Crem Solutions Blog


EU-Datenschutz-Grundverordnung in der Immobilienwirtschaft. Teil 1 - Was ist das? Wie bereitet man sich darauf vor?

Eingestellt von Jens Hoffstiepel am 4. Januar 2018 15:45:43 MEZ

DSGVO.jpg

Management & Verwaltung

Am 25. Mai dieses Jahres wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union rechtswirksam und alle Unternehmen, die in der EU aktiv sind, müssen sich dann an die neuen Regelungen der Verordnung halten. Die Ziele der EU-DSGVO sind die Wahrung der Grundrechte und Grundfreiheiten natürlicher Personen sowie insbesondere deren Recht auf Schutz personenbezogener Daten und der freie Verkehr personenbezogener Daten. Die neue Datenschutz-Grundverordnung wird das europäische Datenschutzrecht nicht völlig umwälzen, weist aber eine Reihe von in der Praxis erheblichen Änderungen auf.
Sind Sie und Ihr Unternehmen darauf schon vorbereitet? Wenn nicht, möchten wir Ihnen in einem zweiteiligen Artikel einige Informationen und Tips, zu dem, was im Mai auf uns alle zukommt, mit auf den Weg geben.
Lesen Sie in dieser Woche, eine kurze Einführung über den Datenschutz, wie sich die Datenschutz-Grundverordnung in Deutschland auswirkt, was weitestgehend gleich bleibt und wie Sie Ihr Unternehmen vorbereiten können.

Warum Datenschutz besonders in der Immobilienwirtschaft wichtig ist?

Gerade im Bereich der Immobilienverwaltung arbeitet man regelmäßig mit vielen personenbezogenen Daten - darunter finden sich neben den Namen, Adressen oder E-Mail-Adressen von Mietern oder Mietinteressenten auch oft äußerst sensible Daten, wie Kontoverbindungen. Schon in Immobilienportalen werden allerhand solcher Daten über die Formulare abgefragt, spätestens aber mit dem Mietvertrag gehen diese personenbezogenen Daten an die Unternehmen. Der Großteil der Unternehmen speichert sie darauf folgend in irgendeiner Form digital ab, sei es in einer Softwarelösung für das Immobilienmanagement oder einer simplen Excel-Tabelle.

Was ist die Datenschutz-Grundverordnung?

Wie Unternehmen intern mit diesen Daten umzugehen haben und was sie mit den Daten machen dürfen, wird in der neuen EU-Datenschutz-Grundverordnung (EU-DSGVO) geregelt. Die DSGVO ist eine neue, für alle Staaten der Europäischen Union gültige, Verordnung zum Thema Datenschutz. Sie trat am 25. Mai 2016 nach fast vierjähriger Verhandlung in Kraft und wird nach einer zweijährigen Übergangszeit am 25. Mai dieses Jahres in der gesamten EU gültig und rechtswirksam. Die Datenschutz-Grundverordnung betrifft alle Unternehmen, deren Angebot sich an einen nationalen Markt in der EU richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist - das schließt auch sämtliche Immobilienunternehmen ein.
Die bald endende zweijährige Übergangsfrist war eingeplant, um die nötigen Anpassungen von Workflows und Prozessen in den Unternehmen anzupassen, da EU-Datenschutzbehörden ab Geltung im Mai zum Teil erhebliche Sanktionen verhängen können, wenn die Vorgaben der DSGVO nicht oder nicht ausreichend umgesetzt wurden.

Die umfangreichen Vorschriften der Datenschutz-Grundverordnung bereiten gerade kleinen und mittleren Unternehmen erst mal Anfangsschwierigkeiten. “Wo fängt man am besten mit der Umsetzung an?” oder “welche Prozesse muss man im Unternehmen in Gang setzen?” und “wie sieht ein DSGVO-konformes Datenschutzmanagement letztendlich aus?” sind Fragen, die bei vielen aktuell aufkommen. Unternehmen müssen vor den Veränderungen aber keine Angst haben - denn wer sich bisher um den regelgerechten Datenschutz gekümmert hat, sollte auch in Zukunft nicht viel zu befürchten haben. Viele der datenschutzrechtlichen Konzepte und Prinzipien der neuen Datenschutz-Grundverordnung sind weitestgehend nicht viel anders, als unter der bisherigen EU-Datenschutzrichtlinie, deren Vorschriften in Deutschland mit dem deutschen Bundesdatenschutzgesetz (BDSG) umgesetzt wurden. Einige Veränderungen gibt es jedoch und diese sollten Sie kennen und auch umsetzen.

