EU-Datenschutz-Grundverordnung: Auch Schweizer Makler sind betroffen

Lesermeinungen:  

(3)

In Zeiten zunehmender Digitalisierung wird Datenschutz ein immer wichtigeres Thema. Die Europäische Union stellt den Datenschutz daher erstmals auf eine EU-weit einheitliche Grundlage: Ab 25. Mai 2018 gilt in allen Mitgliedsstaaten die EU-Datenschutz-Grundverordnung (DSGVO). Zwar gilt die Verordnung in der Schweiz natürlich nicht. Trotzdem spielt sie auch für Schweizer Unternehmen – und somit auch Immobilienmakler – eine wichtige Rolle. Nämlich dann, wenn Makler im EU-Gebiet, etwa in Österreich, Italien oder Deutschland, Immobilien vermitteln. Was Immobilienprofis, die in der EU Geschäfte tätigen, künftig im Umgang mit den Daten ihrer Kunden beachten müssen – ein Überblick.

EU-weit wird die Datenschutzgrundverordnung eingeführt – auch Makler können davon betroffen sein. Foto: iStock/ Georgijevic

Mehr Schutz für persönliche Daten: Die neue EU-Datenschutz-Grundverordnung, die ab 25. Mai 2018 gilt, soll in allen Mitgliedsstaaten der EU dafür sorgen, dass die Privatsphäre von Menschen besser geschützt wird. Im Wesentlichen besagt die Grundverordnung, dass personenbezogene Daten dem gehören, den sie betreffen. Kundendaten gehören also dem Kunden. Grundsätzlich dürfen personenbezogene Daten nur dann gespeichert werden, wenn der Kunde oder das Gesetz dies explizit erlaubt. Wer mit den Daten fremder Menschen arbeitet – also auch jeder Immobilienprofi – muss in Zukunft einiges beachten.

Wann die EU-Datenschutz-Grundverordnung auch für Schweizer Makler gilt

Die EU-DSGVO gilt natürlich für die Schweiz nicht. Hier müssen sich Immobilienprofis nach wie vor an die unterschiedlichen Datenschutzregeln der einzelnen Kantone halten. Trotzdem gibt es Fälle, in denen sich auch Schweizer Makler an die EU-Verordnung halten müssen. Artikel 3 der EU-DSGVO definiert nämlich: Verarbeitet jemand aus einem Nicht-EU-Land „personenbezogene Daten von natürlichen Personen, die sich in der EU befinden“, muss er sich an die EU-Verordnung halten.

Die EU-Datenschutzgesetze beachten müssen Makler aus der Schweiz also:

  • Wenn sie für einen Kunden aus einem EU-Land eine Immobilie in der Schweiz vermitteln.
  • Wenn sie für einen Schweizer Kunden eine Immobilie in einem EU-Land vermitteln. Schließlich treten die Makler in diesem Fall mit dem Verkäufer in Kontakt und verarbeiten dessen personenbezogenen Daten.
  • Wenn sie generell in einem EU-Land Geschäfte tätigen.

Prinzipiell gilt die DSGVO in der ganzen EU – die einzelnen Mitgliedsstaaten müssen nur in speziellen Bereichen, wie zum Beispiel der Videoüberwachung, eigene nationale Regelungen schaffen. Trotzdem sollten Schweizer Makler sich immer auch nach etwaigen Sonderregelungen vor Ort erkundigen. Eine gute Anlaufstelle sind die jeweiligen nationalen Maklerverbänden.

Info

Was ist Datenverarbeitung?

Datenverarbeitung ist das Erfassen, Übermitteln, Ordnen und Umformen von Daten zur Informationsgewinnung – im Allgemeinen mithilfe eines Computers.

