Immobilienverband

Es ist soweit: Neues Datenschutzrecht ist anzuwenden

Der 25. Mai 2018 hat offenbar das Zeug zu einem wahren Schicksalstag. Schenkt man den unüberhörbaren Unkenrufen Glauben, tritt er sogar hinter den Tag des Jahrtausendwechsels zurück. Jener Tag, an dem Flugzeuge vom Himmel fallen sollten, weil unsicher war, ob die Mikrochips den Datumswechsel auf das Jahr 2000 verkraften werden. Letztlich ist die Welt nicht im Chaos versunken. So wird es auch am 25. Mai 2018 sein, also dem Tag, ab dem in Europa mit der Datenschutzgrundverordnung ein weitgehend einheitliches Datenschutzrecht (DSGVO) anzuwenden ist. Auch wenn die Aufregung um die neue DSGVO deutlich überzogen ist, bedeutet dies nicht, dass man das neue Datenschutzrecht allzu gelassen nehmen sollte.  Es gibt einige Maßnahmen, die man sofort ergreifen sollte oder besser gesagt, bereits ergriffen haben sollte, da diese weitgehend schon das bisherige Bundesdatenschutzgesetz und seine Nebengesetze vorgesehen haben.

1. Webseite überarbeiten

Enthält eine Internetseite ein Kontaktformular, Social-Media Plugins (facebook etc.) oder werden auf andere Art und Weise  personenbezogene Daten erhoben, ist eine Datenschutzerklärung erforderlich. Da jede Webseite insoweit individuell ist, kann es keine Musterdatenschutzerklärung geben. Es gibt jedoch im Internet einige kostenlose Generatoren, mit denen in wenigen Minuten eine Datenschutzerklärung erstellt werden kann. Fehlt eine Datenschutzerklärung, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig (anders nur OLG Hamburg, Urteil vom 27.06.2013, Az: 3 U 26/12). Zudem muss in der Webseite ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. 

2. IT-Sicherheit

Neben der Webseite sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten verarbeiten (Gesundheitsdaten etc.), Standardmaßnahmen ausreichend. Dazu gehören u.a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Da nicht nur elektronisch gespeicherte Daten geschützt sind, sollte auch ein Aktenvernichter vorhanden sein.

3. Erstellung eines Verzeichnisses über Verarbeitungstätigkeiten

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis findet sich im internen Bereich der Webseite des IVD oder unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrags (Maklervertrag, Verwaltervertrag etc.) oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Im internen Bereich der Webseite des IVD ist ein Musterinformationsblatt hinterlegt, welches ausgefüllt und dem Kunden per Email übersandt werden kann. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den Vertrag und beispielsweise die Provision. 

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Ist dieser erforderlich, kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • Weisungsungebundenheit (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Wird ein regelmäßiger Newsletter versandt, kann dieser an den „alten“ Verteiler weiterhin versendet werden, wenn die E-Mailadressen im Zusammenhang mit einem Geschäft erlangt wurden. Wichtig ist, dass im Newsletter die Möglichkeit geboten wird, den Newsletter ohne viel Aufwand abzubestellen.

8. Ruhe bewahren

Wurden die zuvor genannten Maßnahmen ergriffen, muss sich der Unternehmer mit weiteren Fragestellungen auseinandersetzen. Dies betrifft etwa Fragen der fristgerechten Datenlöschung, eines Löschkonzeptes oder der Verschlüsselung von E-Mails.

Weitere Informationen finden sich in den IVD-Broschüren, die in Zusammenarbeit mit ED Computer erstellt wurden. 

Checkliste

  • Webseite überprüfen – Datenschutzerklärung, SSL-Verschlüsselung
  • IT-Sicherheit – Passwörter einrichten, Benutzerrechte definieren, Softwareaktualisierung, Virenschutz
  • Aktenvernichter anschaffen
  • Erstellung eines Verfahrensverzeichnisses (Muster ivd.net oder gdd.de)
  • Transparenzpflicht – Informationsblatt für Neukunden erstellen (welche Daten werden wofür erhoben)
  • Erforderlichkeit eines Datenschutzbeauftragten prüfen – erforderlich bei Unternehmen, in denen 10 oder mehr Personen laufend personenbezogene Daten verarbeiten

Foto von Dr. Christian Osthus

Dr. Christian Osthus

Stv. Bundesgeschäftsführer, Justitiar

Telefon: 0 30 / 27 57 26 - 0
E-Mail: info@ivd.net

Politik
18.04.2019 | IVD | Intern, intern, intern

IVD-Präsident Schick: Baustaatssekretärin Bohle setzt richtige Akzente

Berlin, 18. April 2019 – „Die derzeitige Lage auf dem deutschen Wohnungsmarkt verlangt einen sachorientierten Blick ohne ideologische Scheuklappen. Anne Katrin Bohle beweist, dass sie diese Eigenschaft...

Mehr erfahren
15.04.2019 | IVD | Intern, intern

IVD-Präsident Schick: Klimaschutz und Wohnungsbau in Einklang bringen

Grundsätzliche Weichenstellungen zum Erreichen der Klimaschutzziele bis 2030 sollen bis zum Jahresende vorgenommen werden. Das erklärte Bundeskanzlerin Angela Merkel am Wochenende in ihrem Video-Podcast. Höhere...

Mehr erfahren
Bild von einer Baustelle am Abend
09.04.2019 | IVD | intern, intern

Bauland muss erschwinglicher werden

Mehr erfahren
Politik
04.04.2019 | IVD | Intern, intern, intern

IVD-Präsident Jürgen Michael Schick: Weder mit Enteignungen noch mit Mietendeckeln werden dringend notwendige Wohnungen gebaut

Berlin, 4. April 2019 – Am kommenden Samstag, 6. April, startet in Berlin die Unterschriftensammlung für das Volksbegehren „Deutsche Wohnen & Co. enteignen“. An demselben Tag findet auch eine...

Mehr erfahren
Schild Achtung
28.03.2019 | IVD | Intern, intern, intern

Pflicht zur Eintragung in Transparenzregister – erste Bußgelder

Mehr erfahren

Kommentare sind geschlossen.