HIP Hop Flyer 2 1 17 A3 - ista...4 Das neue Datenschutzrecht für die Praxis der Immobilienmakler...

IVD Bundesverband e.V. und ED Computer & Design GmbH & Co. KG

Immobilienverband IVD

Das neue Datenschutzrecht

für die Praxis der Immobilienmaklerund Sachverständigen

Hier ist Immobilienkompetenz zu Hause

2 Das neue Datenschutzrecht für die Praxis der Immobilienmakler und Sachverständigen – DSGVO


ImpressumHerausgeberImmobilienverband Deutschland IVD Bundesverband der Immobilienberater, Makler, Verwalter und Sachverständigen e.V.Littenstraße 10, 10179 Berlin, Tel.: 0 30 – 27 57 26-0, Fax: 0 30 – 27 57 26-49Mail: [email protected]

Layoutwww.die-grafikagentur.de | Berlin; www.medienatelier.de

Die vorliegende Broschüre wurde mit inhaltlicher Unterstützung von ED Computer & Design erstellt.

8. März 2018

3Das neue Datenschutzrecht für die Praxis der Immobilienmakler und Sachverständigen – DSGVO


InhaltI. Einleitung ...................................................................................................................................................4 1. Betroffene Unternehmen ...........................................................................................................................................4 2. Zweck des Datenschutzes..........................................................................................................................................4 3. Geschützte Daten .........................................................................................................................................................4

II. Verzeichnis der Verarbeitungstätigkeiten...........................................................................................5

III. Datenverarbeitung...................................................................................................................................6

IV. Informations- und Transparenzpflicht gem. Art. 12 ff DSGVO ........................................................7

V. Auskunftsrecht gem. Art. 15 DSGVO.....................................................................................................8

VI. Vermietung oder Verkauf eines Objektes............................................................................................8

VII. Löschung der Daten.................................................................................................................................9 1. Daten des Mietinteressenten ....................................................................................................................................9 2. Daten des Kaufinteressenten....................................................................................................................................9

VIII. Gesetzliche Aufbewahrungspflichten.................................................................................................10

IX. Datenschutzbeauftragter ......................................................................................................................11

X. Auftragsverarbeitung .............................................................................................................................11

XI. Verpflichtung von Beschäftigten auf das Datengeheimnis............................................................12

XII. Technische und organisatorische Maßnahmen zum Schutz der Daten (TOM), (Art. 32 Abs. 1 DSGVO) ...........................................................................................................................13

XIII.Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung ...............14

XIV.Behördliche Aufsicht..............................................................................................................................14

XV. Datenschutzerklärung nach § 13 TMG ................................................................................................15

XVI.Anlagen/Muster ......................................................................................................................................16 1. Verzeichnis über Verarbeitungstätigkeiten........................................................................................................16 2. Pflichtangaben nach Art. 13 DSGVO (Informations- und Transparenzpflicht) .....................................17 3. Verpflichtung auf die Vertraulichkeit personenbezogener Daten.............................................................18 4. TOM Ausfüllhilfe............................................................................................................................................................19 5. Datenschutzfolgeabschätzung.............................................................................................................................22



I. Einleitung

Am 25. Mai 2018 tritt die Datenschutzgrundverord-nung der EU (DSGVO) in Kraft. Die Verordnung wirdunmittelbar in sämtlichen Ländern der EU gelten.Gleichzeitig tritt die neue Fassung des Bundesda-tenschutzgesetzes (BDSG) in Kraft, das ergänzendgilt.

Da schon das in Deutschland bisher geltende Daten-schutzrecht sehr streng war, ergeben sich für deut-sche Unternehmen keine schwerwiegenden Änderun-gen. Wichtig ist vor allem, dass die Anforderungen andas Verfahrensverzeichnis ausgeweitet worden sind(Art. 30 DSGVO).

Nach der DSGVO heißt dieses jetzt „Verzeichnis derVerarbeitungstätigkeit“ und muss der Aufsichtsbe-hörde auf Verlangen vorgelegt werden. Neu sindauch die Transparenzpflichten in Gestalt einer Infor-mationspflicht im Hinblick auf die zu speicherndenDaten gegenüber dem Betroffenen. Betroffener istdabei jede Person, von der personenbezogene Da-ten erhoben werden. Dies sind Verkäufer, Vermieter,Interessent oder jeder andere Auftraggeber glei-chermaßen.

Wer sich bisher um das Datenschutzrecht nicht ge-kümmert hat, sollte dies jetzt tun, da die Prüfungendurch die Aufsichtsbehörden intensiver sein werdenund auch höhere Bußgelder verhängt werden kön-nen.

Die nachfolgenden Informationen dienen insbeson-dere dem Immobilienmakler und dem Bewertungs-sachverständigen von Wohnungen und sonstigenFlächen zur Umsetzung ihrer datenschutzrechtlichenPflichten. Zahlreiche weitere Informationen, Orien-tierungshilfen finden sich im internen Bereich der Internetseite des IVD (www.ivd.net) und auf der

Internetseite der Gesellschaft für Datenschutz undDatensicherheit e.V. (www.gdd.de).

1. Betroffene Unternehmen

Zur Einhaltung des Datenschutzrechts sind sämtli-che Unternehmen verpflichtet. Hierzu gehörenauch (private) Vermieter, Hausverwalter, Makler undSachverständige. Auf die Rechtsform oder die Grö-ße des Unternehmens kommt es nicht an (Art. 4 Nr.18 DSGVO). Auch kommt es nicht darauf an, ob derentsprechende Vertrag mit einem Verbraucheroder Unternehmer geschlossen oder angebahntwird. Lediglich die rein private Sammlung von Datenetwa in einem Fotoalbum oder privaten Telefon-buch ist nicht betroffen.

2. Zweck des Datenschutzes

Das Datenschutzrecht will erreichen, dass personen-bezogene Daten nur in dem Umfang erhoben undgespeichert werden, in dem dies zur Erreichung desjeweiligen Zwecks (Vertragszweck oder zur Erfüllunggesetzlicher Verpflichtungen) erforderlich ist (Grund-satz der Datenminimierung, ehem. Datensparsam-keit, Art. 5 Abs. 1 c DSGVO). Entfällt dieser Grund spä-ter, etwa weil die gesetzliche Aufbewahrungspflichtabgelaufen oder der Vertragszweck erreicht ist, müs-sen die Daten wieder gelöscht werden.

Außerdem dürfen die Daten nur zu dem Zweck ver-wendet werden, zu dem sie erhoben worden sind(Grundsatz der Zweckbindung).

3. Geschützte Daten

Dem Datenschutz unterliegen „personenbezogeneDaten“, die verarbeitet oder in einem Datensystemgespeichert werden. Als personenbezogene Daten

25. Mai 2018



gelten sämtliche Informationen, die einer Personzugeordnet werden können. Dazu gehören insbe-sondere: Name, Anschrift, Telefonnummer, Steuer-nummer, Bankverbindung usw. Besonders strengeRegeln gelten für sensible Daten, wie beispielsweiseüber ethnische Zugehörigkeit, Sexualleben, Ge-sundheit etc. (Art. 9 DSGVO, §§ 22, 48 BDSG). DieVerarbeitung derartiger Daten ist grundsätzlich un-zulässig.

Geschützt sind nur Daten von natürlichen Perso-nen. Daten juristischer Personen sind nicht ge-

schützt. Allerdings sind die Daten derjenigen Perso-nen geschützt, die für dieses Unternehmen handelnoder ihr Ansprechpartner sind.

Der Begriff der Verarbeitung von Daten ist sehr weit-gehend und umfasst insbesondere das Erfassen,Organisieren, Ordnen, Speichern, Anpassung oderVeränderung, Auslesen, Abfragen, Verwendung undOffenlegung durch das Übermitteln von Daten. Diesgilt nicht nur bei einer Verarbeitung mithilfe vonComputern, sondern auch bei (analogen) Aufzeich-nungen, die etwa handschriftlich erfolgen.

