Alles krypto, oder was? Die TOMs – technische und organisatorische Maßnahmen

Wie geht Datenschutz in Immobilienfirmen im Detail? Das wird in den technischen und organisatorischen Maßnahmen gem. Art. 32 DSGVO festgelegt. Hier gilt es für Immobilienfirmen einiges zu organisieren und zu beachten. Denn letztlich benötigt jede Immobilienfirma eigene und individuell abgestimmte TOMs.

Art. 32 DSGVO ist die zentrale Vorschrift, wenn es um die Sicherheit in der Verarbeitung der personenbezogenen Daten (pbD) durch Immobilien-Unternehmen (Wohnungsunternehmen, Hausverwaltungen, Maklerbüros, Architekten, Bauträger, Projektentwickler, Fondsgesellschaften etc.) geht. Datenschutz kommt nicht aus dem „Nichts“. Stattdessen muss der Schutz von pbD durch konkrete Maßnahmen hergestellt werden.

Die folgenden Punkte sind bei der Verarbeitung von personenbezogenen Daten maßgeblich:

  1. Rechtmäßigkeit der Datenverarbeitung, vgl. Art. 6 DSGVO
  2. Sicherheit der Verarbeitung personenbezogener Daten, vgl. Art. 32 DSGVO

Ohne Datensicherheit nützt am Ende auch die Rechtmäßigkeit der Verarbeitung der personenbezogenen Daten nichts. Dabei dient die „Sicherheit der Verarbeitung“ dazu, Verletzungen des Schutzes der pbD zu vermeiden.

Risikoabwägung bei den geeigneten Maßnahmen

Wie genau diese Verletzung des Schutzes der Daten am ausfallen kann bzw. wie diese vermieden werden kann, orientiert sich zum einen an der Sicherheitsstufe, der die Daten unterliegen und zum anderen am Medium, mit dem die Daten verarbeitet werden.

Beispiel 1: Hausverwaltung verarbeitet Daten von Eigentümern und Nutzern
Personenbezogene Daten in einer Hausverwaltung, die häufig per E-Mail von Eigentümern und Mietern an die Verwaltung gelangen, die aus Mietverträgen stammen und über die in Wirtschaftsplänen, Jahresabrechnungen, Eigentümerversammlungen usw. berichtet werden, unterliegen, der Sicherheitsstufe 1. Es werden deshalb bei der Abwägung der geeigneten Maßnahmen für den Schutz dieser Daten keine erhöhten Anforderungen an die Datensicherheit und die TOM zu stellen sein. Zutritts- und Zugangskontrolle zu den Daten sowie Aufbewahrung der Daten (digital als Speicherung und in Papierform als Archiv) sind mit leicht zu lösenden Anforderungen zu gewährleisten.

Beispiel 2: Mieterportal Online
Über ein Mieterportal können sich Mieter mit einem Login in eine digitale Umgebung einwählen, in der alle Mietvertragsdaten, die Zahlungen von Miete und Nebenkosten sowie weitere Daten aus dem Mietvertrag einsehbar sind. An die Sicherheit der Verwahrung dieser Daten und an den Prozess beim Login sowie der Aufbewahrung dieser Daten werden erhöhte Anforderungen gestellt, so dass kein Missbrauch mit diesen Daten betrieben werden kann. Das erhöhte Risiko folgt hier aus der online gebündelten Zusammenfassung von Vertrags- und Zahlungsdaten. Wenn nun mit diesem Mieterportal weitere Elemente verbunden sind, die z.B. ein Profiling der Nutzer ermöglichen, ist an die Aufbewahrung der Daten noch einmal eine zusätzliche Sicherheit zu stellen. Ohne die Zusammenführung von Nutzerdaten zu einem elektronischen Profil fallen die Anforderungen niedriger aus.

Beispiel 3: Einführung einer Videoüberwachung
Von einem Wohnungsunternehmen wird aufgrund diverser Diebstähle von Fahrrädern und Einbruchsschäden in Kellerräumen eine Videoüberwachung der Fahrradabstellplätze, des Treppenabgangs zum Keller und der Kellerflure eingerichtet. Abgesehen von der erforderlichen Risikoabwägung bei der Einführung der Videoüberwachung (gesonderte Prozesse sind erforderlich), sind erhöhte Anforderungen an die Verarbeitung der Daten zu stellen. Wie lange werden die Bilder aufbewahrt? Wie werden die Daten gespeichert? Wie wird sichergestellt, dass kein Unbefugter Zugriff auf die Videodaten hat? Wie werden die Berechtigungen zur Einsichtnahme in die Aufnahmen im Immobilienunternehmen geregelt? Diese Fragen sind durch geeignete und ein dem Risiko angemessenen Schutzniveau entsprechenden TOM zu beantworten.

Wie wird „Sicherheit der Verarbeitung“ hergestellt?
Der Verantwortliche muss technische und organisatorische Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau für die verarbeiteten pbD zu erreichen. (Die Vorschrift des Art. 32 DSGVO verpflichtet den Verantwortlichen und den Auftragsverarbeiter gleichermaßen).

