Datenschutz ist an sich kein neues Thema, dennoch wird es in den meisten Immobilienunternehmen nicht mit der notwendigen Intensität beachtet. Dies ist einer der Gründe dafür, dass gegen Ende 2015 die Datenschutzaufsichtsbehörden mit Überprüfungen der Immobilien- Branche starteten. Zunächst wurden 86 Immobilienmakler in Bayern angeschrieben, danach folgten Betriebe aus Nordrhein- Westfalen und aus Niedersachsen.

Datenschutz ist an sich kein neues Thema, dennoch wird es in den meisten Immobilienunternehmen nicht mit der notwendigen Intensität beachtet. Dies ist einer der Gründe dafür, dass gegen Ende 2015 die Datenschutzaufsichtsbehörden mit Überprüfungen der Immobilien-Branche starteten. Zunächst wurden 86 Immobilienmakler in Bayern angeschrieben, danach folgten Betriebe aus Nordrhein- Westfalen und aus Niedersachsen.

Hierbei handelte es sich um sogenannte anlasslose Prüfungen, welche ohne einen konkreten Anhaltspunkt erfolgten. Die Aufsichtsbehörden wollten in Erfahrung bringen, welche personenbezogenen Daten, auf welche Weise und zu welchem Zeitpunkt erhoben, bzw. verarbeitet werden. Zunächst wurden mehrseitige Fragebögen versendet, in denen die Verfahrensweise von der verantwortlichen Stelle (dem Unternehmen) fristgerecht dargelegt werden musste. Diese Maßnahme sollte zur Sensibilisierung bezüglich des Themas „Datenschutz“ dienen.

Die Überprüfungen ergaben einen enormen Nachholbedarf. Der Umfang der Datenerhebungen war nicht im Einklang mit der Gesetzgebung. Die Sicherheitsmaßnahmen der eigenen Webseiten waren unzureichend, Reichweitenmessungen wurden nicht datenschutzkonform eingesetzt und die meisten Unternehmen verfügten nicht über eine Datenschutzerklärung auf ihrer Webseite. Für viele Unternehmen bedeutete dies eine Umstellung der laufenden Prozesse, bis hin zur Umsetzung entsprechender technischer oder organisatorischer Maßnahmen. Einige dieser Punkte lassen sich ohne großen Aufwand anpassen, andere bedeuten wiederum einen deutlich höheren Aufwand. Aufgrund des Ergebnisses der Prüfungen ist davon auszugehen, dass diese fortgesetzt und auf die weiteren Bundesländer ausgeweitet werden. Dabei sind die Spielregeln doch eigentlich klar. Es dürfen nur Daten erhoben werden, sofern es eine Rechtsvorschrift erlaubt, anordnet oder eine wirksame Einwilligung des Betroffenen vorliegt. Dabei ist zu beachten, dass nur die Daten erhoben werden, welche zum jeweiligen Prozessstand erforderlich sind. Dieses Vorgehen wird „Zug um Zug“ Erhebung genannt und leitet sich aus dem Prinzip der Datensparsamkeit ab.

Ein Beispiel aus der Praxis: Bei einer Anfrage zu einem Mietobjekt dürfen zunächst lediglich Vor- und Zuname sowie die notwendigen Kontaktinformationen zur Übersendung Ihres Exposés angefordert werden. Nach einer erfolgreichen Besichtigung dürfen Sie weitere Unterlagen, wie zum Beispiel eine Mieter-Schufa-Auskunft und eine passende Selbstauskunft, angefordert werden. Kommt es zu einem konkreten Mietvertragsabschluss, sind weitere Nachweise, wie beispielsweise der Gehaltsnachweis, zulässig.

Die Daten sind dabei zweckgebunden. Das bedeutet sie dürfen nur für den konkreten Anfragefall genutzt werden. Sollen auch alternative Immobilien angeboten werden, so ist eine entsprechende Einwilligung erforderlich. Leider wird die Löschung der Daten immer wieder vergessen, sobald der Fall abgeschlossen ist und keine rechtlichen Ansprüche mehr geltend gemacht werden können. Steht dem eine Aufbewahrungspflicht entgegen, sind die Daten ersatzweise zu Sperren.

Für die gesamte Datenverarbeitung ist die verantwortliche Stelle zuständig und muss für entsprechende Sicherheitsmaßnahmen sorgen. Genannt wäre an dieser Stelle auch der sichere Transport der Daten aus ihrem Webkontaktformular, bis hin zu ihrem Büro mittels einer Verschlüsselung.