II. Verzeichnis der Verarbeitungstätigkeiten

Art. 30 DSGVO verlangt, dass jedes Unternehmen einVerzeichnis seiner Verarbeitungstätigkeiten führt. DasVerzeichnis muss – anders als nach dem bisherigenRecht – nicht veröffentlicht werden. Auf Verlangenmuss es jedoch der Aufsichtsbehörde vorgelegt wer-den. Das Verzeichnis muss bestimmte Mindestanga-ben enthalten, die in Art. 30 DSGVO genannt sind:

• Name und Kontaktdaten des Verantwortlichen(Praxistipp: An dieser Stelle müssen die Namenund Kontaktdaten des Verantwortlichen und ge-gebenenfalls des gemeinsam mit ihm Verantwort-lichen, des Vertreters des Verantwortlichen sowieeines etwaigen Datenschutzbeauftragten ange-geben werden. Gemeinsam verantwortlich sindauch Auftragsverarbeiter.)

• Zweck der Verarbeitung (Praxistipp: Hier sollte auf-genommen werden, für welche Zwecke Daten vonBetroffenen verarbeitet werden. Wobei hieruntervor allem das Kerngeschäft zu verstehen ist, wie et-

wa der Abschluss von Maklerverträgen und Gutach-teraufträgen. An dieser Stelle können jedoch auchBeschäftigungsverhältnisse oder andere VerträgeErwähnung finden. Um die Übersichtlichkeit zu wah-ren, empfehlen sich mehrere Tabellen.)

• Beschreibung der Kategorien betroffener Personenund die Kategorie personenbezogener Daten (Pra-xistipp: Hier ist aufzunehmen, welche personen-bezogenen Daten je Personengruppe wie beispiels-weise Miet- oder Kaufinteressent erhoben werdenz. B. Name, Kontaktdaten. Das Geburtsdatum solltenur erhoben werden, wenn dies unbedingt erfor-derlich ist.)

• Kategorie von Empfängern von Daten einschließ-lich Empfänger Drittstaaten inkl. Dokumentationgeeigneter Garantien (Praxistipp: Hier solltenzwischen in- und externen Empfängern (z.B. in-tern: Buchhaltung/extern: Werbeagentur) vonDaten unterschieden werden.)



• Vorgesehene Fristen zur Löschung (Praxistipp:Grundsätzlich haben Personen, von den perso-nenbezogene Daten erhoben wurden, ein Rechtauf Vergessen, so dass ihre Daten auf Verlangenzu löschen sind. Dieser Löschung können jedochgesetzliche Regelungen entgegenstehen (sieheKapitel VIII.).

Im internen Bereich des IVD und www.ivd.net findetsich ein Musterverzeichnis im MS Word-Formatzum Download sowie eins im Anhang dieser Publi-kation.

Praxistipp 1

Es empfiehlt sich das Verzeichnis in Gestalt einer Ta-belle zu führen. Um eine Übersichtlichkeit und Les-barkeit zu gewährleisten, empfiehlt es sich ggfls. so-gar für jede Verarbeitungstätigkeit ein eigenesDokument anzulegen, die Gesamtheit der Verarbei-tungstätigkeiten bilden dann das Verzeichnis derVerarbeitungstätigkeiten.

Weitere Arbeitshilfen und Vorlagen finden sich aufder Interneteite der Gesellschaft für Datenschutzund Datensicherheit e.V. – https://www.gdd.de/

III. Datenverarbeitung

Die Verarbeitung der Daten ist nur dann zulässig,wenn hierfür eine Rechtsgrundlage besteht (Verbotmit Erlaubnisvorbehalt, Art 6 Abs. 1 DSGVO). AlsRechtsgrundlage kommen nur in Betracht:

• Vertragserfüllung und Vertragsanbahnung• Erfüllung einer rechtlichen Verpflichtung• Wahrung der berechtigten Interessen• Einwilligung des Betroffenen.

Die Daten von Verkäufern und Kaufinteressentendürfen erhoben und verarbeitet werden, um einenProvisionsanspruch aus dem Maklervertrag zu be-gründen (Art. 6 Abs. 1 b DGSVO). Auch wenn auf-grund des sog. Bestellerprinzips zwischen Maklerund Mietinteressent kein provisionspflichtiger Mak-lervertrag geschlossen wird, dürfen die Daten desInteressenten erhoben werden, da sonst ein Ab-schluss des Mietvertrages nicht möglich ist.

Praxistipp 2

Auf eine Einwilligung des Mieterinteressenten kann man sich grundsätzlich nicht berufen, weil es insofern regelmä-ßig an der Freiwilligkeit des Betroffenen fehlen dürfte. Nach Art. 4 Nr. 11 DSGVO muss jede Einwilligung freiwilligsein und aufgrund ausreichender Information erfolgen (vgl. auch Art. 7 DSGVO). Die erforderliche Freiwilligkeit desMietinteressenten fehlt jedoch, wenn ein erheblicher Nachfrageüberhang besteht und er sich dadurch gezwungensieht, seine Daten etwa in einem Selbstauskunftsbogen anzugeben, um die Wohnung zu erhalten. Dies gilt auchdann, wenn die Felder in einem Selbstauskunftsbogen mit Hinweis „freiwillige Angabe“ versehen ist. Außerdemsetzt die Wirksamkeit einer Einwilligung die Einhaltung erheblicher Formalien voraus, die in der Praxis kaum ge-währleistet werden können. Als Rechtsgrund sollte deshalb bei Verarbeitung der Daten von Vertragspartnern stetsund ausschließlich der Rechtsgrund „Vertragserfüllung bzw. vorvertragliche Maßnahmen“ angegeben werden.



Praxistipp 3

Im Online-Marketing spielt der Newsletter eine große Rolle. Möchte der Unternehmer bestehenden Newsletter-Empfängern weiterhin den Newsletter zustellen, müssen folgende Voraussetzungen erfüllt sein (vgl. § 7 Abs. 3UWG):

• Unternehmer hat E-Mail-Adresse im Zusammenhang mit einem Vertrag erhalten (Maklervertrag, Sachverstän-digenauftrag).

• Unternehmer will Adresse für eigene Zwecke verwenden (nicht Angebote Dritter)• Kunde hat Verwendung der E-Mail-Adresse nicht widersprochen.• Kunde wurde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dasser der Verwendung jederzeit widersprechen kann (Button: Newsletter abbestellen)

Neuabonnenten dürfen grundsätzlich nur aufgenommen werden, wenn sie hierzu ihre Einwilligung geben. Eine be-stimmte Form ist für diesen Fall nicht vorgeschrieben. Ausreichend ist eine eindeutig bestätigende Handlung, mitder die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezoge-nen Daten einverstanden ist. Dies kann das Anklicken eines Kästchens beim Besuch einer Internetseite sein. DasOpt-Out-Verfahren ist nach der DSGVO unzulässig.

Bietet ein Unternehmer einen Newsletter auf seiner Webseite an, sollte er diesen in der Datenschutzerklärung be-rücksichtigen, die ebenfalls auf der Webseite zur Verfügung gestellt wird.

IV. Informations- und Transparenzpflicht

Werden personenbezogene Daten bei der betroffe-nen Person direkt oder durch einen Dritten (z.B. Por-tal) erhoben (z.B. Interessent oder Verkäufer/Ver-mieter), so muss der Unternehmer der betroffenenPerson zum Zeitpunkt der erstmaligen Erhebung die-ser Daten informieren, welche personenbezogenenDaten auf welche Art und Weise verarbeitet werden.

