Immobilienverband

Es ist soweit: Neues Datenschutzrecht ist anzuwenden

Der 25. Mai 2018 hat offenbar das Zeug zu einem wahren Schicksalstag. Schenkt man den unüberhörbaren Unkenrufen Glauben, tritt er sogar hinter den Tag des Jahrtausendwechsels zurück. Jener Tag, an dem Flugzeuge vom Himmel fallen sollten, weil unsicher war, ob die Mikrochips den Datumswechsel auf das Jahr 2000 verkraften werden. Letztlich ist die Welt nicht im Chaos versunken. So wird es auch am 25. Mai 2018 sein, also dem Tag, ab dem in Europa mit der Datenschutzgrundverordnung ein weitgehend einheitliches Datenschutzrecht (DSGVO) anzuwenden ist. Auch wenn die Aufregung um die neue DSGVO deutlich überzogen ist, bedeutet dies nicht, dass man das neue Datenschutzrecht allzu gelassen nehmen sollte.  Es gibt einige Maßnahmen, die man sofort ergreifen sollte oder besser gesagt, bereits ergriffen haben sollte, da diese weitgehend schon das bisherige Bundesdatenschutzgesetz und seine Nebengesetze vorgesehen haben.

1. Webseite überarbeiten

Enthält eine Internetseite ein Kontaktformular, Social-Media Plugins (facebook etc.) oder werden auf andere Art und Weise  personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich. Da jede Webseite insoweit individuell ist, kann es keine Musterdatenschutzerklärung geben. Es gibt jedoch im Internet einige kostenlose Generatoren, mit denen in wenigen Minuten eine Datenschutzerklärung erstellt werden kann. Fehlt eine Datenschutzerklärung, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig (anders nur OLG Hamburg, Urteil vom 27.06.2013, Az: 3 U 26/12). Zudem muss in der Webseite ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. 

2. IT-Sicherheit

Neben der Webseite sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten verarbeiten (Gesundheitsdaten etc.), Standardmaßnahmen ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Da nicht nur elektronisch gespeicherte Daten geschützt sind, sollte auch ein Aktenvernichter vorhanden sein.

3. Erstellung eines Verzeichnisses über Verarbeitungstätigkeiten

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis findet sich im internen Bereich der Webseite des IVD oder unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrags (Maklervertrag, Verwaltervertrag etc.) oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Im internen Bereich der Webseite des IVD ist ein Musterinformationsblatt hinterlegt, welches ausgefüllt und dem Kunden per Email übersandt werden kann. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den Vertrag und beispielsweise die Provision. 

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Ist dieser erforderlich, kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • Weisungsungebundenheit (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Wird ein regelmäßiger Newsletter versandt, kann dieser an den „alten“ Verteiler weiterhin versendet werden, wenn die E-Mailadressen im Zusammenhang mit einem Geschäft erlangt wurden. Wichtig ist, dass im Newsletter die Möglichkeit geboten wird, den Newsletter ohne viel Aufwand abzubestellen.

8. Ruhe bewahren

Wurden die zuvor genannten Maßnahmen ergriffen, muss sich der Unternehmer mit weiteren Fragestellungen auseinandersetzen. Dies betrifft etwa Fragen der fristgerechten Datenlöschung, eines Löschkonzeptes oder der Verschlüsselung von E-Mails.

Weitere Informationen finden sich in den IVD-Broschüren, die in Zusammenarbeit mit ED Computer erstellt wurden. 

Checkliste

  • Webseite überprüfen – Datenschutzerklärung, SSL-Verschlüsselung
  • IT-Sicherheit – Passwörter einrichten, Benutzerrechte definieren, Softwareaktualisierung, Virenschutz
  • Aktenvernichter anschaffen
  • Erstellung eines Verfahrensverzeichnisses (Muster ivd.net oder gdd.de)
  • Transparenzpflicht – Informationsblatt für Neukunden erstellen (welche Daten werden wofür erhoben)
  • Erforderlichkeit eines Datenschutzbeauftragten prüfen – erforderlich bei Unternehmen, in denen 10 oder mehr Personen laufend personenbezogene Daten verarbeiten

Foto von Dr. Christian Osthus

Dr. Christian Osthus

Stv. Bundesgeschäftsführer, Justitiar

Telefon: 0 30 / 27 57 26 - 0 E-Mail: info@ivd.net
15.10.2020 | IVD | Intern, intern, intern

WEG-Reform 2020

Update - WEG-ReformDer Bundesrat hat in seiner Plenarsitzung am 9. Oktober 2020 das Gesetz zur Förderung der Elektromobilität und zur Modernisierung des Wohnungseigentumsgesetzes in der Fas

Mehr erfahren
Bild vom Paragrafen
17.09.2020 | IVD | Intern

IVD begrüßt WEG-Reform: Mehr Rechtssicherheit für Verwalter und Eigentümer

„Mit der WEG-Novellierung wird mehr Rechtssicherheit für Verwalter und Eigentümer geschaffen. Außerdem wird die Reform für eine weitere Professionalisierung der Branche sorgen. Das ist ausdr

Mehr erfahren
Bild von sich kreuzenden Wegen
10.09.2020 | IVD | Intern, intern, intern

Ombudsmann Immobilien hilft bei vertraglichen Problemen

Kaufen und Bauen sind komplex. Deshalb kann es dabei auch schon mal Streit geben – mit Baufirmen, Immobilienmaklern oder -verwaltern. Weil solche Auseinandersetzungen aber immer Zeit und Geld k

Mehr erfahren
09.09.2020 | IVD | Intern, intern, intern

Empfehlung des IVD im Umgang mit dem Coronavirus

Regionale Regelungen zur Lockerung der Corona-EindämmungsmaßnahmenWir haben hier für Sie eine Übersicht über die aktuellen Allgemeinverfügungen und Verordnungen der Bundesländer mit Stand 15

Mehr erfahren
Nahaufnahme Vertragsunterzeichnung
07.09.2020 | IVD | intern

Novellierung des Wertermittlungsrechts

Das Bundesinnenministerium plant, die bisherige Immobilienwertermittlungsverordnung von 2010 und die verschiedenen Richtlinien (Bodenrichtwertrichtlinie, Sachwertrichtlinie, Vergleichswertrichtlini

Mehr erfahren