Einheitlicher Datenschutz erfordert viel Vorarbeit

Die verschärften Vorgaben zum Datenschutz greifen europaweit.
Quelle: Fotolia.com, Urheber: asrawolf

Der 25. Mai 2018 gehört im Kalender rot angestrichen. Denn von dem Tag an greifen europaweit verschärfte Vorgaben zum Datenschutz - die Datenschutzgrundverordnung, kurz DSGVO. Höchste Zeit für die Immobilienbranche, sich darauf einzustellen.

Wer nicht hören will, muss fühlen. Getreu dem Sprichwort droht die Europäische Union (EU) Unternehmen, die die neue Datenschutzvorschrift nicht einhalten, empfindliche Strafen an. Diese packen da, wo es Firmen am meisten schmerzt: beim Geld. Auf 20 Mio. Euro oder 4% des Jahresbruttoumsatzes weltweit lautet die Poenale bei Verstößen. Die Datenschutzgrundverordnung (DSGVO) unterscheidet weder bei den Geldstrafen noch bei den Vorgaben zwischen Branchen oder großen und kleinen Marktteilnehmern. Sie gilt also auch für Immobilienentwickler und Bestandshalter, Makler und Verwalter, Privatvermieter, Architekturbüros und die Bauwirtschaft.

Das neue Recht stellt auf den Umgang mit personenbezogenen Daten von EU-Bürgern ab. Solche Angaben gibt es in der Immobilienbranche eine ganze Menge: Name, Anschrift, Geburtsdatum, Mailadressen von Mietern, Bankverbindungen von Kunden und Auftraggebern zum Beispiel.

Die DSGVO regelt, wie Angaben erhoben, verarbeitet und genutzt werden dürfen. Die Standards werden in den EU-Mitgliedsländern einheitlich sein. Unternehmen müssen sie unabhängig davon anwenden, ob sie innerhalb der EU sitzen oder in den USA.

Abspeichern in Europa

Zu den zentralen Punkt gehört das Speichern der Daten. Diese dürfen künftig nicht mehr einfach aus der EU in Drittstaaten, etwa die USA, übermittelt werden. In der Konsequenz bedeutet dies, „der Server sollte am besten in Europa stehen", sagt Rechtsanwalt Christoph Ritzer von Norton Rose Fulbright in Frankfurt. Immobilienunternehmen, die zum Beispiel mit US-Providern zusammenarbeiten, brauchen einen Nachweis ihres Dienstleisters, dass er die DSGVO einhält. Das gilt aber auch für Auftragnehmer wie Messdienstleister, PR-Agenturen, Verwalter und Makler. So sichern Auftraggeber sich selbst ab.

Denn die Verordnung setzt stark auf Eigenverantwortung. „Unternehmen müssen die datenschutzechtlichen Risiken ihrer Datenverarbeitung bewerten und klären, wie sie sie in den Griff bekommen", erläutert Ulrich Baumgartner aus der Kanzlei Osborne Clarke, München. Dies sei zu dokumentieren. Darüber hinaus seien Firmen verpflichtet, festzuhalten, wo wann wie und zu welchem Zweck sensible Angaben verarbeitet werden.

Um dies sicherzustellen, empfiehlt Baumgartner sich im ersten Schritt einen Überblick über die IT im eigenen Haus zu verschaffen. Dies schließt Webseiten, über die Daten generiert werden und das Erfassen von Daten aus Vermietung – Stichwort: Mieterselbstauskunft – und Verkauf von Wohnimmobilien ein. Im zweiten Schritt werden die technischen und personellen Abläufe den Ansprüchen der DSGVO angepasst. Sie tritt ohne Übergangsfrist in Kraft. Deshalb sollten die Prozesse am 25. Mai funktionieren.

Auskunftsrecht für Mieter

Vermieter müssen Mietern Auskunft über Sinn, Zweck und Umfang der von ihnen gespeicherten Daten geben. Die Information erstreckt sich auch auf eine elektronische Weitergabe an Dritte, etwa Verwalter und Messdienstleister.

Außerdem haben Mieter das Recht zu erfahren, wie lange ihre Angaben gespeichert bleiben. Diese sind zu löschen, sobald das Mietverhältnis ordnungsgemäß endet. Daten von Interessenten, die bei der Wohnungsvergabe leer ausgehen, dürfen nicht im IT-System archiviert werden. Mit dem Mietvertrag ist künftig eine DSGOV-konforme Datenschutzerklärung auszuhändigen.

Wichtig für alle Immobiliengesellschaften: aktuelle Datenschutzerklärungen auf die Webseite stellen.

Zurück zur Startseite