Über folgende Daten muss der Immobilienmaklergrundsätzlich informieren

• Namen und die Kontaktdaten des Verantwortli-chen und ggf. seines Vertreters

• Kontaktdaten des Datenschutzbeauftragten (fallsvorhanden ist)

• Falls die Daten weitergegeben werden, die Kate-gorie der Empfänger

• Verarbeitungszwecke und Rechtsgrundlage• die Dauer der Speicherung• die Rechte des Verbrauchers

Auf welche Art und Weise, die Information erfolgt,ist in Art. 12 DSGVO geregelt. Danach sind die Infor-mationen der betroffenen Person in präziser, trans-parenter, verständlicher und leicht zugänglicherForm in einer klaren und einfachen Sprache zuübermitteln. Es empfiehlt sich eine übersichtlicheGestaltung in Form einer Tabelle (siehe Muster XVI.,2.). Im Online-Bereich kann auch auf eine Daten-schutzerklärung verwiesen werden.

Allerdings ist davon auszugehen, dass ein bloßer Ver-weis auf eine im Internet bereitgestellte Datenschutz-information bei einer Direkterhebung von personen-bezogenen Daten im „Offline-Bereich“ nicht zulässigist. Der Betroffene muss daher vor Ort informiert wer-den. Erfolgt die Kontaktaufnahme durch den Betrof-fenen per Telefon, erscheint es zulässig, dass der Makleroder Sachverständige im Nachgang des Gesprächesdie Information per Email übersendet.



V. Auskunftsrecht

Der Betroffene hat das Recht (Art. 15 DSGVO), zu er-fahren, welche seiner Daten zu welchem Zweck ge-speichert sind und wie sie genutzt werden. Auf Antragdes Betroffenen muss der Unternehmer ihm daherkostenlos mitteilen, welche Daten von ihm gespei-

chert sind, wozu die Speicherung erfolgt und wann dieDaten gelöscht werden. Außerdem muss der Betrof-fene auf sein Beschwerderecht bei der Aufsichtsbe-hörde hingewiesen werden.

VI. Vermietung oder Verkauf

Bevor es zum Miet- oder Kaufvertrag kommt, wer-den vom Interessenten verschiedene Daten zu un-terschiedlichen Zeitpunkten erhoben. Dabei gilt derGrundsatz der Datenminimierung. Andererseits willder Makler im Auftrag des Vermieters oder Verkäu-fers schon möglichst viel über den Interessentenwissen, um abschätzen zu können, ob der Interes-sent in Frage kommt. Dies gilt insbesondere fürMietinteressenten.

Praxistipp 3

Welche Daten von dem Mietinteressenten zu welchemZeitpunkt erhoben werden dürfen, kann dem RatgeberNr. 10 des Berliner Beauftragten für den Datenschutzentnommen werden (www.datenschutz-berlin.de). EineOrientierungshilfe und weitere Informationen hierzufinden sich auf der Internetseite der Landesbeauftrag-ten für Datenschutz und Informationsfreiheit Nord-rhein-Westfalen. Die Orientierungshilfe "Einholung vonSelbstauskünften bei Mietinteressenten" und dasMusterformular "Selbstauskunft zur Vorlage bei derVermieterin oder dem Vermieter" sind abrufbar unter:

https://www.ldi.nrw.de/

Diese Hilfen sind zwar noch vor dem Inkrafttretender DSGVO entstanden, sie haben aber noch unein-geschränkte Gültigkeit

Praxistipp 4

Vor dem Besichtigungstermin darf der Vermietergrundsätzlich nur den Namen des Mietinteressentenund seine Kontaktdaten erfragen. Außerdem darfnach der Anzahl der Mitmieter, einem Wohnberechti-gungsschein und etwaigen Haustieren (ausgenom-men Kleintiere) gefragt werden. Ist die Wohnung nochbewohnt, sind allerdings auch die schutzwürdigen In-teressen des derzeitigen Mieters zu berücksichtigen.Um zu vermeiden, dass die Wohnung auch von Per-sonen besichtigt wird, die als Mieter nicht in Betrachtkommen, darf in diesem Fall bereits vor der Besichti-gung gefragt werden, wie hoch das Einkommen ist,wobei auf die Vorlage von Nachweisen zu diesemZeitpunkt verzichtet werden sollte.

Praxistipp 5

Kommt es nicht zum Abschluss eines Mietvertragesmüssen die Daten des Mietinteressenten wieder gelöscht werden. Die Daten dürfen nur solange ge-speichert bleiben, wie der Mietinteressent mögli-cherweise Ansprüche aus dem allgemeinen Gleich-stellungsgesetz geltend machen kann (§ 19 AGG).Nach § 15 Abs. 4 AGG müssen solche Ansprüche in-nerhalb von zwei Monaten – nach Absage – geltendgemacht werden.



Praxistipp 6

Entscheidet sich ein Kaufinteressent nach Vertragsverhandlungen gegen das Objekt und verlangt die Löschungseiner Daten, kann eine Löschung verweigert werden, da nicht ausgeschlossen werden kann, dass Interessentund Verkäufer doch noch zusammenkommen. Die Daten zum Vorgang sind erforderlich, um eine etwaige Provisi-on durchsetzen zu können (siehe Beispiel 1). Der Zugriff auf solche Daten ist einzuschränken.

Praxistipp 7

Bei Verkauf und Vermietung einer Wohnung werden durch den Makler oder Sachverständigen in der Regel Fotosder Wohnung angefertigt. Ist die Wohnung noch bewohnt, bedarf es dazu der Zustimmung des Mieters. Der Eigen-tümer hat aber grundsätzlich einen Anspruch darauf, dass der Mieter derartige Fotos duldet. Dem Mieter ist jedochdarzulegen, zu welchem Zweck die Fotos angefertigt werden. Nach Möglichkeit sollten die Fotos in Anwesenheit derMieter gemacht werden. Der Mieter sollte jedoch keinesfalls auf dem Foto zu sehen sein. Wenn die Fotos keineRückschlüsse auf die Person des Mieters zulassen, dürfen sie auch im Internet veröffentlicht werden. Im Zweifelsollten Makler oder Sachverständiger die Fotos gemeinsam mit dem Mieter sichten und sich diese freigeben lassen.

VII. Löschung der Daten1. Daten des Mietinteressenten Kommt es nicht zum Abschluss eines Mietvertragesmüssen die Daten des Mietinteressenten wieder ge-löscht werden. Die Daten dürfen nur solange ge-speichert bleiben wie der Mietinteressent mögli-cherweise Ansprüche aus dem allgemeinenGleichstellungsgesetz geltend machen kann (§ 19AGG). Derartige Ansprüche müssen innerhalb vonzwei Monaten – nach Absage – geltend gemachtwerden (siehe Praxistipp 5).

2. Daten des Kaufinteressenten Sagt ein Kaufinteressent ab, weil er sein Interesseverloren hat, sind seine Daten grundsätzlich zu lö-schen. Da aber noch im Nachhinein zivilrechtlicheAnsprüche aufkommen können, erscheint eineSpeicherung der Daten solange geboten, wie nochzivilrechtliche Ansprüche begründet werden können.

Beispiel 1Kaufinteressent und Verkäufer werden sich nach langenVerhandlungen nicht einig. Die Verhandlungen werdenabgebrochen. Der Verkäufer kündigt im direkten An-schluss den Alleinauftrag des Maklers. Nach vier Mona-ten kommen derselbe Interessent und Verkäufer dochnoch zusammen und schließen einen Kaufvertrag. Hätteder Makler die Daten des Käufers gelöscht, nachdem dieVerhandlungen gescheitert waren, hätte dieser Schwie-rigkeiten, einen Provisionsanspruch gegen den Käuferdurchzusetzen. Die Daten der Kaufinteressenten solltenzumindest bis zum Verkauf der Immobilie gespeichertwerden. Kommt ein Kaufvertrag nicht zustande, solltendie Daten und der Vorgang noch bis zu zwölf Monatennach Kündigung des Alleinauftrages gespeichert werden.Denn die Bindungsfrist von vermittelten Kaufinteressen-ten (Kausalität der Maklerleistung) besteht noch min-destens 4 Monate nach Vertragsende fort (BGH, Urteilvom 22. September 2005, III ZR 393/04). Nach 12 Mo-naten ist eine Kausalität nicht mehr automatisch gege-ben (BGH, Urteil vom 6. Juli 2006, III ZR 379/04).