Wie wirkt sich die DSGVO also in Deutschland aus?

Die Regelungen des BDSG, die für die Unternehmen in Deutschland galten, werden weitgehend durch die Regelungen der neuen EU-DSGVO ersetzt. Da es sich bei dem neuen Gesetz um eine europäische Verordnung handelt, gilt sie direkt in allen Mitgliedsstaaten und bedarf keines nationalen Umsetzungsgesetzes. Unsere Gesetzgebung in Deutschland wird lediglich neue Gesetze erlassen, um die nationalen Vorschriften, die durch die Verordnung ersetzt werden, aufzuheben. Zudem sind die nationalen Gesetzgeber an einigen Stellen der Verordnung über sogenannte Öffnungsklauseln ermächtigt, die Regelungen der Verordnung zu konkretisieren und zu ergänzen.

Was weitestgehend gleich geblieben ist.

Die Verordnung bewegt sich auf der materiell-rechtlichen Grundlage der geltenden EU-Richtlinie 95/46 und behält im Wesentlichen die grundsätzlichen Datenschutzprinzipien aus der Richtlinie bei. Beispielsweise bleiben die Datenschutzprinzipien wie “Zweckbindung”, “Datenminimierung” und “Transparenz” gleich, werden aber zukünftig in strengeren Vorschriften “konkret umgesetzt”.
So bleibt beispielsweise auch der Umgang mit personenbezogenen Daten weiterhin verboten, wenn er nicht durch einen Erlaubnistatbestand der DSGVO oder sonstigen Rechtsvorschrift (z. B. Spezialgesetzgebung, wie dem Telekommunikationsgesetz oder Telemediengesetz) erlaubt ist (Grundprinzip Verbot mit Erlaubnisvorbehalt). Die heute gängigen gesetzlichen Regeln für die Verarbeitung bleiben somit erhalten. Auch die Verarbeitung besonders sensibler Daten unterliegt nach wie vor besonderen Voraussetzungen und ist in der
Datenschutz-Grundverordnung geregelt.

Mit welchem Aufwand muss man für die Umstellung rechnen?

Der Aufwand wird sich in verschiedenen Unternehmen unterscheiden, je nachdem, wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz die geänderten Vorschriften für die Unternehmensprozesse haben. Er hängt auch davon ab, wie umfangreich und übersichtlich die bisherige Dokumentation der Datenverarbeitungsprozesse aussieht. Folglich sind einige Faktoren genannt, mit denen man den für ein Unternehmen aufkommenden Aufwand abschätzen kann:

  • Wie viele Verfahren sind bereits in einem Verfahrensverzeichnis dokumentiert? Wie viele Verfahren müssen noch dokumentiert werden? Muss ein Verfahrensverzeichnis neu erstellt werden? Mit wie vielen internen Abteilungen ist zu sprechen?
  • Wie viel Zeit wird für die Überarbeitung einer (mehrerer) Datenschutzerklärung(en) benötigt? Wie viel Zeit wird für die Überprüfung der Verfahren benötigt, für die eine gesonderte Einwilligung eingeholt werden muss?
  • Müssen Gespräche mit dem Betriebsrat über Ergänzung/Änderung von Betriebsvereinbarung(en) geführt werden?
  • Wie viele ADV-Vereinbarungen müssen geprüft werden und wie viel Zeit benötigt man für diese Prüfung? Welchen Zeitaufwand benötigt man für ggf. Neuverhandlung mit Vertragspartner?
  • Wie viel Zeit benötigt man für die Überarbeitung und Neuaufsetzung der bisherigen Prozesse unter Einbeziehung aller Beteiligten?
  • Wie viel Zeit benötigt man für Mitarbeiterschulungen für die neuen Vorgaben?
  • Rechenschaftspflicht: Wie viel Zeit benötigt man für den Dokumentationsaufwand?

Welche Abteilungen im Unternehmen sollten mit einbezogen bzw. über die Änderungen informiert werden?

Neben dem betrieblichen Datenschutzbeauftragten müssen auch andere Abteilungen in Ihrem Unternehmen in die Veränderungen im Datenschutz mit einbezogen werden oder zumindest über die Änderungen in der DSGVO informiert werden.
Darunter fällt zunächst beispielsweise die Geschäftsleitung
, die verständlicherweise über die veränderte datenschutzrechtliche Praxis in Ihrem Unternehmen Bescheid wissen sollte. Daneben gibt es einige Beteiligte, die mehr oder minder an der Umstellung beteiligt sind.

