Direkt zum Inhalt

DSGVO - Ein Leitfaden für Immobilientreuhänder

11.04.2018

Die EU-Datenschutz-Grundverordnung (DSGVO) ist ab 25. Mai 2018 anwendbar und betrifft die Verarbeitung von personenbezogenen Daten. Die DSGVO ist nur dann nicht anwendbar, wenn personenbezogene Daten ausschließlich für persönliche oder familiäre Tätigkeiten genutzt werden, ansonsten gilt sie für Einpersonen-Unternehmen ebenso wie für Konzerne, weiß Rechtsanwältin Birgit Harasser.

Birgit Harasser ist Rechtsanwältin bei BRAND Rechtsanwälte GmbH.

Im Folgenden sind die wichtigsten Punkte für Immobilientreuhänder zusammengefasst und die daraus folgenden „To Dos“ dargestellt.

Welche Daten sind geschützt?

Die DSGVO betrifft „personenbezogene Daten“, das sind alle Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Dazu gehören Name, Adresse, Telefonnummer, Geburtsdatum, SV-Nummer, E-Mail Adresse, IP-Adresse etc. Identifizierbar ist eine natürliche Person dann, wenn die Informationen einzeln oder in Kombination miteinander dazu geeignet sind, Rückschlüsse auf die Identität der betroffenen Person zu ziehen. Für "sensible Daten", das sind zB Daten über ethnische Herkunft, Religion, genetische und biometrische Daten oder Gesundheitsdaten, gelten spezielle, strengere Regelungen, auf diese wird hier nicht eingegangen.

Betroffen sind die personenbezogenen Daten von Mitarbeitern, Bewerbern, Kunden, Interessenten, Lieferanten usw. Nicht geschützt sind reine Objektdaten, dh über Wohnungen, Grundstücke, Häuser, ohne Zuordnung zu Personen.

Was ist „Datenverarbeitung“?

Der Begriff ist weit gefasst und umfasst jede Form des Umgangs mit personenbezogenen Daten, vom erstmaligen Erheben von Daten, über das Erfassen in einem Dateisystem, die Verknüpfung mit anderen Daten der Person, die Übermittlung an Dritte bis hin zum Löschen und der Vernichtung der Daten. Davon umfasst ist nicht nur die IT-gestützte Verarbeitung, sondern auch die Datenverwendung in Papierform. „Erhebung“ von Daten ist das Beschaffen von Daten über den Betroffenen, z.B. aus einem Formular auf der Website, durch ein E-Mail oder eine Visitenkarte. Die Erhebung von Daten ist von besonderer Relevanz, weil bereits an diesen Zeitpunkt Informationspflichten geknüpft sind.

Grundsätze der Datenverarbeitung

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: personenbezogene Daten sind in rechtmäßiger und den schutzwürdigen Interessen der Betroffenen entsprechender und transparenter Weise und nach Treu und Glauben zu verarbeiten.  

→ Prüfen: Gibt es für alle Daten eine Rechtsgrundlage für die Verarbeitung (Vertrag, rechtliche Verpflichtung, Einwilligung, Wahrung berechtigter Interessen)?

→ Informationspflichten gegenüber betroffenen Personen: Datenschutzinformation

  • Zweckbindung, Datenminimierung, Speicherbegrenzung: Die Datennutzung hat dem Verarbeitungszweck zu entsprechen und darf nicht übermäßig sein. Nur tatsächlich für einen konkreten Zweck notwendige personenbezogene Daten dürfen verarbeitet werden und nur so lange als es erforderlich ist, gespeichert werden.

→ Prüfen: Wozu werden die Daten verwendet? Werden alle gespeicherten Daten für diesen Zweck benötigt? Wie lange werden die Daten gespeichert, wie sind die gesetzlichen Aufbewahrungspflichten?

→ Tipp: Prüfung bei der Erstellung des Verarbeitungsverzeichnisses

  • Richtigkeit, Integrität, Vertraulichkeit und Verfügbarkeit: Gewährleistung angemessener Sicherheit der Daten, Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen.

→ Gewährleistung durch technische und organisatorische Maßnahmen (TOMs)

  • Dokumentation der Einhaltung der Datenschutz-Grundsätze. Der Verantwortliche dh das Unternehmen muss jederzeit nachweisen können, dass die Datenverarbeitungen DSGVO-konform sind. Dazu gehört die Dokumentation über welche personenbezogenen Daten das Unternehmen verfügt, woher diese kommen, wozu sie benötigt werden, mit wem sie geteilt werden und wie lange sie gespeichert werden: somit das Verarbeitungsverzeichnis. Weiters gehören dazu auch die Dokumentation der Sicherheitsmaßnahmen (TOMs), Einhaltung der Informationspflichten, Erhalt von Einwilligungserklärungen und der Verträge mit Auftragsverarbeitern.

