Geltungsbereich der DSGVO
Gelten die Bestimmungen nur für Verbraucher oder auch für Firmen?
Grundsätzlich gilt die DS-GVO für natürliche und juristische Personen, so dass auch natürliche Personen verpflichtet sein können, die Vorgaben der DS-GVO einzuhalten. Im Immobiliensektor fallen z.B. private Vermieter in die Anwendung der DS-GVO.
Die Vorschriften der DS-GVO gelten für alle personenbezogenen Daten, vorrangig von Verbrauchern (natürlichen Personen). Auch Daten über Firmen können zu personenbezogenen Daten werden, z.B. vom Ansprechpartner, GF, Vorstand etc. Dann fallen sie unter die Vorschriften der DS-GVO.
Gelten die Anforderungen auch für Zwei-Personen-Unternehmen?
Die DS-GVO gilt für alle, die personenbezogene Daten verarbeiten, ob Einzelfirma, GbR, Zwei-Personen-Firma, GmbH, KG, oHG, Ltd., UG, AG usw., unabhängig von der Anzahl der Mitarbeiter.
Wir sind ein Kleinunternehmen. Müssen wir die DS-GVO einhalten?
Ja, s.o. Auch Kleinunternehmen, die die Umsatzsteuerbefreiung nach UStG in Anspruch nehmen, fallen unter die DS-GVO.
Ich versende meine Infos an die Kunden per Post. Dann gilt die DS-GVO nicht für mich, oder?
Die Verarbeitung der Daten erfolgt auch bei Postversand. Dafür werden Name, Adresse und ggfls. weitere Daten gespeichert. Die DS-GVO ist einschlägig!
Bei Versand durch Dienstleister ist das ein Auftragsverarbeiter, so dass ggfls. ein Unterverarbeitungsauftrag geschlossen werden muss.
Gelten die Vorschriften auch für Firmen aus dem Ausland?
Die DS-GVO ist die Umsetzung einer europäischen Richtlinie, so dass alle Firmen, die aus der EU kommen und in Deutschland arbeiten wollen, die Regeln einhalten müssen. Wenn eine Firma aus dem Nicht-EU-Ausland keine Niederlassung in Deutschland hat, dann gelten die Vorschriften für diese Firma nicht.
Gelten die Bestimmungen auch dann, wenn meine Firma einen Sitz im Ausland hat?
Wenn eine Niederlassung in Deutschland besteht, greift die DS-GVO, und die Vorschriften müssen auch von Firmen mit Sitz im Ausland eingehalten werden.
Muss ich die Kunden auch darüber informieren, wenn ich Daten offline verarbeite?
Die Informationspflichten nach der DS-GVO betreffen sowohl die digitale Verarbeitung von personenbezogenen Daten als auch die Speicherung und Verarbeitung in Papierform.
Wir haben eine Website in drei Sprachen. Muss die Datenschutzerklärung übersetzt werden?
Selbst wenn die Website Informationen in drei Sprachen enthält, sollte es ausreichen, wenn die DS-GVO in deutsch verfasst und auf der Website hinterlegt ist. Es gilt das Recht des Herkunftslandes. Wenn Niederlassungen im Ausland bestehen, gilt das Recht des dortigen Herkunftslandes. Dann müsste eine Übersetzung erfolgen. Es gibt bislang keine EU-Rechtsprechung zu dieser Frage. Deshalb sollte eine Übersetzung der Datenschutzerklärung zum jetzigen Zeitpunkt nicht erforderlich sein.
Datenschutzbeauftragter
Wir sind sechs Personen in unserer Hauptstelle und haben eine unselbständige Niederlassung in einem Nachbarort mit drei Personen. Außerdem greifen vier freie Mitarbeiter auf die Daten unserer Kunden in FLOWFACT zu. Benötigen wir einen Datenschutzbeauftragten?
Ja. Wesentlich ist hier, dass mehr als neun/ab zehn Personen mit der Verarbeitung personenbezogener Daten beschäftigt sind.
In unserer Mutterfirma haben wir einen Datenschutzbeauftragten. In der Tochtergesellschaft (Immobilienfirma) sind wir weniger als zehn Personen. Benötigen wir einen Datenschutzbeauftragten?
Wenn die Tochterfirma eine eigene Rechtspersönlichkeit ist, also nicht nur Abteilung der Muttergesellschaft und die Muttergesellschaft keinen Zugriff auf die in der Immobilienfirma verarbeiteten Daten hat, dann muss bei weniger als zehn Personen, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, kein Datenschutzbeauftrager bestellt werden. Sie können aber freiwillig einen Datenschutzbeauftragten bestellen.
Unter welchen Bedingungen benötige ich als Einzelfima einen Datenschutzbeauftragten?
In einer Einzelfirma (auch als e. Kffr./e. Kfm.) können mehrere Personen mit der Verarbeitung personenbezogener Daten betraut sein. Wenn in der Einzelfirma mehr als neun Personen Zugriff auf personenbezogene Daten haben, benötigt auch die Einzelfirma einen Datenschutzbeauftragten.
Wir haben die Verwaltung und die Vermittlung von Immobilien an zwei Standorten getrennt. Zusammen sind wir 15 Mitarbeiter. Kann ich die räumliche Trennung so vornehmen, dass ich keinen Datenschutzbeauftragten einsetzen muss?
