Sprungmarken

Inhaltsbereich

Aussitzen wird nicht funktionieren: die wichtigsten Schritte zur DSGVO-Konformität

Früh angekündigt, lange verdrängt, zitternd erwartet. Und nun, am 25. Mai 2018, war sie endlich da: die DSGVO, die europäische Datenschutzgrundverordnung, das Gesetz, das die Immobilienwirtschaft dauerhaft verändern könnte. Das Ziel: die Rechte der Bürger an ihren Daten stärken und Datenkraken wie Google und Facebook in ihrer Sammeltätigkeit einschränken. Das Mittel: hohe Bußgelder für Datenschutzverletzungen. Die Konsequenz: große Unsicherheit quer durch alle Branchen. Die Immobilienwirtschaft war als Verarbeiter einer Vielzahl personenbezogener Daten stark betroffen. Und heute, gut vier Monate später? Wie hat die Immobilienbranche reagiert? Und was ist noch zu tun?

Die Immobilienbranche verarbeitet große Mengen personenbezogener und sensibler Daten. Vor allem zu Mietinteressenten und Mietern sowie Kaufinteressenten und Eigentümern liegen in der Regel äußerst umfassende Datensätze vor. Damit betrifft die DSGVO ihr Kerngeschäft. Angetrieben durch die prominente Berichterstattung in den Tages- und Fachmedien breitete sich 2017 deshalb eine große Unsicherheit aus. Die drohenden Bußgelder von bis zu vier Prozent des weltweiten Unternehmensumsatzes beziehungsweise 20 Millionen Euro taten ihr Übriges.

Starker Handlungswille, schlechte Quellenlage

Bei vielen Firmen entwickelte sich aus dieser Gemengelage ein starker Wille zu handeln und DSGVO-Konformität umzusetzen. Doch es offenbarte sich als enorm schwierig, an zuverlässige Informationen zu gelangen, welche konkreten Schritte unternommen werden müssen: Für Nicht-Juristen ist es kaum möglich, alle für sie relevanten Informationen aus der DSGVO zusammenzutragen. Die DKB Service, Anbieter von DKB@win, einer Softwarelösung für die Immobilienwirtschaft auf SAP-Basis, hat sich daher intensiv mit der DSGVO und dem Lösen datenschutzrechtlicher Probleme für die Immobilienwirtschaft beschäftigt.

Keine Rechtssicherheit, keine Entwarnung

Bis heute gibt es zahlreiche offene Fragen, zu denen nicht einmal Rechtsanwälte eindeutige Antworten liefern können. Das heißt: Aktuell gibt es keine Rechtssicherheit. Dennoch hat sich die Stimmung innerhalb der Branche beruhigt, da bisher keine Sensationsbußgelder verhängt wurden und die Politik sich beschwichtigend geäußert hat. So erklärte die EU-Justizkommissarin Věra Jourová im Mai: „Wir versuchen, die Panik zu verringern." Es wäre jedoch ein großer Fehler, dies als Grund zu nehmen, sein Unternehmen nicht an die neuen Datenschutzstandards anzupassen. Denn sicher ist: Notorische Datenschutzsünder werden mit hoher Wahrscheinlichkeit mit Bußgeldern belegt werden – dafür werden die Aufsichtsbehörden der Länder Sorge tragen. Sie sind dafür verantwortlich, die Einhaltung der DSGVO zu überprüfen.

Was zu tun ist

Was müssen immobilienwirtschaftliche Unternehmen also tun, um sich abzusichern? Wenn noch nicht geschehen, sollten sie zentrale Anforderungen der DSGVO schnellstmöglich erfüllen. Im Folgenden finden sich die wichtigsten Schritte auf dem Weg zur DSGVO-Konformität – ihre Erfüllung ist jedoch nur ein Anfang und reicht langfristig nicht aus. Sie ersetzt nicht die intensive Beschäftigung mit der Thematik, eine eventuelle Rechtsberatung und die vollständige Umsetzung der Verordnung.
Die Schritte lassen sich in klar definierte Aufgaben und Veränderungen der internen Prozesse unterteilen. Während die Aufgaben mit entsprechendem Einsatz problemlos erfüllt werden können, erfordert die Anpassung der internen Prozesse tiefgreifende Veränderungen und eine dauerhafte Umstellung der Arbeitsweise. Hier kann eine DSGVO-konforme Software essentielle Unterstützung leisten.

Aufgabe 1 – Die Website

Die Website sollte als Aushängeschild des Unternehmens unbedingt an die neuen Standards angepasst werden, um potentiellen Prüfern und Abmahnern zu zeigen, dass sich das Unternehmen mit der DSGVO auseinandersetzt. Dazu gehören eine konforme Datenschutzerklärung, das Entfernen missbräuchlicher Kontaktformulare und eine Verschlüsselung der Webseite im https-Format.