Diese TOM (technische und organisatorischen Maßnahmen) müssen sich orientieren an:

  1. Stand der Technik
  2. Implementierungskosten
  3. Art, Umfang, Umstände, Zweck der Verarbeitung
  4. Eintrittswahrscheinlichkeit
  5. Schwere des Risikos für Rechte und Freiheiten natürlicher Personen

Kostenbetrachtung möglich und gewollt

Eine Wirtschaftlichkeitsabwägung kann stattfinden und sollte dokumentiert werden, wenn bestimmte Maßnahmen zum Schutz von pbD aus Kostengründen nicht ergriffen werden. Dadurch, dass das Gesetz ausdrücklich die „Implementierungskosten“ als Maßstab nennt, ist es demnach legitim, dass auf Maßnahmen aus Kostengründen verzichtet wird. Allerdings ist zu beachten, dass ein umso höheres Risiko für die Rechte von natürlichen Personen bei der Verarbeitung pbD umso höhere Kosten in der Herstellung der Datensicherheit rechtfertigen.

Beispiel 4: revisionssichere Aufbewahrung von E-Mails
Die Herstellung der revisionssicheren Aufbewahrung von E-Mails ist mit Kosten verbunden, die jedes Unternehmen zu tragen hat. In einem solchen Fall dürfen die Implementierungskosten nicht als zu hoch für den Schutz der Verarbeitung pbD angesehen werden.

Beispiel 5: Einbau einer Klimaanlage in den Serverraum
Sofern in den vergangenen Jahren die Server des Immobilienunternehmens reibungslos und ohne Ausfall aufgrund von Überhitzung gelaufen sind, würden die Kosten für den Einbau einer Klimaanlage in einen Serverraum von mehreren tausend Euro möglicherweise als nicht wirtschaftlich angesehen werden können. Sind jedoch mehrfach Fälle von Überhitzung der Server aufgetreten, die zu einem Ausfall der Systeme geführt haben, wird die Abwägung dazu führen, dass der Einbau einer Klimaanlage in den Serverraum zur Erhaltung der Datenintegrität und Wiederherstellbarkeit erforderlich ist.

Welche TOM sind zu ergreifen?

Die Vorschrift des Art. 32 DSGVO zählt einige geeignete TOM exemplarisch auf. Es handelt sich um

  • Pseudonymisierung (Buchstabe a)
  • Verschlüsselung (Buchstabe a)
  • Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit auf Dauer sicherstellen (Buchstabe b)
  • Verfügbarkeit und Zugang nach physischen und technischem Zwischenfall wieder herstellen (Buchstabe c)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOM (Buchstabe d)

Das Ziel ist die Vermeidung von Risiken für die Verarbeitung personenbezogener Daten.

Unberechtige und unbeabsichtigte Verletzung des Datenschutzes

Im Vordergrund steht gem. Art. 32 Abs. 2 DSGVO der Schutz vor

  • unbeabsichtigter und
  • unrechtmäßiger
  • Vernichtung,
  • Verlust,
  • Offenlegung oder
  • Zugang zu pbD

 

Typische technische und organisatorische Maßnahmen – TOM

Welche Maßnahmen muss eine Immobilienfirma konkret ergreifen, um den Schutz von pbD und der Verarbeitung der Daten sicherzustellen?

Umsetzung der TOM im Immobilien-Unternehmen (mit einzelnen Beispielen)

  1. Vertraulichkeit
  • Zutrittskontrolle – Zutritt Unbefugter zu DVAnlagen wird verhindert
    • Schließsysteme, Zugangsberechtigung zu Grundstück, Häusern, Räumen, Regelung Zugang zum Serverraum usw.
  • Zugangskontrolle –  Nutzung Unbefugter von DVAnlagen wird verhindert
    • Passwortvergabe regeln, Master-Passwort nur Befugten bekannt, Administrator-Rechte einschränken, dazu zählt auch die Anweisung an Mitarbeiter*innen, dass Laptops, Handys etc., die pbD enthalten, passwortgeschützt werden müssen
  • Zugriffskontrolle – Nutzung nur zugewiesener Daten im Rahmen von Berechtigungen
    • Mitarbeiter haben auf ihre Bereiche beschränkte Zugriffsrechte, Administrator verwaltet diese Zugriffsrechte, Protokollierung (Bsp: Haustechnik muss nicht zwingend Zugang zu den Abrechnungsdaten haben), Benutzerkonten einrichten und Trennung beachten
  • Trennungskontrolle – Zu unterschiedlichen Zwecken erhobene Daten werden getrennt verarbeitet
  • Pseudonymisierung – Daten können nicht ohne weiteres einer betroffenen Person zugeordnet werden
  1. Integrität
  • Weitergabekontrolle, vor allem Verschlüsselung – Daten können während Transport, Speicherung etc. nicht unbefugt verarbeitet werden
    • Verschlüsselung Kontatformular, E-Mails, ggfls. pdfs mit vertraulichen Daten, die per E-Mail übermittelt werden
  • Eingabekontrolle – von wem sind Daten verarbeitet worden?
  1. Verfügbarkeit, Belastbarkeit – Verfügbarkeitskontrolle – Schutz vor Verlust, Zerstörung etc.
  • Bsp: Brandschutz, sicherer Serverraum, Überspannungsschutz, störungsfreie Stromversorgung, Virenschutz
  1. Datenschutzmanagement im Rahmen der Evaluierung, u.a. Organisationskontrolle (DSB, Audit etc.)
  2. Datenschutzfreundliche Voreinstellungen – privacy by default und privcy by design

Sprechen Sie uns an, wenn wir Ihnen bei der Erstellung und Dokumentation der TOM in Ihrem Unternehmen behilflich sein können. 

Bei der Erstellung der TOM kann auf eine Zusammenstellung des Datenschutz-Wiki unter diesem Link zurückgegriffen werden.

 

https://www.datenschutz-wiki.de/Checkliste_Technische_und_organisatorische_Maßnahmen