Zum Inhalt springen
MyYounit

DSGVO und Selfstorage: Praktische Checkliste für Betreiber

Als Selfstorage-Betreiber verarbeiten Sie täglich personenbezogene Daten: Namen, Adressen, E-Mail-Adressen, Zahlungsdaten, Zugangsprotokollen und manchmal sogar Kameraaufnahmen. Die Datenschutz-Grundverordnung (DSGVO) stellt strenge Anforderungen an den Umgang mit diesen Daten. In der Praxis zeigt sich, dass viele Betreiber unzureichend über ihre Pflichten informiert sind. In diesem Artikel bieten wir Ihnen eine konkrete, praktische Checkliste, mit der Sie Ihr Selfstorage-Unternehmen DSGVO-konform machen.

Welche personenbezogenen Daten verarbeiten Sie als Selfstorage-Betreiber?

Bevor Sie beurteilen können, ob Sie compliant sind, müssen Sie wissen, welche personenbezogenen Daten Sie verarbeiten. Bei einem Selfstorage-Unternehmen handelt es sich typischerweise um:

  • Kundendaten – Name, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Kopie des Personalausweises oder Reisepasses.
  • Finanzdaten – IBAN, Zahlungshistorie, offene Rechnungen, Kreditkarteninformationen.
  • Vertragsdaten – Mietverträge mit persönlichen Informationen, Unterschrift, Vertragslaufzeit.
  • Zugangsdaten – Protokolle darüber, wer wann welche Tür geöffnet hat, PIN-Codes, NFC-Tag-Identifikatoren.
  • Kameraaufnahmen – Überwachungsbilder, auf denen Personen erkennbar sind, einschließlich Kennzeichen auf Parkplätzen.
  • Kommunikationsdaten – E-Mail-Korrespondenz, Chat-Nachrichten, Telefonnotizen.

Das sind mehr Daten, als den meisten Betreibern bewusst ist. Und all diese Daten fallen unter die DSGVO.

Checkliste: Die Grundanforderungen

Verwenden Sie die folgende Checkliste, um zu überprüfen, ob Sie die wichtigsten DSGVO-Anforderungen erfüllen:

Verzeichnis von Verarbeitungstätigkeiten

Sie sind verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis beschreibt, welche personenbezogenen Daten Sie verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange Sie die Daten aufbewahren und mit wem Sie sie teilen. Ein Verarbeitungsverzeichnis muss nicht kompliziert sein – eine gut strukturierte Tabellenkalkulation genügt – aber es muss vorhanden sein.

Datenschutzerklärung

Auf Ihrer Website und in Ihren Mietverträgen muss eine klare Datenschutzerklärung stehen, die beschreibt, welche Daten Sie erheben, warum und welche Rechte die betroffene Person hat. Verwenden Sie verständliche Sprache, kein juristisches Fachchinesisch.

Auftragsverarbeitungsverträge (AVV)

Jede Partei, die in Ihrem Auftrag personenbezogene Daten verarbeitet – Ihr Softwareanbieter, Ihr Hosting-Provider, Ihr E-Mail-Dienstleister – ist ein "Auftragsverarbeiter" im Sinne der DSGVO. Mit jedem Auftragsverarbeiter müssen Sie einen Auftragsverarbeitungsvertrag abschließen, der festlegt, wie mit den Daten umgegangen wird. In Deutschland wird dies besonders streng gehandhabt.

Aufbewahrungsfristen

Sie dürfen personenbezogene Daten nicht länger aufbewahren als notwendig. Legen Sie konkrete Aufbewahrungsfristen fest: Kundendaten nach Vertragsbeendigung, Kameraaufnahmen (in Deutschland maximal 72 Stunden gemäß der strengen Auslegung durch Landesdatenschutzbehörden, in der Praxis oft bis zu 4 Wochen bei berechtigtem Interesse), Zugangsprotokollen usw. Stellen Sie sicher, dass die Daten nach Ablauf der Frist tatsächlich gelöscht werden.