Aufgabe 2 – Der Datenschutzbeauftragte

Immobilienunternehmen verarbeiten zwar personenbezogene Daten, tun dies aber normalerweise nicht in einem Umfang, der „eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ macht. Deshalb ergibt sich die Pflicht zur Ernennung eines Datenschutzbeauftragen für Immobilienunternehmen in der Regel nicht direkt aus der DSGVO, sondern aus der Anzahl der Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind. Das Bundesdatenschutzgesetz erweitert nämlich die DSGVO und schreibt die Ernennung vor, wenn „in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt“ sind. Trifft dies zu, steht das Unternehmen in der Pflicht, einen internen oder externen Datenschutzbeauftragten zu ernennen.

Aufgabe 3 – Das Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist verpflichtend für alle Unternehmen, sofern die Verarbeitung personenbezogener Daten nicht „nur gelegentlich“ erfolgt oder „eine Verarbeitung besonderer Datenkategorien“ stattfindet. Immobilienunternehmen verarbeiten regelmäßig personenbezogene Daten und müssen für das Abführen der Kirchensteuer über die Religionszugehörigkeit ihrer Mitarbeiter und eventueller Mitglieder verfügen – und das ist eine besondere Datenkategorie. Damit ist das Verzeichnis der Verarbeitungstätigkeiten für praktisch alle immobilienwirtschaftlichen Unternehmen verpflichtend.

Prozessumstellung 1 – Die Interessentendaten

Der Umfang der Daten von einem Interessenten, über die ein Immobilienunternehmen verfügen darf, richtet sich nach dem Stand seiner Bewerbung. Beim Erstkontakt dürfen lediglich grundlegende Informationen, wie Anrede, Name und Kontaktdaten erfasst werden. Erlaubt sind außerdem das Erfragen einer Einkommensindikation, eines Wohnberechtigungsscheins und der Anzahl der einziehenden Personen. Nach einer erfolgten Besichtigung dürfen Fragen zu Solvenz, Beruf oder Einkommen gestellt werden. Ebenfalls erlaubt ist das Überprüfen der Identität anhand des Personalausweises. Erst kurz vor der möglichen Unterzeichnung des Mietvertrags sind das Einfordern von Einkommensnachweisen oder eine Bonitätsprüfung gestattet. Gänzlich verboten ist, den Familienstand, die Religionszugehörigkeit sowie die sexuelle oder politische Orientierung abzufragen.

Welche Daten eines Interessenten erhoben werden dürfen, richtet sich nach dem Stand seiner Bewerbung

Welche Daten eines Interessenten erhoben werden dürfen, richtet sich nach dem Stand seiner Bewerbung.

Prozessumstellung 2 – Die Löschfristen

Das Recht auf Vergessenwerden ist zentraler Bestandteil der DSGVO und bedeutet, dass Unternehmen erfasste Daten löschen müssen, sofern sie „für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig“ sind. Konkrete verbindliche Löschfristen für Immobilienunternehmen liegen bisher nicht vor, daher können lediglich Empfehlungen ausgesprochen werden. Die DKB Service hat ausführliche Gespräche mit großen Akteuren der Branche geführt und die Löschfristen innerhalb von DKB@win dementsprechend gestaltet. Das Zusatzmodul Interessentenmanagement garantiert beispielsweise, dass die Daten aller Interessenten sechs Monate (in diesem Zeitraum könnte ein abgewiesener Interessent nach dem Allgemeinen Gleichbehandlungsgesetz klagen) nach beendeter Aktivität automatisch gelöscht werden.

Eine DSGVO-konforme Software wie DKB@win erleichtert die Erfüllung der Anforderungen der Verordnung

Eine DSGVO-konforme Software wie DKB@win erleichtert die Erfüllung der Anforderungen der Verordnung.

Grundanforderungen erfüllen, Bußgelder vermeiden

Der Rückblick zeigt: Das Inkrafttreten der DSGVO war in der Immobilienbranche mit großer Unsicherheit verbunden – und auch nach vier Monaten hat sich das nicht grundlegend geändert. Denn konkrete Handlungsanweisungen und verbindliche Rechtsprechung fehlen weiterhin. Trotzdem sollten Unternehmen versuchen, die DSGVO im Rahmen der gegebenen Möglichkeiten umzusetzen, um Bußgelder zu vermeiden. Konkret bedeutet das: eine DSGVO-konforme Website nutzen, sofern nötig einen Datenschutzbeauftragten ernennen, ein Verzeichnis der Verarbeitungstätigkeiten anlegen, nur erlaubte personenbezogene Daten abfragen und Löschfristen einhalten. Wer diese Anforderungen erfüllt, muss sich vorerst deutlich weniger Sorgen machen, datenschutzrechtliche Probleme zu bekommen. Vor allem die Umstellung der internen Prozesse wird dabei zur Herausforderung: Eine DSGVO-konforme Software wie DKB@win leistet dabei wertvolle Hilfe.

 

Kontakt

DKB@WIN KURZ ERKLÄRT

DKB@WIN KURZ ERKLÄRT

ERP-SYSTEM

sap

Rechenzentrum

arvato

Zertifizierung

Zertifizierung