Datenschutzgrundverordnung EU: Änderungen für Immobilienmakler


Am 25.05.2018 wird die Datenschutz-Grundverordnung (DSGVO) der EU rechtswirksam. Ab dann müssen sich alle Unternehmen, die in der EU tätig sind, an die umfangreichen neuen Regelungen der Verordnung halten. Hier lesen Sie, was die DSGVO für Sie bedeutet und auf welche Änderungen Sie sich vorbereiten müssen.

Datenschutzgrundverordnung EU: Änderungen für Immobilienmakler


In eigener Sache: Wir haben viel Zeit und Mühe investiert, um Sie mit detaillierten Informationen zur neuen Datenschutz-Grundverordnung 2018 bestmöglich zu unterstützen. Haben wir unsere Zeit gut investiert? Bitte verraten Sie uns, ob wir Sie unterstützt haben oder was Ihnen noch gefehlt hat. Die Umfrage ist selbstverständlich anonym und dauert nicht lang! Herzlichen Dank für Ihr wertvolles Feedback.


Präsentation herunterladen

FAQ's vom Webinar "DSGVO für Makler" runterladen


Wie sieht es mit dem Thema Datenschutz in den Sozialen Medien aus?


 

Fanpages bzw. Unternehmensprofile bei Facebook sind nach DSGVO nicht ohne Weiteres datenschutzkonform zu betreiben. Zuletzt sorgte ein Urteil des Europäischen Gerichtshofs (EuGH) für Aufruhr – und brachte zahlreiche Unternehmen dazu, ihre Profile bei Facebook zu deaktivieren. Mittlerweile steuerte Facebook nach, so dass die datenschutzrechtlichen Hürden für eine Facebook-Fanpage etwas geringer ausfallen. 

Ausführliche Informationen zu den aktuellen Regelungen finden Sie hier

Spezifische Anfragen zu Produkten & Services von ImmobilienScout24

1. Müssen Sie eine Auftragsverarbeitung mit ImmobilienScout24 abschließen?

Grundsätzlich handelt es sich bei den Services von ImmobilienScout24 nicht um Vorgänge/Services, die eine Auftragsdatenverarbeitung im Sinne des Datenschutzrechts darstellt. Dies gilt sowohl für die aktuelle Rechtslage nach dem BDSG (Bundesdatenschutzgesetz) - und ggf. dem TMG (Telemediengesetz) – als auch nach der ab dem 25.05.2018 geltenden Datenschutzgrundverordnung der EU (DSGVO). Dies vor dem Hintergrund, da wir unseren Kunden gegenüber weder weisungsgebunden sind noch die sonstigen Voraussetzungen für eine Auftragsdatenverarbeitung gem. § 11 BDSG bzw. Art. 28 und 29 DS-GVO vorliegen.

ImmobilienScout24 stellt den Service zur Verfügung und verarbeitet die Daten im eigenen Interesse und nicht im Auftrag des Kunden. ImmobilienScout24 ist verantwortliche Stelle (§ 3 Abs. 7 BDSG bzw. Art. 4 Nr. 7 DSGVO) für die auf ihrer Website erhobenen personenbezogenen Daten, dies sind nicht Sie - unsere Kunden.

Es ist daher (weiterhin) nicht erforderlich, Verträge über Auftragsverarbeitung mit unseren Kunden zu schließen.

 

2. Ich nutze das Bewertungs-Widget von ImmobilienScout24 - Ist für eine Nutzung ein Hinweis in der Datenschutzerklärung unserer Webseite notwendig?

Das Widget zieht nur Daten aus dem Domain-Widget.immobilienscout24.de und liefert diese Daten dann auf der Seite der Kunden aus. Ein Tracking Tracking-Pixel ist nicht.

