Online-Weiterbildung
Präsenz-Weiterbildung
Produkte
Themen
Dashöfer

Ein Jahr DSGVO: Der Schein trügt

18.06.2019  — Online-Redaktion Verlag Dashöfer.  Quelle: Immobilienverband Deutschland (IVD).

Seit einem Jahr ist die europäische Datenschutz-Grundverordnung (DSGVO) in Deutschland rechtsverbindlich. Unternehmen, die personenbezogene Daten erheben und verarbeiten, müssen die DSGVO erfüllen. Doch nicht alles läuft wie geplant.

„Als die DSVGO eingeführt wurde, war die Verunsicherung auch in der Immobilienbranche groß. Der Umgang mit personenbezogenen Daten gehört zum Arbeitsalltag. Die Sorge vor Abmahnwellen und Bußgeldern in Millionenhöhe hat sich glücklicherweise als unbegründet erwiesen“, erklärt Dr. Christian Osthus, IVD-Rechtsexperte und stellvertretender Bundesgeschäftsführer. Bislang wurde in Deutschland lediglich in 81 Fällen ein Bußgeld wegen Verstoßes gegen die DSGVO verhängt. „Wettbewerbsrechtliche Abmahnungen sind die Ausnahme, da in der Rechtsprechung noch umstritten ist, ob Verstöße gegen die DSGVO von Mitbewerbern überhaupt abgemahnt werden können“, so Osthus.

„Wer glaubt, man müsse der DSGVO weniger Beachtung schenken, irrt. Ursächlich für die wenigen Fälle, in denen ein Bußgeld verhängt wurde, sind Rechtsunsicherheiten und eine unzureichende Personalausstattung. Mit beidem kämpft die Verwaltung“, meint Osthus. An fehlenden Beschwerden und Anzeigen mangele es jedenfalls nicht. Laut einem aktuellen Bericht des Bundesdatenschutzbeauftragten hat sich die Anzahl eingereichter Beschwerden und Meldungen von Datenschutzverstößen verdreifacht. Waren es 2017 noch rund 4.500 Beschwerden und Meldungen, wurden zwischen dem 25. Mai 2018 und dem 30. April 2019 fast 15.000 Eingaben gezählt. „Die Zahlen belegen: die Sensibilität für Datensicherheit auf Seiten der betroffenen Personen, deren Daten erhoben werden, steigt. Unternehmer sollten sich deshalb nicht in zu großer Sicherheit wiegen“, meint Osthus.

Der IVD appelliert deshalb an alle Unternehmer, die DSGVO ordentlich umzusetzen und zu prüfen, ob die bislang getroffenen Maßnahmen genügen. Die folgende Checkliste mit sieben wichtigen Punkten zur Umsetzung der DSGVO soll helfen und den Unternehmern Sicherheit geben.

Top-7-Checkliste DSGVO

1. Datenerhebung auf der Website

(mittels eines Kontaktformulars, Social-Media-Plugins, wie Facebook o. ä.), sollten mehrere Anpassungen vorgenommen werden: In der Website sollte zur Sicherheit ein SSL-Zertifikat integriert werden (https://). SSL dient der Verschlüsselung von Daten, die zwischen Server und Computer transportiert werden. Außerdem muss auf der Website eine Datenschutzerklärung eingebunden sein (§ 13 Telemediengesetz). Wird nicht auf eine Datenschutzerklärung hingewiesen, kann dies von Verbraucherschutz- und Wettbewerbsverbänden abgemahnt werden. Ob Abmahnungen von Mitbewerbern zulässig sind, ist noch nicht abschließend in der Rechtsprechung geklärt. Zudem sollten die Web- bzw. Kontaktformulare geprüft werden, ob die darin geforderten Daten notwendig sind.

