema:

GOVDATA
Das Datenportal für Deutschland