→ Verarbeitungsverzeichnis

→ TOMs Dokumentation

→ Verträge mit Auftragsverarbeitern

→ Dokumentation über Einhaltung der Informationspflichten

→ Dokumentation der Einwilligungen

→ Dokumentation über Data Breach Vorfälle

Voraussetzungen für die Datenverarbeitung - Rechtsgrundlagen

Personenbezogene Daten dürfen nur erfasst und verarbeitet werden, wenn eine der folgenden Bedingungen zutrifft:

  • Vertragserfüllung: Die Verarbeitung der Daten ist für die Erfüllung eines Vertrages oder den geplanten Abschluss eines Vertrags erforderlich.
  • Erfüllung einer gesetzlichen Verpflichtung des Verantwortlichen: zB Meldung von Arbeitnehmern an die Krankenkasse, steuerrechtliche Auskunftspflichten, Meldepflichten im Zusammenhang mit Geldwäsche.
  • Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten: Dieser Fall ist vor allem dann gegeben, wenn bereits eine Beziehung zwischen dem Verantwortlichen und dem Betroffenen besteht oder wenn für den Betroffenen bereits bei der Erhebung eine Verarbeitung absehbar war. Es ist immer eine Interessensabwägung zwischen Interessen des Verantwortlichen/Dritten und jenen des Betroffenen vorzunehmen, und es ist im Einzelfall zu entscheiden, ob die berechtigten Interessen des Verantwortlichen überwiegen. Aus Beweisgründen sollte dies dokumentiert werden.
  • Einwilligung: Die betroffene Person stimmt der Verarbeitung ihrer Daten ausdrücklich zu. Die Einwilligung muss freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben werden. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck eine gesonderte Einwilligung nötig. Stillschweigen, vorangekreuzte Kästchen oder Untätigkeit ist keine wirksame Einwilligung. Ein E-Mail-Newsletter ist nach der neuen Rechtslage nur noch dann zulässig, wenn der Empfänger im Vorhinein eingewilligt hat (sogenanntes „Opt-In“). Unzulässig werden Opt-Outs, bei denen eine Kontaktaufnahme grundsätzlich so lange zulässig war, bis man dieser widersprach.

→  Tipp: Rechtsgrundlagen jeweils in das Verarbeitungsverzeichnis mit aufnehmen (nicht verpflichtend aber zweckmäßig)

Verzeichnis von Verarbeitungstätigkeiten

Die Verpflichtung zur Erstattung von DVR-Meldungen entfällt mit der DSGVO, das Datenverarbeitungsregister wird abgeschafft. An dessen Stelle tritt die Eigenverantwortlichkeit. Die Verordnung bezeichnet die Person oder Organisation, die personenbezogene Daten erhebt und verarbeitet, auch folgerichtig als "Verantwortliche". Jeder Verantwortlich muss ab 25. Mai 2018 seine Datenverwendung selbst dokumentieren und der Datenschutzbehörde nachweisen können, dass die Verarbeitung aller Daten rechtmäßig erfolgt. Die Führung des Verfahrensverzeichnisses hat schriftlich zu erfolgen, wobei ein elektronisches Format benutzt werden kann. Das Verarbeitungsverzeichnis ist ein unternehmensinternes Dokument. Es ist auf Anfrage der Aufsichtsbehörde zur Verfügung zu stellen.

Jedenfalls sind darin folgende Informationen aufzunehmen:

  • Name und Kontaktdaten des Verantwortlichen
  • Kategorien betroffener Personen (z.B. Mitarbeiter, Kunde, Lieferanten)
  • Kategorien personenbezogener Daten
  • Zwecke der jeweiligen Datenverarbeitungen
  • Kategorien von Empfängern (z.B. Finanzamt, Steuerberater, Eigentümer, Hausverwaltung)
  • Aufbewahrungsdauer bzw Löschfristen der Datenkategorien (gesetzliche Aufbewahrungsfristen beachten, z.B. 7 Jahre gemäß BAO)
  • Beschreibung der technischen und organisatorischen Maßnahmen (z.B. durch Verweis auf die TOMs Dokumentation, siehe unten).

→ Verzeichnis der Verarbeitungstätigkeiten für das Unternehmen erstellen

→ Tipp: DVR-Meldungen können aus DVR-ONLINE exportiert werden und in das Verarbeitungsverzeichnis übertragen werden.

