Die Einhaltung der Vorgaben der DSGVO ist für Immobilienfirmen oft schwierig. Vielfach besteht Unsicherheit, was mit den Anforderungen der DSGVO gemeint ist. Wir klären auf zu den TOM.

Immobilienmakler haben wenig Zeit für organisatorische Themen in ihren Büros. Wie können Immobilienmakler die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO am wirkungsvollsten einhalten und auf welche der verschiedenen Tipps und Themen sollten sich Immobilienmakler dabei konzentrieren?

Was sind die TOM?

Art 32 DSGVO ist überschrieben mit „Sicherheit der Verarbeitung“ und enthält die technischen Vorgaben für die Umsetzung des effektiven Schutzes personenbezogener Daten. Ergänzt wird Art. 32 DSGVO von den Grundsätzen der Verarbeitung personenbezogener Daten aus Art. 5 DSGVO. Dort gibt es den Grundsatz der „Integrität und Vertraulichkeit.“

Wie gehen Immobilienfirman am besten vor?

Die Immobilienfirmen sollten sich bei der Einführung und der Dokumentation der TOM auf die grundlegenden technischen und organisatorischen Maßnahmen konzentrieren, die in Artikel 32 der DSGVO aufgeführt sind. Dazu gehören:

• Die Implementierung geeigneter Sicherheitsmaßnahmen, um personenbezogene Daten zu schützen. Dazu können u.a. die Verschlüsselung, die Vergabe von Zutritts- und von Zugangskontrollen gehören.
• Die Durchführung regelmäßiger Risikobewertungen, um sicherzustellen, dass alle potenziellen Datenschutzrisiken identifiziert und minimiert werden.
• Die Schulung aller Mitarbeitenden in den Grundsätzen des Datenschutzes und der DSGVO, um sicherzustellen, dass alle personenbezogenen Daten in Übereinstimmung mit den geltenden Bestimmungen verarbeitet werden.

Welches ist die wichtigste Maßnahme aus den TOM?

Wenn eine Maßnahme als die wichtigste hervorgehoben werden müsste, wäre das wahrscheinlich die Implementierung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Dies ist von entscheidender Bedeutung, um sicherzustellen, dass personenbezogene Daten nicht verloren gehen, gestohlen oder auf andere Weise missbraucht werden.

Beispiele aus Art 32 DSGVO

Art 32 DSGVO nennt nur wenige verschiedene konkrete Maßnahmen und Beispiele. Dies sind:

• Pseudonymisierung
• Verschlüsselung personenbezogener Daten
• Vertraulichkeit herstellen
• Verfügbarkeit der Daten sicherstellen
• Wiederherstellbarkeit der Daten
• Belastbarkeit der Systeme und Dienste sicherstellen
• regelmäßige Überprüfung
• Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen

Was ist das Ziel der TOM?

Die Implementierung geeigneter Schutzmaßnahmen zum Schutz personenbezogener Daten ist der Dre- und Angelpunkt der DSGVO. Deshalb beziehen sich auch die technischen und organisatorischen Maßnahmen auf den Schutz der personenbezogenen Daten, die im Unternehmen verarbeitet werden. Der Schutz betrifft:

• Vernichtung
• Verlust
• Veränderung
• unbefugte Offenlegung
• unbefugten Zugang

zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet werden.

Wie geht es, geeignete Schutzmaßnahmen zum Schutz personenbezogener Daten zu implementieren?

Vorschlag für die Vorgehensweise in Immobilienfirmen

Die Identifizierung der personenbezogener Daten: Das Unternehmen muss zuerst alle personenbezogenen Daten, die es verarbeitet, identifizieren und dokumentieren. Dies kann Kunden- und Vertragsdaten, aber auch Mitarbeitendendaten und andere interne Daten umfassen.

Die Durchführung einer Risikobewertung: Die Immobilienfirma muss eine Risikobewertung durchführen, um potenzielle Bedrohungen und Schwachstellen in Bezug auf die Verarbeitung personenbezogener Daten zu identifizieren. Hier können verschiedene Methoden verwendet werden. Eine der Methoden, die in der DSGVO genannt werden, ist die Datenschutzfolgenabschätzung (DSFA). Auch ein Datenschutzaudit kann hierzu beitragen.

Die Implementierung geeigneter technischer und organisatorischer Maßnahmen: Basierend auf der Risikobewertung müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um personenbezogene Daten zu schützen. Dazu können Verschlüsselung, Zugriffskontrollen, regelmäßige Backups, sichere Datenübertragungen und andere Sicherheitsmaßnahmen gehören.

Schulung von Mitarbeitenden: Alle Mitarbeitenden sollten in den Grundsätzen des Datenschutzes und der DSGVO geschult werden, um sicherzustellen, dass sie die Verarbeitung personenbezogener Daten verstehen und sich an die geltenden Bestimmungen halten.

Überprüfung und Aktualisierung: Das Immobilienunternehmen muss seine Datenschutzverfahren regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass diese immer auf dem neuesten Stand sind und dass alle Verarbeitungen personenbezogener Daten in Übereinstimmung mit den Anforderungen der DSGVO erfolgen.
Persönliche Empfehlung: Zugangskontrolle und Rollenkonzepte

Legen Sie in Ihren Unternehmen fest, wer welche Daten einsehen, bearbeiten und verarbeiten darf. Wichtig ist auch festzulegen, welche Befugnisse einzelne Mitarbeitende bei der Löschung von Daten haben. Ein sehr effektiver Schutz von personenbezogenen Daten wird dadurch erreicht, dass nicht jede/r Mitarbeitende alle Daten des Unternehmens einsehen und bearbeiten kann und darf. Mit einem Nutzungs- und Rollenkonzept kann dies maßgeschneidert für das ganze Immobilienunternehmen festgeschrieben werden.

Wie hoch ist der Zeitaufwand?

Der geschätzte Zeitaufwand für diese Implementierungsmaßnahmen hängt von der Größe der Firma, der Art und Menge der personenbezogenen Daten und der Komplexität der IT-Systeme ab.

Rechnen Sie damit, dass es einige Wochen bis mehrere Monate dauern kann, um alle erforderlichen Maßnahmen umzusetzen.

Wichtig ist, dass die IT-Beratung und der externe Datenschutzbeauftragte, sofern dieser vorhanden ist, einbezogen werden. Dadurch kann ein wesentlicher Teil des Zeitaufwands reduziert werden.

Empfehlung: Vernachlässigen Sie diese Maßnahmen nicht und nehmen sich die Zeit, um sicherzustellen, dass alle personenbezogenen Daten angemessen geschützt werden.

Die Nichteinhaltung der TOM ist ein Verstoß gegen die Anforderungen der DSGVO und kann mit einem Bußgeld geahndet werden. Die Bußgeldvorschriften finden Sie in Art. 82 der DSGVO. Die Bußgeldandrohung reicht bis zu 20 Mio. EUR Bußgeld.