VIII. Gesetzliche Aufbewahrungspflichten

Es gibt zahlreiche gesetzliche Aufbewahrungspflich-ten, die es seitens des Immobilienmaklers oderSachverständigen zu beachten gilt. Diese ergebensich aus dem Geldwäschegesetz (GwG), der Abga-benordnung (AO) oder der Makler- und Bauträger-verordnung (MaBV). Diese spezialgesetzlichen Re-gelungen gehen der allgemeinen Löschungspflichtund dem Recht auf Vergessen des Betroffenen vor.Nach dem Handels- und dem Steuerrecht müssenBücher, Aufzeichnungen, Jahresabschlüsse und alleVerträge die Grundlage für Zahlungspflichten oderZahlungsansprüche des Maklers oder Sachverstän-digen oder sonst für die Besteuerung des Unterneh-mers relevant sind, 10 Jahre aufbewahrt werden.

Für Immobilienmakler sind vor allem die Aufzeich-nungs- und Aufbewahrungspflichten nach § 8 GwGzu beachten. Diese sehen vor, dass beispielsweisedie Daten der Identifizierten und Informationen überdie Geschäftsbeziehung grundsätzlich für einenZeitraum von fünf Jahren aufbewahrt werden undnach Ablauf dieser Frist unverzüglich gelöscht wer-den müssen.

Nicht gelöscht werden müssen freilich solche Un-terlagen, die für die Besteuerung relevant sind (§ 147 AO). Diese sind zehn Jahre aufzubewahren.Fristbeginn ist grundsätzlich der 31. Dezember desJahres, in dem die jeweiligen Daten erhoben werden.

Praxistipp 9

Folgende Aufbewahrungsfristen können einer Löschung von Daten entgegenstehen:

• Immobilienmakler: §§ 10, 14 MaBV: Name/Firma und Anschrift Auftraggeber und Exposé (vgl. § 10 Abs. 1 Nr. 3MaBV) Aufbewahrungsfrist: 5 Jahre

• Immobilienmakler: § 8 GwG: Informationen über Vertragspartner, auftretende Personen und wirtschaftlich Berechtigte sowie Informationen über die Geschäftsbeziehung und Ergebnisse der Risikobewertung (Dokumen -tationsbogen etc.) Aufbewahrungsfrist: 5 Jahre

• Immobilienmakler/Sachverständige/Verwalter: § 147 AO: Jahresabschlüsse, Geschäftsbriefe, Rechnungen, für dieBesteuerung relevante Unterlagen (z.B. Fahrtenbücher) Aufbewahrungsfrist: 10 Jahre

• Wohnungsvermittler: § 15 Abs. 4 AGG: (unechte Aufbewahrungspflicht von personenbezogenen Daten abgelehn-ter Mitinteressenten) Aufbewahrungsdauer: 2 Monate nach Absage



IX. Datenschutzbeauftragter

Ein Datenschutzbeauftragter muss bestellt werden,wenn in dem Unternehmen mindestens 10 Perso-nen beschäftigt sind, die personenbezogene Datenverarbeiten (Art. 37 Abs. 1 DSGVO und § 38 BDSG).Maßgeblich ist die Anzahl der beschäftigten Perso-nen, auch wenn diese nur in Teilzeit arbeiten odersich in der Berufsausbildung befinden. Auch wennkeine Pflicht zur Bestellung eines Datenschutzbe-auftragten besteht, kann dieser freiwillig bestelltwerden (Art. 37 Abs. 4 Satz 1 Halbsatz 1 DSGVO).

Als Datenschutzbeauftragter kann ein eigener Mit-arbeiter oder ein externer Dienstleister beauftragtwerden (Art. 37 Abs. 6 DSGVO). Ein eigener Mitarbei-ter darf die Funktion allerdings nur ausüben, wenn esdabei nicht zu einem Interessenkonflikt kommt (Art.38 Abs. 6 Satz 2 DSGVO). Der EDV-Verantwortlichedürfte daher in aller Regel nicht als Datenschutzbe-auftragter geeignet sein. Die Kontaktdaten des Da-tenschutzbeauftragten müssen der Aufsichtsbehör-de mitgeteilt werden (Art. 37 Abs. 7 DSGVO).

Die Form der Benennung muss nicht mehr zwingendschriftlich erfolgen. Dies ist jedoch empfehlenswert,um die Nachweispflichten aus Art. 24 Abs. 1 DSGVOund Art. 5 Abs. 2 DGSVO erfüllen zu können. Eineschriftliche Benennung dient ferner der Rechtssi-cherheit.

Bereits nach dem BDSG erfolgte Bestellungen be-halten grundsätzlich ihre Gültigkeit. Anderenfallsmüssen sie angepasst werden.

Die Kontaktdaten des Datenschutzbeauftragtensind zu veröffentlichen (bspw. auf der Webseite)und der Aufsichtsbehörde mitzuteilen.

Praxistipp 10

Ein Datenschutzbeauftragter ist gesetzlich vorge-schrieben, wenn mehr als neun Personen ständig mitder Verarbeitung von personenbezogenen Datenbefasst sind. Dabei gilt das Kopfprinzip. Ist ein Da-tenschutzbeauftragter nicht erforderlich, befreitdies nicht von den übrigen Pflichten.

X. AuftragsverarbeitungOftmals bedienen sich Immobilienmakler bei derVerarbeitung von Daten der Hilfe externer Dienst-leister. Beauftragt dieser eine andere Stelle damit,personenbezogene Daten zu verarbeiten, liegt einesog. Auftragsdatenverarbeitung vor.

Dies ist beispielsweise in folgenden Fällen der Fall,wobei entscheidend ist, dass der Beauftragte wei-sungsabhängig ist („verlängerte Werkbank“): exter-ne Lohnbuchhaltung, externe Buchhaltung, Ablese-dienstleister, Werbeadressenverwaltung in einemLettershop, Inkassotätigkeit mit Forderungsüber-tragung, Aktenvernichter/NICHT: Steuerberatung,Rechtsanwalt oder Bank, da grundsätzlich keine

Weisungsbefugnis. Liegt eine solche Auftragsda-tenverarbeitung vor, ist eine vertragliche Regelungzwischen dem Verantwortlichen (Unternehmen)und dem Auftragsdatenverarbeiter zu schließen.Hierin ist insbesondere das Weisungsrecht, die Tä-tigkeit selbst, die Verpflichtung zur Vertraulichkeitund zu regeln, was nach Beendigung des Vertrags-verhältnisses mit den Daten passiert.

Zudem muss sich der Verantwortliche (Unterneh-men) Kontrollrechte einräumen lassen (Zutritt zuRäumen des Auftragsdatenverarbeiters). Grund-sätzlich entspricht dies bereits der aktuellenRechtslage.



Praxistipp 11

Der Unternehmer muss eine Liste der von ihm beschäftigten Auftragsverarbeiter führen. Außerdem sind die Auftragsverarbeiter im Verzeichnis der Verarbeitungstätigkeiten als „gemeinsame Verantwortliche“ zu benennen.

XI. Verpflichtung von Beschäftigten aufdas Datengeheimnis

Das neue Datenschutzrecht sieht im Gegensatz zuralten Regelung keine schriftliche Belehrung und Ver-pflichtung der Beschäftigten auf den Datenschutzvor. Dennoch sollte jedes Unternehmen seine Mitar-beiter, die für die Verarbeitung personenbezogenerDaten verantwortlich sind, vor der Aufnahme der Tä-tigkeit schriftlich auf die Vertraulichkeit der Datenverpflichten (Art. 32 Abs. 4 DSGVO).

