Crem Solutions Blog


EU-Datenschutz-Grundverordnung in der Immobilienwirtschaft. Teil 2 - Was ist neu?

Eingestellt von Jens Hoffstiepel am 10. Januar 2018 10:47:00 MEZ

DSGVO_Teil2.jpg

Management & Verwaltung

Am 25. Mai dieses Jahres wird die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union rechtswirksam und alle Unternehmen, die in der EU aktiv sind, müssen sich dann an die neuen Regelungen der Verordnung halten. Dazu wurden an dieser Stelle schon in der vergangenen Woche in Teil 1 dieses Artikels einige wichtige Punkte beschrieben. Sie konnten beispielsweise lesen, welche Konsequenzen aus der Datenschutz-Grundverordnung (DSGVO)der EU resultieren und wie sie sich auf die in Deutschland sowie den in der EU ansässigen Unternehmen auswirkt. Darüber hinaus haben wir Ihnen beispielsweise zusammengefasst, wie Sie Ihr Unternehmen darauf vorbereiten, welche Abteilungen daran beteiligt sind und mit welchem Aufwand Sie rechnen müssen. In dieser Woche schaffen wir einen Überblick über die Änderungen, die im kommenden Mai auf uns alle zukommen.

Einige Bereiche im Datenschutz bleiben bei uns in Deutschland nahezu unangetastet, da sie mit den Vorschriften im deutschen Bundesdatenschutzgesetz (BDSG) schon umgesetzt wurden. Aber was ist neu? Hier ein kleiner Überblick:

Marktortprinzip: Danach gilt die Datenschutz-Grundverordnung nicht nur für die in der EU niedergelassenen Unternehmen. Der Anwendungsbereich der Verordnung wird auf alle Dienstleistungen ausgeweitet, die sich an EU-Bürger richten und personenbezogene Daten von EU-Bürgern verarbeiten. Voraussetzung ist demnach, dass sich ein Angebot an einen nationalen Markt innerhalb der EU richtet oder dass die Datenverarbeitung der Beobachtung einer Auswertung des Verhaltens von Personen in der EU gilt. Somit gilt die DSGVO auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. Für Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten wird nur die Aufsichtsbehörde an Ihrem Hauptsitz zuständig sein. So soll gewährleistet werden, dass es einen zentralen Ansprechpartner gibt.

Begriffsdefinitionen: In der neuen Datenschutz-Grundverordnungsind einige neue Definitionen für im Datenschutz wichtige Begriffe niedergeschrieben. So sind Erhebung, Verarbeitung und Übermittlung fortan zu einem umfassenden Verarbeitungsbegriff zusammengefasst – es gibt eine Aufhebung der Dreiteilung.
Des Weiteren sind Begriffe, wie “Auftragsverarbeiter” (keine Beschränkung mehr auf Auftragsverarbeitung im Europäischen Wirtschaftsraum, s. o.), Profiling oder die Einwilligung zur Datenweiterverarbeitung neu definiert. Auch besondere Arten von Daten erfahren jetzt eine genaue Beschreibung. So gibt es z.B. unter der DSGVOneue Definitionen für “biometrische Daten” und “genetische Daten”. Unternehmen, die z. B. mit Verfahren wie Gesichtserkennung und Fingerabdruck arbeiten, sollten nicht nur die neuen Definition, sondern auch die damit verbundenen Vorschriften prüfen.

Erhebungszweck/Verarbeitungszweck: Die Verarbeitung der erhobenen Daten zu anderen Zwecken als den ursprünglichen Erhebungszwecken ist anders geregelt als im Bundesdatenschutzgesetz. Die Weiterverarbeitung ist zukünftig nur bei “kompatiblen” Zwecken zulässig. Zwar bleibt der Grundsatz der Zweckbindung erhalten – der Wortlaut der allgemeinen Regelung für die Datenweiterverarbeitung ändert sich jedoch. Während die Datenschutz-Grundverordnung die Weiterverarbeitung nur zulässt, wenn sie “mit dem ursprünglichen Zweck vereinbar ist”, war die Übermittlung und Nutzung von Daten für einen anderen Zweck des BDSG teilweise zulässig, wenn sie zur “Wahrung berechtigter Interessen” der verantwortlichen Stelle erforderlich war und “kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.” Es bleibt in diesem Fall fraglich und abzuwarten, wie flexibel die “Verarbeitungszwecke” zukünftig formuliert werden können, um ein Mindestmaß an universeller Verwendbarkeit hinsichtlich der Art der Verarbeitung zuzulassen.

Einwilligung zur Datennutzung: Die Anforderungen an die informierte, freiwillige Einwilligung zur Datennutzung wurden graduell erhöht. Demnach erfordert die Erteilung der Einwilligung eine freiwillige, spezifisch informierte und eindeutige Handlung – z. B. das Anklicken eines Kästchens auf einer Webseite. Ein stillschweigendes Einverständnis, standardmäßig angekreuzte Kästchen oder die Untätigkeit des Betroffenen stellen keine Einwilligung dar. Nach der DSGVO muss man den Nachweis erbringen, dass eine effektive Einwilligung gegeben wurde. Zu erwähnen ist hier, dass eine solche Einwilligung auch elektronisch abgegeben werden kann.