Sobald die Seite des Kunden aufgerufen wird übertragen unsere Server nur die unvermeidlichen HTTP-Header-Parameter vom Browser des Benutzers zurück zu unserem Loadbalancer. Im Widget werden dann die dort enthaltenen Angaben auf der Seite des Kunden angezeigt. Wenn der Nutzer, der die Seite Ihres Mandanten aufgerufen hat, tatsächlich Cookies auf der Domain .immobilienscout24.de eingerichtet hat (wie zum Beispiel ein sso-Cookie), wird diese Information an unsere Server übertragen.

Unsere Server schreiben aus betrieblichen Gründen ein Zugriffsprotokoll, um die Dienststabilität zu gewährleisten, das einige der oben erwähnten HTTP-Header-Parameter speichert, das Protokolle auf dem Server werden nach sieben Tagen automatisch gelöscht. Die Logs werden auch an unser zentrales Logging-System weitergeleitet. Hier werden Daten automatisch nach spätestens 21 Tagen gelöscht. Diese Daten werden nur aus betrieblichen Gründen von unseren Ingenieuren abgerufen. Die Widget-Informationen werden jedes Mal von unseren Servern abgerufen, wenn ein Benutzer auf die einbettende Kundenseite zugreift. Es wird nicht aktualisiert, wenn es einmal geladen wurde, bis die einschließende Seite neu geladen wurde. Da jede HTTP / HTTPS-Anfrage immer die IP-Adresse des aufrufenden Nutzers an unsere Server überträgt, erhalten wir die IP-Adresse als personenbezogenes Datum. Diese Daten werden nicht weiter verarbeitet.

 

3. Welche Daten werden von ImmobilienScout24 von mir gespeichert?

Ausführliche Infos zu dem Thema Verarbeitung, Widerspruchsrecht, Cookies und Löschung von Daten bekommen Sie auf unserer aktualisierten Seite zu unseren Datenschutzrichtlinien unter:

https://www.immobilienscout24.de/agb/datenschutz.html


NEU: Checklisten und Tipps für Ihre Vorbereitung



Datenschutz-Grundverordnung als PDF herunterladen

Was beinhaltet die neue europäische Datenschutz-Grundverordnung 2018?


Die DSGVO ist eine neue, für alle Staaten der Europäischen Union gültige, Verordnung zum Schutz von personenbezogenen Daten. Die Datenschutzgrundverordnung der EU enthält Vorschriften, die die Verarbeitung von personenbezogenen Daten durch Unternehmen und Behörden regeln.

Ab wann gilt die neue Datenschutz-Grundverordnung der EU?


Die neue Datenschutz-Grundverordnung wird nach einer zweijährigen Übergangszeit am 25.05.2018 direkt in der gesamten EU gültig und rechtswirksam.

Wen betrifft die Datenschutz-Grundverordnung?


Die Datenschutz-Grundverordnung 2018 betrifft alle Unternehmen, deren Angebot sich an einen bestimmten nationalen Markt in der Europäischen Union richtet, unabhängig davon, ob sich der Sitz des Unternehmens in Europa befindet und wie groß das Unternehmen ist.

Was sind personenbezogene Daten?


Personenbezogene Daten sind Informationen, die einer konkreten Person zugeordnet werden können. Dazu gehören alle Daten, die direkt zur Identifizierung einer Person geeignet sind wie beispielsweise der Name, die Adresse, die E-Mail-Adresse oder die Telefonnummer, aber auch Daten über die eine Identifizierung indirekt möglich ist wie z.B. eine Kunden- oder Mitarbeiternummer.



Infografik herunterladen

Welche Änderungen kommen auf Sie zu?


Die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das in Deutschland geltende Bundesdatenschutzgesetz (BDSG) basiert, wird nun durch die europaweit direkt geltende Regelung, die Datenschutz-Grundverordnung 2018 umgesetzt. Die nationalen Gesetzgeber haben nur noch die Möglichkeit über sogenannte Öffnungsklauseln eigene Regelungen zu treffen.