Praxistipp 12

Eine Verpflichtung von Beschäftigten auf das Da-tengeheimnis kann auch im Arbeitsvertrag aufge-nommen werden. Empfohlen wird jedoch, die Ver-wendung der Verpflichtung als Anlage (siehe MusterXVI., 3.).



XII. Technische und organisatorische Maßnahmen zum Schutz der Daten (TOM), (Art. 32 Abs. 1 DSGVO)

Das Unternehmen muss gemäß Art. 32 Abs. 1DSGVO technische und organisatorische Maßnah-men treffen, um die Daten wirksam zu schützen.Dabei sollen die Eintrittswahrscheinlichkeit und dieSchwere des Risikos einer Verletzung des Daten-schutzes berücksichtigt werden. Die Einhaltung die-ser Maßnahmen unterfällt der Rechenschafts-pflicht (Art. 5 Abs. 5 DSGVO).

Die DSGVO fordert:

• die Vertraulichkeit, Integrität, Verfügbarkeit undBelastbarkeit der Systeme und Dienste,

• die Pseudonymisierung und Verschlüsselung vonpersonenbezogenen Daten soweit möglich,

• eine rasche Wiederherstellung der Daten und Zu-gänge nach einem physischen oder technischenZwischenfall

• sowie ein Verfahren zur regelmäßigen Überprüfung,Bewertung und Evaluierung der Wirksamkeit dertechnischen und organisatorischen Maßnahmen.

Zu berücksichtigen sind dabei:

• der Stand der Technik,

• der Implementierungskosten,

• Art, Umfang, Umstände und Zwecke der Verarbei-tung

• sowie die unterschiedliche Eintrittswahrscheinlich-keit und Schwere von Datenschutz-Risiken.

Welche Maßnahmen dies sein können, können Sieunserer Ausfüllhilfe für die technischen und organi-satorischen Maßnahmen für die einzelnen Kontroll-ziele entnehmen. Wichtig ist hierbei die erforderlicheRisikoanalyse, da die Eintrittswahrscheinlichkeit undRisiken eine entscheidende Rolle spielen.

Wie die Bezeichnung schon aussagt, sind nicht alleMaßnahmen technischer Natur – natürlich ist dieSicherstellung und Überprüfung damit häufig einfa-cher. Es gibt jedoch auch viele Punkte die organisa-torisch geregelt werden müssen. Das heißt es ist eineganze Reihe an Arbeitsrichtlinien zu definieren undsicherzustellen bspw.:

• Arbeitsplatz/IT-Policy beinhaltet bspw. CleanDeskRegelung inkl. Bildschirmsperre, Passwort-Regelun-gen, Umgang mit Wechseldaten trägern, Nutzungund Installation von Software/Diensten, Vernichtungvon Papier/Datenträgern

• Mobile Device Policy beinhaltet bspw. Verschlüsslung,erforderlichen Passwortschutz, Meldepflicht bei Ver-lust, keine Weitergabe an Dritte, keine sensiblen Te-lefonate/Datennutzung in der Öffentlichkeit

• E-Mail Policy – dienstlicher E-Mail Account, nurdienstlich!

• Internet-Policy

• Meldepflicht bei Datenpannen Policy

• HomeOffice Policy



XIII. Datenschutz durch Technikgestaltungund datenschutzfreundliche Voreinstellung

Gemäß Art. 25 DSGVO soll bereits bei der Einfüh-rung technischer Verfahren die Grundsätze des Datenschutzes berücksichtigt werden. Beispielswei-se soll die eigene Webseite ausschließlich unterHTTPS aufrufbar sein, wenn dort Kontaktformularevorhanden sind (Privacy by design). Außerdem

sollen sämtliche Voreinstellungen datenschutz-freundlich gestaltet sein (Privacy by default). Dahersollten Formulare nur Felder für Daten enthalten, de-ren Angabe zur Vertragserfüllung erforderlich ist(keine freiwillig auszufüllenden Felder).

Praxistipp 13

Kontaktformulare erfreuen sich enormer Beliebtheit. Bei der Gestaltung sind jedoch die Grundsätze des Daten-schutzes zu beachten, insbesondere die sog. Datenminimierung (bisher Datensparsamkeit). Zudem ist darauf zuachten, dass keine Felder vorausgefüllt oder Häkchen bereits gesetzt sind (opt-out). Diese müssen stets vomBetroffenen gesetzt werden (opt-in).

XIV. Behördliche Aufsicht

Die Einhaltung der DSGVO und des BDSG wirddurch die Aufsichtsbehörden der Länder überwacht(Art. 51 ff DSGVO). Die Aufsichtsbehörden sind be-fugt, die Geschäftsräume des Unternehmens wäh-rend der Geschäftszeiten zu betreten und dort dieUnterlagen einzusehen. Bei Verstößen gegen die

DSGVO kann die Behörde ein Bußgeld von bis zu20 Mio. Euro oder 4% des Vorjahresumsatzes (jenachdem was höher ist) verhängen. Hierbei könnenverbundene Unternehmen als Unternehmensgrup-pe mitbetrachtet werden.

XV. Datenschutzerklärung nach § 13 TMG

Nach § 13 Telemediengesetz (TMG) muss der Be-treiber einer Webseite den Nutzer zu Beginn desNutzungsvorgangs über Art, Umfang und Zweckeder Erhebung und Verwendung personenbezogenerDaten sowie über die Verarbeitung seiner Daten inallgemein verständlicher Form unterrichten. Au-ßerdem muss der Nutzer darüber aufgeklärt wer-den, dass er die Möglichkeit hat, die Einwilligungenzur Nutzung seiner Daten jederzeit zu widerrufen.Es muss gewährleistet sein, dass der Nutzer bereitszu Beginn des Nutzungsvorgangs, d. h. bei Aufrufder Startseite des Internetangebots, einen eindeu-tigen Hinweis auf die Unterrichtung erhält und die-ser Hinweis sofort erkennbar ist.

Diese Voraussetzungen sind nach Auffassung derAufsichtsbehörden bei der Aufnahme von Ausfüh-rungen zum Datenschutz unter einem Link auf das„Impressum“ für nicht gegeben. In der Praxis sind diedatenschutzrechtlichen Ausführungen daher häufigunter einem eigenen Link mit Bezeichnungen wie„Datenschutzerklärung“, „Datenschutzhinweis“ undähnliche zu finden.

Praxistipp 14

Die Datenschutzerklärung kann ein idealer Weg sein,um den Transparenzpflichten (Art. 13 DSGVO) zu ge-nügen, wenn hier die entsprechenden Angaben ent-halten sind und bei Kontaktformularen ein entspre-chender Verweis vorhanden ist, idealerweise miteinem zu setzenden Häkchen.

Beim Einsatz der Reichweitenmessung durch Goo-gle Analytics muss der Webseitenbetreiber denWebseitennutzer in seiner Datenschutzerklärungüber den Einsatz von Google Analytics informierenund ihn auf seine Möglichkeiten des Widerspruchsdurch den Einsatz des Browser-Plugins hinweisen.

Die entsprechende Seite muss hinsichtlich der Wi-derspruchsmöglichkeit verlinkt sein. Hinweise zumdatenschutzkonformen Einsatz von Google Analy-tics finden sich auf der Seite des Landesamtes fürDatenschutz Bayern unter:

http://lda.bayern.de/

Da IP Adressen als personenbezogene Daten gel-ten, ist hier die anonymisierte Erfassung zu aktivie-ren. Zusätzlich ist mit Google eine entsprechendevertragliche Vereinbarung zu schließen. Zuvor er-fasste Daten sind zu löschen.

Verletzungen der Vorgaben für die Datenschutzer-klärung aus § 13 TMG können nach Auffassung eini-ger Gerichte gemäß §§ 3, 4 Nr. 11 UWG wie eineVerletzung von § 5 TMG kostenpflichtig abgemahntwerden.





