Wie hat ein Makler richtig mit Kundendaten umzugehen?
Die Datenschutzgrundverordnung, die europäische DSGVO stellt die Makler und Immobilienbewirtschafter in der Schweiz vor neue Herausforderungen , insbesondere dann, wenn sie Ihre Immobilien in der Schweiz im europäischen Raum vermarkten. Dies gilt auch, wenn Sie Liegenschaften in der EU an Schweizer vermitteln.
Mit der EU-Datenschutzverordnung werden Makler und Immobilienbewirtschafter, die Immobilien innerhalb der EU vermitteln, vor neue Herausforderungen gestellt. Besonders wenn es um den Umgang mit Kundendaten geht, sollten Immobilienprofis in Zukunft genau aufpassen – bei Verstössen drohen hohe Geldstrafen. Die wesentlichen Punkte aus der DSGVO im Überblick:
Rechtsgrundlagen
Art. 9 DSGVO
Art. 6 DSGVO
Art. 12 ff DSGVO
1. Wann dürfen Immobilienprofis Kundendaten erfassen und verarbeiten?
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Die Verarbeitung von Daten, also etwa das Nutzen, Speichern oder Übermitteln, ist für Makler laut Datenschutzgrundverordnung nur dann zulässig, wenn:
- Die Kunden einwilligen. Dies kann schriftlich oder mündlich erfolgen – die EU verlangt hier keine spezielle Form. Um späteren Streitigkeiten zu vermeiden, ist die Schriftlichkeit zu empfehlen.
- Wenn eine in der Datenschutzgrundverordnung DSGVO selbst Ausnahme vorliegt. Eine solche Ausnahme ist gegeben, wenn die Verarbeitung der Daten zur Erfüllung eines Vertrages eine vorvertraglicher Massnahme erforderlich ist – zum Beispiel, wenn der Makler mit einem Wohnungssuchenden in Kontakt tritt und diesen um seine E-Mail-Adresse bittet – beispielsweise um dem Kunden ein Exposé zuschicken zu können. In diesem Fall müssen Makler keine extra Erlaubnis vom Kunden einholen, um die Daten zuverarbeiten.
- Wenn der Makler rechtlich dazu verpflichtet ist, personenbezogene Daten zu erheben. Auch hier ist keine extra Erlaubnis vom Kunden erforderlich.
2. Wie müssen Immobilienbewirtschafter und Makler mit Personendaten umgehen?
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Den betroffenen Immobilienbewirtschaftern und Maklern schreibt die Datenschutzgrundverordnung vor, wie sie mit personenbezogenene Daten von Kunden umzugehen haben.
- Die Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden.
- Die personenbezogenen Daten müssen auf rechtmässige und nachvollziehbare Weise verarbeitet werden. Das ist etwa der Fall, wenn die Daten im Rahmen einer Vertragsanbahnung erhoben wurden und in einer Kundendatenbank gespeichert werden.
- Die Daten müssen sachlich richtig erfasst werden – also korrekter Name, korrekte Anschrift des Kunden.
- Die Daten müssen so verarbeitet werden, das eine angemessene Sicherheit der Daten gewährleistet werden kann.
- Die Daten müssen so gespeichert werden, um die Identifizierung der Personen nur so lange zu ermöglichen, wie dies für den Zweck erforderlich ist. Die Daten müssen in der Praxis leicht zu löschen sein.
- Es gilt das Grundprinzip der Datenminimierung. Das heisst, dass sämtliche erhobenen personenbezogenen Daten auf das notwendige Minimum beschränkt sind. Für die Vermittlung einer Immobilie sind E-Mail und Telefonnummer des Suchenden wohl erforderlich – seine Hautfarbe, Religonszugehörigkeit oder die Adresse seines Arbeitgebers nicht.
- Kundendaten sind nicht zwingend zu löschen, sobald zum Beispiel eine Immobilie erfolgreich vermittelt worden ist. Es kann durchaus Gründe geben, wieso Daten nicht gelöscht werden dürfen. Das können etwa steuerliche Gründe haben oder bei einem Suchauftrag für eine Immobilie.
- Bei einer Vergabe die Verarbeitung von personenbezogener Daten einem Dienstleister zu übergeben ist eine sogenannte Auftragsdatenverarbeitung zu schliessen. Der Auftraggeber hat seinen Dienstleister sorgfältig zu kontrollieren, alle Rechte und Pflichten vorab in einem Vertrag zu fixieren. Bei einem Verstoss gegen die DSGVO sind der Auftraggeber und auch der Dienstleister haftbar!
