Immobilienverband

Es ist soweit: Neues Datenschutzrecht ist anzuwenden

Der 25. Mai 2018 hat offenbar das Zeug zu einem wahren Schicksalstag. Schenkt man den unüberhörbaren Unkenrufen Glauben, tritt er sogar hinter den Tag des Jahrtausendwechsels zurück. Jener Tag, an dem Flugzeuge vom Himmel fallen sollten, weil unsicher war, ob die Mikrochips den Datumswechsel auf das Jahr 2000 verkraften werden. Letztlich ist die Welt nicht im Chaos versunken. So wird es auch am 25. Mai 2018 sein, also dem Tag, ab dem in Europa mit der Datenschutzgrundverordnung ein weitgehend einheitliches Datenschutzrecht (DSGVO) anzuwenden ist. Auch wenn die Aufregung um die neue DSGVO deutlich überzogen ist, bedeutet dies nicht, dass man das neue Datenschutzrecht allzu gelassen nehmen sollte.  Es gibt einige Maßnahmen, die man sofort ergreifen sollte oder besser gesagt, bereits ergriffen haben sollte, da diese weitgehend schon das bisherige Bundesdatenschutzgesetz und seine Nebengesetze vorgesehen haben.

1. Webseite überarbeiten

Enthält eine Internetseite ein Kontaktformular, Social-Media Plugins (facebook etc.) oder werden auf andere Art und Weise  personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich. Da jede Webseite insoweit individuell ist, kann es keine Musterdatenschutzerklärung geben. Es gibt jedoch im Internet einige kostenlose Generatoren, mit denen in wenigen Minuten eine Datenschutzerklärung erstellt werden kann. Fehlt eine Datenschutzerklärung, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig (anders nur OLG Hamburg, Urteil vom 27.06.2013, Az: 3 U 26/12). Zudem muss in der Webseite ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. 

2. IT-Sicherheit

Neben der Webseite sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten verarbeiten (Gesundheitsdaten etc.), Standardmaßnahmen ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Da nicht nur elektronisch gespeicherte Daten geschützt sind, sollte auch ein Aktenvernichter vorhanden sein.

3. Erstellung eines Verzeichnisses über Verarbeitungstätigkeiten

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis findet sich im internen Bereich der Webseite des IVD oder unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrags (Maklervertrag, Verwaltervertrag etc.) oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Im internen Bereich der Webseite des IVD ist ein Musterinformationsblatt hinterlegt, welches ausgefüllt und dem Kunden per Email übersandt werden kann. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den Vertrag und beispielsweise die Provision. 

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Ist dieser erforderlich, kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • Weisungsungebundenheit (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Wird ein regelmäßiger Newsletter versandt, kann dieser an den „alten“ Verteiler weiterhin versendet werden, wenn die E-Mailadressen im Zusammenhang mit einem Geschäft erlangt wurden. Wichtig ist, dass im Newsletter die Möglichkeit geboten wird, den Newsletter ohne viel Aufwand abzubestellen.

8. Ruhe bewahren

Wurden die zuvor genannten Maßnahmen ergriffen, muss sich der Unternehmer mit weiteren Fragestellungen auseinandersetzen. Dies betrifft etwa Fragen der fristgerechten Datenlöschung, eines Löschkonzeptes oder der Verschlüsselung von E-Mails.

Weitere Informationen finden sich in den IVD-Broschüren, die in Zusammenarbeit mit ED Computer erstellt wurden. 

Checkliste

  • Webseite überprüfen – Datenschutzerklärung, SSL-Verschlüsselung
  • IT-Sicherheit – Passwörter einrichten, Benutzerrechte definieren, Softwareaktualisierung, Virenschutz
  • Aktenvernichter anschaffen
  • Erstellung eines Verfahrensverzeichnisses (Muster ivd.net oder gdd.de)
  • Transparenzpflicht – Informationsblatt für Neukunden erstellen (welche Daten werden wofür erhoben)
  • Erforderlichkeit eines Datenschutzbeauftragten prüfen – erforderlich bei Unternehmen, in denen 10 oder mehr Personen laufend personenbezogene Daten verarbeiten

Foto von Dr. Christian Osthus

Dr. Christian Osthus

Stv. Bundesgeschäftsführer, Justitiar

Telefon: 0 30 / 27 57 26 - 0
E-Mail: info@ivd.net

Lupe auf Zeitung
19.08.2019 | IVD | intern

Koalitionsausschuss bringt Wohn- und Mietenpaket mit weiteren umstrittenen Regulierungen auf den Weg

Mehr erfahren
Steuern
13.06.2019 | IVD | Intern, intern

Steuerrecht verhindert Klimaschutz

Verschiedene Vorschriften des Steuerrechts verhindern den Klimaschutz beim Gebäudebestand. Einkommensteuer Zu unterschieden ist in steuerlicher Hinsicht zwischen vermieteten und selbstgenutzten Wohnimmobilien. §...

Mehr erfahren
12.06.2019 | IVD | Intern, intern, intern

Deutscher Immobilientag 2019: Neues IVD - Präsidium sagt weiteren Regulierungsplänen den Kampf an

Jürgen Michael Schick als Präsident einstimmig wiedergewählt Masterplan: Weniger Regulierung, mehr Neubau und mehr Wohneigentum 1.500 Besucher erleben ersten KongresstagDer Immobilienverband...

Mehr erfahren
Politik
07.06.2019 | IVD | Intern, intern, intern

Deutscher Immobilientag 2019: IVD-Präsident Schick warnt vor bundesweitem Mietendeckel

Verschärfung des Mietrechts schadet Mietern und Neubau Grundsteuer darf nicht zur Sondervermögensteuer werden„Wir sind Weltmeister in der Regulierung. Leider sind wir kein Weltmeister im Wohnungsneubau....

Mehr erfahren
28.05.2019 | IVD | Intern, intern, intern

Ein Jahr DSGVO: der Schein trügt

Seit einem Jahr ist die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland rechtsverbindlich. Unternehmen, die personenbezogene Daten erheben und verarbeiten, müssen die DSGVO erfüllen.„Als...

Mehr erfahren

Kommentare sind geschlossen.