Datenschutzgrundverordnung EU: Änderungen für Immobilienmakler


Am 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) der EU rechtswirksam. Ab dann müssen sich alle Unternehmen, die in der EU tätig sind, an die umfangreichen neuen Regelungen der Verordnung halten. Hier lesen Sie, was die DSGVO für Sie bedeutet und auf welche Änderungen Sie sich vorbereiten müssen.

Datenschutzgrundverordnung EU: Änderungen für Immobilienmakler


In eigener Sache: Wir haben viel Zeit und Mühe investiert, um Sie mit detaillierten Informationen zur neuen Datenschutz-Grundverordnung 2018 bestmöglich zu unterstützen. Haben wir unsere Zeit gut investiert? Bitte verraten Sie uns, ob wir Sie unterstützt haben oder was Ihnen noch gefehlt hat. Die Umfrage ist selbstverständlich anonym und dauert nicht lang! Herzlichen Dank für Ihr wertvolles Feedback.


Präsentation herunterladen

FAQ's vom Webinar "DSGVO für Makler" runterladen


Wie sieht es mit dem Thema Datenschutz in den Sozialen Medien aus?


 

Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. 

Ausführliche Informationen zu den aktuellen Regelungen finden Sie hier

Spezifische Anfragen zu Produkten & Services von ImmobilienScout24

1. Müssen Sie eine Auftragsverarbeitung mit ImmobilienScout24 abschließen?
2. Ich nutze das Bewertungs-Widget von ImmobilienScout24 - Ist für eine Nutzung ein Hinweis in der Datenschutzerklärung unserer Webseite notwendig?
3. Welche Daten werden von ImmobilienScout24 von mir gespeichert?

NEU: Checklisten und Tipps für Ihre Vorbereitung




Was beinhaltet die neue europäische Datenschutz-Grundverordnung 2018?


Die DSGVO ist eine neue, für alle Staaten der Europäischen Union gültige, Verordnung zum Schutz von personenbezogenen Daten. Die Datenschutzgrundverordnung der EU enthält Vorschriften, die die Verarbeitung von personenbezogenen Daten durch Unternehmen und Behörden regeln.

Ab wann gilt die neue Datenschutz-Grundverordnung der EU?


Die neue Datenschutz-Grundverordnung wird nach einer zweijährigen Übergangszeit am 25.05.2018 direkt in der gesamten EU gültig und rechtswirksam.

Wen betrifft die Datenschutz-Grundverordnung?


Die Datenschutz-Grundverordnung 2018 betrifft alle Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt in der Europäischen Union richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.

Was sind personenbezogene Daten?


Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie beispielsweise der Name, die Adresse, die E-Mail-Adresse oder die Telefonnummer, aber auch Daten über die eine Identifizierung indirekt möglich ist wie z.B. eine Kunden- oder Mitarbeiternummer.



Infografik herunterladen

Welche Änderungen kommen auf Sie zu?


Die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) basiert, wird nun durch die europaweit direkt geltende Regelung, die Datenschutz-Grundverordnung 2018 umgesetzt. Die nationalen Gesetzgeber haben nur noch die Möglichkeit über sogenannte Öffnungsklauseln eigene Regelungen zu treffen.

Die bisher im BDSG verankerten Grundprinzipien des Datenschutzes bleiben erhalten. Jegliche Art von Datenverarbeitung ist weiterhin nur zulässig ist, wenn entweder eine gesetzliche Erlaubnis vorliegt, oder eine Einwilligung stattgefunden hat. Weiterhin gelten auch die Grundsätze der Datenvermeidung, Datensparsamkeit sowie die Zweckbindung der Datenverarbeitung.

1. "Marktortprinzip"
2. "One-Stop-Shop"
3. Ausdehnung der Sanktionsmöglichkeiten
4. Kopplungsverbot
5. Recht auf Datenübertragbarkeit
6. "Privacy by Design - Privacy by Default"

Kernelemente der aktuellen EU Datenschutz-Erklärung 2018

Rechenschaftspflicht und Datenschutz-Management (Art. 5 Abs. 2)


Die Datenschutz-Grundverordnung 2018 der EU verlangt von Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – dies ist abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes gemäß der europäischen Datenschutzverordnung nachweisen zu können.

Beim Klicken auf den Pfeil sehen Sie auf einem Blick, was ein Unternehmen beim Datenschutzmanagement dokumentieren muss:


Kostenlose Tipps zur Erstellung von Verarbeitungsverzeichnissen finden Sie auf der Seite der Bundesbauftragten für Datenschutz und der activemind.AG.



Ihre Informationspflichten (Art. 12ff.)


Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der Datenschutz-Grundverordnung 2018 eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat das Unternehmen geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt werden. Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person.

Klicken Sie auf den Pfeil, um eine Liste der Informationen zu erhalten, die das Unternehmen der betroffenen Person mitteilen muss:

Betroffenenrechte (Art. 15ff.)


Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 der europäischen Datenschutzgrundverordnung innerhalb eines Monats antworten. Es muss in jedem Fall schnell reagiert werden. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Das Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

Die Datenschutz-Grundverordnung stärkt die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden.

Die DSGVO enthält umfangreiche Informationspflichten:

  1. bei der Datenerhebung
  2. zu Auskunftsrechten
  3. zu Rechten auf Berichtigung
  4. zur Löschung
  5. zur Einschränkung der Verarbeitung
  6. zur Datenübertragbarkeit
  7. zu Widerspruchsrechten
  8. sowie zum Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. 

Einwilligung der betroffenen Person (Art. 4 Nr.11)


Nach Artikel 4 Nr. 11 der Datenschutz-Grundverordnung 2018 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Formale Anforderungen an die Einwilligung enthält § 7 der Datenschutz-Grundverordnung. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Dabei sind folgende Grundsätze zu beachten:

1. Freiwilligkeit
2. Informiertheit
3. Eindeutigkeit
4. Kopplungsverbot
5. Form
6. Hinweis auf Widerrufsmöglichkeit

Datenschutzbeauftragter (Art. 35 ff.)


Ab dem 25.05.18 wird es infolge der Datenschutz-Grundverordnung erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.

In dem kostenlosen Whitepaper von activemind.AG finden Sie weitere Informationen zum betrieblichen Datenschutzbeauftragten, welche Vorausetzungen er erfüllen muss und welche Aufgaben er innehat.


 

Für rechtlich verbindliche Informationen, wenden Sie sich an den Datenschutzbeauftragten in Ihrem Unternehmen oder Ihren Rechtsberater.


Datenschutz-Folgenabschätzung


Eine Datenschutz-Folgenabschätzung (kurz DSFA) ist erforderlich, wenn durch Ihre Datenverarbeitungsprozesse ein Risiko für die Rechte und Freiheiten der Betroffenen vorliegt. Die EU hat dafür praxistaugliche Kriterien veröffentlicht, die - sollten sie zutreffen - eine DSFA erforderlich machen. Wer diese nicht durchführt, obwohl er dazu verpflichtet war, riskiert hohe Geldbußen. Im Zweifel sollte deshalb eine DSFA entsprechend dokumentiert werden.

Ob und wie Sie das tun sollten, lesen Sie hier: