Niemand möchte in einem Gebäude leben oder arbeiten, in dem Gefahren für Leib und Leben drohen. Die Errichtung von Bauwerken, wozu insbesondere die planerische Tätigkeit gehört, ist daher durch Gesetze, Normen und Richtlinien geregelt. Was hat das mit Datenschutz zu tun? Das Gebäudeenergiegesetz regelt energetische Standards im Neubau und der Sanierung im Bestand. Es gibt Standards und Handlungsrahmen vor und lässt zugleich Freiräume in der Umsetzung zu.
In den Datenschutzgesetzen ist es ähnlich. Datenschutzkonformes Handeln bewegt sich in einem gesetzlichen Rahmen, genau wie das Bauen und Sanieren. Wer das verinnerlicht und akzeptiert, tut sich auch mit dem Datenschutz leichter. Übrigens, die Anforderungen des GEG und der anhängigen Normen sind umfangreicher als diejenigen des Datenschutzrechts.
Datenschutz-Grundlagen in der Energieberatung
Wenn Sie den folgenden, zugegeben sehr langen, Satz verstehen und bestätigen können, sind Sie bezüglich Ihrer Datenschutzkonformität sehr gut aufgestellt:
„Im Rahmen meiner Energieberatung erfolgen sämtliche Verarbeitungen personenbezogener Daten für eindeutige, nachvollziehbare und legitime Zwecke, unter Berücksichtigung der Datenschutz-Grundsätze, basierend auf gültigen Rechtsgrundlagen, mit Bereitstellung von Informationen für die betroffenen Personen, mit ausschließlich legitimierter Weitergabe an Dritte, für die Betroffenen risikominimierend, geschützt durch angemessene organisatorische und technische Maßnahmen.“
Umfang und Tiefe der Maßnahmen, die im Datenschutz zu ergreifen sind, hängen auch maßgeblich davon ab, ob Sie Einzelunternehmer sind oder es sich um ein Unternehmen mit Mitarbeitern handelt. Ich werde mich nachfolgend im Wesentlichen auf die Tätigkeit der Gebäude-Energieberatung beziehen.
Kern sämtlicher datenschutzrechtlicher Betrachtungen sind die datenverarbeitenden Vorgänge bzw. Prozesse. Diese müssen im Sinne des obigen Satzes datenschutzkonform ausgerichtet sein. Dazu gehören Nachweisverfahren durch verpflichtende sowie freiwillige Dokumentationen.
Typische Tätigkeiten in der Gebäude-Energieberatung sind: Erstgespräche, iSFP (Bestandsaufnahme, Fotos, Austausch von Informationen, Ausarbeitung/Bereitstellung des Sanierungsfahrplans, Anträge), Umsetzungsbegleitung und Berichte. Daraus ergeben sich auch schon die legitimierenden Zwecke. Eine Verarbeitung (Annehmen, Auslesen, Speichern, Erstellen, Aufbewahren, Verändern, Weitergeben, Archivieren, Löschen von personenbezogenen Daten) ohne einen solchen begründbaren Zweck wäre unzulässig.
Daneben gehören auch E-Mail-Kommunikation, Betrieb einer Website, Einsatz von Software/Apps, Datenablage in der Cloud sowie als analoge Dokumente zu den typischen Verarbeitungen in der Energieberatungspraxis. Neben der Identifikation der Verarbeitungsprozesse gehört deren Dokumentation in ein Verzeichnis der Verarbeitungstätigkeiten. Alle Verarbeitungen müssen auf einer klaren Rechtsgrundlage basieren, wie:
Eine Einwilligung ist immer dann notwendig, wenn keine der anderen Rechtsgrundlagen Anwendung findet, was in der Energieberatung selten vorkommen dürfte. Ist eine Einwilligung doch einmal erforderlich, dann muss diese datenschutzkonform im Sinne der DSGVO erfolgen. Die Verwendung von lediglich einem einzelnen Satz, dass jemand einverstanden ist mit Verarbeitung/Weitergabe der Daten, ist unzureichend. Eine Einwilligung dürfte aber selten nötig sein.
