Immobilienverband IVD

Die DSGVO-Checkliste: Diese 7 Punkte müssen Sie jetzt beachten!

Ab dem morgigen Freitag, 25. Mai 2018, gilt die europäische Datenschutz-Grundverordnung (DSGVO), die ein in Europa weitgehend einheitliches Datenschutzrecht vorschreibt. Die Verordnung ist zwar bereits seit zwei Jahren in Kraft, allerdings war die Anwendung bisher noch nicht verpflichtend.

„Ab Freitag müssen Unternehmen, die personenbezogene Daten – beispielsweise beim Anlegen eines neuen Kunden - erheben und verarbeiten, die DSGVO erfüllen. Es ist also höchste Zeit, zu prüfen, ob im eigenen Unternehmen alle Verfahren bereits ordnungsgemäß laufen. Sofern das noch nicht der Fall ist, sollten Sie jetzt Last-Minute reagieren und Maßnahmen ergreifen“, sagt Sun Jensch, Bundesgeschäftsführerin des Immobilienverbandes IVD.

Jensch weiter: „Die Verunsicherung in den Unternehmen ist zu spüren. Es sind viele Details und Fragen der DSGVO noch ungeklärt. Mit einem Moratorium durch die Bundesregierung wäre der Wirtschaft geholfen. So könnten die offenen Fragen geklärt werden, beispielsweise bei der Auftragsdatenverarbeitung im Zusammenhang mit der Nutzung von Whats App und anderen Diensteanbietern. Die Unternehmen hätten zudem mehr Zeit für die komplexe Umsetzung der DSGVO.“

Die folgende Checkliste mit zunächst 7 wichtigen Punkten zur Umsetzung der DSGVO soll helfen. Der Datenschutzexperte Eric Drissler unterstützte den IVD bei der Zusammenstellung.

Top-7-Checkliste DSGVO

1. Datenerhebung auf der Website

Wenn auf der Website personenbezogene Daten erhoben werden (mittels eines Kontaktformulars, Social-Media-Plugins, wie Facebook o. ä.), müssen gegebenenfalls mehrere Anpassungen vorgenommen werden: In der Website muss ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein. Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Abmahnungen von Mitbewerbern sind grundsätzlich nicht zulässig. Zudem sollten die Webformulare geprüft werden, ob die darin geforderten Daten notwendig sind.

Es gibt im Internet einige kostengünstige Generatoren, mit deren Hilfe eine Datenschutzerklärung erstellt werden kann (e-recht24.de, Deutsche Gesellschaft für Datenschutz DGD etc.). Sofern hierauf zurückgegriffen wird, besteht die Pflicht, darauf hinzuweisen, dass diese Erklärung mit einem Generator des jeweiligen Anbieters erstellt wurde.

2. IT-Sicherheit

Neben der Website sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten, wie zum Beispiel Gesundheitsdaten verarbeiten, Standardmaßnahmen ausreichend. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein. Tipp: Erstellen Sie eine Übersicht, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung entsprechend vorbereitet zu sein.

3. Verzeichnis über Verarbeitungstätigkeit

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogene Daten wofür verarbeitet werden. Ein Muster für ein derartiges Verzeichnis finden Sie unter Praxishilfen DSGVO auf der Internetseite der Gesellschaft für Datenschutz und Datensicherheit e.V. (www.gdd.de). Das Verzeichnis muss der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Auf den Seiten der gdd.de erhalten Sie ein Musterinformationsblatt dazu.  Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine Auswirkung auf den möglichen Vertrag.

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Es kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • interessenkonfliktfrei (nicht: IT-Beauftragter, Personalabteilung, Geschäftsführung).

7. Newslettermarketing

Haben Sie einen Newsletter, können Sie diesen grundsätzlich weiter an Ihren Bestandskundenverteiler versenden. Voraussetzung sind hierfür geregelt in § 7 Abs. 3 UWG. Unter anderem müssen Sie die E-Mailadresse von der jeweiligen Person im Zusammenhang mit einem Geschäft erhalten haben. Des Weiteren muss bei der Erhebung auf das jederzeitige Widerspruchsrecht hingewiesen worden sein. Sie müssen im Newsletter die Möglichkeit bieten, den Newsletter jederzeit abzubestellen. Sicherheit ist letztlich aber nur gewährleistet, wenn Sie alle Adressaten anschreiben und bitten, ihre Einwilligung noch einmal zu erteilen. Dies ist aus Gründen der Beweissicherheit zu empfehlen. Folgende Voraussetzungen sollten Sie dabei erfüllen:

  • Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig) erfolgen (z. B. mittels Opt-In Checkbox oder Bestellbutton).
  • Die Einwilligung des Adressaten muss protokolliert werden (Logfiles). Zusätzlich könnte zur Beweissicherung das double Opt-In-Verfahren verwendet werden (Opt-In Bestellung + Opt-In mittels Bestätigungsmail, dass Newsletter bestellt werden soll).
  • Der Inhalt der Einwilligungserklärung muss jederzeit für den Adressaten abrufbar sein (Datenschutzerklärung).
  • Zudem muss der Adressat nach § 13 Abs. 3 TMG vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen werden.

