Datenschutz-Grundverordnung Grafil mit Datum und EU-Sternen

Die neue EU-Datenschutz-Grundverordnung: Tipps für Immobilienmakler

Jetzt wird es Zeit… Die neue Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 für alle Unternehmen verbindlich. Dann ist der neue Datenschutz in den jeweiligen Mitgliedstaaten anzuwenden. Vor allem die Verbraucherrechte sollen mit der Datenschutz-Grundverordnung gestärkt werden. In der Praxis stellen die strengeren Regulierungen viele Unternehmen jedoch vor erhebliche Herausforderungen.

Was müssen speziell Immobilienmakler über die neue Datenschutz-Grundverordnung wissen? Welche Vorbereitungen müssen sie jetzt treffen? Wie wird die neue Verordnung berufliche Abläufe beeinflussen? Im HAUSGOLD Interview stellt Rechtsanwältin Kerstin Beneke die neue Datenschutz-Grundverordnung vor und gibt praktische Tipps. Dabei konzentriert sich die Anwältin vor allem auf Selbstständige, kleine und mittelständische Unternehmen, damit sie einen leichteren Einstieg in die umfassende Verordnung finden.

Für wen gilt die neue Datenschutz-Grundverordnung?

Die neue DSGVO betrifft unmittelbar alle Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt in der EU richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.

Ab wann gilt die Grundverordnung?

Die DSGVO wird nach einer zweijährigen Übergangszeit am 25.05.2018 in der gesamten EU für die Unternehmen direkt gültig und rechtswirksam, die mit personenbezogenen Daten arbeiten. Ab diesem Datum gelten strengere Regeln für den Umgang mit personenbezogenen Daten und härtere Strafen bei Verstößen. Waren es bisher maximal 300.000 Euro, so kann es nun bis zu 20 Millionen Euro Geldbuße oder 4 % des weltweiten Jahresumsatzes kosten.

Was sind personenbezogene Daten und wann fallen sie an?

Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie z.B. der Name, der Wohnort, die E-Mail-Adresse oder die Telefonnummer, aber auch Daten über die eine Identifizierung indirekt möglich ist wie z.B. eine Kunden- oder Mitarbeiternummer.

Darf man dann künftig gar keine Daten mehr speichern?

Doch, aber jegliche Art von Datenverarbeitung ist weiterhin nur zulässig, wenn entweder eine Rechtsvorschrift dies zulässt oder eine Einwilligung der betroffenen Person vorliegt. Es dürfen nur die Daten gemäß § 28 Abs. 1 Nr. 1 BDSG erhoben werden, wenn und soweit dies für die Begründung und Abwicklung eines Vertrages erforderlich ist. Um dem Kunden beispielsweise ein Exposé zu übersenden, dürfen der Name zur Identifikation und Kontaktdaten wie die Postanschrift oder E-Mail-Adresse erfragt werden. Das ist nichts Neues.

Was müssen Makler berücksichtigen, wenn sie Adressdaten an Dritte weitergeben, zum Beispiel, wenn Sie die Adresse eines potentiellen Immobilienkäufers an den Verkäufer übergeben?

Die Feststellung der Identität des Verkäufers und des Kaufinteressenten ist beim Immobilienkauf durch das Geldwäschegesetz vorgeschrieben. Diese Daten dürfen weitergegeben werden. Beachten Sie bei der Erhebung der Daten von dem Kaufinteressenten den Grundsatz der Datensparsamkeit. Verlangen Sie nur diejenigen Daten, die in dem jeweiligen Stadium des Prozesses für den Verkäufer erforderlich sind. Gleiches gilt für die Weitergabe von personenbezogenen Daten.

Ohne gesetzlicher Grundlage bedarf es immer einer Einwilligungserklärung. Die Einwilligungserklärung muss in Deutschland in verständlicher, leicht zugänglicher Form, in klarer und einfacher deutscher Sprache sein. „Verstecken“ Sie sie nicht in den AGBs oder in der Datenschutzerklärung, denn sie sollte davon getrennt sein. Da hier Ihre Visibilität und Angreifbarkeit hoch ist, schützen Sie sich und überprüfen Sie hier nochmals Ihre Webseite und die Einwilligungserklärung.

Wer ist für den Datenschutz in einem Unternehmen verantwortlich?

Datenschutz ist Chefsache! Als „Verantwortlicher“ gilt nach der Definition des Artikel 4 der DSGVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Dazu gehört auch sicherzustellen, dass die Mitarbeiter in Datenschutzfragen geschult werden und die IT-Sicherheit in Unternehmen durch geeignete Zugriffskonzepte und Verschlüsselungen für Ihre Hard- und Software gewährleistet ist. Schon einfache Maßnahmen wirken. Ordnen Sie im ersten Schritt an, dass alle Laptops verschlüsselt werden. Verliert ein Mitarbeiter seinen Firmenlaptop mit zahlreichen Kundendaten, schützt schon ein simples Display-Passwort vor größeren Datenschutzproblemen. Weitere Sicherheitsprogramme, die Sie auf den Laptops installieren, bieten erweiterten Schutz. Das muss nicht teuer sein. Es gibt hierfür auch gute kostenlose Tools, damit Unbefugte keinen einfachen Zugriff auf Ihren Laptop haben.

