Compliance & DSGVO im Property ManagementPraxisnah umsetzen – mit Nachweis

Videoüberwachung: Zulässigkeit setzt Zweckbindung, Erforderlichkeit und Transparenz voraus. Praxisnah heißt das: je Standort eine dokumentierte Interessenabwägung, Layered Notices(Hinweisschild + Detail-Informationen), Datenminimierung (Sichtfelder/Maskierung) und kurze Speicherfristen – länger nur mit belastbarer Begründung. Bei weitreichender, öffentlich zugänglicher Überwachung die Pflicht zur DPIA-Prüfung im Blick behalten.

AV-Verträge (Art. 28 DSGVO): Für Cloud-CCTV, Ticketsysteme, Schlüssel-/Zutrittsdienste & Co. braucht es einen Vertrag mitGegenstand, Dauer, Datenarten, Kategorien Betroffener und klaren Pflichten: TOMs, Weisungsbindung, Unterstützung bei Betroffenenrechten und Vorfällen, Regelung zurRückgabe/Löschung am Vertragsende, Subprozessor-Genehmigung undAudit-/Nachweisrechte.

RoPA (Art. 30 DSGVO): Erfasst werden u. a. Zwecke, Kategorien, Empfänger, Speicherfristen und TOMs. Die <250-MA-Ausnahme greift in der Praxis selten, weil Bestandsprozesse nicht „nur gelegentlich“ stattfinden oder weil Risiken/Sonderkategorien berührt sind. Ohne strukturiertes RoPA fehlt im Audit der belastbare Nachweis.

Betroffenenrechte & Fristen: Auskunft, Berichtigung, Löschung etc. sind grundsätzlich innerhalb eines Monats zu beantworten; in Ausnahmefällen Verlängerung um zwei Monate – mit Begründung. Identität prüfen, Suchpfade in Fachsystemen/CCTV festlegen und Antworten standardisieren.

Incident Response: Bei einer Datenpanne innerhalb von 72 Stunden die Aufsichtsbehörde benachrichtigen, sofern ein Risiko für Rechte und Freiheiten besteht; bei hohem Risiko zusätzlich die Betroffenen informieren. Halte Erstmaßnahmen, Bewertung, Kommunikationswege und Meldeinhalte vorab in Vorlagen fest.

Fazit: Schlanke, wiederverwendbare Bausteine (Hinweise, AVV-Standards, RoPA-Leitfragen, Antwort- templates, IR-Playbook) machen DSGVO im Gebäudebetrieb praktikabel – und auditfest.