Die wichtigsten Eckpunkte der neuen Datenschutzgrundverordnung im Überblick:
- Immobilienverwaltungen müssen zukünftig beweisen können, dass sie entsprechende Maßnahmen zur Einhaltung der DSGVO getroffen haben.
- Wenn Daten gestohlen werden oder verschwunden sind, muss dies innerhalb von 72 Stunden den betroffenen Kunden oder Mietern gemeldet werden. Sonst drohen Strafen.
- Immobilienverwaltungen müssen erklären können, woher sie Daten haben und zu welchem Zweck sie ursprünglich erhoben wurden.
Recht auf Vergessenwerden
- Personen bekommen ein Recht auf „Vergessenwerden“. Sie können verlangen, dass ihre personenbezogenen Daten wie Name, Telefonnummer oder Email-Adresse aus Datenbanken gelöscht werden. Das Problem: Häufig werden diese Daten im Unternehmen gar nicht rechtzeitig gefunden.
- Ehemalige Mitarbeiter einer Immobilienverwaltung dürfen keinen Zugriff mehr auf Unternehmensdaten haben.
- Immobilienverwaltungen sind dazu verpflichtet, ihre Mitarbeiter im Umgang mit Daten und zum Datenschutz zu schulen.
- Unternehmen müssen schon bei der Erhebung der Daten über die Verwendung und den Umgang mit den Daten informieren.
- Bisher mussten die Datenschutzbeauftragten in Deutschland nur darauf „hinwirken“, dass im Unternehmen die Vorschriften eingehalten werden. Jetzt müssen sie die Einhaltung auch überwachen. Vorstände und Geschäftsführer haben weitreichende Kontrollpflichten. Datenschutzbeauftragte und Manager haften künftig auch persönlich bei Verstößen.
- Da viele Unternehmen mit einem IT-Dienstleister zusammenarbeiten, sollten sie auch dessen Prozesse prüfen. Kann dieser beispielsweise Zertifizierungen wie ISO 27001, ISO 27002 und ISO 1802 vorweisen, erfüllt er alle Vorgaben der DSGVO. Bei Anbietern von Cloud-Services, deren Rechenzentrum sich außerhalb der EU befindet, kann es schwierig werden. Die DSGVO gestattet die Verarbeitung von personenbezogenen Daten von EU-Bürgern nämlich nur, wenn die ausländischen Rechenzentren einen vergleichbaren Datenschutz wie die innerhalb der EU bieten. Im Falle von Cloud-Providern aus den USA ist das umstritten.
Checkliste für Immobilienverwalter
Der DDIV hat eine Checkliste zur neuen DSGVO zusammengestellt. Diese Fragen sollten sich Immobilienverwaltungen stellen:
Wer ist im Unternehmen verantwortlich?
- Wer entscheidet über die Datenverarbeitung?
- Wer hat Zugriff zu welchen Daten und ist dieser gesichert?
- Werden besondere Sicherheitsvorkehrungen für sensible oder geheime Daten getroffen, wenn ja entsprechen sie den Anforderungen der DS-GVO?
Wie sieht es mit den Verträge aus:
- Nach welchen Kriterien werden Auftragsdatenverarbeiter gesucht?
- Wer hat die Kompetenz, Verträge zu vereinbaren?
- Sind Vertragsmuster bzw. AGB so gestaltet, dass sie die DS-GVO erfüllen?
Recht auf Vergessen:
Kann unkompliziert auf Personen-Daten Zugriff genommen werden, so dass schnell Daten gelöscht werden?
Wird regelmäßig geprüft, welche anderen Unternehmen Daten über Personen, zum Beispiel Kunden, bearbeiten, die eine Löschung verlangen können?
Werden Listen erstellt, so dass betreffende Datenverarbeiter sofort informiert werden, wenn das Recht auf Vergessenwerden in Anspruch genommen wird?
Datenschutzfolgenabschätzung:
Werden Daten so verarbeitet, dass dies ein Risiko für betroffene Person ist?
Werden neue Techniken eingesetzt, die ein Risiko beinhalten?
Dient die Verarbeitung bestimmter Daten als Grundlage für rechtswirksame Entscheidungen, wenn ja welche?
Weitere Informationen zum Thema:
Europäische Datenschutzgrundverordnung: Informationen und Hilfestellungen