Wenn die Mitarbeiter in beiden Teilen zwar räumlich getrennt, aber in der gleichen Firma tätig sind, also nicht zwei unterschiedliche Rechtsträger bestehen, dann kann keine Trennung im Sinne des Datenschutzrechts erfolgen und Sie müssen einen Datenschutzbeauftragten einsetzen. Wenn zwei getrennte Rechtsträger bestehen, die auf unterschiedliche Systeme zugreifen, kann es eventuell sein, dass kein Datenschutzbeauftragter bestellt werden muss. Bestehen zwei Rechtsträger, die auf ein System zugreifen, dann muss ein Datenschutzbeauftragter bestellt werden.
Datensicherheit
Wie muss die Datensicherheit bei uns im Büro erfolgen?
Das kommt auf die Risikoabschätzung an, die Sie für die Erhebung und Verarbeitung personenbezogener Daten in Ihrem Unternehmen erstellen. Es geht um Zugriffsrecht auf die Daten, um technische Einrichtungen, eventuell um die Pseudonymisierung von Daten, Verschlüsselung usw. Eine pauschale Angabe zur Herstellung der Datensicherheit gibt es nicht.
Beispiel Verschlüsselung
- Soweit möglich, sollen personenbezogene Daten verschlüsselt werden.
- Das beginnt schon beim Empfang und der Versendung von E-Mails und gilt auch für die Verarbeitung der Daten in der Software.
- Verschlüsselung ist auch bei Speicherung der Daten in Archiven erforderlich (E-Mail-Archiv genauso wie Dateiarchiv, Backup und Online-Backup, Datensicherung auf zweitem Server, Verwendung von iCloud oder Microsoft-Cloud usw.).
Folgendes muss vorhanden sein: Der Schutz vor Zugriff auf Daten von außerhalb durch eine Firewall und andere technische Einrichtungen, die Verhinderung des Aufspielens von Trojanern, Spyware usw., Virenschutz auf den aktiv genutzten Systemen und Schutz der Archive.
Tipp: Ziehen Sie einen externen Experten hinzu!
Verschlüsselung bei Verwendung eines Kontaktformulars
Muss bei der Verwendung eines Kontaktformulars auf der Homepage der Standard https eingesetzt werden?
Schon nach geltendem Datenschutzrecht sind die Datenschutzbeauftragten der Länder der Auffassung, dass bei Kontaktformularen eine sichere Verschlüsselung der übermittelten Daten erfolgen muss. Eine Verschlüsselung nach dem SSL-Standard (Secure Sockets Layer) wird vorausgesetzt.
Inzwischen ist der Verschlüsselungs-Standard technisch weiterentwickelt worden und es ist wohl von einer sog. TLS-Verschlüsselung (Transport Layer Security) auszugehen.
Diese Verschlüsselung sollte bei der Übermittlung von Daten in Kontaktformularen zum Einsatz kommen.
Tipp: Überprüfen Sie die eingesetzte Technik und dokumentieren Sie die Überprüfung.
Mobile Devices
Wie verhält es sich mit dem Backup von der Kontaktliste in meinem Diensthandy?
Mobile Devices gehören in die Liste der Verarbeitungsprozesse und sind bei der Risikofolgenabschätzung im Datenschutz einzubinden.
Besondere Risiken
- Verlust des Handys
- Unberechtiger Zugriff Dritter auf personenbezogene Daten
- Phishing, Spyware auf Handys, auf denen personenbezogene Daten gespeichert sind
- Backup sicher verschlüsselt? Backup vor Zugriff gesichert? Haben Dritte (Familie u.a.) Zugriff auf Daten im Rahmen des Backups? Wenn ja, dann Trennung erforderlich
- Zugriffsschutz auf Daten im Handy sicherstellen, Sperrbildschirm, Passwortschutz usw.
Tipps
- Legen Sie Regeln für die Nutzung von Mobile Devices im Unternehmen fest.
- Untersagen Sie zum Beispiel das Backup in die private iCloud (mit Familienfreigabe), wenn personenbezogene Daten aus dem Unternehmen auf dem Handy gespeichert sind.
- Dokumentieren Sie alle Maßnahmen!
- Verpflichten Sie Ihre Mitarbeiter auf gleiche Maßnahmen.
- Weiten Sie die Maßnahmen auch für den Einsatz von Laptops im Unternehmen aus.
- Legen Sie Vorschriften für die Meldung von Datenschutzverletzungen bei Abhandenkommen von Handy/Laptop an. Wenn diese zugriffsgeschützt sind, also Dritte bei Abhandenkommen nicht auf die Daten zugreifen können, muss keine Meldung erfolgen. Anderenfalls muss Meldung an Aufsichtsbehörde binnen 72 Stunden vorgenommen werden!
Datenschutzerklärung
Gibt es ein Muster für eine Datenschutzerklärung?
Es gibt bei verschiedenen Anbietern Textbausteine für die vielen verschiedenen Möglichkeiten der Erhebung, Verarbeitung und Weitergabe von Daten auf einer Website.
Die Datenschutzerklärung erfüllt die Informationspflichten gem. Art 13 DS-GVO gegenüber den Kunden. Dort müssen alle Informationen darüber vollständig bereitgestellt werden, wie die Erhebung, Verarbeitung und Weitergabe von Daten erfolgt.
Wichtige Beispiele
- Kontaktformular
- E-Mail-Software für den automatischen Versand von E-Mails
- Verarbeitung in der Software, z.B. FLOWFACT – ist im Unternehmen weitere Software im Einsatz?
- Social Plugins, Weitergabe von Daten an Facebook, GooglePlus, Twitter, Reddit u.a.
- Einsatz von Analyse-Software auf der Website, z.B. Google Analytics, Google Adwords usw.
