Stichtag 25. Mai 2018: So meistern Akteure der Immobilienwirtschaft die Umsetzung der DSGVO

Die Datenschutzgrundverordnung ist das große Thema der letzten Monate. Auch die Immobilienwirtschaft macht sich bereit für die neue Verordnung. Lesen Sie hier eine Zusammenfassung der wichtigsten Punkte der anstehenden Veränderung und wie KIWI diese meistert.

Das Wichtigste in Kürze:

  • Die DSGVO tritt am 25. Mai 2018 in der EU in Kraft
  • Betrifft alle Unternehmen, die von Personen innerhalb der EU Daten verarbeiten
  • Ziel: ein EU-weit einheitlicher rechtlicher Rahmen zur Verarbeitung personenbezogener Daten
  • Auch die Wohnungswirtschaft muss sich bereit machen
  • KIWI erklärt Maßnahmen, die intern ergriffen wurden

Unternehmen, die im Zusammenhang mit ihren Waren oder Dienstleistungen personenbezogene Daten von in der EU befindlichen Personen verarbeiten, unterliegen der DSGVO. Somit wird hier nicht mehr die Geltung des Gesetzes wie zuvor auf den Sitz des Unternehmens festgelegt.

Auch die Immobilienbranche bleibt nicht außen vor. Unterschiedlichste Unternehmen sind von der DSGVO betroffen: sowohl Wohnungsunternehmen jeder Größe und Rechtsform als auch Vermieter, Hausverwaltungen, Makler und Dienstleistungsunternehmen.

Gegenstand und Ziele

In Artikel 1 DSGVO sind Gegenstand und Ziele wie folgt definiert:

  • Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
  • Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  • Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden.Quelle: Datenschutzgrundverordung

Der Grundgedanke hinter der Einführung der DSGVO ist es, einen EU-weit einheitlichen rechtlichen Rahmen für die Verarbeitung personenbezogener Daten zu schaffen. Die Verarbeitung von Daten umfasst im Sinne des Gesetzes das Erheben, Speichern, Nutzen und Weiterleiten.

Was genau sind personenbezogene Daten?

Personenbezogene Daten umfassen alle Informationen, die einer Person zugeordnet werden können. Dazu gehören beispielsweise:

  • Name
  • Anschrift
  • Telefonnummer
  • Geburtsdatum
  • E-Mail-Adresse etc.

sowie besondere Kategorien personenbezogener Daten

  • Sexualleben oder sexuelle Orientierung
  • Gesundheitsdaten
  • Rassische und ethnische Herkunft
  • Religionszugehörigkeit
  • politische Einstellung
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person

 Was ändert sich ab dem 25. Mai 2018 konkret?

Dem bisher gültigen Bundesdatenschutzgesetz werden einige Punkte hinzugefügt. Grundsätzlich lässt sich sagen, dass Anforderungen an das Verzeichnis der Verarbeitungstätigkeiten umfassender werden. Zudem kann dieses jederzeit von der Aufsichtsbehörde angefordert werden. Es muss vollständig vorliegen, ansonsten drohen hohe Bußgelder und es ist generell mit intensiveren Kontrollen zu rechnen.

Insgesamt gibt es 8 Datenschutzgrundsätze:

#1 Rechtmäßigkeit

Um die Rechtmäßigkeit der Verarbeitung sicherzustellen, müssen bestimmte Bedingungen erfüllt sein. Beispielsweise gehört dazu unter anderem, die Erfüllung eines Vertrags durch die Verarbeitung der personenbezogenen Daten, sofern die betroffene Person der Vertragspartner ist. Demnach muss grundsätzlich die Einwilligung des Betroffenen vorhanden sein.

#2 Treu und Glauben

Die Verarbeitung personenbezogener Daten muss in rechtmäßiger Art und Weise gemäß des Grundsatzes von Treu und Glauben geschehen.

#3 Transparenz

Die betroffene Person, deren Daten erhoben werden, muss die Vorgänge nachvollziehen können. Der Prozess der Verarbeitung darf nicht verschleiert werden.

#4 Zweckbindung

Die Daten dürfen nur zu dem Zweck erhoben und weiterverarbeitet werden, zu dem sie ursprünglich erhoben wurden.

#5 Datensparsamkeit

Bezogen auf die Zweckbindung müssen erhobene Daten außerdem auf eine nachvollziehbare und notwendige Menge beschränkt werden. Es sollten also keine Daten gesammelt werden, die gemäß dem Zweck nicht unbedingt notwendig sind.