Durch die DSGVO müssen voraussichtlich eine Vielzahl an Verträgen angepasst werden. Das betrifft die Rechtsabteilung. Ihre Compliance-Abteilung muss zudem bei der Gefährdungsanalyse für das Unternehmen Risiken für Datenschutzverstöße miteinbeziehen, die durch die höheren Bußgelder deutlich anders zu bewerten sind.
Für das geforderte Risk Assessment zur Festlegung der technisch-organisatorischen Maßnahmen sollte Ihre IT-Security prüfen, wie diese sinnvoll mit ohnehin bereits durchgeführten IT-Security Risikoassessments harmonieren oder sich ergänzen können.
Durch die Anpassungsprozesse können Ihrem Unternehmen erhebliche Kosten entstehen, die von Ihrem Unternehmen berücksichtigt werden müssen. Daher sollten die Verantwortlichen für die Finanzen ein regelmäßiger Ansprechpartner wärend des Umstellungsprozessen sein.
Durch geänderte Vorschriften, wie “Privacy by Design” oder “datenschutzrechtliche Voreinstellungen” werden u.a. auch Anforderungen an die Produktentwicklung- und Implementierung. Forschung und Entwicklung sollten daher schon in einem frühen Projektstadium auf die Einhaltung datenschutzrechtlicher Prinzipien achten.
Zudem sollten bei der Nutzung von an die
Datenschutz-Grundverordnung angepassten Betriebsvereinbarungen zur Regelung des Beschäftigtendatenschutzes die Mitbestimmungsrechte des Betriebsrates im Blick gehalten werden. Außerdem werden Mitarbeiterschulungen nötig werden, die oft von der Personalabteilung eingeplant und organisiert werden.

Welche Veränderungen auf Ihre Unternehmen zukommen lesen Sie in der nächsten Woche.

Hoffentlich konnten wir Ihnen mit diesem Artikel aufzeigen, wie sich die DSGVO auf die in der EU und besonders in Deutschland ansässigen Unternehmen auswirkt. Nachdem wir Ihnen in diesem Artikel beschrieben haben, wie Sie Ihr Unternehmen darauf vorbereiten, welche Abteilungen daran beteiligt sind und mit welchem Aufwand Sie rechnen müssen, zeigen wir Ihnen in der folgenden Woche einen Überblick darüber, welche spezifischen Veränderungen auf Ihre Unternehmen zukommen. Lesen Sie dazu also den Artikel in der folgenden Woche.

Diese Publikation stellt eine allgemeine unverbindliche Information dar.
Quelle: Bitkom e. V.: Was muss ich wissen zur EU-Datenschutz Grundverordnung? URL: https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf

Topics: Management & Verwaltung


Wie Sie mit Innovationsmanagement die Zukunft Ihres Immobilienunternehmens vorantreiben

_2.jpgDie Immobilienbranche steht an der Schwelle zu einer Zeitenwende. Faktoren wie der demografische Wandel, Green-Building-Initiativen und die Digitalisierung aller Lebensbereiche bedeuten für Sie als Immobilienunternehmen neue Herausforderungen, die es zu meistern gilt. Dazu bedarf es eines ausgeklügelten Innovationsmanagements, das sich flexibel an den zukünftigen Marktbedürfnissen orientiert.

Lesen Sie, was sich hinter Open Innovation und Customer Co-Creation verbirgt und wie Sie diese Innovationsprozesse für Ihren zukünftigen Erfolg nutzen können.

E-Book herunterladen


Prozesse effektiv abbilden und Wettbewerbsvorteile sichern.

Crem-Solutions-ERP-System-2

Laden Sie sich unser E-Book herunter und erfahren Sie, was Sie bei der Einführung beachten sollten.

E-Book herunterladen


Kein Thema verpassen - melden Sie sich für unsere Blog-Infomail an und erfahren Sie vor allen anderen von den wichtigsten Themen der Immobilienwirtschaft


Letzte Beiträge


Bleiben Sie auf dem Laufenden und verpassen Sie keinen unserer Beiträge. Melden Sie sich für unseren Newsletter an und bekommen so die neusten Beiträge regelmäßig per E-Mail zugeschickt.

Anmeldung Newsletter