Die bisher im BDSG verankerten Grundprinzipien des Datenschutzes bleiben erhalten. Jegliche Art von Datenverarbeitung ist weiterhin nur zulässig ist, wenn entweder eine gesetzliche Erlaubnis vorliegt, oder eine Einwilligung stattgefunden hat. Weiterhin gelten auch die Grundsätze der Datenvermeidung, Datensparsamkeit sowie die Zweckbindung der Datenverarbeitung.

1. "Marktortprinzip"

Hiernach gilt die Datenschutz-Grundverordnung nicht nur für in der EU niedergelassene Unternehmen. Voraussetzung ist lediglich, dass sich ein Angebot an einen bestimmten nationalen Markt in der EU richtet oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der EU gilt.

Damit gilt die DSGVO auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind.

2. "One-Stop-Shop"

Für Unternehmen mit Niederlassungen in mehreren EU-Mitgliedsstaaten wird nur die Aufsichtsbehörde an Ihrem Hauptsitz zuständig sein. So ist gewährleistet, dass sie einen zentralen Ansprechpartner haben.

3. Ausdehnung der Sanktionsmöglichkeiten

Bei Verstößen drohen nun Bußgelder bis zu 20 Mio. € bzw. 4% des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres (sind diese 4% Jahresumsatz größer als die Summe des Bußgeldes, ist jener Umsatz als Strafzahlung zu entrichten)

4. Kopplungsverbot

Die europäische Datenschutzgrundverordnung verbietet explizit, die Vertragserfüllung von einer Einwilligung zur Preisgabe von Daten abhängig zu machen, die für die Vertragserfüllung gar nicht erforderlich ist.

5. Recht auf Datenübertragbarkeit

Die europäische Datenschutzgrundverordnung besagt, dass unter bestimmten Voraussetzungen eine betroffene Person Anspruch eine Kopie der sie betreffenden Daten zu erhalten hat, um diese zu einem neuen Anbieter "mitzunehmen". Die Daten können entweder dem Betroffenen zur Verfügung gestellt werden oder direkt an den neuen Anbieter geschickt werden.

6. "Privacy by Design - Privacy by Default"

Unternehmen, die Daten erheben, haben schon bei der Produktentwicklung und -implementierung dafür Sorge zu tragen, dass die Datenschutzgrundsätze eingehalten werden. Gemäß der Datenschutz-Grundverordnung soll ebenso sichergestellt sein, dass die Standardeinstellungen darauf ausgerichtet sind, nur personenbezogene Daten zu verarbeiten, die für den konkreten Zweck erforderlich sind.


Kernelemente der aktuellen EU Datenschutz-Erklärung 2018

Rechenschaftspflicht und Datenschutz-Management (Art. 5 Abs. 2)


Die Datenschutz-Grundverordnung 2018 der EU verlangt von Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – dies ist abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes gemäß der europäischen Datenschutzverordnung nachweisen zu können.

Beim Klicken auf den Pfeil sehen Sie auf einem Blick, was ein Unternehmen beim Datenschutzmanagement dokumentieren muss:
  • die Zuständigkeiten für den Datenschutz im Unternehmen; dazu gehört die Einbindung des betrieblichen Datenschutzbeauftragten
  • die Sensibilisierung und Schulung der Mitarbeiter 
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden 
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (hier finden Sie ein Arbeitspapier zum Umgang Datenpannen)


Kostenlose Tipps zur Erstellung von Verarbeitungsverzeichnissen finden Sie auf der Seite der Bundesbauftragten für Datenschutz und der activemind.AG.


Datenschutz-Grundverordnung als PDF herunterladen

Ihre Informationspflichten (Art. 12ff.)


Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der Datenschutz-Grundverordnung 2018 eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat das Unternehmen geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen können schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt werden. Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person.