- Erhebung von Standort-Daten und Speicherung von IP-Adressen
- Weiterleitung von Daten an Dritte, Empfänger, Empfängergruppen
Tipp: Setzen Sie einen Datenschutzerklärungs-Generator ein, damit die Datenschutzerklärung richtig und vollständig ist.
ACHTUNG: Hier drohen Abmahnungen, etwa wenn die Datenschutzerklärung unvollständig ist, aber aus dem Quelltext der Website Angaben entnommen werden können, dass die Erhebung und Verarbeitung weiterer Daten erfolgt.
Tipp: Halten Sie Rücksprache mit dem Websiten-Administrator oder Provider darüber, welche Daten erhoben und verarbeitet werden. Dokumentieren Sie die Rücksprache für die Erhebung der Datenschutzerklärung!
Wie wird die Datenschutzerklärung richtig in die Website aufgenommen?
Sie muss gut erreichbar sein, nämlich
-> von der Startseite aus direkt anzusteuern
-> als eigener Button im Menü oder in der Fußzeile der Website, wie beim Impressum. Idealerweise trennen Sie den Button vom Impressum.
Tipp: Denken Sie bei der Verwendung des Datenschutz-Erklärungs-Generators an die Verlinkung zu dem verwendeten Tool (und beachten Sie die Nutzungsbedingungen).
Gibt es eine Absicherungsklausel für das Impressum?
Nein, die Anforderungen nach der DS-GVO können nicht „abgewälzt“ werden. Für die Einhaltung ist das Unternehmen verantwortlich. Der Kunde hat einen Schadensersatzanspruch, wenn die Daten unrechtmäßig verarbeitet werden.
Gehört ein Datenschutzhinweis in die AGB?
Nein. Bei der Information über die Verarbeitung von Kundendaten handelt es sich nicht um eine Bedingung für den abgeschlossenen Vertrag, sondern um eine gesetzliche Informationspflicht.
Kann ich beim Exposéversand per E-Mail auf die Datenschutzerklärung auf der Website hinweisen? Ist das ausreichend?
Wichtig ist, dass die Informationspflichten gegenüber dem Kunden erfüllt werden und diesem mitgeteilt wird, welche Daten über ihn erhoben werden. Das ist im Internet anders als bei dem E-Mail-Verkehr mit Kunden. Deshalb kann der Verweis auf die Datenschutzerklärung auf der Website unvollständig sein.
Verarbeitungsverzeichnis – Art. 30 DS-GVO
Was muss das Verarbeitungsverzeichnis enthalten?
Dazu sagen die Datenschutzbeauftragten der Länder:
Dieses Verzeichnis betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z.B. Unternehmen, Freiberufler, Verein) und – neu – auch jeder Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzelbeiträgen bestehen müssen. Das Verfahrensverzeichnis wird somit die Summe der einzelnen Verfahrensbeschreibungen sein.
Art. 30 Abs. 1 lit. g und Art. 30 Abs. 2 lit. d DS-GVO geben vor, dass das Verzeichnis eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO enthalten soll. Wie detailliert diese Beschreibung sein muss, lässt sich der DS-GVO nicht unmittelbar entnehmen. Jedenfalls sollte die Beschreibung der Maßnahmen nach Art. 32 DS-GVO so konkret erfolgen, dass die Aufsichtsbehörden eine erste Rechtmäßigkeitsüberprüfung vornehmen können.
Im Einzelnen:
Jeder Prozess im Unternehmen, bei dem personenbezogene Daten verarbeitet werden, muss in diesem Verzeichnis aufgeführt sein.
Tipp: Das ist eine relativ umfangreiche Liste, die intensive Arbeit im Unternehmen erfordert.
Pseudonymisierung/Verschlüsselung
Müssen wir Daten zu einer Immobilie, in der z.B. Mieterdaten stehen, schwärzen?
Ja. Personenbezogene Daten müssen pseudonymisiert werden, wo dies möglich ist. Sie sollten daher keine Mieterlisten mit Namensnennung an Kaufinteressenten weitergeben, zumal Sie mit diesen Interessenten keine Auftragsverarbeitungsvereinbarung haben.
Wo kann es noch zu einer Pflicht der Pseudonymisierung von Daten bei Immobilienfirmen kommen?
Bei der Weitergabe von personenbezogenen Daten an Messdienste muss zumindest eine Auftragsverarbeitungsvereinbarung bestehen. Wenn z.B. in einer Nebenkostenabrechnung von der Verwaltung eine Auswertung an die Mieter gegeben wird, dann dürfen dort nicht die Namen der Mieter der einzelnen Wohnungen stehen und als personenbezogene Daten weitergegeben werden. Auch diese müssen pseudonymisiert werden.
Auftragsverarbeitung
Muss ich mit den Handwerkern, die ich regelmäßig einsetze, eine Auftragsverarbeitungsvereinbarung schließen?
Ja, nämlich wenn personenbezogene Daten von Ihnen an die Handwerker weitergegeben werden. Es empfiehlt sich in diesem Fall, eine Rahmenvereinbarung abzuschließen.
Wann ist mein eigenes Unternehmen ein Auftragsverarbeiter?
Im Rahmen eines Gemeinschaftsgeschäftes, bei dem personenbezogene Daten von einem Immobilienmakler an das eigene Immobilienbüro zur Verfügung gestellt werden, kann das eigene Büro zum Auftragsverarbeiter werden, so dass eine Vereinbarung mit dem Partner im Gemeinschaftsgeschäft erforderlich ist.
Ist ein Notar ein Auftragsverarbeiter?
