Seit nun etwas mehr als einem Jahr ist die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland rechtsverbindlich – und auch knapp ein Jahr nach dem Start ist die Verunsicherung in der Immobilienbranche noch recht groß. Aber besonders die Unternehmen dieser Branche, die viele personenbezogene Daten erheben und verarbeiten, müssen die DSGVO erfüllen. Dabei ist die oft herrschende Unsicherheit ist weitestgehend unbegründet. Denn wenn man sich an die Regeln hält, ist das Thema EU-DSGVO keines, vor dem man bange sein muss. Was gilt es also zu beachten und was muss umgesetzt werden? Weil die Frage auch heute häufig noch im Raum steht, fassen wir die wichtigsten Eckdaten in folgendem Artikel noch einmal zusammen.
Bisher unbegründete Sorge vor Abmahnwelle
Der Umgang mit personenbezogenen Daten gehört zum Arbeitsalltag von Immobilienunternehmen. Die Sorge vor Abmahnwellen und hohen Bußgeldern war in der Branche also groß – hat sich glücklicherweise aber bisher als unbegründet erwiesen. Laut IVD wurden in Deutschland bislang lediglich in 81 Fällen ein Bußgeld wegen Verstoßes gegen die DSGVO verhängt. „Wettbewerbsrechtliche Abmahnungen sind die Ausnahme, da in der Rechtsprechung noch umstritten ist, ob Verstöße gegen die DSGVO von Mitbewerbern überhaupt abgemahnt werden können“, so Dr. Christian Osthus, IVD-Rechtsexperte und stellvertretender Bundesgeschäftsführer. Die in den Mitgliedsstaaten für die Anwendung und Aufsicht zuständigen Datenschutzbehörden handhaben die Auslegung der DSGVO aufgrund großer Spielräume sehr unterschiedlich.
Sensibilität für Datensicherheit immer wichtiger
Unternehmen, die aber glauben, man müsse der DSGVO deshalb weniger Beachtung schenken, irren. Denn Beschwerden und Anzeigen gibt es wohl zur Genüge – laut Bericht des Bundesdatenschutzbeauftragten hat sich die Anzahl eingereichter Beschwerden und Meldungen von Datenschutzverstößen verdreifacht. Waren es 2017 noch rund 4.500 Beschwerden und Meldungen, wurden zwischen dem 25. Mai 2018 und dem 30. April 2019 fast 15.000 Eingaben gezählt. Ein Beleg dafür, dass die Sensibilität für Datensicherheit auf Seiten der betroffenen Personen, deren Daten erhoben wird, steigt. Auch Immobilienunternehmen sollten daher mit Blick auf die EU-DSGVO vorsichtig im Umgang mit personenbezogenen Daten sein.
Kein Unternehmen bleibt verschont
Auch unser Unternehmen wird regelmäßig dazu aufgefordert, Auskunft über vorhandene personenbezogene Daten zu geben oder derartige Daten zu löschen. Digitale Lösungen helfen uns dabei, diesen Anforderungen gerecht zu werden. Bei uns sind das beispielsweise CRM-Systeme (Customer Relationship Management Systeme), mit denen wir eine systematische und strukturierte Pflege personenbezogener Daten abbilden können – die integrierten Möglichkeiten zur Kontakt- und Datenpflege ermöglichen dabei die komplette Kontrolle.
Hilfreiche Systeme für die Immobilienwirtschaft
Auch für die Immobilienwirtschaft gibt es Systeme, mit denen sie die EU-DSGVO recht unproblematisch abbilden kann. Mithilfe von Softwarelösungen für das Immobilienmanagement werden die Unternehmen der Immobilienbranche den EU-DSGVO Anforderungen gerecht – so bildet die Software beispielsweise die Suche nach Daten für Auskunftspflicht, die Anonymisierung und die unkomplizierte Löschung von Personendaten problemlos ab. Zudem können unterstützend noch weitere Lösungen, wie beispielsweise ein digitales Dokumentenmanagementsystem eingesetzt werden – denn was ist mit Dokumenten, die sich außerhalb bestimmter Management-Software oder außerhalb von ERP-Lösungen irgendwo auf einer Festplatte befinden? Beispielsweise verstecken sich gespeicherte E-Mails, Dokumente mit Adressen oder Bankverbindungen und viele weitere Daten oft tief im IT-System.