DSGVO – darauf müssen Makler achten

Wie richtig mit Kundendaten umgehen? Die Datenschutzgrundverordnung – kurz DSGVO – stellt einige Makler in der Schweiz vor neue Herausforderungen. Foto: iStock/ alvarez

Mit der EU-Datenschutzverordnung werden Makler, die Immobilien innerhalb der EU vermitteln, vor neue Herausforderungen gestellt. Besonders wenn es um den Umgang mit Kundendaten geht, sollten Immobilienprofis in Zukunft genau aufpassen – bei Verstößen drohen hohe Geldstrafen oder Ansprüche auf Schadensersatz. Die wesentlichen Punkte aus der DSGVO im Überblick:

1. Wann dürfen Immobilienprofis Kundendaten erfassen und verarbeiten?

Die Verarbeitung von Daten, also etwa das Nutzen, Speichern oder Übermitteln, ist für Makler laut Datenschutzgrundverordnung nur dann zulässig, wenn:

  • Der betroffene Kunde zustimmt. Dies kann entweder schriftlich oder mündlich erfolgen – die EU verlangt hier keine spezielle Form. Um späteren Streitigkeiten vorzubeugen, empfiehlt sich aber die schriftliche Variante.
  • Wenn eine in der DSGVO selbst normierte Ausnahme vorliegt. Eine solche Ausnahme ist insbesondere gegeben, wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Massnahmen erforderlich ist – etwa, wenn der Makler mit einem Wohnungssuchenden in Kontakt tritt und diesen um seine E-Mail-Adresse bittet – beispielsweise um dem Kunden ein Exposé zuschicken zu können. In diesem Fall müssen Makler keine extra Erlaubnis vom Kunden einholen, um die Daten verarbeiten zu können.
  • Wenn der Makler rechtlich dazu verpflichtet ist, Daten zu erheben. Auch hier ist keine extra Erlaubnis vom Kunden erforderlich.

2. Wie müssen Makler jetzt mit Personendaten umgehen?

Betroffenen Maklern schreibt die Datenschutzgrundverordnung vor, wie sie mit Informationen von Kunden umzugehen haben. Foto: iStock/ kupicoo

Neben den Regeln, wann eine Datenerfassung zulässig ist und wann nicht, schreibt die DSGVO auch vor, wie Unternehmen mit personenbezogenen Daten umgehen müssen:

  • Die Daten müssen auf rechtmässige und nachvollziehbare Weise verarbeitet werden. Das ist etwa der Fall, wenn die Daten im Rahmen einer Vertragsanbahnung erhoben wurden und in einer Kundendatenbank gespeichert werden.
  • Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, beispielsweise für die Ermittlung einer Immobilie.
  • Die Daten müssen sachlich richtig sein – also korrekter Name, korrekte Anschrift des Kunden.
  • Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
  • Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der fraglichen Personen nur so lange ermöglicht, wie dies erforderlich ist. Die Daten müssen in der Praxis also leicht zu löschen sein.

Zudem gilt das Grundprinzip der Datenminimierung. Das bedeutet, dass sämtliche erhobenen Daten auf das notwendige Mass beschränkt werden müssen. Für die Vermittlung einer Immobilie sind E-Mail und Telefonnummer des Suchenden wohl erforderlich – seine Haarfarbe oder die Adresse seines Arbeitgebers jedoch eher nicht.

In der Praxis bedeuten die Regelungen zum Umgang mit Personendaten aber nicht, dass Makler alle Kundendaten löschen müssen, sobald beispielsweise eine Immobilie erfolgreich vermittelt ist. Es kann durchaus berechtigte Gründe geben, wieso Daten nicht gelöscht werden dürfen oder müssen. Das können etwa steuerliche Gründe sein oder praktische, etwa dann, wenn ein Kunde einem Makler einen Suchauftrag gegeben hat. Eine Löschung scheidet auch aus, wenn hierdurch die Durchsetzung oder Abwehr zivilrechtlicher Ansprüche vereitelt werden kann, zum Beispiel weil es noch Streitigkeiten um die Provision gibt.