1. Verzeichnis über Verarbeitungstätigkeiten

Namen und Kontaktdaten des Ver-antwortlichen und gegebenenfallsdes gemeinsam mit ihm Verantwort-lichen, des Vertreters des Verant-wortlichen sowie eines etwaigen Datenschutzbeauftragten

Verantwortlicher:

<Firmenname>Vertreten durch die Geschäftsführer: <Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

gemeinsam Verantwortliche:(Partnerunternehmen, z.B. IT Dienstleister, Aktenvernichter (Auftragsverarbeiter))

<Firmenname>Vertreten durch die Geschäftsführer: <Namen der vertretungsberechtigten Organe(Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

<Beschreibung der Teilleistung>

Datenschutzbeauftragter:<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Zweck der Datenverarbeitung <Zweck z.B. Abschluss und Durchführung von Mieterverträgen für die verwaltetenGrundstücke>

Kategorien der betroffenen Personen

<Auflistung: welche Personengruppen sind betroffen z.B. Mietinteressenten, Mieter, Handwerksunternehmen, Dienstleister, Versorger, Mitarbeiter>

Kategorien der Daten <pro Personengruppe: welche personenbezogenen Daten werden erhoben? z.B.Mieter: Name, Kontaktdaten, Bankverbindung, Geburtsdatum, Mietvertrag>

Kategorien von Empfängern, gegen-über denen die personenbezogenenDaten offengelegt worden sind odernoch offengelegt werden, einschließ-lich Empfänger in Drittländern oder internationalen Organisationen

<Auflistung: wer erhält personenbezogene Daten? z.B. Handwerksunternehmen,Versorger><pro Empfänger: welche personenbezogenen Daten von wem erhält er? z. B. Hand-werksunternehmen: Name und Kontaktdaten>

<Empfänger in Dittländern und geeignete Garantien>

Vorgesehene Fristen zur Löschung derverschiedenen Datenkategorien

<Fristen der Löschung z. B. Unterlagen, die für die Besteuerung relevant sind, werden nach zehn Jahren vernichtet, Vertragsdaten werden für die Dauer des Vertrages selbst und für die Dauer der regelmäßigen Verjährung (drei Jahre) vonAnsprüchen gespeichert und im Anschluss gelöscht.>

Technische und organisatorischeMaßnahmen (TOM) gemäß Art. 32Abs. 1 DSGVO

In separater Anlage aufgeführt.

XVI. Anlagen/MusterDie nachfolgenden Muster können verwendet werden, wobei eine Verwendung auf eigene Gefahr erfolgt.Die Muster erheben keinen Anspruch auf Richtigkeit und Vollständigkeit. Sie wurden seitens der ED Com-puter & Design GmbH Co. KG nach bestem Wissen erstellt. Hilfestellung beim Ausfüllen können der Sys-temadministrator des Verpflichteten oder ein auf Datenschutz spezialisiertes Unternehmen wie ED Com-puter & Design GmbH Co. KG bieten.



2. Informationspflicht/Transparenzpflicht gemäß Art. 13 DSGVO (Direkterhebung)Hinweis an Verpflichteten: Angaben in roter Schriftfarbe sind zu berücksichtigen, wenn Daten durch einen Dritten (z.B. Online-Marktplatz/Portal) erhoben werden (Dritterhebung, Artikel 14 DSGVO).

Hiermit informieren wir Sie, wie wir mit Ihren personenbezogenen Daten verfahren, die wir im Rahmen des Vertragsverhältnisses er-heben und speichern. Personenbezogene Daten sind Informationen, die sich auf Ihre Person beziehen und zu Ihrer Identifizierungführen können:

Namen und Kontaktdaten des Verantwort -lichen, des Vertreters des Verantwortlichensowie eines etwaigen Datenschutzbeauftrag-ten

Verantwortlicher:

<Firmenname>Vertreten durch die Geschäftsführer:<Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

Datenschutzbeauftragter:(immer eine natürliche Person)<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Zweck der Verarbeitung und Rechtsgrundlage Die Erhebung der Daten erfolgt zum Zwecke <Wieso soll dieser Verarbeitungsvorgang eingeführt werden? Z. B. vorvertraglicheMaßnahme, Vertrag>Verwaltervertrag (Geschäftsbesorgungsvertrag nach §§ 611, 635, 675 BGB) oderMaklervertrag (§ 652 BGB)

Kategorie der Daten Folgende personenbezogene Daten werden erhoben und verarbeitet: <Welche Daten sollen verarbeitet werden?>

Empfänger der Daten Die Daten werden ganz oder teilweise übermittelt an:< Identität der Empfänger, z. B. Vermieter, Eigentümer, Notar, Messdienstleister, etc.>

Dauer der Speicherung Die Daten werden so lange gespeichert, ergänzt und fortgeschrieben, wie es derZweck erfordert, für den die personenbezogenen Daten erhoben werden und dervon Ihnen gewünscht ist, sofern keine anderslautenden gesetzlichen Verpflichtun-gen, wie zum Beispiel Aufbewahrungspflichten nach Geldwäschegesetz (5 Jahre), Handelsrecht (6 Jahre), Steuerrecht (10 Jahre) oder Makler- Bauträger-verordnung (5 Jahre), entgegenstehen.

Recht auf Auskunft Sie haben das Recht, jederzeit Auskunft über Ihre von uns gespeicherten Daten zuverlangen.

Recht auf Berichtigung oder Löschung der Daten

Für den Fall, dass diese Daten unrichtig oder unvollständig gespeichert wurden,haben Sie das Recht, eine Berichtigung oder Löschung zu verlangen.

Recht auf Einschränkung der Verarbeitung Sie dürfen die Einschränkung der Verarbeitung verlangen, wenn Sie die Richtigkeit der erhobenen Daten bestreiten, die Verarbeitung unrechtmäßig oder der Zweck der Verarbeitung erfüllt ist.

Recht auf Widerruf der Einwilligung Soweit die Verarbeitung Ihrer personenbezogenen Daten zu einem bestimmtenZweck aufgrund Ihrer Einwilligung erfolgt, können Sie diese jederzeit widerrufen; biszum Zeitpunkt Ihres Widerrufes bleibt die Datenverarbeitung jedoch rechtmäßig.

Recht auf Widerspruch gegen die Verarbeitung

Der Verarbeitung Ihrer personenbezogenen Daten können Sie jederzeit widerspre-chen; eine Verarbeitung erfolgt dann nicht mehr.

Recht auf Übertragung der Daten Sie haben das Recht, Ihre dem Verantwortlichen zur Verfügung gestellten Datenauf einen Dritten übertragen zu lassen.

Beschwerderecht Sie haben das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden Daten rechtswidrig ist.

Datenquelle <Woher stammen die Daten, z. B. Immobilienportal, Tippgeber? Stammen sie ggfls.aus öffentlich zugänglichen Quellen?>

Automatisierte Entscheidungsfindung(inkl. Profiling)

<Welche Logik wird verwendet? Welche Tragweite und Auswirkungen hat die Verarbeitung für den Betroffenen?>



3. Verpflichtung auf die Vertraulichkeit personenbezogener Daten

Verpflichtung auf die Vertraulichkeit personenbezogener Daten,des Fernmeldegeheimnisses gemäß § 88 Telekommunikationsgesetz (TKG)und zur Wahrung von Geschäftsgeheimnissen

Verpflichtung auf die Vertraulichkeit personenbezogener DatenEs ist mir untersagt, personenbezogene Daten, zu denen ich dienstlich Zugang habe, unbefugt zu erheben, zu ver-arbeiten oder zu nutzen. Dies gilt sowohl für die dienstliche Tätigkeit innerhalb wie auch außerhalb (z.B. bei Kundenund Interessenten) des Unternehmens. Dieses Verbot besteht auch nach der Beendigung meiner Tätigkeit fort.