Datensicherheitsmaßnahmen - TOMs

Jeder Verantwortliche verpflichtet, die Sicherheit der Daten in jeglicher Hinsicht zu gewährleisten. Risiken für die Sicherheit von Daten können organisatorischer oder technischer Natur sein: Netzwerkausfälle, Störungen der Stromversorgung, Brand- und Wasserschäden, fehlende Backups, Bedienungs- und Wartungsmängel, Nichtbeachtung von Sicherheitsmaßnahmen, usw. Die Pflicht, durch geeignete Technische und Organisatorische Maßnahmen (TOMs) für die Datensicherheit zu sorgen, ist ein Grundsatz der DSGVO. Dazu gehören Schutz vor unbefugtem Zugriff (Zugangs- und Zutrittsberechtigungen), Schutz vor Verlust und Vernichtung, Dokumentation und Protokollierung der Vorgänge, Verschlüsselungen, Pseudonymisierung, Schulung der Mitarbeiter usw. Welche Maßnahmen geeignet sind, richtet sich nach dem Stand der Technik, den Implementierungskosten und den konkreten Risiken. Die im Unternehmen getroffenen technische und organisatorischen Maßnahmen zum Schutz der Daten müssen beschrieben und dokumentiert werden. Eine solche TOMs Dokumentation kann am besten anhand einer Checkliste erstellt werden.

→ TOMs Dokumentation erstellen

Data Breach Notification

Im Falle einer Verletzung des Schutzes personenbezogener Daten, durch den Unbefugten der Zugriff auf Daten möglich wird, z.B. durch einen Hackerangriff, einen Datendiebstahl, Verlust eines Datenträgers, muss dies binnen 72 Stunden der Datenschutzbehörde gemeldet werden, wenn damit voraussichtlich ein Risiko für betroffene Personen verbunden ist, bei hohem Risiko sind zusätzlich die Betroffenen verständigen. Verletzungen des Schutzes personenbezogener Daten mit allen damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) sind auch zu dokumentieren. Für den Fall eines Data Breach sollte eine Checkliste werden, wer darüber entscheidet ob und welches Risiko vorliegt, wer eine Verständigung durchführt, ob Dritte oder Auftragsverarbeiter einzubinden sind und welche Gegenmaßnahmen und Maßnahmen zur Abmilderung der Auswirkungen zu treffen sind.

→ Checkliste Maßnahmen Data Breach erstellen

→ Muster für Meldung an Datenschutzbehörde vorhalten

Weitergabe von Daten an Auftragsverarbeiter

Ein Auftragsverarbeiter verarbeitet Daten im Auftrag des Verantwortlichen (z.B. Cloud-Diensteanbieter, Software-Provider, Druckdienstleistungen, externe Lohnverrechnung). Die DSGVO schreibt Regeln für die Beauftragung von solchen Dienstleistern vor. Zu beachten ist dabei ein erhöhter Sorgfaltsmaßstab bei der Auswahl und Kontrolle von Auftragsverarbeitern sowie die Anforderungen an deren vertragliche Bindung. Es dürfen nur solche Auftragsverarbeiter herangezogen werden, die ausreichende Garantie dafür bieten, dass sie DSGVO-konforme Maßnahmen zum Schutz der Daten getroffen haben und es muss ein schriftlicher Vertrag abgeschlossen werden. Der Auftragsverarbeiter muss zur Vertraulichkeit verpflichtet sein, Weisungen des Verantwortlichen befolgen, alle erforderlichen Sicherheitsmaßnahmen ergreifen und darf ohne Genehmigung die Datenverarbeitung nicht weitergeben. Bisherige Dienstleisterverträge, die nur den Mindestinhalt nach dem bislang geltenden österreichischen Datenschutzgesetz enthalten, entsprechen nicht der DSGVO. Sie müssen daher neu abgeschlossen werden.

→ Schriftliche Verträge mit Auftragsverarbeitern abschließen

Informationspflichten

Die Informationspflichten bilden die Basis für die Ausübung der Rechte der betroffenen Personen. Nur wenn eine Person weiß, dass personenbezogene Daten über sie verarbeitet werden, kann sie diese Rechte auch ausüben. Die Informationspflichten gemäß der DS-GVO gehen daher weit über die bisherige Rechtslage hinaus. Betroffene (Kunden, Mitarbeiter, Interessenten usw.) müssen grundsätzlich im Zuge der Datenerhebung informiert werden. Die Pflicht zur Information ist ein wichtiger Grundsatz der DSGVO, an die weitere Folgen geknüpft sind, so ist etwa eine Einwilligung nur wirksam, wenn vorher die erforderlichen Informationen erteilt wurden. Es muss in klarer und einfacher Sprache darüber informiert werden zu welchem Zweck die Daten verarbeitet werden, die Rechtsgrundlage dafür, an wen die Daten übermittelt werden, wie lange sie gespeichert werden und welche Rechte der Betroffene hat. Werden die Daten nicht direkt vom Betroffenen erlangt, dann muss noch darüber informiert werden woher die Daten stammen (z.B. vom Makler erhalten, von der Vorverwaltung) und welche Datenkategoiren verarbeitet werden.