Das bedeutet, dass Ihre Webseite unter „https“ erreichbar und der Mailabruf des Providers durch ein SSL Verfahren, wie zum Beispiel „STARTTLS“, gesichert sein muss. Selbst bei Einsatz eines Dienstleisters, bleiben Sie in der Verantwortung. In diesem Fall liegt dann der Sachverhalt einer Auftragsdatenverarbeitung vor, wodurch ein Vertrag entsprechend §11 BDSG erforderlich wird.

Datenschutz beinhaltet immer die Transparenz für den Betroffenen. Deswegen gibt es die Anforderung einer Datenschutzerklärung, welche einen Webseitenbesucher über die Art und den Umfang der Datenverarbeitung informieren soll. Dies betrifft auch externe Dienste, die Sie in Ihre Webseite eingebunden haben, im Hintergrund Daten verarbeiten und an einen anderen Empfänger weiterleiten. Ein Beispiel dafür wären Facebook und Google.

Diese Aspekte sind nur ein kleiner Auszug der angeforderten und geprüften Sachverhalte. Natürlich gibt es weitere Regelungen, die entsprechend der deutschen Gesetzgebung einzuhalten sind. Zusätzlich trat am 24. Mai 2016 die EU Datenschutz- Grundverordnung in Kraft, die in allen EU-Mitgliedstaaten, unmittelbar ab dem 25. Mai 2018, gilt. Das bedeutet, dass Das bedeutet, dass Ihre Webseite unter „https“ erreichbar und der Mailabruf des Providers durch ein SSL Verfahren, wie zum Beispiel „STARTTLS“, gesichert sein muss. Selbst bei Einsatz eines Dienstleisters, bleiben Sie in der Verantwortung. In diesem Fall liegt dann der Sachverhalt einer Auftragsdatenverarbeitung vor, wodurch ein Vertrag entsprechend §11 BDSG erforderlich wird. Datenschutz beinhaltet immer die Transparenz für den Betroffenen. Deswegen gibt es die Anforderung einer Datenschutzerklärung, welche einen Webseitenbesucher über die Art und den Umfang der Datenverarbeitung informieren soll. Dies betrifft auch externe Dienste, die Sie in Ihre Webseite eingebunden haben, im Hintergrund Daten verarbeiten und an einen anderen Empfänger weiterleiten. Ein Beispiel dafür wären Facebook und Google. Diese Aspekte sind nur ein kleiner Auszug der angeforderten und geprüften Sachverhalte. Natürlich gibt es weitere Regelungen, die entsprechend der deutschen Gesetzgebung einzuhalten sind. Zusätzlich trat am 24. Mai 2016 die EU Datenschutz- Grundverordnung in Kraft, die in allen EU-Mitgliedstaaten, unmittelbar ab dem 25. Mai 2018, gilt.

Das bedeutet, dass Ihre Webseite unter „https“ erreichbar und der Mailabruf des Providers durch ein SSL Verfahren, wie zum Beispiel „STARTTLS“, gesichert sein muss. Selbst bei Einsatz eines Dienstleisters, bleiben Sie in der Verantwortung. In diesem Fall liegt dann der Sachverhalt einer Auftragsdatenverarbeitung vor, wodurch ein Vertrag entsprechend §11 BDSG erforderlich wird.

Datenschutz beinhaltet immer die Transparenz für den Betroffenen. Deswegen gibt es die Anforderung einer Datenschutzerklärung, welche einen Webseitenbesucher über die Art und den Umfang der Datenverarbeitung informieren soll. Dies betrifft auch externe Dienste, die Sie in Ihre Webseite eingebunden haben, im Hintergrund Daten verarbeiten und an einen anderen Empfänger weiterleiten. Ein Beispiel dafür wären Facebook und Google.

Diese Aspekte sind nur ein kleiner Auszug der angeforderten und geprüften Sachverhalte. Natürlich gibt es weitere Regelungen, die entsprechend der deutschen Gesetzgebung einzuhalten sind. Zusätzlich trat am 24. Mai 2016 die EU Datenschutz- Grundverordnung in Kraft, die in allen EU-Mitgliedstaaten, unmittelbar ab dem 25. Mai 2018, gilt. Das bedeutet, dass Sie schon jetzt handeln sollten, um 2018 alle erforderlichen Maßnahmen umgesetzt zu haben.

ED COMPUTER & DESIGN

GMBH & CO. KG

Welserstraße 14, 51149 Köln

Tel.: 0221 – 28 88 77 66

Fax: 0221 – 28 88 77 67

E-Mail: info[at]edcud.de, www.edcud.de