Achtung

In der Praxis kommt es manchmal vor, dass Unternehmen die Verarbeitung personenbezogener Daten einem Dienstleister übergeben. Diese sogenannte Auftragsdatenverarbeitung ist laut DSGVO jedoch nur zulässig, wenn der Auftraggeber seinen Dienstleister sorgfältig kontrolliert und alle Rechte und Pflichten vorab in einem Vertrag fixiert werden. Bei einem Verstoss gegen die DSGVO sind der Auftraggeber und auch der Dienstleister haftbar!

Gibt der Makler die Daten des Mieters an den späteren Vermieter weiter, gelten die Regeln der Auftragsdatenverarbeitung übrigens nicht – da der Vermieter nicht im Auftrag des Maklers Daten verarbeitet. Die Übermittlung rechtfertigt sich vielmehr über das Vertragsverhältnis zwischen Mieter und Vermieter.

3. Neu für Makler: Informationspflichten

Egal ob per E-Mail oder Telefonanruf: Makler müssen aufgrund der DSGVO Verbraucher darüber informieren, wenn sie Daten von ihnen erheben. Foto: iStock/ lechatnoir

Neben all diesen Vorsichtsmassnahmen regelt die DSGVO auch, dass Verbraucher innerhalb der EU immer informiert sein müssen, wenn Daten von ihnen erhoben werden. Das gilt unabhängig davon, ob der Makler eine gesonderte Erlaubnis zur Datenverarbeitung von seinen Kunden benötigt. Sobald er Daten erhebt, muss ein Makler den betroffenen Personen laut Artikel 13 der DSGVO zum Zeitpunkt der Datenerhebung bestimmte Informationen mitteilen. Wie er das macht, ist Sache des Maklers.

Folgende Informationen müssen aber auf jeden Fall an den Kunden übermittelt werden:

  • Identität des betroffenen Kunden
  • Kontaktdaten des Datenschutzbeauftragten (falls dieser vorhanden beziehungsweise vorgeschrieben ist)
  • Falls die Daten weitergegeben werden, die Kontaktdaten des Empfängers
  • Verarbeitungszwecke und Rechtsgrundlage
  • die Dauer der Speicherung
  • die Rechte des Verbrauchers

Verbraucher haben das Recht auf Auskunft über die gespeicherten Daten, außerdem können sie verlangen, dass die Daten gelöscht oder berichtigt werden oder die Verarbeitung einschränken. Auch können sie ihre Einwilligung in die Datenspeicherung jederzeit widerrufen und haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Ausnahme: Der Makler ist aus rechtlichen Gründen verpflichtet, die Daten zu erheben.

Der Immobilienverband Deutschland (IVD) beschäftigt sich nun schon länger mit der Umsetzung der DSGVO unter den deutschen Immobilienmaklern. Christian Osthus, Leiter der Abteilung Recht beim IVD betont: „Sobald der Makler als Verantwortlicher personenbezogene Daten einer betroffenen Person erhebt, muss er seiner Informationspflicht nachkommen.“ Und zwar egal, ob er diese Daten nun benötigt, um eine Immobilie zu vermitteln, um seinen regelmässigen Newsletter an den Kunden zu schicken oder ob er ihm nur einmal pro Jahr eine Weihnachtskarte zukommen lassen will. Letztlich soll der Kunde wissen, wer mit seinen Daten arbeitet und wozu diese verwendet werden. „Wie der Makler seiner Informationspflicht nachkommt, ist grundsätzlich unerheblich“, sagt Osthus.

4. Technische und organisatorische Massnahmen zum Datenschutz

Wer Mitarbeiter hat, muss sie regelmäßig im Datenschutz schulen. Foto: iStock/ alvarez

Weiter konkretisiert die DSGVO Massnahmen, die Unternehmen ergreifen müssen, um die obigen Anforderungen einzuhalten. So müssen Unternehmen ihre Mitarbeiter im Datenschutz schulen und regelmässig Kontrollen durchführen, ob die Datenschutzmassnahmen auch eingehalten werden. Hierbei kann es zum Beispiel sinnvoll sein, sich von Zeit zu Zeit zeigen zu lassen, wie diese Ihre E-Mails verschicken und wo Daten abgelegt werden. Das gilt zumindest so lange, wie ein Makler Daten von EU-Bürgern erhebt oder verarbeitet.