Klicken Sie auf den Pfeil, um eine Liste der Informationen zu erhalten, die das Unternehmen der betroffenen Person mitteilen muss:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters, 
  • Kontaktdaten des Datenschutzbeauftragten, 
  • Zwecke der Verarbeitung und Rechtsgrundlage, 
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen, 
  • ggf. Empfänger oder Kategorien von Empfängern, 
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission, 
  • Dauer der Datenspeicherung, 
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit, 
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a), 
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte, 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22). 

Betroffenenrechte (Art. 15ff.)


Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 der europäischen Datenschutzgrundverordnung innerhalb eines Monats antworten. Es muss in jedem Fall schnell reagiert werden. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Das Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

Die Datenschutz-Grundverordnung stärkt die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden.

Die DSGVO enthält umfangreiche Informationspflichten:

  1. bei der Datenerhebung
  2. zu Auskunftsrechten
  3. zu Rechten auf Berichtigung
  4. zur Löschung
  5. zur Einschränkung der Verarbeitung
  6. zur Datenübertragbarkeit
  7. zu Widerspruchsrechten
  8. sowie zum Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. 

Einwilligung der betroffenen Person (Art. 4 Nr.11)


Nach Artikel 4 Nr. 11 der Datenschutz-Grundverordnung 2018 bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Formale Anforderungen an die Einwilligung enthält § 7 der Datenschutz-Grundverordnung. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache sein. Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen. Dabei sind folgende Grundsätze zu beachten:

1. Freiwilligkeit

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss.

2. Informiertheit

Für das weitere Erfordernis der Informiertheit greift die Datenschutz-Grundverordnung 2018 auf bisher bekannte Grundsätze zurück. Blanko-Einwilligungen genügen nicht den Anforderungen. Die betroffene Person muss verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

3. Eindeutigkeit

Das Einverständnis in die Verarbeitung muss eindeutig zum Ausdruck kommen.

4. Kopplungsverbot

Die Datenschutzgrundverordnung der EU führt das sogenannte Kopplungsverbot ein. Danach dürfen Unternehmen Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt.

5. Form

Die Datenschutz-Grundverordnung 2018 sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. In der Praxis ist es empfehlenswert, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.

6. Hinweis auf Widerrufsmöglichkeit

Nicht neu ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.


Datenschutzbeauftragter (Art. 35 ff.)


Ab dem 25.05.18 wird es infolge der Datenschutz-Grundverordnung erstmals eine europaweit geltende Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten geben (Art. 35 ff. DSGVO). Diese ist bindend sofern ein Unternehmen einer Tätigkeit nachgeht, die aus datenschutzrechtlicher Sicht einer besonderen Kontrolle bedarf. Darüber hinaus kann jedes Unternehmen einen Datenschutzbeauftragten freiwillig bestellen.

In dem kostenlosen Whitepaper von activemind.AG finden Sie weitere Informationen zum betrieblichen Datenschutzbeauftragten, welche Vorausetzungen er erfüllen muss und welche Aufgaben er innehat.


 

Für rechtlich verbindliche Informationen, wenden Sie sich an den Datenschutzbeauftragten in Ihrem Unternehmen oder Ihren Rechtsberater.


Datenschutz-Folgenabschätzung


Eine Datenschutz-Folgenabschätzung (kurz DSFA) ist erforderlich, wenn durch Ihre Datenverarbeitungsprozesse ein Risiko für die Rechte und Freiheiten der Betroffenen vorliegt. Die EU hat dafür praxistaugliche Kriterien veröffentlicht, die - sollten sie zutreffen - eine DSFA erforderlich machen. Wer diese nicht durchführt, obwohl er dazu verpflichtet war, riskiert hohe Geldbußen. Im Zweifel sollte deshalb eine DSFA entsprechend dokumentiert werden.

Ob und wie Sie das tun sollten, lesen Sie hier:


Datenschutz-Grundverordnung als PDF herunterladen

Sie haben noch Fragen?

Hier gibt es die passenden Antworten!