Kameraüberwachung und DSGVO

Kameraüberwachung ist ein besonders sensibler Punkt unter der DSGVO, und Selfstorage-Standorte sind in der Regel mit zahlreichen Kameras ausgestattet. In Deutschland gelten besonders strenge Regeln:

  • Berechtigtes Interesse – Kameraüberwachung an einem Selfstorage-Standort ist in der Regel auf Grundlage eines "berechtigten Interesses" (Schutz des Eigentums) zulässig. Sie müssen jedoch eine dokumentierte Interessenabwägung durchführen.
  • Informationspflicht – Besucher müssen informiert werden, dass sie gefilmt werden, bevor sie den überwachten Bereich betreten. Deutlich sichtbare Hinweisschilder mit vollständigen Informationen gemäß Art. 13 DSGVO am Eingang sind Pflicht.
  • Aufbewahrungsfrist – Kameraaufnahmen dürfen nicht unbegrenzt aufbewahrt werden. Die deutschen Datenschutzbehörden empfehlen eine maximale Aufbewahrungsfrist von 72 Stunden bis maximal 4 Wochen, es sei denn, ein Vorfall rechtfertigt eine längere Aufbewahrung.
  • Zugangsbeschränkung – Nur autorisierte Personen dürfen Aufnahmen einsehen. Dokumentieren Sie, wer berechtigt ist und wann Aufnahmen eingesehen wurden.

Zugangsprotokollen und Datenschutz

Moderne Zutrittskontrollsysteme protokollieren genau, wer wann welche Tür öffnet. Dies sind wertvolle Informationen für die Sicherheit, aber es sind auch personenbezogene Daten. Stellen Sie sicher, dass:

  • Kunden informiert sind, dass ihr Zugang protokolliert wird (Aufnahme in Mietvertrag und Datenschutzerklärung).
  • Protokolle nicht länger als notwendig aufbewahrt werden (eine Frist von 3-6 Monaten nach Vertragsende ist üblich).
  • Protokolle nur für autorisiertes Personal zugänglich sind.
  • Sie bei einem Auskunftsersuchen die relevanten Protokolle dem betreffenden Kunden bereitstellen können.

Cloud vs. On-Premise: Was ist sicherer?

Eine häufig gestellte Frage ist, ob Cloud-Software oder eine lokale Installation (On-Premise) aus DSGVO-Perspektive besser ist. Die kurze Antwort: Cloud-Software, die in Europa gehostet wird, bietet in der Regel bessere DSGVO-Garantien als ein lokaler Server. Die Gründe:

  • Professionelle Sicherheit – Cloud-Anbieter investieren Millionen in Sicherheit, Verschlüsselung und Überwachung. Ein lokaler Server in einem Lagerraum ist naturgemäß anfälliger.
  • Automatische Updates – Sicherheitsupdates werden sofort durchgeführt, ohne dass Sie etwas tun müssen.
  • Backups – Professionelles Cloud-Hosting umfasst automatische, verschlüsselte Backups an geografisch verteilten Standorten.
  • Auftragsverarbeitungsvertrag – Renommierte SaaS-Anbieter stellen standardmäßig einen Auftragsverarbeitungsvertrag bereit, der den DSGVO-Anforderungen entspricht.

Achten Sie jedoch darauf: Wählen Sie Software, die Daten innerhalb der EU/des EWR speichert. Nach dem Schrems-II-Urteil ist die Speicherung personenbezogener Daten auf US-amerikanischen Servern problematisch, selbst mit dem EU-US Data Privacy Framework.

Wie MyYounit mit der DSGVO umgeht

MyYounit wurde mit dem Grundsatz Privacy by Design entwickelt. Konkret bedeutet dies:

  • Alle Daten werden auf europäischen Servern gespeichert.
  • Ein Auftragsverarbeitungsvertrag ist standardmäßig verfügbar.
  • Das System unterstützt das Recht auf Löschung: Kundendaten können vollständig gelöscht werden, wenn keine gesetzliche Aufbewahrungspflicht mehr besteht.
  • Zugangsprotokollen werden nach der eingestellten Aufbewahrungsfrist automatisch bereinigt.
  • Verschlüsselung der Daten im Ruhezustand und bei der Übertragung.
  • Rollenbasierter Zugang: Mitarbeiter sehen nur die Daten, die sie benötigen.

Wenn Sie sich für Selfstorage-Software entscheiden, die für den europäischen Markt entwickelt wurde, können Sie sicher sein, dass die DSGVO-Anforderungen kein nachträglicher Gedanke sind, sondern in die Architektur des Systems eingebaut wurden.

DSGVO-Compliance ist keine einmalige Übung, sondern ein fortlaufender Prozess. Überprüfen Sie regelmäßig, ob Sie noch den Anforderungen entsprechen, insbesondere wenn Sie neue Technologien einführen oder sich Ihre Geschäftsprozesse ändern. Die Checkliste in diesem Artikel gibt Ihnen eine solide Grundlage, um Ihr Selfstorage-Unternehmen datenschutzkonform zu gestalten.

Verwandte Artikel

Selfstorage-Software: Der vollständige Leitfaden

Mehr erfahren →

Vorteile von Zutrittskontrollsystemen für Selfstorage

Mehr erfahren →
Mehr erfahren? Angebot anfordern