Auch Website-Besucher müssen darüber informiert werden, welche Daten bei ihrem Besuch der Website erhoben werden. Diese Information betrifft nicht nur die Datenverwendung durch den Websitebetreiber, z.B. Datenerhebung durch ein Kontaktformular auf der Website, sondern auch Dienste Dritter, die genutzt werden: etwa ein Social-Media Plugin mit Verlinkung auf die Facebook Seite. Darunter fällt aber auch die Nutzung von Diensten, durch die das Surfverhalten gespeichert und analysiert wird (z.B. Google Analytics). Auch über Cookies darf zukünftig die Erhebung von Daten erst dann stattfinden, wenn der Besucher über die Verwendung von Cookies informiert wird und einwilligt – bis dahin muss die Website so konzipiert sein, dass sie keine Daten ohne Einwilligung erhebt und die grundlegende Funktionalität darf trotz Verweigerung der Einwilligung nicht gravierend beeinträchtigt werden.

Die Datenschutzinformation kann auf verschiedene Arten den Betroffenen zu Kenntnis gebracht werden, je nachdem wie und zu welchem Zeitpunkt die Daten erhoben werden und auf welche Art und Weise (z.B. über die Website, über eine E-Mail Anfrage, Zusendung von Bewerbungsunterlagen, bei Abschluss eines Mietvertrages, bei einer Verwaltungsübernahme). Daher gibt es verschiedene Möglichkeiten, wie die Informationspflichten online und offline erfüllt werden können.

→ Datenschutzerklärung auf Website

→ Datenschutzinformation in AGBs

→ Datenschutzinformation in Verträgen oder als Anhang zu Verträgen

→ Übermittlung der Datenschutzinformation per E-Mail (als Anhang oder Verweis auf Datenschutzerklärung auf der Website)

→ Übermittlung Datenschutzinformation mit anderen verpflichtenden Informationen (z.B. FAGG-Information)

→ Aushändigung eines Datenschutz-Informationsblattes

Rechte der Betroffenen

Betroffene haben verschiedene Rechte, wie Recht auf Auskunft, Berichtigung, Widerspruch und Löschung. Über diese Recht muss jeweils informiert werden und jeder Betroffene kann sie ausüben, indem er einen entsprechenden Antrag stellt. Auch wenn keine Daten vorhanden sind, muss dies bekannt gegeben werden (Negativauskunft). Das Recht auf Löschung gilt aber nur, wenn die Daten nicht mehr erforderlich sind, oder der Betroffene seine Einwilligung widerrufen hat, oder die Daten unrechtmäßig verarbeitet werden. Betroffene Personen haben daher kein unbegründetes oder grenzenloses Recht auf Löschung.

Jeder Antrag muss grundsätzlich innerhalb eines Monats beantwortet und entsprochen werden. Alle Anfragen und Anträge müssen grundsätzlich unentgeltlich beantwortet werden, nur bei unbegründeten oder exzessiven Anträgen kann ein angemessenes Entgelt verlangt werden oder eine Bearbeitung verweigern, wobei aber der Verantwortliche nachzuweisen hat, dass Anträge unbegründet oder exzessiv sind.

→ Sicherstellen, dass Anträge innerhalb eines Monats bearbeitet und beantwortet werden

→ Muster für die Beantwortung von Auskunftsersuchen, Antrag auf Löschung erstellen

Mustervorlagen zur Umsetzung der DSGVO für Immobilientreuhänder

Der ÖVI stellt in Kooperation mit dem Fachverband der Immobilien- und Vermögenstreuhänder und dem Verband gemeinnütziger Bauvereinigungen GBV Mustervorlagen für die Umsetzung der DSGVO zur Verfügung. Hierbei handelt es sich jeweils um veränderbare/bearbeitbare Dokumente. Lediglich die Informationsunterlagen bzw. Anleitungen sind PDF -Dokumente, in denen auch Rechtsanwalt Dr. Thomas Schweiger in Kooperation mit dem ÖVI als für den Inhalt verantwortlich ausgewiesen ist.

Die Dokumente sind nur für Mitglieder des Fachverbandes unter dem Menüpunkt „Service für Mitglieder“ unter diesem Link verfügbar.

Werbung
Werbung