Was passiert also, wenn jemand bei einem Immobilienunternehmen anfragt, welche personenbezogenen Daten es verarbeitet oder/und es auffordert, diese zu löschen? Die Verantwortlichen müssen Dokumente, E-Mails oder Unterlagen aufwendig suchen, um auskunftsfähig zu sein oder diese letzten Endes umständlich zu vernichten. Oder auch nicht. Denn dank heute möglichen tiefen Integrationen von Dokumentenmanagement Systemen in eine Softwarelösung für das Immobilienmanagement gibt es effektive Möglichkeiten, um die Anforderung der EU-DSGVO einzuhalten. Integrierte Datenschutzmodule in den Softwarelösungen sind dabei vollständig mit dem digitalen Dokumentenmanagement verknüpft. Die Anonymisierung der Indexbegriffe von Dokumenten und die Löschung der Dokumente im Dokumentenmanagementsystem werden nach der im Datenschutzmodul eingestellten Logik zuverlässig und zentral durch die Management-Software gesteuert. Damit findet man jeden noch so verborgenen Datensatz im genutzten IT-System.
Wichtige Punkte bei der Umsetzung der EU-DSGVO
Aber auch wenn es mit den erwähnten Lösungen leichter fällt, die EU-DSGVO umzusetzen, gibt es einige Punkte, die es zu beachten gilt. So sollte auch ein Jahr nach der Einführung der EU-DSGVO überprüft werden, ob die bislang getroffenen Maßnahmen genügen. Die folgenden Punkte zur Umsetzung der DSGVO sollen dabei helfen und den Unternehmern Sicherheit geben.
Datenerhebung auf der Website
Wenn auf einer Website mittels eines Kontaktformulars oder Social-Media-Plugins personenbezogene Daten erhoben werden, sollten mehrere Anpassungen vorgenommen werden:
In der Website sollte zur Sicherheit ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden.
Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein (§ 13 Telemediengesetz). Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Auch wenn die DSGVO keine eindeutige Regelung zu Cookie-Bannern vorsieht, ist es sinnvoll ein solches in die Website einzubinden. Denn Cookies sind datenschutzrechtlich relevant, wenn diese personenbezogene Daten darstellen. Zudem sollten die Web- bzw. Kontaktformulare geprüft werden, ob die darin geforderten Daten notwendig sind.
IT-Sicherheit
Neben der Website sollte auch die übrige IT sicher sein. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Für die Datenvielfalt, die in vielen Immobilienunternehmen vorhanden ist, empfehlen sich zudem digitale Lösungen für das Immobilienmanagement, mit denen man personenbezogenen Daten effektiv finden und gegebenenfalls löschen kann.
Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein.
Datenerhebung nur noch aufgrund einer Rechtsgrundlage
Im Zusammenhang mit der EU-DSGVO heißt es häufig, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist – das ist nur in Teilen korrekt. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.
Verzeichnis über Verarbeitungstätigkeit
Sinnvoll ist ein Verzeichnis über Verarbeitungstätigkeiten der gesammelten Daten. Darin sollte festgehalten werden, inwiefern und welche personenbezogenen Daten wofür verarbeitet werden. Bei Nachfrage müssen diese Verzeichnisse den Behörden vorgelegt werden können – Kunden haben hierauf keinen Anspruch. Um die Übersichtlichkeit zu gewährleisten, sollte für jede Tätigkeit (z. B. Umgang mit Kunden, Dienstleistern, Bewerbern und Personal) ein eigenes Verzeichnis erstellt werden. Benötigte Muster lassen sich problemlos im Internet finden.
Transparenz herstellen
In einer Datenschutzerklärung/-vereinbarungen müssen neue Kunden darüber informiert werden, welche Daten wofür gespeichert werden – dies erfolgt in einer abstrakten Darstellung. Der Erhalt der Vereinbarung muss nicht zwingend gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine zivilrechtlichen Auswirkungen auf den möglichen Vertrag. Im Web finden sich Musterinformationsblätter – sicherer ist es, jedoch einen Experten mit der Erstellung zu beauftragen.
Erforderlichkeit eines Datenschutzbeauftragten prüfen
Wenn zehn oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind ist ein Datenschutzbeauftragter erforderlich. Für diesen Zweck kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl des Unternehmens auf einen internen Mitarbeiter, sollten einige Voraussetzungen erfüllt sein. So sollte der Mitarbeiter eine gewisse berufliche Qualifikation und das nötige Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis mitbringen – dabei helfen gegebenenfalls Lehrgänge, um sich die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben anzueignen.
Regeln einhalten und mit digitalen Lösungen unterstützen
Sind diese Punkte ordentlich umgesetzt, sollten Unternehmen der Immobilienbranche auf der sicheren Seite bei der Umsetzung aller Anforderungen der EU-DSGVO sein und sorglos die für ihr Geschäft so wichtigen personenbezogenen Daten verarbeiten können. Digitale Lösungen können zusätzlich dabei unterstützen, die gesetzlichen Richtlinien umzusetzen und gegenüber Kunden schnell auskunftsfähig zu sein.