Die DSGVO beschreibt in Artikel 32 Massnahmen, die für einen angemessenen Schutz von Kundendaten sorgen sollen:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, Computersysteme müssen also beispielsweise stabil laufen und dürfen nicht fehleranfällig sein
  • die Fähigkeit, die Daten bei einem physischen oder technischen Zwischenfall schnell wiederherstellen zu können
  • ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Massnahmen

Doch heisst das, dass jedes Unternehmen seine Daten zwangsläufig verschlüsseln muss? Nicht unbedingt. Verschlüsselte Daten haben natürlich den Vorteil, dass Cyberkriminelle nichts mit ihnen anfangen können. Laut Expertenmeinung müsse aber auch die Eintrittswahrscheinlichkeit, die Schwere des Risikos, der Stand der Technik und mehr mit beachtet werden. Dennoch empfiehlt der IVD zum Beispiel die Verschlüsselung von Daten auf mobilen Geräten wie Notebooks, Smartphones und Tablets.

Unternehmen, die innerhalb der EU keine Niederlassung haben, aber in EU-Ländern ihre Dienstleistungen anbieten, müssen zudem einen Vertreter in der EU benennen. Laut DSGVO gilt das aber dann nicht, wenn die Datenverarbeitung von personenbezogenen Daten in EU-Ländern nur gelegentlich erfolgt. Ausgenommen sind von dieser Regel also beispielsweise Makler, die nur ausnahmsweise einmal eine Immobilie in Italien vermitteln.

5. Datenschutzverletzungen müssen gemeldet werden

Melden ist angesagt: Wird eine Datenschutzverletzung bekannt, müssen Makler rasch handeln. Foto: fotofabrika/ fotolia.com

Kommt es trotz aller Vorsichtsmassnahmen zu einer Datenschutzverletzung, müssen Unternehmen dies unverzüglich an die zuständige Aufsichtsbehörde melden – nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls. Im Fall der DSGVO ist das die Datenschutzaufsichtsbehörde der vom Verstoß betroffenen Person. Diese ist vor Ort im jeweiligen EU-Land angesiedelt, im deutschen Bundesland Nordrhein-Westfalen ist das beispielsweise die Landesbeauftragte für den Datenschutz NRW.

Eine solche Datenschutzverletzung kann beispielsweise eintreten, wenn ein Makler sein Handy verloren hat, wenn sein Computersystem gehackt wurde oder wenn bei ihm eingebrochen und ein Computer mit vertraulichen Daten gestohlen wurde. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn trotz Datenschutzverletzung kein Risiko für die Sicherheit der Kundendaten besteht. Ein solches Risiko kann beispielsweise durch eine geeignete Verschlüsselung ausgeschlossen werden. Auch die betroffene Person muss unverzüglich benachrichtigt werden.

Konsequenzen bei Verstössen gegen die DSGVO

Sollte ein Unternehmen gegen die DSGVO verstossen, so sieht die Verordnung harte Höchststrafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes eines Unternehmens vor. Zwar dürfte diese Strafhöhe bei kleineren Unternehmen eher nicht abgerufen werden – Makler sollten sich dennoch tunlichst mit der DSGVO beschäftigen und die Regelungen der Verordnung einhalten.

02.03.2018


Ihre Meinung zählt

(3)
4.3 von 5 Sternen
5 Sterne
 
1
4 Sterne
 
2
3 Sterne
 
0
2 Sterne
 
0
1 Stern
 
0
Ihre Bewertung:

Diese Artikel könnten Sie auch interessieren

Neuen Kommentar schreiben