Anmerkung: Die Mitglieder des IVD erhalten über den internen Mitgliederbereich (www.ivd.net) alle Informationen und Hilfsmaterialien zur DSGVO.

13 Antworten zu “Die DSGVO-Checkliste: Diese 7 Punkte müssen Sie jetzt beachten!”

  1. Susi Dreyer sagt:

    Kein Kommentar

    • andree sagt:

      Es wird immer komplizierter. Wir ersticken an Verordnungen

    • Anneliese Eberl sagt:

      zu Punkt 5
      die beschriebene Mustervereinbarung habe ich auf der Seite der gdd.de nicht gefunden

      ginge es bitte etwas konkreter als
      …….gdd.de erhalten Sie ein Musterinformationsblatt ….

      bzw können Sie mir dieses Musterinformationsblatt bitte per mail senden ?

      vielen Dank

  2. Claudia Galitz sagt:

    Aufgrund der neuen Richtlinie werden alle diejenigen noch mehr diskriminiert, die nicht online anfragen, sondern einfach anrufen und sich Unterlagen zuschicken lassen möchten. Es ist immobilienwirtschaftlich eigentlich nicht mehr möglich, diesen Interessenten (überwiegend ältere Menschen) Exposés zukommen zu lassen ohne sich rechtlich strafbar zu machen. Geschweige denn seine Provisionsansprüche zu sichern.

  3. Anfrage:
    IVD.net/2018/05/die -dsgvo-checkliste-diese7-punkte-muessen

    Wie erhalte ich diese Liste.
    Ich kann Sie nicht ausdrucken.
    Würden Sie mir diese 7-Punkte Liste faxen an: 02429908364 oder mailen ?

  4. Sehr geehrte Damen und Herren, geschätzte Geschäftspartner, liebe Freunde,
    ja, einverstanden. Die Ernst Leybold KG und ich persönlich sind einverstanden, daß Sie Firmen- und Privatnamen je mit kompletter Anschrift, meine Geburts- und Namenstage, meine Liebe zur Musik und tiefe Abneigung gegen übertriebene Bürokratie in Ihrer EDV speichern. Gehen Sie mit den Daten bitte fair, vernünftig und im beiderseitigen Interesse um. Dafür danke ich Ihnen und wünsche Ihnen neben Ihrer Arbeit für den Datenschutz und zur Abwehr von Abmahnungen noch genügend Zeit für erfolgreiche Geschäfte.
    Ihre Daten bearbeiten wir unter Beachtung der DSCHVO, geben sie nicht an Dritte weiter, halten sie unter Verschluss und löschen, sobald Sie es wünschen. Uns interessiert nur, welche Immobilien Sie kaufen oder verkaufen, mieten oder vermieten möchten. Und wann Sie Geburtstag haben, damit wir Ihnen gratulieren können.
    Wir arbeiten weiter fair und korrekt – wie schon seit 150 Jahren, seit 1866.

    • Robert Geylenberg sagt:

      Sehr geehrter Herr Böing,
      vielen Dank für den erheiternden Beitrag. Damit fängt der Juni mit einem Lächeln an. Auch wir, die Geylenberg Immobiliengesellschaft mbH, gehen so gerne weiter mit Ihren und den Daten der anderen um.

    • Anette sagt:

      Lieber Herr Böing,
      schön dass Sie Ihren Humor nicht verloren haben was heute wirklich schwer ist. Eigentlich müsste jeder von uns ein kleinen Brief an die EU Datenschutz-„Beauftragten“ schrieben und alle am gleichen Tag abschicken um die in Brüssel zum Nachdenken zu zwingen.

  5. Roland B. Keller sagt:

    Der IVD hilft mit alles komplizierter zu machen. Diese Liste ist wertlos,
    da nicht druckbar. Meine Homepage habe ich bereits stillgelegt,
    zum Jahresende werde ich den IVD verlassen. Nach 49 Jahren
    im Immogeschäft verzichte ich auf irgendwelche Punkte die der IVD vergibt nur um Geld zu scheffeln für Seminare.

    • Lutz Fleischhauer sagt:

      Die Liste markieren, dann Strg + P drücken und im Druckmenü „Markierung“ anklicken. Dann „Drucken“ und fertig!
      Eigentlich nicht schwierig…Viel Erfolg!

  6. Stell Dir vor, das völlig unsinnige DSGVO tritt in Kraft und ca. 15.000 Maklerinnen und Makler nehmen nicht daran teil, soll heißen machen nicht mit… und dann noch tausende anderer Gewerbetreibender würden sich anschliesen und auch nicht teilnehmen…. Was wird dann passieren….

  7. Sabine Voigt sagt:

    Wo findet man das unter Pkt. 5 erwähnte „Musterinformationsblatt“?
    Auf der gdd.de-Seite bin ich leider nicht fündig geworden.