Widerruf der Einwilligung: Der Betroffene, d. h. die Person, die ihre Daten preisgibt, muss seine Einwilligung zur Datennutzung und Datenverarbeitung “jederzeit” und “ohne Begründung” widerrufen können. Dieser Widerruf der Einwilligung ist mindestens so einfach zu gestalten wie die Abgabe.

Kopplungsverbot: Das Kopplungsverbot wurde verschärft. In der Datenschutz-Grundverordnung wird fortan untersagt, dass der Abschluss eines Vertrages von der Erteilung einer Einwilligung abhängig gemacht wird, obwohl dies für die Durchführung des Vertrags grundsätzlich nicht erforderlich ist. Im Alltag könnte das bedeuten, dass Unternehmen ihre Dienstleistung einmal mit und einmal ohne Einwilligung anbieten müssen.

Informations- und Auskunftspflichten: Die Informations- und Auskunftspflichten des Daten erhebenden Unternehmens wurde um weitere Angabepflichten erweitert. Zukünftig müssen den Betroffenen eine Reihe an weiteren Informationen bereitgestellt werden. Dazu gehören beispielsweise Informationen zu der Rechtsgrundlage, auf die die Datenverarbeitung gestützt wird und Angaben zur Dauer der Speicherung. Falls eine detaillierte Angabe zur Dauer der Datenspeicherung nicht möglich ist, muss über die Kriterien zur Festlegung der Dauer Auskunft gegeben werden können. Zudem müssen, vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck, den Betroffenen fortan erneute Informationen bereitgestellt werden.

Löschpflicht: In der Datenschutz-Grundverordnung wird die Löschpflicht erweitert mit einer Hinweispflicht bei Weitergabe von Daten an Dritte. Wenn ein Datenbestand nicht auf dem neusten Stand ist und diese Informationen an Dritte weitergegeben werden, so ist es fortan Pflicht, diese Organisationen auf diese sachliche Unrichtigkeit hinzuweisen, sodass auch diese die falschen Daten korrigieren können. Es sollte also dokumentiert werden, welche personenbezogenen Daten ein Unternehmen verarbeitet, woher es diese Daten hat und an wen die Daten weitergegeben werden. Andernfalls wird es schwierig, dieser Vorgabe der DSGVO nachzukommen. Man sollte zusätzlich die Löschverfahren im Unternehmen prüfen, sodass bei einem Löschanspruch die Daten schnell auffindbar sind und gelöscht werden können.

Widerspruchsrecht: Das Widerspruchsrecht wird insofern erweitert, dass der Betroffene insbesondere Datenverarbeitungen zu Zwecken des Direktmarketings, einschließlich der Profilbildung für diese Zwecke, widersprechen kann. Auf das Widerspruchsrecht ist der Betroffene “deutlich und getrennt” von jeglicher anderen Information hinzuweisen beispielsweise durch eine Hervorhebung des Widerspruchsrechts bei Datenschutzerklärungen.

Pflichten im Auftragsverhältnis: Die Pflichten im Auftragsverhältnis werden mit der neuen Datenschutz-Grundverordnung teilweise geändert. Damit wird der Auftragsverarbeiter für seinen Verantwortungsbereich stärker in die Pflicht genommen. Er hat zukünftig eigene Dokumentationspflichten und haftet bei Datenpannen unter Umständen auch direkt gegenüber den Betroffenen. So haftet nach der neuen DSGVO im Gegensatz zur bisherigen Rechtslage nicht nur der für die Verarbeitung Verantwortliche, sondern auch der Auftragsverarbeiter gegenüber dem Betroffenen im Außenverhältnis gesamtschuldnerisch auf Schadensersatz. Das bedeutet, dass zukünftig alle Beteiligten der Verarbeitungskette gegenüber dem Betroffenen voll in die Haftung mit einbezogen, d. h. sie müssen im Außenverhältnis den kompletten Schaden ersetzen. Erfüllt ein Beteiligter den Anspruch des Betroffenen voll, so kann er eine anteilsmäßige Wiedererstattung bei den anderen Beteiligten in Anspruch nehmen. Zudem kann eine EU-Aufsichtsbehörde zukünftig Bußgelder auch direkt gegen den Auftragsverarbeiter verhängen, wenn die Auftragsverarbeitung nicht den Vorgaben der DSGVO entspricht, z.B. wenn der Dienstleister ohne Vertrag arbeitet.

Recht auf Datenübertragbarkeit: Unter bestimmten Voraussetzungen hat eine betroffene Person Anspruch eine Kopie der sie betreffenden Daten zu erhalten, um diese zu einem neuen Anbieter "mitzunehmen". Die Daten können entweder dem Betroffenen zur Verfügung gestellt werden oder direkt an den neuen Anbieter weitergegeben werden.