Verpflichtung auf das Fernmeldegeheimnis nach § 88 TKGIch bin zur Wahrung des Fernmeldegeheimnisses verpflichtet, soweit ich im Rahmen meiner Tätigkeit bei der Erbrin-gung geschäftsmäßiger Telekommunikationsdienste mitwirke.

Verpflichtung auf Wahrung von GeschäftsgeheimnissenÜber alle Angelegenheiten des Unternehmens, beispielsweise Einzelheiten der Organisation, Geschäftsvorgängeund Zahlen des internen Rechnungswesens, ist von mir Verschwiegenheit zu wahren, sofern sie nicht allgemein öf-fentlich bekannt geworden sind. Hierunter fallen auch Vorgänge von Drittunternehmen, mit denen ich befasst bin.Auf die gesetzlichen Bestimmungen über den unlauteren Wettbewerb wurde ich besonders hingewiesen.

Alle Aufzeichnungen, Abschriften, Geschäftsunterlagen, Ablichtungen dienstlicher odergeschäftlicher Vorgänge, die mir dienstlich überlassen oder von mir angefertigt werden, sind vor der Einsichtnahmedurch Unbefugte zu schützen.

Von diesen Verpflichtungen habe ich Kenntnis genommen. Die Pflicht zur Wahrung Vertraulichkeit personenbezo-gener Daten und der genannten Geheimnisse gilt zeitlich unbegrenzt auch über die Beendigung des Arbeitsverhält-nisses hinaus. Ich bin mir bewusst, dass die Verletzung der Vertraulichkeit personenbezogener Daten, des Fernmel-degeheimnisses oder von Geschäftsgeheimnissen strafbar sein kann, insbesondere nach §§ 41 bis 43 BDSG (neu), § 206 StGB und nach § 17 UWG. Das Merkblatt zur Verpflichtungserklärung mit den Abschriften aller genanntenVorschriften habe ich erhalten.

Ggfls. Datenschutzbeauftragte/rDer/Die Datenschutzbeauftragte für dieses Unternehmen ist Name, Kontaktdaten. Er/Sie steht mir für Fragen/Be-ratung mit datenschutzrechtlichem Bezug zur Verfügung.

Ort, Datum Ort, Datum

Vorname Name Arbeitgeber/in Name Arbeitnehmer/in

Quelle: ED Computer



4. Technische und organisatorische Maßnahmen als Teil der Sicherheit der Verarbeitunggemäß Art. 32 EU DSGVO

Verantwortlicher:<Firmenname>vertreten durch <die/die Geschäftsführer/Inhaber/Vorstand>:<Namen der vertretungsberechtigten Personen><Geschäftsadresse>

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

Zutrittskontrolle Kein unbefugter Zutritt zu Datenverarbeitungsanlagen.

Sicherheitsschlösser Manuelles Schließsystem Chipkarten-/Transponder-Schließsystem Schließsystem mit Codesperre Biometrische Zutrittssperren Automatisches Zutrittskontrollsystem Schlüsselregelung (Schlüsselausgabe etc.) Alarmanlage Lichtschranken / Bewegungsmelder Videoüberwachung der Zugänge Personenkontrolle beim Pförtner / Empfang Protokollierung der Besucher Tragepflicht von Berechtigungsausweisen Sorgfältige Auswahl von Wachpersonal Sorgfältige Auswahl von Reinigungspersonal

ZugangskontrolleKeine unbefugte Systembenutzung.

Zuordnung von Benutzerrechten Passwortvergabe sicherer Kennwörtern regelmäßige Passwortänderungen Authentifikation mit Benutzername / Passwort Authentifikation mit biometrischen Verfahren Zuordnung von Benutzerprofilen zu IT-Systemen Schlüsselregelung (Bereichsabhängig etc.) automatische Sperrmechanismen Sperren von externen Schnittstellen (USB etc.) Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten / Tablets Einsatz von zentraler Smartphone-Administrations-Software

(z.B. zum externen Löschen von Daten) Einsatz einer Software-Firewall Einsatz einer Hardware-Firewall Einsatz von Intrusion-Detection-Systemen Einsatz von Virtual Private Networks (VPN) Technologie Einsatz von Anti-Viren-Software Patchmanagement für Betriebssystem und Anwendungen

Zugriffskontrolle Kein unbefugtes Lesen, Kopieren, Verändern oder Ent-fernen innerhalb des Systems.

Rechtvergabe nach dem „need to know“ Prinzip Protokollierung von Zugriffen auf Anwendungen, insbesondere

bei der Eingabe, Änderung und Löschung von Daten Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Verwaltung der Rechte durch Systemadministrator Anzahl der Administratoren auf das „Notwendigste“ reduziert automatische Sperrmechanismen Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten/ Tablets physische Löschung von Datenträgern vor Wiederverwendung ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) Einsatz von Aktenvernichtern bzw. Dienstleistern Protokollierung der Vernichtung Sichere Aufbewahrung von Datenträgern



Trennungskontrolle Getrennte Verarbeitung von Daten, die zu unter-schiedlichen Zwecken erhoben wurden.

physikalische Trennung logische Mandantentrennung (softwareseitig) Versehen der Datensätze mit Zweckattributen/ Datenfeldern Erstellung eines Berechtigungskonzepts Sandboxing Trennung von Produktiv- und Testsystem

Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)

Die Verarbeitung personenbezogener Daten ineiner Weise, dass die Daten ohne Hinzuziehung zu -sätzlicher Informationen nicht mehr einer spezifischenbetroffenen Person zugeordnet werden können, soferndiese zusätzlichen Informationen gesondert aufbewahrtwerden und entsprechende technischen und organisa-torischen Maßnahmen unterliegen.

Nutzung von Pseudonymisierung wo möglich (u.a. bei Weitergabe) geeignete Wahl der Pseudonymisierungsschlüssel Trennung der Zuordnungsdatei und der Aufbewahrung auf einem

getrennten, abgesicherten IT-System

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

WeitergabekontrolleKein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.

E-Mail TLS Verschlüsselung E-Mail TLS Verschlüsselung mit pfs E-Mail End2End Verschlüsselung (u.a. pgp, S/MIME) elektronische Signatur Verschlüsselung von mobilen Datenträgern Verschlüsselung von Datenträgern in Notebooks Verschlüsselung von Smartphone-Inhalten / Tablets Weitergabe von Daten in anonymisierter oder mindestens

pseudonymisierter Form Dokumentation der Empfänger von Daten und der Zeitspannen der

geplanten Überlassung bzw. vereinbarter Löschfristen Erstellen einer Übersicht der Abruf- und Übermittlungsvorgänge Beim physischen Transport: sorgfältige Auswahl von Transport -

personal und -fahrzeugen Beim physischen Transport: sichere Transportbehälter/

-verpackungen

Eingabekontrolle Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

Dokumentenmanagement Nachvollziehbarkeit von Eingabe, Änderung und Löschung von

Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Erstellen einer Übersicht, aus der sich ergibt, mit welchen Appli -

kationen welche Daten eingegeben, geändert und gelöscht werden können.

Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

Aufbewahrung von Formularen, von denen Daten in automatisierteVerarbeitungen übernommen worden sind

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

VerfügbarkeitskontrolleSchutz gegen zufällige oder mutwillige Zerstörung bzw.Verlust.

gespiegelte Festplatten (RAID) gespiegelte Systeme / Cluster Unterbrechungsfreie Stromversorgung (USV) Schutzsteckdosenleisten in Serverräumen / Überspannungsschutz Einsatz einer Software-Firewall Einsatz einer Hardware-Firewall Einsatz von Intrusion-Detection-Systemen Einsatz von Anti-Viren-Software Erstellen eines Backup- & Recoverykonzepts,

u.a. (online/offline; on-site/off-site) regelmäßige Datenwiederherstellungtests



Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort

Klimaanlage in Serverräumen Geräte zur Überwachung von Temperatur und Feuchtigkeit in

Serverräumen Feuer- und Rauchmeldeanlagen Feuerlöschgeräte in Serverräumen (CO2) Serverräume nicht unter sanitären Anlagen, wasserführenden

Leitungen Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Serverräume über der Wassergrenze (Hochwasser) Wartungsverträge mit geeigneter Reaktionszeit Patchmanagement für Betriebssystem und Anwendungen

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO)

Erstellen eines Notfallplans Nutzung virtueller Maschinen mit Offsitesicherung passender Hardware-Service-Vertrag eigene Ersatzteilbevorratung Wartungsverträge mit geeigneter Reaktionszeit

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 DSGVO)

Datenschutz-Management Bestellung eines Datenschutzbeauftragten Einsatz vom Datenschutzkoordinatoren Verzeichnis von Verarbeitungstätigkeiten Datenschutzfolgeabschätzungen Schulungsmaßnahmen/ Sensibilisierungsmaßnamen mit Nachweis Verpflichtung auf Vertraulichkeit der Mitarbeiter definierte und dokumentierte Prozesse Arbeitsanweisungen/ Polices mit Datenschutzhintergrund Review Prozesse

Incident-Response-Management Definition von Zuständigkeiten und Verantwortlichkeiten für Vorfälle(z.B. Vorfallteam)

definierter Meldeprozess definierte Maßnahmen für relevante und denkbare Vorfälle definierte Eskalationswege aktuelle Melde- und Kontaktlisten Prüfungsprozess für gemeldete Vorfälle und anschließender Risiko-

klassifizerung wenn zutreffend vorbereitete Reaktionen auf den Vorfall (Kommunikation wie auch

technische Maßnahmen) Reflexion und Nachbereitungsprozess um aus Vorfällen zu lernen

Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Prozess zur Sicherstellung von Privacy by Design bei Änderungen Prozess zur Sicherstellung von Privacy by Default bei Änderungen

AuftragskontrolleKeine Auftragsdatenverarbeitung im Sinne von Art. 28DSGVO ohne entsprechende Weisung des Auftragge-bers, z.B.: Eindeutige Vertragsgestaltung, formalisiertesAuftragsmanagement, strenge Auswahl des Dienstleis-ters, Vorabüberzeugungspflicht, Nachkontrollen.

Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten vorherige Prüfung und Dokumentation der beim Auftragnehmer ge-

troffenen Sicherheitsmaßnahmen Sicherstellung der Verpflichtung auf die Vertraulichkeit durch den

Auftragnehmer Auftragnehmer hat Datenschutzbeauftragten bestellt vertraglich festgelegte Verpflichtungen und Zuständigkeiten Auftragsverarbeitungsverträge wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart Vertragsstrafen bei Verstößen / klare Haftungsregelungen schriftliche Weisungen an den Auftragnehmer Sicherstellung der Vernichtung von Daten nach Beendigung des

Auftrags laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten



5. Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO

Name der Folgeabschätzung: <Name des geplanten Verarbeitungsvorgangs>erstellt am: <Datum der Erstellung>betrachtet am: <Datum des letzten jährlichen Reviews – zur Fortschreibung>

Namen und Kontaktdaten des Verantwortlichen, desVertreters des Verantwortlichen sowie eines etwaigenDatenschutzbeauftragten

Verantwortlicher:<Firmenname>Vertreten durch die Geschäftsführer:<Namen der vertretungsberechtigten Organe (Geschäftsführer)><Geschäftsadresse><Telefonnummer><E-Mail>

Datenschutzbeauftragter:(immer eine natürliche Person)<Name><Geschäftsadresse><Telefonnummer><E-Mail>

Beteiligte an dieser Datenschutzfolgeabschätzung <Vor- und Nachname><Position>

systematische Beschreibung des geplanten Verarbei-tungsvorgangs inkl. der Datenflüsse<Beschreibung>

Kategorien betroffener Personengruppen <Wer ist von diesem Verarbeitungsvorgang betroffen?>

Kategorien von Daten<Welche Daten sollen verarbeitetwerden?>

Zweck der Verarbeitung<Wieso soll dieser Verarbeitungsvorgang eingeführt werden?>

berechtigtes Interesse des Verantwortlichen einschließ-lich der Rechtsgrundlage

<Beschreibung des berechtigten Interesses inkl. der Rechtsgrundlage>

Bewertung der Notwendigkeit und Verhältnismäßigkeit <objektive Bewertung mit Begründung, ob diese Verarbeitung wirklichnotwendig und verhältnismäßig ist>

Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (ohne Abhilfemaßnahmen) –Risikobewertung unter Berücksichtigung a) möglicher physischer, materieller und immateriellerSchäden, b) deren Schwere sowiec) Eintrittswahrscheinlichkeit

<Bewertung der Risiken für die Rechte und Freiheiten betroffener Personen in Bezug auf Schutzklasse, Eintrittswahrscheinlichkeit, Schwere und Folgen, Vertraulichkeit, Integrität, Verfügbarkeit inkl. Begründung ohne Abhilfemaßnahmen>

geplanten Abhilfemaßnahmen zur Bewältigung der Risi-ken einschließlich Garantien, Sicherheitsvorkehrungenund Verfahren – dies sind u.a. technische und organisa-torische Maßnahmen; Wirksamkeitsprüfungen benen-nen; Restrisiken sind ebenfalls zu benennen

<alle konkret geplanten Maßnahmen, Sicherheitsmaßnahmen, Garantien und Verfahren zur Reduzierung der Risiken für die Rechte und Freiheiten betroffener Personen inkl. der Wirksamkeitsprüfungen sowie evtl. Restrisiken>

Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (mit Abhilfemaßnahmen) –Risikobewertung unter Berücksichtigung a) möglicher physischer, materieller und immateriellerSchäden, b) deren Schwere sowiec) Eintrittswahrscheinlichkeit

<Bewertung der Risiken für die Rechte und Freiheiten betroffener Perso-nen in Bezug auf Schutzklasse, Eintrittswahrscheinlichkeit, Schwere undFolgen, Vertraulichkeit, Integrität, Verfügbarkeit inkl. Begründung unterBeachtung der getroffenen Maßnahmen>

Freigabe des Verarbeitungsvorgang <Kann die Freigabe erfolgen? Sind Auflagen vorhanden die zuersterledigt sein müssen vor einer Erneutbewertung? Freigabe der Aufsichtsbehörde erforderlich?>

Hinweis: Aus Gründen verbesserter Lesbarkeit wurde in der Regel die männliche Schreibweise verwendet.Wir weisen an dieser Stelle ausdrücklich darauf hin, dass sowohl die männliche, als auch die weiblicheSchreibweise gemeint sind.

Immobilienverband Deutschland IVD Bundesverband der Immobilienberater, Makler, Verwalter und Sachverständigen e.V.Littenstraße 1010179 Berlin

Tel.: (030) 27 57 26-0E-Mail: [email protected]: www.ivd.net

ED Computer & Design GmbH & Co. KG ist ein bundesweit tätiger Full Service IT-Dienstleister mit Sitz in Köln. Zum Leistungsportfolio gehört neben dem Webdesign, Webhosting, EDV-Support auch der Datenschutz. Das Unternehmen ist ein langjähriger Kooperationspartner des IVD.

ED Computer & Design GmbH & Co. KGLina-Bommer-Weg 451149 Köln

Telefon +49 (0) 221 28 88 77 66Telefax +49 (0) 221 28 88 77 67

E-Mail: [email protected]: www.edcud.de

HIP Hop Flyer 2 1 17 A3 - ista...4 Das neue Datenschutzrecht für die Praxis der Immobilienmakler...

Documents

Transcript of HIP Hop Flyer 2 1 17 A3 - ista...4 Das neue Datenschutzrecht für die Praxis der Immobilienmakler...