2. IT-Sicherheit

Neben der Website sollte auch die übrige IT sicher sein. Im Regelfall sind insbesondere bei kleineren Unternehmen, die keine besonderen Daten, wie zum Beispiel Gesundheitsdaten verarbeiten, Standardmaßnahmen ausreichend. Dazu gehören u. a. aktuelle Betriebssysteme und Anwendungen, Passwortschutz, regelmäßige Backups, Virenscanner und Benutzerrechte. Für den Schutz nicht elektronisch gespeicherter Daten sollte auch ein Aktenvernichter vorhanden sein. Tipp: Erstellen Sie eine Übersicht, welche technischen Maßnahmen Sie ergriffen haben, um Transparenz im eigenen Unternehmen herzustellen und um auf eine Überprüfung durch den Landesdatenschutzbeauftragten entsprechend vorbereitet zu sein.

3. Verzeichnis über Verarbeitungstätigkeit

Erstellen Sie ein Verzeichnis über Verarbeitungstätigkeiten. Hierin ist abstrakt darzulegen, inwiefern und welche personenbezogenen Daten wofür verarbeitet werden. Die Verzeichnisse müssen der Behörde auf Nachfrage vorgelegt werden können. Kunden haben hierauf keinen Anspruch. Tipp: Erstellen Sie für jede Tätigkeit (z. B. Umgang mit Kunden, Dienstleistern, Bewerbern und Personal) ein eigenes Verzeichnis, um die Übersichtlichkeit zu wahren. Muster finden sich im Internet.

4. Datenerhebung nur noch aufgrund einer Rechtsgrundlage

Oftmals liest man, dass eine Datenerhebung nur aufgrund einer Einwilligung des Betroffenen möglich ist. Das stimmt nur teilweise. Denn es gibt noch weitere Rechtsgrundlagen, auf denen eine Datenerhebung zulässig ist. Nach Art. 6 Abs. 1 lit. b) DSGVO ist die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen rechtmäßig. Dies ist beispielsweise dann der Fall, wenn die Datenverarbeitung aufgrund einer Interessentenanfrage erfolgt.

5. Transparenz herstellen

Neue Kunden müssen darüber informiert werden, welche Daten wofür gespeichert werden. Dies erfolgt in einer abstrakten Darstellung. Der Erhalt des Informationsblattes muss nicht gegengezeichnet werden. Erfolgen die Informationen nicht, hat dies keine zivilrechtlichen Auswirkung auf den möglichen Vertrag. Tipp: Im Internet finden sich Musterinformationsblätter. Sicherer ist es, einen Experten mit der Erstellung zu beauftragen. Die Kosten sind moderat.

6. Erforderlichkeit eines Datenschutzbeauftragten prüfen

Ein Datenschutzbeauftragter ist erforderlich, wenn 10 oder mehr Personen ständig mit der automatisierten Datenverarbeitung befasst sind. Es kann ein in- oder externer Datenschutzbeauftragter benannt werden. Fällt die Wahl auf einen internen, sollten folgende Voraussetzungen erfüllt sein:

  • eine gewisse berufliche Qualifikation,
  • das Fachwissen auf dem Gebiet des Datenschutzes und der Datenschutzpraxis,
  • die Fähigkeiten zur Erfüllung der gesetzlich definierten Aufgaben und
  • Interessenkonfliktfreiheit

7. Newslettermarketing

Haben Sie einen Newsletter, sollte dieser nicht ohne vorherige Einwilligung versendet werden. Folgende Voraussetzungen sollten Sie erfüllen:

  • Die Einwilligung muss durch eine ausdrückliche Handlung des Adressaten (bewusst und eindeutig) erfolgen (z. B. mittels Opt-In Checkbox oder Bestellbutton).
  • Die Einwilligung des Adressaten muss protokolliert werden (Logfiles). Zusätzlich könnte zur Beweissicherung das double Opt-In-Verfahren verwendet werden (Opt-In Bestellung + Opt-In mittels Bestätigungsmail, dass Newsletter bestellt werden soll).
  • Der Inhalt der Einwilligungserklärung muss jederzeit für den Adressaten abrufbar sein (Datenschutzerklärung).
  • Zudem muss der Adressat nach § 13 Abs. 3 TMG vor Erklärung seiner Einwilligung auf die jederzeitige Widerrufsmöglichkeit (Abbestellmöglichkeit) hingewiesen werden.
nach oben