3. Informationspflichten einhalten!
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Unabhängig von E-Mail oder Telefonanrufen, Makler und Immobilienbewirtschafter müssen die Mieter und Immobilienkäufer darüber informieren, wenn sie personenbezogene Daten von ihnen erheben. Das gilt unabhängig davon, ob die Immobilien-Dienstleister eine gesonderte Erlaubnis zur Datenverarbeitung von seinen Kunden benötigen oder nicht. Sobald sie Daten erheben, muss ein Immobilien-Dienstleister die betroffenen Personen laut Artikel 13 der DSGVO zum Zeitpunkt der Datenerhebung informieren. Unabhängig davon, ob er diese Daten nun benötigt, um eine Liegenschaft zu vermitteln, um seinen Newsletter an den Kunden zu schicken oder ob er ihm nur einmal pro Jahr eine Weihnachtskarte zukommen lassen will. Schlussendlich soll der Kunde wissen, wer mit seinen Daten arbeitet und wozu diese verwendet werden.
Folgende Informationen müssen aber auf jeden Fall an den Kunden übermittelt werden:
- Identität des betroffenen Kunden
- Verarbeitungszwecke und Rechtsgrundlage
- Kontaktdaten des Datenschutzbeauftragten (falls dieser vorhanden beziehungsweise vorgeschrieben ist)
- Falls die Daten weitergegeben werden, die Kontaktdaten des Empfängers
- die Dauer der Speicherung
- die Rechte des Kunden
- Verbraucher haben das Recht auf Auskunft über die gespeicherten Daten, ausserdem können sie verlangen, dass die Daten gelöscht oder berichtigt werden oder die Verarbeitung einschränken. Auch können sie ihre Einwilligung in die Datenspeicherung jederzeit widerrufen und haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde.
4. Wer Mitarbeiter hat, muss sie regelmässig im Datenschutz schulen.
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Die DSGVO führt unter TOM [technische und organisatorischen] Massnahmen auf, die Unternehmen zu ergreifen haben, um die Anforderungen im Datenschutz zu erfüllen. So müssen Unternehmen ihre Mitarbeiter im Datenschutz regelmässig schulen und kontrollieren, ob die Datenschutzmassnahmen auch greifen. Zum Beispiel in dem die Mitarbeiter regelmässig in die Handhabung der Datenspeicherung und eMailversand geschult werden.
Die DSGVO beschreibt in Artikel 32 Massnahmen, die für einen angemessenen Schutz von Kundendaten sorgen sollen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, Computersysteme [stabiler Betrieb und dürfen nicht fehleranfällig sein]
- die Fähigkeit, die Daten bei einem physischen oder technischen Zwischenfall schnell wiederherstellen zu können
- ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Massnahmen
Jedes Unternehmen soll grundsätzlich seine Daten verschlüsseln. Ist aber nicht zwingend notwendig. Schlussendlich muss die Eintrittswahrscheinlichkeit, die Schwere des Risikos, der Stand der Technik und mehr mit beachtet werden. Verschlüsselte Daten haben natürlich den Vorteil, dass Hackers nichts mit ihnen anfangen können.
Unternehmen, die innerhalb der EU keine Niederlassung haben, aber in EU-Ländern ihre Dienstleistungen anbieten, müssen zudem einen Vertreter in der EU benennen. Laut DSGVO gilt das aber dann nicht, wenn die Datenverarbeitung von personenbezogenen Daten in EU-Ländern nur gelegentlich erfolgt. Ausgenommen sind von dieser Regel also beispielsweise Makler, die nur ausnahmsweise einmal eine Immobilie in Italien verkaufen.
5. Datenschutzverletzungen müssen gemeldet werden
1. Installation von Software auf dem Arbeitsplatzrechner nur durch Profis
Wird eine Datenschutzverletzung bekannt, müssen Immobiliendienstleister rasch handeln.
Kommt es trotz aller Vorsichtsmassnahmen zu einer Datenschutzverletzung, müssen Unternehmen dies unverzüglich an die zuständige Aufsichtsbehörde melden – nach Möglichkeit innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls.
Eine solche Datenschutzverletzung kann beispielsweise eintreten, wenn ein Immobiliendienstleister sein Handy verloren hat, wenn sein Computersystem gehackt wurde oder wenn bei ihm eingebrochen und ein Computer mit vertraulichen Daten gestohlen wurde. Eine Ausnahme von der Meldepflicht besteht nur dann, wenn kein Risiko für die Sicherheit der persondenbezogenen Daten besteht. Die betroffene Person muss unverzüglich benachrichtigt werden.