Unabhängig von der Rechtsgrundlage muss die betroffene Person bei der erstmaligen Verarbeitung ihrer Daten informiert nach DSGVO informiert werden. Das sind die Datenschutzerklärungen bzw. -informationen, nicht nur für die Website, sondern für jede Verarbeitung. Es ist ausreichend, wenn diese in analoger oder digitaler Form leicht auffindbar zur Verfügung gestellt wird. Eine Unterschrift der Anerkennung oder Kenntnisnahme ist nicht erforderlich. Es handelt sich um eine Information, nicht um eine Einwilligung.
Bei der Beauftragung eines iSFP könnte das ein beigefügtes PDF, ein Link auf eine eigene Datenschutzinformation (nicht die der Website selbst) in der E-Mail-Signatur, eine ausgedruckte Seite mit Übergabe beim ersten Vorort-Gespräche sein oder eine Anlage zum Beratungsvertrag sein.
Die Verarbeitung (dazu zählt auch die Aufbewahrung) personenbezogener Daten muss mit angemessenen Sicherheitsmaßnahmen erfolgen, den sogenannten technischen (IT-Sicherheit, aber auch andere) sowie organisatorische Maßnahmen (kurz TOM). Diese sind verpflichtend zu dokumentieren! Welche Maßnahmen das sind, bestimmen letztendlich Sie selbst. Die Maßnahmen müssen angemessen sein, hier spielt auch der „Stand der Technik“ zum Beispiel in der IT-Sicherheit eine Rolle. „Regeln der Technik“ kennen Sie aus dem GEG, in der DSGVO ist es mit Stand der Technik schärfer formuliert. Das allerdings in Abhängigkeit von weiteren verschärfenden und abmildernden Faktoren.
Energieberatende sollten auf Datenschutzkonformität achten. Die gute Nachricht: Verarbeitung personenbezogener Daten in der Energieberatung ist nicht mit einem hohen Risiko behaftet, allerdings auch nicht ohne Risiko.
Achten Sie insbesondere auf Ihre Außenwirkung und damit auf Ihre Angreifbarkeit. Das wahrscheinlichste „Ungemach“ aufgrund von durch Dritten erkennbare Mängel in Ihrer Datenschutzkonformität ist (in dieser Reihenfolge):
Achten Sie unbedingt auf Ihre Datenschutzinformationen (Website, Kundenaufträge), dokumentieren Sie die Verarbeitungen in einem Verzeichnis, sorgen Sie für die technische und organisatorische Sicherheit der Daten. Letzteres sollte für alle Ihre Daten obligatorisch sein, die schließlich Bestandteil ihrer Wertschöpfungskette sind. Achten Sie darauf, an wen Sie Daten mit welcher Legitimierung weitergeben, das gilt auch für Daten, die Sie empfangen (zum Beispiel Mieterdaten von beauftragenden Immobilienunternehmen und Hausverwaltungen). Letzteres erfordert eine datenschutzrechtliche Vereinbarung zur Auftragsverarbeitung.
GEB Weiterbildung
In unserem Webinar „Datenschutz in der Energieberatung“ gibt Christian Tomaske binnen zwei Stunden einen Überblick zur Datenschutz-Gesetzgebung zu den Themen, die für Energieberatende relevant sind.
Wie relevant ist Datenschutzkonformität in der -Gebäude-Energieberatung?
Mehr als die Datenschutzerklärung der Website: Das „A“ und „O“ der Datenschutzdokumentationen
Ein Einstieg: Energieberatung datenschutzkonform durch-führen und dokumentieren
„Ungemach“ durch Bußgelder, Abmahnungen, Schadens-ersatzforderungen?!
Anmeldung: www.geb-info.de/webinar-datenschutz
Bild: Privat