Bislang wurde das Vorliegen einer Auftragsverarbeitung dann verneint, wenn eine Verarbeitung der Daten nicht weisungsgebunden erfolgt ist. Bei der Erstellung des Notarvertrages handelt der Notar nicht weisungsgebunden (vgl. Begriff in Art. 4 Nr. 8 DS-GVO: „ … im Auftrag …“).
Was ist die Weisung? „(…) die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete Anordnung des Auftraggebers (…) der Autraggeber hat ein Weisungsrecht im Rahmen dieser vereinbarten Leistung.“ (Aus Publikation BITKOM)
So verhält es sich auch bei der Durchführung der Buchführung durch den Steuerberater. Ob die Aufsichtsbehörden auch weiterhin davon ausgehen, dass mit dem Steuerberater oder dem Notar KEINE Vereinbarung für eine Auftragsverarbeitung erforderlich ist, wird sich erst in Zukunft zeigen. Derzeit scheint es so zu sein, dass keine schriftliche Vereinbarung mit dem Notar vorliegen muss.
Wie ist es mit dem Grundbuchamt usw.?
Auch dort werden lediglich Daten eingeholt. Es besteht aber keine weisungsgebundene Verarbeitung. Daraus schließt, dass keine Vereinbarung erforderlich ist.
Wartungsarbeiten an der Software etc.
Derzeit bestehen unterschiedliche Rechtsauffassungen, ob mit der Technikfirma, die eine Fernwartung am eigenen System erstellt, eine Auftragsverarbeitungsvereinbarung geschlossen werden muss. Es wird die Auffassung vertreten, dass dabei zwar Zugriff auf personenbezogene Daten, nicht aber die Verarbeitung dieser Daten erfolgt, weshalb keine Vereinbarung erforderlich sei.
Fragen zur Einwilligung des Kunden und zum Einsatz personenbezogener Daten in der Werbung
Auseinanderhalten:
- Wettbewerbsrecht – betrifft alle Fragen im Zusammenhang mit der werblichen Ansprache von Kunden (bei der die verarbeiteten personenbezogenen Daten zum Einsatz kommen) und
- Datenschutz – bezieht sich auf alle Fragen der Erhebung und Verarbeitung von personenbezogenen Daten.
Benötige ich von jedem Kunden eine Einwilligung zur Verarbeitung seiner Daten?
Grundsätzlich benötigen Firmen die Einwilligung jedes Kunden zur Verarbeitung dessen personenbezogener Daten. Ausnahme: Die Daten werden zur Erfüllung einer vertraglichen oder vorvertraglichen Verpflichtung verarbeitet (Exposéanfrage). Allerdings müssen die Daten nach Beendigung dieser einen Anfrage gelöscht/gesperrt und dürfen nicht weiterbenutzt/-verarbeitet werden, wenn keine Einwilligung des Kunden vorliegt.
Ist es zu empfehlen, von jedem Kunden eine Einwilligung zu bekommen?
Wenn das Immobilienunternehmen Kundendaten für den Versand von E-Mails/Newslettern usw. verwenden will, dann ist es empfehlenswert, die Einwilligung zu erlangen. Ohne Einwilligung darf die Aufnahme in einen Newsletter nicht erfolgen.
Was ist, wenn der Kunde in einem Maklervertrag die Einwilligung durchstreicht?
Dann dürfen die Daten nur zur Abwicklung dieser speziellen vertraglichen Verpflichtung verarbeitet werden. Also: keine Zusendung weiterer Immobilienangebote, wenn die eine Anfrage abgearbeitet ist, es sei denn, der Kunde erteilt einen Suchauftrag o.ä.
Wie soll ich folgende Aussage eines Kunden in einer E-Mail vor dem Hintergrund der DS-GVO werten: „Diese Immobilie interessiert mich nicht. Senden Sie mir gern ein anderes Angebot zu.“?
Das ist die schriftliche Aufforderung des Kunden, zumindest weiter in Kontakt zu bleiben und weitere Angaben zu Immobilien an diesen Kunden zu senden. Wenn Sie hier ganz sichergehen wollen, bestätigen Sie diesem Kunden ausdrücklich mit einer E-Mail Ihre Vorgehensweise: „Vielen Dank für Ihre Mitteilung. Wir senden Ihnen gern weitere Immobilienangebote zu. Dafür werden wir Ihre Daten bei uns erfassen und verarbeiten. Die Informationen zu der Verarbeitung der Daten entnehmen Sie bitte der anliegenden Information (pdf). Sie können dies jederzeit widerrufen.“
Wenn ein Kunde seine Daten über eine Portalanfrage mitteilt, gilt das als seine Einwilligung?
Nein, im Rahmen der Portalanfrage werden die Portale sich die Einwilligung des Kunden zum Verarbeiten der Daten bei dem Portalbetreiber einholen. Diese gilt aber nicht für den Immobilienmakler. Die reine Anfrage ist keine Einwilligung. Diese muss ausdrücklich erklärt und der Kunde muss zugleich über sein bestehendes Widerrufsrecht informiert werden. Dafür verwenden Sie idealerweise eine Erklärung, die Sie dem Kunden zukommen lassen.
Wie gehe ich mit ALTEM Datenbestand um, wenn ich keine Einwilligung habe? Muss ich den löschen?
Die Einwilligung des Kunden musste auch schon nach bisherigem Datenschutzrecht vorliegen. Gem. § 4a BDSG musste die Einwilligungserklärung ebenfalls in Schriftform vorliegen.
Es muss eine Opt-in-Lösung sein, sprich: Der Kunde muss ausdrücklich der Verarbeitung der Daten zustimmen.