Risikobehaftete Datenverarbeitung: Bei besonders risikobehafteten Datenverarbeitungen wird die Durchführung einer Datenschutz-Folgenabschätzung vorgeschrieben. Dafür entfällt die Pflicht zur Meldung solcher Verfahren bei der Aufsichtsbehörde.
Einer dementsprechenden Datenschutz-Folgeabschätzung sollte ein adäquates Risikomanagement vorausgehen. Sollten Sie bei der Risikoabschätzung der einzelnen Datenverarbeitung zu dem Ergebnis kommen, dass diese ein hohes Risiko für die Rechte und Freiheiten des Betroffenen darstellt, müssen Sie eine Datenschutz-Folgeabschätzung durchführen. Dies ist insbesondere dann wichtig, wenn es um eine automatisierte Entscheidung für den Betroffenen geht, große Mengen sensibler Daten verarbeitet werden oder systematisch öffentlich zugängliche Bereiche beobachtet werden. Auch bei der Einführung neuer Technologien ist eine Datenschutz-Folgeabschätzung notwendig. Es sollte vorher in Verfahren festgelegt werden, wer diese Datenschutz-Folgeabschätzung durchführt und welche anderen Beteiligten zusätzlich mit eingebunden werden sollten.

Meldepflicht bei Datenpannen: Mit der neuen Datenschutz-Grundverordnung wird auch die Meldepflicht bei Datenpannen ausgeweitet. Zukünftig muss man jeden Vorfall, der ein »Risiko« für die Rechte und Pflichten der Betroffenen darstellt, binnen 72 Stunden an eine Aufsichtsbehörde melden. Zusätzlich muss auch der Betroffene unverzüglich über eine Datenpanne informiert werden, wenn sie “voraussichtlich” zu einem “hohen Risiko” führt.

Erhöhung der Geldbußen bei Verstößen: Die möglichen Geldbußen für Verstöße werden drastisch erhöht – auf bis zu 4 Prozent des Unternehmensumsatzes pro Verstoß.

Somit sind die wichtigsten Änderungen zusammengefasst. Wenn Sie es also noch nicht getan haben, wird es jetzt höchste Zeit, sich mit den neuen Vorgaben zu beschäftigen. Sollten die neue Datenschutz-Grundverordnung Sie aber noch immer vor Rätsel stellen, ist es zu empfehlen einen Experten, wie z. B. einen Juristen, der sich mit Datenschutz beschäftig, aufzusuchen. Es gibt dafür aber auch einige Anlaufstellen, die Schulungsmöglichkeiten und Informationen anbieten, die Ihnen bei der Umstellung behilflich sein können. So bieten sowohl der IVD (Immobilienverband Deutschland IVD)  als auch der DDIV (Dachverband Deutscher Immobilienverwalter e. V.) oder der BFW (Bundesverband Freier Immobilien- und Wohnungsunternehmen e.V.) beispielsweise Workshops oder Fachseminare zur neuen EU-DSGVO besonders für die Immobilienbranche an. Auch der bitkom e.V. bietet Seminare zu diesem Thema an.

 

Diese Publikation wurden mit einem Höchstmaß an Sorgfalt erstellt, ist aber lediglich eine allgemeine unverbindliche Information. Daher besteht kein Anspruch auf sachliche sowie rechtliche Vollständigkeit, Richtigkeit und  Aktualität. Individuelle Einzelfälle kann diese Publikation nicht berücksichtigen.
Quelle: *Bitkom e. V.: Was muss ich wissen zur EU-Datenschutz Grundverordnung? URL: https://www.bitkom.org/Presse/Anhaenge-an-PIs/2016/160909-EU-DS-GVO-FAQ-03.pdf


Topics: Management & Verwaltung


Wie Sie mit Innovationsmanagement die Zukunft Ihres Immobilienunternehmens vorantreiben

_2.jpgDie Immobilienbranche steht an der Schwelle zu einer Zeitenwende. Faktoren wie der demografische Wandel, Green-Building-Initiativen und die Digitalisierung aller Lebensbereiche bedeuten für Sie als Immobilienunternehmen neue Herausforderungen, die es zu meistern gilt. Dazu bedarf es eines ausgeklügelten Innovationsmanagements, das sich flexibel an den zukünftigen Marktbedürfnissen orientiert.

Lesen Sie, was sich hinter Open Innovation und Customer Co-Creation verbirgt und wie Sie diese Innovationsprozesse für Ihren zukünftigen Erfolg nutzen können.

E-Book herunterladen


Begriffe der Digitalisierung auf den Punkt gebracht

Die Digitalisierung bringt eine Fülle neuer Technologiebegriffe mit sich, die für Immobilienverwalter und Immobilienunternehmen schon bald unerlässlich sein werden. Erfahren Sie in unserem E-Book „Verwalter-ABC der Digitalisierung“, was sich hinter KI, IoT, oder NFC, verbirgt.

Zum Digitalisierungs-ABC


Kein Thema verpassen - melden Sie sich für unsere Blog-Infomail an und erfahren Sie vor allen anderen von den wichtigsten Themen der Immobilienwirtschaft


Letzte Beiträge


Bleiben Sie auf dem Laufenden und verpassen Sie keinen unserer Beiträge. Melden Sie sich für unseren Newsletter an und bekommen so die neusten Beiträge regelmäßig per E-Mail zugeschickt.

Anmeldung Newsletter