Oft fällt im Zusammenhang mit der neuen DSGVO der Begriff Rechenschaftspflicht. Was ist darunter genau zu verstehen?

Die DSGVO verpflichtet die Verantwortlichen, Rechenschaft über ihren Umgang mit personenbezogenen Daten ablegen zu können. Wie sie das machen, steht nicht in der Verordnung. Wichtig ist, dass die Anforderungen umgesetzt werden und jemand im Zweifel „seinen Kopf dafür hinhalten“ muss. Kleine Unternehmen können diese Pflicht relativ leicht erfüllen, indem sie ein Verarbeitungsverzeichnis mit zusätzlichen, für den Vorgang relevante Informationen erstellen. Wer in Zukunft keinerlei Dokumentation (schriftlich oder elektronisch) vorweisen kann, hat ein Problem.

Wie lange dürfen Unternehmen Daten speichern?

Es gilt der Grundsatz der Transparenz, der Datensparsamkeit und des Rechts auf Vergessenwerden. Der Vorratsdatenspeicherung setzt Artikel 5 der DSGVO klare Grenzen: personenbezogene Daten dürfen nur so lange gespeichert werden, wie man sie nachvollziehbar für den Verwendungszweck braucht. Selbstverständlich gibt es daneben etwa steuerliche Aufbewahrungspflichten von zehn Jahren, die einzuhalten sind.

Welche Rechte haben Personen künftig, um den Missbrauch ihrer Daten zu verhindern?

Grundsätzlich haben Betroffene jederzeit das Recht auf Auskunft und ihre Einwilligung zur Nutzung der Daten zu widerrufen oder einzuschränken. Personen haben weiterhin das Recht, Daten löschen („Recht auf Vergessenwerden“) oder berichtigen zu lassen. Neu ist, dass Sie künftig als Verantwortlicher nach Artikel 12 DSGVO innerhalb eines Monats dafür sorgen müssen. Tun Sie dieses nicht, kann der Betroffene sich bei der Aufsichtsbehörde beschweren und ein Bußgeld droht. Seien Sie vorbereitet!

Was empfehlen Sie als Anwältin (Makler-)Unternehmen?

Aufgrund der fortschreitenden Zeit empfehle ich Ihnen, mit einem Blick von Außen auf Ihr Unternehmen zu beginnen. Wo stehen Sie und wo sind Sie angreifbar? Konkret überprüfen Sie bitte Ihr Kontaktformular auf der Webseite. Checken Sie auch, ob die Datenschutzerklärung die Anforderungen erfüllt. Erfüllen Sie Ihre Informationspflichten? Ist die Einwilligungserklärung leicht und verständlich in deutscher Sprache? Wo speichern Sie Ihre Daten? An wen geben Sie welche Daten weiter?

Zur ersten Statusanalyse empfehle ich Ihnen den Fragebogen des Bayrischen Landesamtes für Datenschutz. 

Welche abschließenden Tipps können Sie noch geben?

Testen Sie die Auskunftserteilung an betroffene Personen in einer Art „Feuerwehrübung“. Sind Sie nicht in der Lage, die Daten schnell und vollständig zusammenzuführen, um eine vollständige Auskunft zu erteilen, besteht Optimierungsbedarf. Es könnte sonst aufgrund der neuen Datenschutz-Grundverordnung zu einer folgenschweren Beschwerde bei der Aufsichtsbehörde kommen.

Notieren Sie sich jeden Handlungsbedarf und wägen Sie im Rahmen einer Risikoprüfung ab, welche technischen und organisatorischen Maßnahmen Sie nach und nach abarbeiten sollten. Wer ganz sichergehen will die Risiken zu bewältigen, setzt auf professionelle Unterstützung durch einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten.

 

Zur Person:

Kerstin Beneke ist Inhaberin von Be | Legal Anwaltskanzlei Beneke in Düsseldorf und Expertin sowohl für Arbeitsrecht, Personalmanagement als auch für Datenschutz und IT Security.  Neben ihrer Zulassung als Rechtsanwältin vor 15 Jahren trägt Kerstin Beneke seit 2006 auch den Titel „Fachanwältin für Arbeitsrecht“. Frau Beneke bietet die Beratung und Unterstützung von sich gründenden oder kleinen Unternehmen in den Bereichen HR & IT Compliance an.