Sechs Monate DSGVO

Seit Ende Mai ist sie jetzt in Kraft – die viel diskutierte Datenschutzgrundverordnung (DSGVO) der EU. Einige Unternehmen haben die neuen Richtlinien bereits vollständig umgesetzt, viele arbeiten noch daran. Ein Überblick.

Vor einigen Wochen machte der Fall eines österreichischen Mieters Schlagzeilen: Der Mann hatte von seinem Vermieter, der kommunalen Hausverwaltung „Wiener Wohnen“, verlangt, seinen Namen vom Klingelschild zu entfernen. Aus Datenschutzgründen. Dabei berief er sich auf die DSGVO, die seit Mai dieses Jahres gilt und für ein einheitliches Datenschutzniveau in ganz Europa sorgen soll. Der Mann bekam recht und das Wohnungsunternehmen ließ daraufhin rund 220.000 Namensschilder an seinen Türklingeln entfernen. Zwar ist ein solcher Fall in Deutschland bisher nicht aufgetreten und würde vermutlich auch nicht solche Konsequenzen nach sich ziehen. Dennoch hat die Diskussion in den Medien gezeigt, dass in der Branche nach wie vor große Unsicherheiten bestehen. Wir haben die wichtigsten Aspekte noch einmal für Sie zusammengefasst.

Für wen gilt die DSGVO?

Betroffen von der DSGVO ist grundsätzlich jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Das sind per Definition alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Es reicht also schon, wenn Daten vorliegen, die es theoretisch erlauben würden, dass man dadurch auf eine bestimmte Person schließen kann. Das Problem: Oft weiß man gar nicht unbedingt, ob das der Fall ist. Grundsätzlich ist daher zu empfehlen, alle Daten, die eindeutige Informationen enthalten könnten, als personenbezogen zu werten. Das bedeutet: Es bedarf einer Erlaubnis, diese Daten zu verarbeiten. Grundsätzlich hat zudem jeder Kunde eines Wohnungswirtschaftsunternehmens ein Recht auf Auskunft, Datenminimierung und Vergessen. Das heißt, er hat zum einen das Recht, zu erfahren, welche Informationen über ihn gespeichert werden. Zum anderen sind Unternehmen grundsätzlich dazu angehalten, nur jene Daten zu erheben, die sie tatsächlich für ihr Tagesgeschäft benötigen. Und schließlich kann ein Kunde jederzeit fordern, dass von ihm erfasste Daten auch wieder gelöscht werden.

Was ist zu tun?

In der Praxis eines Wohnungswirtschaftsunternehmens wirkt sich das in verschiedenen Bereichen aus. Beispiel Website: Wer hierüber Kontaktinformationen eines Kunden oder Interessenten abfragt (beispielsweise für den Versand eines Exposés), sollte überprüfen, ob tatsächlich alle Informationen notwendig sind. Für jede Homepage ist zudem eine Datenschutzerklärung vorgeschrieben, in welcher der Betreiber der Seite genau aufführen muss, wie er mit den Informationen umgeht und welche Dienstleister in deren Verarbeitung eingebunden sind.

Wer einen E-Mail-Newsletter an seine Kunden verschickt, muss seit dem Inkrafttreten der DSGVO dessen Einwilligung nachweisen können. Da solche Einwilligungen in der Vergangenheit häufig nur mündlich erfolgt sind, müssen viele Unternehmen das nachholen. Auch wir freuen uns, wenn Sie uns Ihre Einwilligung durch ein einfaches „JA“ an diese Mailadresse geben.

Eine wesentliche Rolle spielt bei der DSGVO auch das Thema Transparenz: Egal, ob es um ein persönliches Treffen, eine E-Mail oder einen Anruf geht – ein Unternehmen ist grundsätzlich verpflichtet, den Interessenten auf seine Rechte hinzuweisen und ihm mitzuteilen, welche Daten über ihn erhoben werden, zu welchem Zweck und wie lange. Erfolgt die Kontaktaufnahme telefonisch, bietet es sich an, im Nachgang eine entsprechende E-Mail zu versenden. Bei persönlichen Besuchen, etwa im Immobilienbüro, reicht ein gut sichtbarer Aushang.

Grundsätzlich sind Wohnungsunternehmen dazu aufgefordert, ihre Verträge mit Dienstleistern, wie zum Beispiel IT- und Steuerberatern oder Verbrauchsabrechnern, den neuen Vorgaben der DSGVO anzupassen. Viele dieser Unternehmen bieten dazu entsprechende Standardverträge an. Neu ist ebenfalls die Pflicht, ein Verarbeitungsverzeichnis zu erstellen, das sämtliche Abläufe im Unternehmen beschreibt, die mit der Verarbeitung von Daten zusammenhängen. Dazu gehören unter anderem Bewerbungsverfahren, Kauf, Vermietung oder auch die Bewertung von Immobilien.

Das bleibt

Was die Datensicherheit wie Gebäudezutritt, Passwörter, Virenschutz, Firewall, Verschlüsselung etc. angeht, reicht es nach wie vor, sich an die aktuellen Standards zu halten. Neu ist lediglich die Frist für die Selbstanzeige, falls dennoch Daten gestohlen werden. Nach der neuen DSGVO muss ein Unternehmen hier spätestens nach 72 Stunden aktiv werden.

Unverändert bleibt hingegen die Pflicht, einen Datenschutzbeauftragten im Unternehmen zu benennen. EU-weit besteht diese Pflicht erst für Betriebe ab 250 Mitarbeitern. Für Deutschland gilt aber weiterhin die Grenze von zehn Personen.

Im besten Fall haben Immobilienunternehmen diese und alle weiteren Verpflichtungen, die sich aus der neuen DSGVO ergeben, bereits umgesetzt. Wer hier noch Nachholbedarf hat, sollte sich zügig darum kümmern. Zwar ist die befürchtete große Abmahnwelle bisher ausgeblieben, aber Verstöße können teuer werden: Bei Nichteinhaltung drohen Sanktionen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Firmenumsatzes. Eine gewissenhafte Vorbereitung und Umsetzung sind für Makler, Verwalter oder Vermieter daher von höchster Wichtigkeit.

Weitere Informationen sowie eine Checkliste zur Umsetzung der DSGVO finden Sie hier:
​​Europäische Datenschutz-Grundverordnung
Die EU-Datenschutz-Grundverordnung