Hat der Kunde seine Einwilligung mit der Verwendung eines Kontaktformulars auf meiner Homepage erklärt, wenn dort eine Datenschutzerklärung steht?
Nein. Damit haben Sie nur der Informationspflicht gem. Art 13 DS-GVO entsprochen. Die Einwilligung muss ausdrücklich erfolgen.
Wie ist das überhaupt mit der Zusendung von E-Mails mit einem Immobilienangebot an Kunden?
Zu beachten sind UWG (Gesetz gegen den Unlauteren Wettbewerb) und Datenschutzrecht.
- UWG: Wann ist ein Schreiben irreguläre Werbung?
- Datenschutz: Sind die für das Anschreiben verwendeten personenbezogenen Daten rechtmäßig verarbeitet worden (Einwilligung usw.)?
Das UWG enthält KEINE Grauzone bei Verbrauchern: Keine Einwilligung bedeutet keine Werbung per E-Mail (per Post ist alles erlaubt).
Im Falle einer Werbe-E-Mail müssen nach § 7 Abs 3 UWG alle vier genannten Voraussetzungen erfüllt sein: E-Mailadresse im Zusammenhang mit Kauf einer DL erhalten; E-Mail zur Direktwerbung für eine eigene ähnliche DL verwendet; Kunde hat nicht ausdrücklich widersprochen; Kunde ist bei Erlangung der E-Mail ausdrücklich darauf hingewiesen worden, dass er jederzeit der Verwendung widerrufen kann.
Einwilligung und Versendung von (Werbe-)E-Mails an Kunden
Was ist, wenn mein Kundenbestand nicht komplett mit einer Einwilligung hinterlegt ist?
Dann dürfen die Kunden OHNE ausdrückliche Einwilligung nicht angeschrieben werden.
Wie soll ich vorgehen? Etwa im Beispiel des Newsletters eines Maklerbüros?
Bei allen Kunden, deren Daten rechtmäßig (Einwilligung liegt vor, Double-Opt-In) verarbeitet worden sind gibt es keine Schwierigkeit, in jedem Newsletter auf den jederzeitigen Widerruf der Einwilligung hinzuweisen.
Alle anderen Kunden (bei denen die Einwilligung zweifelhaft ist oder nicht vorliegt):
- Newsletter versenden mit Hinweis auf Double-Opt-In;
- Alle Kunden, die antworten, in den NL-Verteiler aufnehmen;
- Alle anderen Kunden nicht weiter anschreiben;
- Daten dieser Kunden alle löschen? Hängt davon ab, ob eine Aufbewahrungspflicht besteht. Keine Aufbewahrungspflicht -> LÖSCHEN
Mieterdaten und Datenschutz
Welche Daten von Mietern darf ich erheben und verarbeiten?
Die Immobilienfirmen müssen unterscheiden zwischen:
- Daten, die vor Abschluss des Mietvertrages erhoben werden
- Daten, die im laufenden Mietverhältnis erhoben werden.
Daten vor Abschluss des Mietvertrages:
Hier gilt es, den Grundsatz der Datenminimierung anzuwenden und nicht übermäßig Daten abzufragen und zu verarbeiten. Fragen zum religiösen Hintergrund, der Herkunft (ethnisch etc.) sind nicht erlaubt und dürfen nicht verarbeitet werden.
Selbstauskünfte, Bonitätsnachweis, ggfls. Einholung einer Schufa etc. sind erlaubt. Kommt der Mietvertrag mit einer Partei zustande, dürfen diese Daten auch ohne Einwilligung verarbeitet werden, weil es um ein bestehendes Vertragsverhältnis geht.
Kommt der Mietvertrag mit der Person nicht zustande, müssen alle Daten gelöscht werden (vgl. Fragen zur Löschung -> keine Datensicherung, kein Aufheben von teilweisen Daten, auch Zerstörung der physischen Daten durch Aktenvernichtung etc.).
Daten im laufenden Mietvertrag:
Alle Daten dürfen verarbeitet werden, solange der Mietvertrag besteht. Nach Auszug, Kündigung etc. müssen die Daten vernichtet werden (vgl. Frage zur Löschung von Mieterdaten).
Zu beachten ist, dass auch Vertragspartner die DS-GVO einhalten müssen und der Vermieter/Verwalter sich davon überzeugen muss, dass dies der Fall ist. Dazu zählen Abrechnungsdienste, evtl. der Hausmeisterservice usw., sofern personenbezogene Daten an diese übermittelt werden. Hier ist erforderlich, dass die Verwalter, die die Daten weitergeben, einen Vertrag über die Auftragsverarbeitung mit den Auftragnehmern abschließen, die die Datensicherheit der verarbeiteten personenbezogenen Daten gewährleisten.
ACHTUNG: Auch private Vermieter fallen unter die DS-GVO!!
Dürfen wir Bewerberdaten für Mietwohnungen an Vermieter weitergeben?
Ja, wenn der Kunde über die Weitergabe im Zusammenhang mit der Erhebung und Verarbeitung der Daten informiert wird. Das kann durch die Information im Zusammenhang mit der Einwilligung erfolgen (eigenes pdf) oder bei einer offenen Besichtigung z.B. durch einen Aushang. Der Vermieter muss auf die Einhaltung der Datenschutzgrundsätze verpflichtet werden und seinerseits zusichern, dass die Daten gelöscht werden, wenn diese nicht mehr benötigt werden. Er muss ergo alle Bewerberdaten vernichten, wenn die Wohnung an einen anderen Interessenten vermietet wird.
Kann mit einem Mietvertrag die Einwilligung zur Datenverarbeitung verknüpft werden?
