Die Pflichten von Immobilienbüros nach der DSGVO
Die DSGVO hält eine Vielzahl an Pflichten bereit, die in den Unternehmen umgesetzt werden müssen. Ein kleiner Überblick von datenschutz.immobilien
Die Verarbeitung personenbezogener Daten ist die Grundlage des Geschäftsmodells der allermeisten Unternehmen. Kundendaten werden in den Immobilienfirmen genauso verarbeitet, wie Interessentendaten oder die Daten der Mitarbeitenden. Die DSGVO stellt für die Verarbeitung der personenbezogenen Daten das Regelwerk, an das sich Unternehmen halten müssen.
Die beiden ersten Definitionen des Art. 4 DSGVO legen zum einen fest, welche Daten als personenbezogene Daten einzustufen sind und was die „Verarbeitung“ von Daten bedeutet.
- „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
- „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Unsere Veranstaltung Jahresschulung DSGVO finden Sie hier (KLICK).
Grundsätze der Verarbeitung von Daten
Die in der DSGVO festgelegten Grundsätze für die Verarbeitung von Daten in den Unternehmen sind die Grundlage für die daraus folgenden Rechte der betroffenen Personen und die Pflichten der Unternehmen.
Art 5 DSGVO lautet:
- Personenbezogene Daten müssen
- auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
- für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; (…) („Zweckbindung“);
- dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
- sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
- in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; (…) („Speicherbegrenzung“);
- in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);
- Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Die Rechte der betroffenen Personen
- Auskunft gem. Art. 15 DSGVO über die zu der Person gespeicherten Daten in Form von aussagekräftigen Informationen zu den Einzelheiten der Verarbeitung sowie eine Kopie Ihrer Daten;
- Berichtigung gem. Art. 16 DSGVO von unrichtigen oder unvollständigen Daten
- Löschung gem. Art. 17 DSGVO der gespeicherten Daten, soweit die Verarbeitung nicht zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
- Einschränkung der Verarbeitung gem. Art. 18 DSGVO
- Datenübertragbarkeit gem. Art. 20 DSGVO
- Widerspruch gem. Art. 21 DSGVO gegen die Verarbeitung der personenbezogenen Daten, soweit diese auf Grundlage des Art. 6 Abs. 1 lit. e, f DSGVO erfolgt und dafür Gründe vorliegen
- Widerruf gem. Art. 7 Abs. 3 DSGVO einer erteilten Einwilligung mit Wirkung für die Zukunft.
- Beschwerde gem. Art. 77 DSGVO bei einer Aufsichtsbehörde
Die Pflichten der Unternehmen nach der DSGVO
Die wichtigsten Pflichten für Unternehmen aus der DSGVO sind:
- Pflicht zur Verarbeitung von Daten, die rechtmäßig erlangt sind (Verarbeitung von Daten nur bei Vertrag, gesetzl. Grundlage oder Einwilligung Kunden – Art 6 und 7 DS-GVO
- Informationspflicht bei Datenerhebung – Art 13 DS-GVO durch Übermittlung von Datenschutzhinweisen bei Beginn der Verarbeitung
- Erfüllung der Kundenrechte auf Auskunft etc. – Art 15 DS-GVO
- Pflicht zur Berichtigung der verarbeiteten Daten – Art 16 DS-GVO
- Pflicht zur Löschung von Daten, nicht nur nach Aufforderung durch betroffene Personen – Art 17 DS-GVO
- Pflicht zur Beachtung des Widerspruchs gegen die Verarbeitung – Art. 21 DSGVO
- Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO über die Einhaltung der DSGVO und den jederzeitigen Nachweis über die Einhaltung der Grundsätze der DSGVO im Sinn des Art 5 DSGVO
- Schaffung eines angemessenen Sicherheitsniveaus bei der Verarbeitung von Daten nach Art 32 DSGVO
- Schulung aller Mitarbeitenden gem. Art. 32 DSGVO (sowohl bei Neubeginn von Mitarbeitenden als auch laufend)
- Pflicht zur Erstellung von Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO), Löschkonzept, Technische und organisatorische Maßnahmen (Art 32 DSGVO), Abschluss von Auftragsverarbeitungsverträgen (Art. 28 DSGVO), Verträgen über die gemeinsame Verantwortlichkeit (Art 26 DSGVO)
- Einhaltung der datenschutzrechlichen Regeln auch gegenüber Mitarbeitenden (Grundsätze gem. Art 5 DSGVO und § 26 BDSG)
- Bestellung Datenschutzbeauftragter – Art. 37/38/39 DS-GVO – mehr Informationen dazu hier (KLICK)
- Meldepflicht bei Datenschutzverletzungen – Art. 33 DS-GVO
Insgesamt sieht die DSGVO mehr als 60 einzelne Verpflichtungen vor. Diese Auflistung umfasst die wesentlichen Pflichten, die Sie unbedingt einhalten sollten und deren Einhaltung sich durch die bei Ihnen im unternehmen vorhandenen Unterlagen widerspiegeln sollte.