#6 Richtigkeit

Daten, die verarbeitet wurden, aber nicht mehr auf dem neuesten Stand sind, müssen entfernt oder berichtigt werden.

#7 Begrenzte Speicherung

Insgesamt gibt es für gespeicherte Daten normierte Löschfristen. Durch laufende Monitoringprozesse sollen gespeicherte Daten demnach unablässig überprüft werden.

#8 Integrität und Vertraulichkeit

Der achte Punkt betrifft insbesondere die interne IT-Infrastruktur des Unternehmens. Diese muss gewährleisten, dass die Datenverarbeitung mit der angemessenen Sicherheit durchgeführt wird und personenbezogene Daten zu keinem Zeitpunkt gefährdet sind oder beschädigt werden.

Bußgelder und Haftung

Bezüglich drohender Strafen werden viele Regelungen des Bundesdatenschutzgesetztes stark verschärft. Dabei hängen die Bußgelder selbstverständlich von der Art des Verstoßes ab. Grundsätzlich können Bußgelder von bis zu 20 Millionen Euro verhängt werden, oder in Höhe von bis zu 4% des gesamten (weltweit) erzielten Jahresumsatzes. Hier wird der Betrag als Strafe vorgesehen, der höher ist.

Wie hat KIWI sich vorbereitet?

KIWI öffnet Türen, daher steht das Thema Sicherheit grundsätzlich im Fokus. Insbesondere beim Umgang mit Daten. KIWI hat umfassende Maßnahmen ergriffen, um die Übereinstimmung mit der DSGVO sicherzustellen.

Die firmeninterne Juristin und der externe Datenschutzbeauftragte sind gemeinsam mit der Geschäftsleitung und dem Director of Security an der Umsetzung der DSGVO beteiligt. Zu den Prozessen innerhalb der Vorbereitungszeit gehört die Überprüfung aller Unternehmensprozesse und entsprechende Anpassungen. Außerdem werden sämtliche Mitarbeiter im Umgang mit personenbezogenen Daten im Rahmen der Datenschutzgrundverordnung geschult.

Dazu gehört auch ein eindeutig strukturiertes internes Rechte- und Rollenkonzept bezogen auf die Mitarbeiter, die personenbezogene Daten verarbeiten. Mitarbeitern werden Rollen zugewiesen und ihre Verantwortlichkeiten genau abgesteckt. Beispielweise hat KIWI CEO Karsten Nölling keinen Zugriff auf das Managementsystem für die Zuweisung von Zugriffsrechten / Berechtigungen zwischen Benutzern und Türen. Nur die Benutzer, welche die Zugriffsrechte für dieses System benötigen, haben Zugriff hierauf.

Datensparsamkeit wird bei KIWI ohnehin großgeschrieben. Beispielsweise erfasst KIWI lediglich Nutzerdaten, keine personenbezogenen Nutzungsdaten. Ein Erfassen solcher Daten ist durch den KIWI Transponder von vornherein nicht möglich.

Unternehmensintern hat KIWI alle Dienste mit Servern/Datenübertragung in den USA auf EU-US Privacy Shield überprüft. Das bedeutet, dass keine Dienste beispielsweise in Form von Applikationen oder Tools in Gebrauch sind, die der Grundlage der DSGVO nicht entsprechen.

Zum Thema Sicherheit und Datenschutz sprach KIWI CEO Karsten Nölling auf der Intersec im September 2018. Das Conference Review fasst die Kernaussagen des Vortrages noch einmal für Sie zusammen.

Herausforderung für die Wohnungswirtschaft

Die Datenschutzgrundverordnung hat große Wellen geschlagen und auch innerhalb der Wohnungswirtschaft für Aufruhr gesorgt. Dass Unternehmen Anpassungen vornehmen müssen, um konform zu sein, steht fest. Da Deutschland sich bisher ohnehin schon auf einem hohen Datenschutzniveau im Vergleich zu anderen Ländern befand, sind die Implementierungen der DSGVO zwar mit Aufwand für Unternehmen verbunden, aber mit einer guten Vorbereitung machbar. Die Gesetzesänderungen ernst nehmen? Ja! Und dann mit Struktur das eigene Unternehmen darauf vorbereiten.

Sie möchten mehr erfahren über Sicherheit und Datenschutz bei KIWI? Unsere Experten helfen Ihnen gern weiter.

[cta-beratung]

Schreibe einen Kommentar