Die technischen und organisatorischen Maßnahmen (TOM) nach DSGVO
Die Einhaltung der Vorgaben der DSGVO ist für Immobilienfirmen oft schwierig. Vielfach besteht Unsicherheit, was mit den Anforderungen der DSGVO gemeint ist. Wir klären auf zu den TOM.
Immobilienmakler und -verwalter haben wenig Zeit für organisatorische Themen in ihren Büros. Wie können Immobilienmakler die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO am wirkungsvollsten einhalten und auf welche der verschiedenen Tipps und Themen sollten sich Immobilienmakler dabei konzentrieren?
Was sind die TOM?
Art 32 DSGVO ist überschrieben mit “Sicherheit der Verarbeitung” und enthält die technischen Vorgaben für die Umsetzung des effektiven Schutzes personenbezogener Daten. Ergänzt wird Art. 32 DSGVO von den Grundsätzen der Verarbeitung personenbezogener Daten aus Art. 5 DSGVO. Dort gibt es den Grundsatz der “Integrität und Vertraulichkeit.”
Welches ist die wichtigste Maßnahme aus den TOM?
Wenn eine Maßnahme als die wichtigste hervorgehoben werden müsste, wäre das wahrscheinlich die Implementierung geeigneter Sicherheitsmaßnahmen zum Schutz personenbezogener Daten. Dies ist von entscheidender Bedeutung, um sicherzustellen, dass personenbezogene Daten nicht verloren gehen, gestohlen oder auf andere Weise missbraucht werden.
Beispiele aus Art 32 DSGVO
Art 32 DSGVO nennt nur wenige verschiedene konkrete Maßnahmen und Beispiele. Dies sind:
- Pseudonymisierung
- Verschlüsselung personenbezogener Daten
- Vertraulichkeit herstellen
- Verfügbarkeit der Daten sicherstellen
- Wiederherstellbarkeit der Daten
- Belastbarkeit der Systeme und Dienste sicherstellen
- regelmäßige Überprüfung
- Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen
Vorschlag für die Vorgehensweise in Immobilienfirmen
- Die Identifizierung der personenbezogener Daten: Das Unternehmen muss zuerst alle personenbezogenen Daten, die es verarbeitet, identifizieren und dokumentieren.
- Die Durchführung einer Risikobewertung: Die Immobilienfirma muss eine Risikobewertung durchführen, um potenzielle Bedrohungen und Schwachstellen in Bezug auf die Verarbeitung personenbezogener Daten zu identifizieren. Hier können verschiedene Methoden verwendet werden. Eine der Methoden, die in der DSGVO genannt werden, ist die Datenschutzfolgenabschätzung (DSFA). Auch ein Datenschutzaudit kann hierzu beitragen.
- Die Implementierung geeigneter technischer und organisatorischer Maßnahmen: Basierend auf der Risikobewertung müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um personenbezogene Daten zu schützen. Dazu können Verschlüsselung, Zugriffskontrollen, regelmäßige Backups, sichere Datenübertragungen und andere Sicherheitsmaßnahmen gehören.
- Schulung von Mitarbeitenden: Alle Mitarbeitenden sollten in den Grundsätzen des Datenschutzes und der DSGVO geschult werden, um sicherzustellen, dass sie die Verarbeitung personenbezogener Daten verstehen und sich an die geltenden Bestimmungen halten.
- Überprüfung und Aktualisierung: Das Immobilienunternehmen muss seine Datenschutzverfahren regelmäßig überprüfen und aktualisieren, um sicherzustellen, dass diese immer auf dem neuesten Stand sind und dass alle Verarbeitungen personenbezogener Daten in Übereinstimmung mit den Anforderungen der DSGVO erfolgen.
Persönliche Empfehlung: Zugangskontrolle und Rollenkonzepte
Legen Sie in Ihren Unternehmen fest, wer welche Daten einsehen, bearbeiten und verarbeiten darf. Wichtig ist auch festzulegen, welche Befugnisse einzelne Mitarbeitende bei der Löschung von Daten haben. Ein sehr effektiver Schutz von personenbezogenen Daten wird dadurch erreicht, dass nicht jede/r Mitarbeitende alle Daten des Unternehmens einsehen und bearbeiten kann und darf. Mit einem Nutzungs- und Rollenkonzept kann dies maßgeschneidert für das ganze Immobilienunternehmen festgeschrieben werden.
Wie hoch ist der Zeitaufwand?
Rechnen Sie damit, dass es einige Wochen bis mehrere Monate dauern kann, um alle erforderlichen Maßnahmen umzusetzen.
Wichtig ist, dass die IT-Beratung und der externe Datenschutzbeauftragte, sofern dieser vorhanden ist, einbezogen werden. Dadurch kann ein wesentlicher Teil des Zeitaufwands reduziert werden. Nehmen Sie sich die Zeit für die Aktualisierung der TOM in 2023!
Über den Autor:
Sven Johns, Rechtsanwalt
Sven Johns hält regelmäßig lebendige und praxisnahe Webinare und Veranstaltungen rund um rechtliche Themen beim IVD Bildungsinstitut.
Johns Datenschutz GmbH
An der Kolonnade 11
10117 Berlin
Tel.: 030 – 20 63 07 94
E-Mail: office@datenschutz.immobilien
Bildnachweis: © kras99- stock.adobe.com