Ja, das kann es. Es muss aber das Koppelungsverbot beachtet werden. Es empfiehlt sich, sich die Einwilligung auf einem gesonderten Blatt geben zu lassen.
Wie verhält es sich mit Tätigkeitsnachweisen gegenüber Vermietern/Verkäufern? Dürfen diese mit Namensnennung erfolgen?
Wenn der Immobilienmakler den Interessenten im Rahmen seiner Informationspflicht darauf hinweist, dass er die Daten an den Eigentümer weitergibt, dürfte dies erlaubt sein. Zugleich muss der Immobilienmakler den Eigentümer verpflichten, mit den personenbezogenen Daten datenschutzkonform umzugehen. Das kann in den Maklervertrag aufgenommen werden. Immobilienfirmen sollten den Grundsatz der Datenminimierung beachten und nicht Daten über Interessenten zu einem Zeitpunkt erheben, zu dem diese Daten vom Interessenten noch gar nicht mitgeteilt werden müssen. Dann ist auch das Risiko eines Verstoßes gegen den Datenschutz geringer, wenn Daten an den Eigentümer weitergegeben werden.
Das gilt auch für die Vermietung von Wohnungen. Häufig werden zu viele Daten von Mietinteressenten zu einem zu frühen Zeitpunkt erhoben. Dann liegt auch ein Verstoß gegen die Datenschutzregeln vor.
Personenbezogene Daten von Kunden im Immobilienbüro
Wie verhält es sich mit der Speicherung von Geburtstagen und der Versendung von Geburtstagsgrüßen über FLOWFACT an Eigentümer, Kunden etc.?
Wenn diese Daten nicht im Zusammenhang mit einem Vertrag erhoben und verarbeitet worden sind, nicht. Denn da der Kunde zur Verarbeitung eingewilligt haben muss, liegt keine Einwilligung vor. Was dazu führt, dass keine Verarbeitung passieren darf und damit auch keine Geburtstagsgrüße ausgesprochen werden dürfen.
Sind die Daten im Zusammenhang mit einem Vertrag erhoben worden, muss übrigens der Hinweis erfolgen, dass der Verarbeitung und Zusendung jederzeit widersprochen werden kann
Zu beachten ist ferner, dass die Speicherung des Geburtsdatums bei einer Exposéanfrage dem Grundsatz der Datenminimierung widerspricht und auch aus diesem Grund eher nicht ausgeführt und damit das Geburtsdatum nicht gespeichert werden darf.
Kundenmailing
Darf ich keine Weihnachtskarten mehr versenden?
Allen Kunden, die dem Unternehmen eine Einwilligung zur Datenverarbeitung gegeben haben, darf eine Weihnachtskarte geschickt werden, solange der Kunde diese Einwilligung nicht widerrufen hat. Alle anderen Adressen müssen aus dem Mailing herausgenommen werden (also die Kunden, mit denen Sie in Kontakt in der Erfüllung eines Vertrages oder einer vorvertraglichen Verpflichtung stehen)
Was ist, wenn mein Kunde mir per WhatsApp seinen Personalausweis schickt (teilweise auch unaufgefordert)?
Das sind personenbezogene Daten, die verarbeitet werden, beim Personalausweis eventuell sogar biometrische Daten mit erhöhter Anforderung an die Verarbeitung (Art 9 DS-GVO). Es muss eine Information an den Kunden erfolgen, dass die Daten verarbeitet werden (vgl. Art. 13 DS-GVO). Die Aufbewahrung und Verarbeitung darf solange erfolgen, wie es die Aufbewahrungspflichten vorschreiben, nach GwG sind das fünf Jahre. Danach müssen die Daten gelöscht werden.
Gewinnspiel inkl. Einwilligung
Ist die Veranstaltung eines Gewinnspiels in Verbindung mit einer Einwilligung zur Datenverarbeitung noch möglich?
Nein. Die DS-GVO schreibt ein Koppelungsverbot vor. Die Einwilligung zur Verarbeitung personenbezogener Daten darf nicht an Bedingungen geknüpft werden, wie z.B. das Gewinnspiel. Eine unabhängige Erklärung über die Einwilligung der Verarbeitung von Daten wird wohl weiterhin mit einem Gewinnspiel verknüpfbar sein.
Informationspflichten
Wie informiere ich meine Kunden über die verarbeiteten Daten?
Art. 13 und 14 DS-GVO schreiben vor, welche Information das Unternehmen, das die personenbezogenen Daten vom Kunden verarbeitet, an den Kunden geben muss. Bitte beachten Sie, dass Sie sowohl darüber informieren müssen, welche Daten Sie direkt beim Kunden erheben und verarbeiten, als auch, welche Daten Sie von Dritten beziehen und verarbeiten (z.B. Auskunfteien, Creditreform usw.).
- Aufbewahrungsfristen und Löschung von Daten
Woraus folgt, dass wir Daten eines Interessenten für eine Immobilie automatisch löschen müssen?
Nach dem Grundsatz der Datenminimierung aus Art. 5 DS-GVO müssen personenbezogene Daten von Kunden gelöscht werden, wenn diese keine Einwilligung zur Verarbeitung der Daten gegeben haben. Spätestens, wenn der Zweck der Verarbeitung erfüllt ist, müssen diese gelöscht werden. Das ist dann der Fall, wenn eine konkrete Exposéanfrage zu einem Ergebnis geführt hat (Kunde hat sich gegen die Immobilie entschieden und abgesagt). Dann muss der Datensatz gelöscht werden. Es bestehen dann auch keine Aufbewahrungsfristen.
