Die Datenschutz-Grundverordnung tritt ab dem 25. Mai 2018 in Kraft und bringt neue Vorgaben mit sich. Sie soll das europäische Datenschutzniveau vereinheitlichen. Auch Maklerunternehmen, die in vielfältiger Hinsicht mit personenbezogenen Daten arbeiten, sind von den Vorschriften der DSGVO nicht ausgenommen.
Alle Informationen, die sich auf identifizierte Personen beziehen, sind als personenbezogene Daten betroffen. Arbeiten Sie mit diesen Daten zur Erstellung von Angeboten, Organisieren von Terminen oder speichern Sie diese Daten in Datenbanken, führen Sie eine Verarbeitung durch. Das gilt für automatisierte wie auch von Hand geführte Verarbeitungen.
Ab dem genannten Stichtag müssen erhebliche neue Verpflichtungen umgesetzt werden. Die Datenschutz-Grundverordnung sieht bei Nichtbeachtung empfindliche Geldbußen vor.
Der Datenschutzbeauftragte für die DSGVO
Hat die Datenverarbeitung in Ihrem Unternehmen eine bestimmte Größe erreicht, ist in der Regel die Bestellung eines Datenschutzbeauftragten erforderlich. Neu ist hierbei, dass in der Regel mindestens 10 Personen mit diesem Thema beschäftigt sein müssen. Oftmals sind Maklerunternehmen kleiner aufgestellt, auf die Berufung eines Datenschutzbeauftragten kann somit oftmals verzichtet werden. Eine ausführliche, individuelle Recherche ist jedoch in jedem Fall empfehlenswert.
Die Informationspflichten laut DSGVO
Neben der Bekanntgabe des Zwecks der erhobenen Personendaten ist auch darauf hinzuweisen wie diese Daten verarbeitet und genutzt werden. Auch ein Hinweis auf eine Widerrufsmöglichkeit muss gegeben sein. Der Betroffene muss auch darüber informiert werden wenn seine Daten bei Dritten, bei Maklerunternehmen können das die bekannten Immobilienplattformen sein, erhoben werden.
Gegebenenfalls müssen dem Kunden die Kontaktdaten des Datenschutzbeauftragten, sofern dieser bestellt werden muss, bekannt gegeben werden. Des Weiteren ist das berechtigte Interesse, zum Beispiel die Erstellung von Immobilienangeboten, die Empfänger und Kategorien der Daten zu nennen. Selbstverständlich besteht das Recht auf Auskunft oder Löschung der Daten. Diese Informationen sollen verständlich und leicht zugänglich den Kunden zur Verfügung stehen.
Wichtig ist noch zu erwähnen, dass grundsätzlich nur Daten erhoben werden sollen, die zur Zweckerreichung erforderlich sind. Auf überflüssige Daten soll grundsätzlich aus Gründen der Datensparsamkeit verzichtet werden.
Das Verfahrensverzeichnis
Die Erstellung eines Verfahrensverzeichnisses stellt sicher für viele Unternehmen eine nicht leicht zu lösende Aufgabe dar. In diesem Verzeichnis sind alle Prozesse, bei denen mit personenbezogenen Daten gearbeitet wird, aufzuzählen. Dabei sind neben dem Zweck die Kategorie der erfassten und entsprechende Berechtigungen für den Zugriff aufzuführen. Auch Löschungszeitpunkte sind hier anzugeben. Des Weiteren sollten technische und organisatorische Maßnahmen beschrieben werden. Eine Risikoanalyse gehört ebenfalls zu den geforderten Dokumenten. Dieses Verfahrensverzeichnis muss von Unternehmen mit mehr als 250 Beschäftigten erstellt werden. Erfolgt die Verarbeitung der Daten allerdings regelmäßig, muss unabhängig von der Beschäftigtenzahl, dieses Verzeichnis erstellt werden. Das trifft sicher in den meisten Fällen auch auf Maklerunternehmen zu.
Die Risikoanalyse
Die Datenschutz-Grundverordnung hat sich zum Ziel gesetzt, den Schutz der personenbezogenen Daten ständig zu verbessern. Aus diesem Grund sollten die Betriebe ihre Maßnahmen und Verzeichnisse aktualisieren und wenn nötig, Maßnahmen zur Verbesserung des Datenschutzes ergreifen.
Technisch/organisatorische Maßnahmen, kurz TOM
Organisatorische und technische Maßnahmen sollen zum Schutz personenbezogener Daten im Unternehmen vorhanden sein. Die TOM´s richten sich nach dem Zweck, der Art und dem Umfang der zu verarbeitenden Daten. Dabei sollte die Vertraulichkeit und natürlich auch die Wiederherstellung nach einem Datenverlust geregelt sein. Die Wirksamkeit der TOM´s sollte regelmäßig überprüft werden. Auch technische Maßnahmen, die die IT Infrastruktur betreffen, sowie Schulungen der Mitarbeiter sind zu beschreiben und zu dokumentieren.
Die Meldepflichten nach DSGVO
Sollten Datenschutzverletzungen vorgekommen sein, sind diese innerhalb von 72 Stunden den Behörden zu melden. Dies könnte passieren, wenn der firmeneigene Server durch Fremdeingriffe nicht mehr sicher ist und es möglicherweise zu einem Datendiebstahl gekommen ist.
Fazit der DSGVO für Maklerunternehmen
Wir haben in diesem kurzen Blog versucht, die wichtigsten Punkte der auf alle Maklerunternehmen zukommenden Datenschutz-Grundverordnung etwas zu durchleuchten. Viele der hier angesprochenen Themen sind im unserem Unternehmen bereits umgesetzt, Sie können also Ihre Daten bei der Suche Ihrer neuen Gewerbeimmobilie in sicheren Händen wissen. Arbeiten Sie mit einem Makler zusammen, sollten Sie dieses Thema ansprechen. Es ist ihr gutes Recht!