Akuter Handlungsbedarf
Die Uhr tickt: Die Umsetzungsfrist der EU-Datenschutzgrundverordnung (DSGVO) endet für alle Unternehmen am 25. Mai 2018. Sie regelt, einfach gesagt, den Schutz von natürlichen Personen bei der Verarbeitung aller personenbezogenen Daten. Die DSVGO steckt ab, welche Informationen künftig erfragt, gesammelt, verarbeitet, gespeichert und weitergegeben dürfen. Betroffen ist jeder - vom Großkonzern über mittelständische Firmen bis hin zu Kleinstunternehmen. Somit selbstverständlich auch Immobilienmakler, -verwalter sowie Bauträger.
Das Herzstück der Verordnung bildet das Verzeichnis der Verarbeitungstätigkeiten (VdV). Mit seiner Hilfe will die Datenschutzbehörde die internen Verarbeitungsvorgänge kontrollieren. Und sie verhängt empfindliche Strafen, wenn es fehlt. Das VdV entsteht nach einer Inventur aller Verarbeitungsvorgänge. Es wird schriftlich – besser elektronisch – erstellt Man ahnt es schon: Mit dem Anlegen besagten Verzeichnisses ist es nicht getan. Regelmäßige Überprüfung und Anpassung lautet die Devise. Mindestens einmal jährlich müssen die jeweiligen Auskunftsgeber – beispielsweise die Abteilungsleiter – bestätigen, dass die Prozess genauso laufen, wie sie dokumentiert werden. Damit das so passiert, braucht jedes Unternehmen zwingend eine Kontaktperson für das VdV. Er oder sie muss es auf Anfrage der Datenschutzbehörde vorlegen.
Verträge, interne Abläufe & Co
Was bedeutet das in der Praxis? Akuten Handlungsbedarf bei nahezu allen Unternehmen bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen. Auch wenn Immobilienbetriebe wahrscheinlich nicht im Fokus der Datenschutzbehörde stehen, ist eine Überprüfung auch von kleineren Unternehmen nicht auszuschließen. Kunden, Mieter, Wohnungseigentümer oder ehemalige Arbeitnehmer könnten Beschwerde bei der Behörde einbringen.
Damit man personenbezogene Daten verarbeiten darf, bedarf es nach dem 25. Mai 2018 lediglich dann einer Einwilligung, wenn die Verarbeitung nicht zur Vertragserfüllung notwendig ist. Weiters, wenn sie durch berechtigte Interessen gerechtfertigt, zur Erfüllung einer gesetzlichen Verpflichtung erforderlich oder im öffentlichen Interesse geboten ist. Für die gängige Datenverarbeitung, wie sie etwa in Hausverwaltungen im Rahmen der Miet- oder Wohnungseigentümerverwaltung erfolgt, ist ergo keine Einwilligung der Betroffenen einzuholen. Sehr wohl aber für sensible Punkte wie Religionsbekenntnis, Gesundheit, Gewerkschaftszugehörigkeit etc.
Abschreckende Strafen
Weiters ist zu beachten, dass die DSVGO Betroffenen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie auf Datenübertragbarkeit ein. Mieter können also Auskunft darüber verlangen, ob beziehungsweise welche personenbezogenen Informationen von ihnen gespeichert sind, was die Rechtsgrundlage der Verarbeitung ist und and wen sie gegebenenfalls übermittelt wurden. Die Auskunft hat grundsätzlich kostenlos innerhalb eines Monats zu erfolgen.
Die Strafen bei Zuwiderhandeln sind drakonisch: Bis zu vier Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro drohen laut DSGVO als höchste Pönale. Die Behörden sind verpflichtet, sicherzustellen, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Informationsveranstaltungen des Fachverbands
Der Fachverband der Immobilien- und Vermögenstreuhänder bietet DSVGO Informationsveranstaltungen (Details folgen) und selbstverständlich wird auch die OIZ in den kommenden Ausgaben ausführlich berichten.