Muss ich Kundendaten löschen, wenn der Kunde mich dazu nicht auffordert?
Ja, vgl. die Antwort zu der vorangegangenen Frage.
Wie belege ich dem Kunden, dass seine Daten gelöscht wurden?
Gem. Art. 19 DS-GVO muss die Person, deren Daten verarbeitet werden, über die Löschung informiert werden. Details über den Inhalt der Mitteilung stehen nicht im Gesetz. Demnach dürfte eine Mitteilung über den Tatbestand der Löschung an sich und den Umfang der bislang verarbeiteten und jetzt gelöschten Daten ausreichen.
Nach wie langer Zeit müssen wir die Daten der Kunden löschen?
Das lässt sich nicht pauschal beantworten. Wenn keine Einwilligung zur Verarbeitung der Daten von dem Kunden vorliegt, müssen die Daten gelöscht werden, wenn die Speicherung und Verarbeitung nicht mehr für die Durchführung vorvertraglicher Maßnahmen erforderlich sind. Das kann direkt am Ende der Abwicklung eines Auftrages (z.B. Vermietung einer Wohnung) sein, wenn der Mietinteressent die Wohnung nicht bekommen hat und auch sonst keine Einwilligung zur Verarbeitung seiner Daten gegeben hat. Und das kann bis zu zehn Jahre der Fall sein, wenn ein Kunde einen Maklervertrag abgeschlossen, einen Hauptvertrag abgeschlossen, eine Rechnung bekommen und diese bezahlt hat.
Kunden, die eine Anfrage über ein Immobilienportal gestellt, die Immobilie nicht bekommen und sich nicht weiter zu einer Verarbeitung der Daten geäußert haben, müssen aus dem System gelöscht werden, wenn der Zweck der Datenverarbeitung, also die vertragliche oder vorvertragliche Beziehung, beendet sind.
Bsp: Immobilienverkauf. Verkäuferauftrag endet. Interessenten haben nicht gekauft. Wie lange muss aufbewahrt werden?
Die Daten des Interessenten müssen dann gelöscht werden, wenn eindeutig feststeht, dass kein rechtlicher Anspruch (Provision) gegen diesen besteht. Eine Karenz von drei bis sechs Monaten, in Einzelfällen auch 12 Monaten, sollte erlaubt sein.
Die Daten des Verkäufers, mit dem ein Maklervertrag/Alleinauftrag bestanden hat, müssen nach MaBV 5 Jahre aufgehoben werden. Wenn keine Einwilligung zur weiteren Verarbeitung vorliegt, dürfen dessen Daten nicht für eine weitere werbliche Ansprache und Verarbeitung genutzt werden. Die werden (passiv) gespeichert, bis die gesetzliche Aufbewahrungsfrist ausgelaufen ist.
Kann ein Kunde verlangen, dass wir seine Daten löschen, nachdem er zugestimmt hatte, dass wir seine Daten speichern können?
Die einmal erteilte Einwilligung zur Verarbeitung von personenbezogenen Daten kann vom Kunden jederzeit widerrufen werden. Gem. Art. 17 DS-GVO müssen die Daten bei Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung gelöscht werden.
Besteht eine gesetzliche Aufbewahrungspflicht, müssen die Daten bis zum Ablauf dieser Frist weiter gespeichert bleiben, dürfen aber nicht weiterverwendet werden (sie sind quasi für die weitere Verarbeitung gesperrt)
Kunden, die angeschrieben werden, ob sie weiter einen NL erhalten wollen und der weiteren Verarbeitung der Daten widersprechen, müssen gelöscht werden
Was bedeutet die Löschung der Daten eines Kunden? Auch in allen Datensicherungen löschen?
Ja, die Löschung von Daten bedeutet, dass diese nicht mehr vorhanden sind und auch nicht wiederhergestellt werden können. Deshalb muss der Datensatz aus der aktiven Software genauso gelöscht werden wie aus der Datensicherung und dem Backup.
Auch eine Wiederherstellung des Datensatzes darf nicht möglich sein.
Ggfls. müssen Sie die technischen Voraussetzungen dafür schaffen, dass die Daten an allen Stellen gelöscht werden.
Auch wenn Kopien von Datensätzen in Papierform vorhanden sind, muss daran gedacht werden, dass die dort vorhandenen Daten ebenfalls gelöscht werden. Das kann z.B. Mieterlisten bei Investmentobjekten betreffen, bei denen personenbezogene Daten in einem virtuellen Datenraum, in einem Papierordner als weitere Kopie, in einem Exposé als Anlage usw. enthalten sind.
Wann müssen Daten von Mietern gelöscht werden?
Wenn das Mietverhältnis beendet ist und alle Fristen für die Geltendmachung von Ansprüchen abgelaufen sind (Schadensersatz, Abrechnung von Nebenkosten, Abrechnung der Kaution, Geltendmachung von Ausgleichszahlungen usw.) und der Kunde keine Einwilligung zur Verarbeitung seiner Daten und zur Zusendung eines Newsletters usw. gegeben hat, dann muss der Datensatz mit Ablauf dieser Fristen gesperrt werden, so dass dieser nicht mehr aktiv für Anschreiben und die aktive Verarbeitung der Daten genutzt wird. Wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist, wohl spätestens nach zehn Jahren, wird der Datensatz dann endgültig gelöscht.
Das legen die Firmen in ihrem Löschungskonzept fest.
Wie verhält es sich mit der Löschung von Daten nach der DS-GVO, wenn zugleich eine Aufbewahrungspflicht nach den Grundsätzen der GoBD o.ä. besteht?
Müssen Daten nach den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) aufbewahrt werden, dann geht diese Aufbewahrungspflicht dem Anspruch des Kunden auf Löschung seiner Daten vor.
Erst wenn die Aufbewahrungspflicht abgelaufen ist, muss eine endgültige Löschung der Daten erfolgen. Widerspricht der Kunde der Verarbeitung und verlangt zum Beispiel die Löschung der Daten, ist er auf die gesetzliche Aufbewahrungspflicht hinzuweisen, der Datensatz darf nicht weiter verarbeitet werden und der Kunde darf z.B. keine weiteren Immobilienangebote oder Werbe-E-Mails etc. erhalten.
Auch die revisionssichere E-Mail-Archivierung enthält eine Pflicht zur Aufbewahrung von Daten über einen bestimmten Zeitraum. Achten Sie darauf, dass Sie diese Fristen einhalten und die Daten nicht aus anderem Grund löschen, wenn die dortigen Fristen nicht abgelaufen sind.
Tipp: Auch nach dem GwG besteht eine Aufbewahrungspflicht. Halten Sie diese Frist unbedingt ein, bevor Sie Kundendaten löschen!
Schreiben BMF zu GoBD (Stand 2014):
Kann der Immobilienmakler aufgrund der Aufforderung des Kunden zur Löschung seiner Daten einen Provisionsanspruch verlieren?
Nein. Dem Recht des Kunden auf Vergessen gem. Art. 17 DS-GVO steht der Anspruch des Immobilienmaklers entgegen, den Datensatz auch ohne dessen Einwilligung zur Erfüllung einer vertraglichen Verpflichtung zu verarbeiten. Das bedeutet, dass keine Daten gelöscht werden müssen, solange nicht geklärt ist, ob ein Provisionsanspruch besteht oder nicht.
Das bedeutet aber auch, dass der Kunde, der einer weiteren Verarbeitung widersprochen hat, außer zu dem einen Vertragsverhältnis keine weiteren Angebote, Informationen, Werbung etc. vom Immobilienmakler erhalten darf. Der Datensatz darf für werbliche Zwecke nicht weiterverarbeitet werden.
Wer unterstützt die Unternehmen bei der Umsetzung der DS-GVO?
Immobiliendatenbanken
Wird uns von den Immobilien-Datenbanken eine Einwilligungserklärung des Kunden zur Verarbeitung der Daten übermittelt?
VORAB: Die Anfrage über ein Immobilienportal kann ohne Einwilligung des Kunden verarbeitet werden, weil es um die Abarbeitung eines vorvertraglichen Verhältnisses geht.
Grundsätzlich muss die Einwilligungserklärung gegenüber dem Unternehmen abgegeben werden, das die Daten selbst verarbeitet.
Gegenüber den Immobiliendatenbanken geben die Kunden eine Einwilligungserklärung ab, dass
- diese die Daten selbst verarbeiten und
- an den Immobilienmakler weitergeben dürfen (Empfänger).
Da zusammen mit der Einwilligung dem Kunden mitgeteilt werden muss, dass dieser die Einwilligung jederzeit wiederrufen kann, ist die Verlagerung der Einwilligung auf die Immobiliendatenbanken wohl schwierig. Es bleibt abzuwarten, ob hier Lösungen erarbeitet werden, die mit der Gesetzeslage in Einklang stehen.
Leadportale
Wie ist es mit der Übergabe von personenbezogenen Daten durch Leadportale?
Grundsätzlich muss die Einwilligungserklärung gegenüber dem Unternehmen abgegeben werden, das die Daten selbst verarbeitet.
Gegenüber den Leadportalen geben die Kunden eine Einwilligungserklärung ab, dass
- diese die Daten selbst verarbeiten und
- an den Immobilienmakler weitergeben dürfen (Empfänger).
Da zusammen mit der Einwilligung dem Kunden mitgeteilt werden muss, dass dieser die Einwilligung jederzeit wiederrufen kann, ist die Verlagerung der Einwilligung auf die Leadportale wohl schwierig. Es bleibt abzuwarten, ob hier Lösungen erarbeitet werden, die mit der Gesetzeslage in Einklang stehen.
FLOWFACT
Wie unterstützt FLOWFACT bei der Umsetzung der DS-GVO?
FLOWFACT setzt die DS-GVO in den Abläufen bei der Verarbeitung personenbezogener Daten vollständig um. Etwa wird in die Vertragsmuster die Einwilligungserklärung des Kunden aufgenommen, so dass bei deren Verwendung eine schriftliche Einwilligung des Kunden vorliegt. Auch wird eine Funktion zur Löschung von Daten in FLOWFACT eingearbeitet, so dass damit dem “Recht auf Vergessenwerden/Löschung“ entsprochen werden kann. Weitere Details finden Sie
hier:
Hinweis:
FLOWFACT kann den einzelnen Immobilienfirmen, die die Software nutzen, nicht von den Anforderungen der DS-GVO befreien. Jedes Unternehmen haftet eigenständig für die Erfüllung der Grundsätze der ordnungsgemäßen Verarbeitung der erhobenen personenbezogenen Daten und des Löschens dieser Daten.
Das bedeutet, dass die Risikoabwägung, die Datenschutzfolgenabschätzung und das Verzeichnis der Verarbeitungstätigkeiten sowie die Verträge mit den Auftragsverarbeitern von jedem Unternehmen selbst aufgestellt werden müssen.
Erhaltene Informationen für die Einhaltung der DSGVO in Ihrem Unternehmen sind nicht zu verwechseln mit einer rechtlichen Beratung.