Datenschutz-Grundverordnung: Das müssen Sie als Immobilienmakler:in beachten

Um den Missbrauch personenbezogener Daten zu vermeiden, wurde die europaweit geltenden Datenschutz-Grundverordnung verabschiedet. Für wen diese Verordnung gilt, welche Pflichten damit einhergehen und wie Sie korrekt mit personenbezogenen Daten umgehen, zeigt Ihnen dieser Ratgeber.

Das Wichtigste in Kürze

• Die Datenschutz-Grundverordnung regelt den Schutz personenbezogener Daten, die von Unternehmen und Behörden verarbeitet werden.
• Die Vorschriften gelten für alle Unternehmen, unabhängig von Größe und Rechtsform.
• Um den Vorschriften gerecht zu werden, müssen verschiedene Maßnahmen wie eine korrekte Verschlüsselung, eine lückenlose Dokumentation oder die Benennung eines:einer Datenschutzbeauftragten durchgeführt werden.

Was regelt die EU-Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Sie ist für alle Mitglieder der Europäischen Union verpflichtend und enthält Vorschriften, die den Schutz der Daten bei der Verarbeitung durch Unternehmen und Behörden im Fokus haben.

Als personenbezogenen Daten gelten dabei unter anderem:

• Name
• Adresse
• E-mailadresse
• Telefonnummern
• Kunden- oder Mitarbeiternummern

Die EU-Datenschutz-Grundverordnung ist seit dem 25. Mai 2018 in Kraft und wird durch das in Österreich geltenden Datenschutzgesetz (DSG), für das zwei Novellen beschlossen wurden (Datenschutz-Anpassungsgesetz 2018 und Datenschutz-Deregulierungs-Gesetz 2018) ergänzt.

Für wen gilt die EU-Datenschutz-Grundverordnung?

Die EU-Datenschutz-Grundverordnung aus 2018 gilt unabhängig von der Rechtsform für alle Unternehmen, die im europäischen Markt tätig sind. Das heißt: Auch als Einzelunternehmer:in oder private:r Vermieter:in müssen Sie sich an die Regelungen halten.

Was muss ich als Makler:in machen, um der Datenschutz-Grundverordnung gerecht zu werden?

Welche Maßnahmen Sie konkret vornehmen müssen, damit Sie in Ihrer Tätigkeit als Makler:in der DSGVO gerecht werden, hängt von der individuellen Situation und der Art der gesammelten Daten ab. Generell müssen Sie sich folgende Aufgabenbereich vornehmen:

• Privacy by design/Privacy by default: Betreiben Sie beispielweise eine Website für Ihr Unternehmen, müssen Sie darauf achten, dass der Datenschutz durch die technische Gestaltung und entsprechende Voreinstellungen gefördert wird. Das fängt bereits bei der Verschlüsselung des Kontaktformulars an – hier sollte ein HTTPS- oder besser noch ein TLS-Standard gewählt werden. Zudem sollte darauf geachtet werden, dass tatsächlich nur jene persönlichen Daten verarbeitet werden, die tatsächlich für die konkreten Auftrag gebraucht werden. Hier spielt auch das Kopplungsverbot eine Rolle, das ebenfalls in der europäischen DSGVO verankert ist. So ist es verboten, die Vertragserfüllung von der Angabe personenbezogener Daten abhängig zu machen, wenn diese für den Vertrag überhaupt nicht benötigt werden.
• Rechenschaftspflicht und Datenschutzmanagement: Jedes Unternehmen muss ein Mindestmaß an Dokumentation vorlegen können, in der der Umgang mit den personenbezogenen Daten nachvollziehbar dargestellt wird. Dazu gehören zum Beispiel die Zuständigkeiten für den Datenschutz im Unternehmen, die Schulung von Mitarbeiter:innen, die Durchführung von Kontrollen, der technische Stand, das Verzeichnis von Verarbeitungstätigkeiten und die Auflistung eventueller Datenschutzrechtsverletzungen. Welche Elemente in der Dokumentation zwingend auftauchen müssen, ist abhängig von der Größe des Unternehmens sowie der Menge und Qualität der verarbeiteten Daten.
• Benennung eines Datenschutzbeauftragten: Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine systematische Überwachung der Betroffenen nötig macht, oder Unternehmen, die hauptsächlich sensible Daten oder Daten über Straftaten verarbeiten, müssen laut Verordnung einen Datenschutzbeauftragten benennen. Dazu gehören beispielsweise Banken, Versicherungen und Krankenanstalten. Alle anderen Unternehmen können freiwillig einen Datenschutzbeauftragten bestimmen.
• Berücksichtigung von Betroffenenrechten: Betroffene, das heißt Personen, deren Daten gespeichert und verarbeitet werden, haben gegenüber den Auftragsbearbeitern und Verantwortlichen verschiedene Rechte, auf deren Einhaltung sie bestehen können. Dazu zählen unter anderem das Auskunftsrecht, Recht auf Berichtigung, Löschung und „Vergessenwerden“, Recht auf Datenübertragbarkeit und ein Widerspruchsrecht.
• Informationspflicht: Die Betroffenen müssen über ihre Rechte und die Art und Weise der Datenverarbeitung informiert werden. Das geschieht meistens im Rahmen einer Datenschutzerklärung. Zudem muss eine Einwilligungserklärung der Person vorliegen, die einfach verständlich und leicht zugänglich sein muss.

Wer sich unsicher hinsichtlich der korrekten Umsetzung der Datenschutz-Grundverordnung ist, sollte sich Unterstützung von Fachleuten holen, die technische und rechtliche Aspekte genau kennen und gemeinsam mit Ihnen die passenden Lösungen entwickeln und umsetzen können.

Gut zu wissen: Die Vorgaben der europäischen Datenschutzgrundverordnung sollten ernst genommen werden: Bei einem Verstoß drohen hohe Geldstrafen. Bis zu 4 Prozent des Jahresumsatzes können bei Unternehmen hier fällig werden.

Was ist bei der Zusammenarbeit mit ImmoScout24 zu beachten?

ImmoScout24 verarbeitet ebenfalls personenbezogene Daten im Rahmen der geltenden Datenschutz-Grundverordnung für Europa. Für Sie bedeutet das:

• Sie müssen keinen Vertrag über Auftragsverarbeitung mit ImmoScout24 abschließen, da wir die Daten im eigenen Interesse und nicht im Auftrag unserer Kund:innen verarbeiten.
• Bei der Einbindung des Bewertungs-Widgets von ImmoScout24 in Ihre Website kommt kein Tracking-Pixel zum Einsatz. Beim Zugriff auf die Seite über das Widget wird ein Zugriffsprotokoll erstellt, das eine HTTP-Header-Parameter dokumentiert. Diese Daten werden nach sieben Tagen automatisch gelöscht. Die Logs werden nach 21 Tagen gelöscht. Die IP-Adressen, die beim Aufruf der HTTP/HTTPS-Seite übertragen werden, werden nicht von uns verarbeitet.