Informationen zum Datenschutzrecht für

Ein Unternehmen, das Immobilen zur Vermietung oder zum Kauf vermittelt, arbeitet in der Regel mit personenbezogenen Kundendaten. Die Datenschutz-Grundverordnung (DSGVO) schreibt strenge Regeln im Umgang mit personenbezogenen Daten vor.
In Zukunft werden daher Verstöße gegen die neuen datenschutzrechtlichen Vorschriften mit erheblichen Bußgeldern (bis zu 20 Millionen Euro oder 4% des gesamten Jahresumsatzes) geahndet. Daher lohnt sich auf jeden Fall ein genauer Blick auf die betriebsinternen Abläufe, die personenbezogene Daten betreffen.

Verarbeitung von Daten
Verarbeiten meint hier die Erhebung, Erfassung, Organisation oder die Speicherung von Daten. Die Verwendung von EDV ist keine zwingende Voraussetzung für die Anwendung des Datenschutzrechts. Bereits dann, wenn ein Unternehmen eine Firmenwebseite betreibt, auf der sich potentielle Kunden über das Angebot informieren können, werden bereits beim Webseitenbesuch in aller Regel personenbezogene Daten des Nutzers verarbeitet (z. B. Speicherung der IP-Adresse). Daher sind eine DSGVO-konforme Datenschutzerklärung und ein Impressum auf der Webseite zwingend erforderlich.

Zulässigkeit der Datenverarbeitung
Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn das in einer nachvollziehbaren und für die betroffene Person transparenten Art und Weis geschieht. Die DSGVO enthält einen allgemeinen Grundsatz des Datenschutzes: Personenbezogene Daten dürfen für vorher festgelegte (und zulässige) Zwecke (z. B. Durchführung eines Maklervertrages) erhoben werden. Sie dürfen nur in dem Umfang erhoben und verarbeitet werden, in dem es für die Erreichung des jeweiligen Zwecks notwendig ist (Grundsatz der Datenminimierung). 

Rechtmäßigkeit der Datenverarbeitung
Auch wenn ein Unternehmen den Grundsatz der Datenminimierung beachtet, bedeutet das nicht, dass es personenbezogene Daten erheben und speichern darf (z. B. über das Kontaktformular auf der einer Webseite). Werden personenbezogene Daten verarbeitet, muss diese Verarbeitung auch zulässig sein. Zulässig ist die Verarbeitung dieser Daten jedenfalls dann, wenn die betroffene Person (vor der Verarbeitung) ihre Einwilligung zur Verarbeitung zu einem festgelegten Zweck (z. B. Vermittlung einer Mietwohnung) erteilt hat. Liegt keine vorherige Einwilligung vor, ist die Erhebung auch dann zulässig, wenn die Verarbeitung für die Erfüllung eines Vertrages notwendig ist.

Damit eine eingeholte Einwilligung ihrerseits zulässig ist, muss sie die strengen Vorgaben der DSGVO erfüllen. Unverzichtbar nach Art. 7 DSGVO sind:

• Freiwilligkeit
• Informiertheit
• Eindeutigkeit
• Kopplungsverbot
• Hinweis auf Widerrufsmöglichkeit

Die Einwilligung muss freiwillig erfolgen. Keinesfalls darf der Abschluss des Vertrages von der Erteilung der Einwilligung abhängig gemacht werden (Kopplungsverbot). Blanko-Einwilligungen sind nicht zulässig. Der Betroffene muss über eine konkrete Verarbeitung und den konkreten Zweck informiert werden (informierte Einwilligung). Der Betroffene muss auch die Möglichkeit haben, seine Einwilligung jederzeit für die Zukunft zu widerrufen. Dazu muss er über das Widerrufsrecht informiert werden. Eine bestimmte Form sieht die DSGVO für die Einwilligung zwar nicht vor. Um die Abgabe einer ordnungsgemäßen Einwilligung nachweisbar zu dokumentieren, sollte diese in schriftlicher Form vom Betroffenen abgegeben werden. Auf Webseiten muss die (freiwillige) Erteilung durch Anklicken in verwertbarer Weise protokolliert werden.

Informationspflichten bei Erhebung personenbezogener Daten
Werden personenbezogen Daten erhoben, muss der Verantwortliche die betroffene Person über die Durchführung der Datenerhebung und ihren Zweck unaufgefordert informieren (Art. 13 DSGVO). Informiert werden muss über folgende Punkte:

• Name und die Kontaktdaten des Maklers, bzw. seines Vertreters
• Zweck der Verarbeitung (z. B. Vermittlung einer Wohnung),
• Grundlage für die Verarbeitung (z. B. Maklervertrag)
• Empfänger, an die die personenbezogenen Daten weitergegeben werden (z. B. Vermieter)

Zusätzlich zu diesen Informationen ist der Betroffene unter anderem über folgende Punkte zu informieren:

• Dauer der Speicherung der Daten,
• das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten, sowie auf Berichtigung, Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit,
• sollte die Verarbeitung auf Einwilligung des Betroffenen beruhen, über das Bestehen des Rechts die Einwilligung jederzeit zu widerrufen,
• über das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

 

Verarbeitungsverzeichnis anlegen

Mit dem Inkrafttreten der DSGVO am 25.05.2018, ist der Makler der personenbezogene Daten erhebt und verarbeitet verpflichtet, ein sog. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) anzulegen. In diesem Verzeichnis müssen, unter anderem, folgende Punkte aufgenommen werden:

• Name und Kontaktdaten des für die Verarbeitung Verantwortlichen (des Maklers),
• der Zweck der Datenverarbeitung,
• Kategorien der betroffenen Personen (z. B. Wohnungssuchende oder Vermieter),
• Art der gespeicherten Daten (z. B. Kontaktdaten, Wohnbedarf, Bankdaten, u. a.),
• Kategorien von Empfängern an die Daten übermittelt werden (z. B. Vermieter),
• Fristen für die beabsichtigte Löschung der verschiedenen Daten.

Dieses Verzeichnisse ist nach Art. 30 DSGVO schriftlich zu führen. Möglich ist das auch in elektronischer Form. Die Aufsichtsbehörde (Landesdatenschutzbeauftragter) kann die Vorlage dieses Verzeichnisses verlangen. Wurde ein solches Verzeichnis nicht angelegt, kann die Aufsichtsbehörde Bußgelder verhängen.

 

Datenverarbeitung durch Dritte absichern

Beauftragt der Makler einen Dritten mit der Verarbeitung personenbezogener Daten seiner Kunden, bleibt er für den datenschutzkonformen Umgang mit diesen Daten verantwortlich. Dazu ist mit dem externen Dienstleister ein spezieller Vertrag über die Auftragsverarbeitung zu schließen. In diesem Vertrag wird der Umgang mit personenbezogenen Daten und deren Verarbeitung klar geregelt. Der verantwortliche Makler ist verpflichtet, den Dienstleister sorgfältig auszuwählen und zu kontrollieren. Der Dienstleister ist rechenschaftspflichtig, d. h. er muss die notwendigen Informationen zur Verfügung stellen, anhand derer überhaupt eine Kontrolle möglich ist.

 

Auf Löschung der personenbezogenen Daten achten

Nach Erhebung von personenbezogenen Daten muss sich der Makler auf jeden Fall Gedanken machen über eine DSGVO-konforme Löschung dieser Daten. Entfällt der Zweck, der die Datenverarbeitung erforderlich gemacht hat, muss der Makler diese Daten löschen. Der Zeitpunkt wird dabei nicht von der DSGVO bestimmt. Vielmehr kommt es darauf an, ob trotz Beendigung des Vertragsverhältnisses eine darüberhinausgehende Rechtfertigung für die Speicherung gegeben ist.

Beispiel: Wurde eine Wohnung vermittelt und hat der Kunde die vertraglich geschuldete Provision nicht bezahlt, kann der Makler weiterhin alle Daten speichern, die für die Durchsetzung seines Anspruchs erforderlich sind. Nach Bezahlung sind jedoch die personenbezogenen Daten des Kunden zu löschen und dürfen nicht in der Kundenkartei „schlummern“, um in einem zukünftigen Bedarfsfall herangezogen zu werden. 

Pflicht zur Bestellung eines Datenschutzbeauftragten
Nach der DSGVO werden nur bestimmte Unternehmen wie z. B. Auskunfteien zur Bestellung eines Datenschutzbeauftragten generell verpflichtet. Im neuen Datenschutzgesetz, das ergänzend zur DSGVO weiterhin gilt, ist für Unternehmen eine Bestellungspflicht vorgesehen, wenn sie mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigten. Dabei kann ein interner (z. B. ein Mitarbeiter) Datenschutzbeauftragter oder ein externer Dienstleister zum Datenschutzbeauftragten bestellt werden.