Immobilienverband IVD

Es ist soweit: Neues Datenschutzrecht ist anzuwenden

Der 25. Mai 2018 hat offenbar das Zeug zu einem wahren Schicksalstag. Schenkt man den unüberhörbaren Unkenrufen Glauben, tritt er sogar hinter den Tag des Jahrtausendwechsels zurück. Jener Tag, an dem Flugzeuge vom Himmel fallen sollten, weil unsicher war, ob die Mikrochips den Datumswechsel auf das Jahr 2000 verkraften werden. Letztlich ist die Welt nicht im Chaos versunken. So wird es auch am 25. Mai 2018 sein, also dem Tag, ab dem in Europa mit der Datenschutzgrundverordnung ein weitgehend einheitliches Datenschutzrecht (DSGVO) anzuwenden ist. Auch wenn die Aufregung um die neue DSGVO deutlich überzogen ist, bedeutet dies nicht, dass man das neue Datenschutzrecht allzu gelassen nehmen sollte.  Es gibt einige Maßnahmen, die man sofort ergreifen sollte oder besser gesagt, bereits ergriffen haben sollte, da diese weitgehend schon das bisherige Bundesdatenschutzgesetz und seine Nebengesetze vorgesehen haben.

1. Webseite überarbeiten

Enthält eine Internetseite ein Kontaktformular, Social-Media Plugins (facebook etc.) oder werden auf andere Art und Weise  personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich. Da jede Webseite insoweit individuell ist, kann es keine Musterdatenschutzerklärung geben. Es gibt jedoch im Internet einige kostenlose Generatoren, mit denen in wenigen Minuten eine Datenschutzerklärung erstellt werden kann. Fehlt eine Datenschutzerklärung, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig (anders nur OLG Hamburg, Urteil vom 27.06.2013, Az: 3 U 26/12). Zudem muss in der Webseite ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. 

2. IT-Sicherheit

Neben der Webseite sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten verarbeiten (Gesundheitsdaten etc.), Standardmaßnahmen ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Da nicht nur elektronisch gespeicherte Daten geschützt sind, sollte auch ein Aktenvernichter vorhanden sein.

3. Erstellung eines Verzeichnisses über Verarbeitungstätigkeiten

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis findet sich im internen Bereich der Webseite des IVD oder unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrags (Maklervertrag, Verwaltervertrag etc.) oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Im internen Bereich der Webseite des IVD ist ein Musterinformationsblatt hinterlegt, welches ausgefüllt und dem Kunden per Email übersandt werden kann. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den Vertrag und beispielsweise die Provision. 

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Ist dieser erforderlich, kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • Weisungsungebundenheit (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Wird ein regelmäßiger Newsletter versandt, kann dieser an den „alten“ Verteiler weiterhin versendet werden, wenn die E-Mailadressen im Zusammenhang mit einem Geschäft erlangt wurden. Wichtig ist, dass im Newsletter die Möglichkeit geboten wird, den Newsletter ohne viel Aufwand abzubestellen.

8. Ruhe bewahren

Wurden die zuvor genannten Maßnahmen ergriffen, muss sich der Unternehmer mit weiteren Fragestellungen auseinandersetzen. Dies betrifft etwa Fragen der fristgerechten Datenlöschung, eines Löschkonzeptes oder der Verschlüsselung von E-Mails.

Weitere Informationen finden sich in den IVD-Broschüren, die in Zusammenarbeit mit ED Computer erstellt wurden. 

Checkliste

  • Webseite überprüfen – Datenschutzerklärung, SSL-Verschlüsselung
  • IT-Sicherheit – Passwörter einrichten, Benutzerrechte definieren, Softwareaktualisierung, Virenschutz
  • Aktenvernichter anschaffen
  • Erstellung eines Verfahrensverzeichnisses (Muster ivd.net oder gdd.de)
  • Transparenzpflicht – Informationsblatt für Neukunden erstellen (welche Daten werden wofür erhoben)
  • Erforderlichkeit eines Datenschutzbeauftragten prüfen – erforderlich bei Unternehmen, in denen 10 oder mehr Personen laufend personenbezogene Daten verarbeiten

Foto von Dr. Christian Osthus

Dr. Christian Osthus

Leiter Abteilung Recht

Telefon: 0 30 / 27 57 26 - 0
E-Mail: info@ivd.net

Lupe auf Zeitung
21.02.2019 | Immobilienverband IVD | Intern, intern, intern

So argumentiert der IVD für seine Mitglieder im Deutschen Bundestag – ein Beispiel aus der täglichen Lobbyarbeit

Der IVD Bundesverband bringt sich grundsätzlich in alle Gesetzgebungsverfahren ein, die für seine Mitglieder von Interesse sind. Dies geschieht in vielfältiger Weise. So werden beispielsweise gezielt...

Mehr erfahren
Ein Foto von einem Mann, der etwas im Gesetzesbuch sucht
19.02.2019 | Immobilienverband IVD | Intern

Die Auswirkung des Mindestlohns auf geringfügige Beschäftigungsverhältnisse

Seit dem 1. Januar 2019 haben Arbeitnehmer einen Anspruch auf ein Mindestarbeitsentgelt von 9,19 EURO brutto je Zeitstunde. Ausnahmen bestehen u. a. für Praktikanten (§ 22 MiLoG), Jugendliche, ehrenamtliche...

Mehr erfahren
Bild vom Wohnhaus, Backstein
12.02.2019 | Immobilienverband IVD | Intern, intern, intern

IVD-Präsident Schick: Vertragliche Sozialbindung bis zum Sankt-Nimmerleins-Tag nicht zielführend

Immobilienunternehmen können im öffentlich geförderten sozialen Wohnungsbau nicht unbefristet zum Angebot von Sozialwohnungen verpflichtet werden. Das entschied heute der Bundesgerichtshofs (BGH) in...

Mehr erfahren
24.01.2019 | Immobilienverband IVD | Intern, intern, intern

Verlängerung der Mietpreisbremse nicht zielführend – Länder sollten Kommunen in die Pflicht nehmen

Bundesjustizministerin Katarina Barley. Copyright: BMJV/Thomas Koehler/photothek Justizministerin Katarina Barley (SPD) äußerte heute Medien gegenüber, dass sie die Mietpreisbremse auch über 2020...

Mehr erfahren
23.01.2019 | Immobilienverband IVD | intern

„Ich muss mich kümmern!“ - 3 Fragen an Bärbel Falkenberg-Bahr

Mehr erfahren

Kommentare sind geschlossen.