25. Mai 2018: EU-Datenschutz Grundverordnung (DSGVO)

Das Wichtigste für die Immobilienbranche

Ab 25. Mai 2018 kommen wesentliche Änderungen auf alle Unternehmen zu, welche personenbezogene Daten verarbeiten. Darunter fallen beispielsweise Betriebe, die Lieferantendaten speichern, Kundendateien anlegen, Newsletter verschicken, Rechnungen ausstellen usw. In der Immobilienbranche betrifft die neue Verordnung vor allem Daten von Mietern und Vermietern sowie die damit einhergehenden Daten von Mietverträgen. Somit trifft es im Prinzip alle Unternehmen, v.a. im Bereich Marketing.

Um möglichst gut auf die neuen Regelungen vorbereitet zu sein, kann ein erweitertes Anonymisierungs- und Abfrage-Modul (metamagix.ICRS Anonymisierung & GDPR) Abhilfe schaffen. Zuerst sollten Betriebe allerdings eine Analyse des Ist-Zustandes vornehmen – dies bedeutet konkret sich im Klaren darüber zu werden, welche personenbezogenen Daten überhaupt verarbeitet werden und vor allem, welche sensiblen Daten bisher gespeichert wurden und wie lange diese gespeichert werden dürfen. Dies sollte zumindest in Form eines Verarbeitungsverzeichnisses erfolgen. Mehr auf der Seite der WKO hier.  Dieses Verarbeitungsverzeichnis muss die Kontaktdaten des eigenen Unternehmens, den Zweck der Daten, einer Beschreibung der Kategorien von Personen, die Löschfristen und eine allgemeine Beschreibung der Datensicherheitsmaßnahmen beinhalten. Mehr Infos hier.

Vor allem im Bereich der Datenspeicherung erwarten uns große Änderungen. Ab Mai 2018 müssen Personen ihr Einverständnis für die Datenspeicherung ausdrücklich bestätigen, derzeit ist dies nur für sensible Daten nötig. Weiters unterliegt die automatisierte Verarbeitung von persönlichen Daten in Zukunft einer strengen Informationspflicht. Alle Personen müssen über die Tragweite der Datenverarbeitung informiert werden. Auch für die Automatisierung von Targeting muss die Zustimmung des jeweiligen Nutzers eingeholt werden. Für gedruckte Mailings ist keine explizite Zustimmung der Konsumenten nötig (Ausnahme: Robinsonliste). Bei den digitalen Medien sieht die Rechtslage etwas anders aus: hier reicht die unmissverständliche Zustimmung des Users, also etwa das Zeigen von Interesse oder eine Interaktion mit dem Unternehmen.

Eine weitere Aufgabe ist die Auskunftspflicht an Betroffene, d.h. auf Anfrage muss das Unternehmen Auskunft geben welche Daten zu welchem Zweck gespeichert werden. Damit sich Unternehmen nicht selbst um diese Regelungen kümmern müssen oder Gefahr laufen, hohe Strafen bei Verstößen gegen die neue Verordnung zu bezahlen, entwarf metamagix in Zusammenarbeit mit Kunden ein erweitertes Anonymisierungsmodul. „Im Immobilienbereich geht es vor allem um Daten zu Verträgen wie Name, Adresse und Geburtsdatum. Diese müssen mindestens 7 Jahre nach Vertragsende gespeichert werden.“, erklärt Randolph Kepplinger, Geschäftsführer von metamagix. „Eine Software muss dementsprechend nach Ablauf der Frist eine automatische Löschung oder Anonymisierung der personenbezogenen Daten vornehmen.“, führt Kepplinger näher aus. Zusätzlich zu der automatischen Änderung, kann mit Hilfe der Software von metamagix auch eine manuelle Anonymisierung vorgenommen werden und das neue Modul stellt sicher, dass die Daten in einer maschinenlesbaren Form zur Verfügung stehen und deckt damit die Anforderungen hinsichtlich der Auskunftspflicht ab. Dies erfolgt in ICRS über Abfrage des Vertragspartners und Download einer gezippten Informationsdatei.

Weiters können in ICRS zu den Personendaten Checkboxen und Attribute wie Einverständniserklärung zu Newsletter, Brief, Mail oder Postkontakt hinterlegt werden, um zusätzlich zu den Verträgen Vereinbarungen mit Kunden und Lieferanten festzuhalten.

Im Allgemeinen bringt die DSGVO einen EU-weiten Schutz aller Personen. Die national geltenden Gesetze werden damit ersetzt. Einheitliche Richtlinien bringen somit Klarheit und Struktur in die unabgestimmten Gesetze der einzelnen Mitgliedstaaten, welche derzeit noch viel Gestaltungsspielraum lassen.

Laut Kepplinger ist eine große Hürde bei der neuen DSGVO vor allem, dass Daten außerhalb der EU nur mit expliziter Zustimmung der Betroffenen gespeichert werden dürfen, diese Zustimmung kann allerdings wieder zurückgenommen werden. Das hat beispielsweise auch Auswirkungen auf Cloud Hosting sowie auf Entwicklung und Support durch Nicht-EU-Unternehmen.

Sollte im Worst-Case eine Datenschutzverletzung (Data Breach) vorliegen, muss diese binnen 72 Stunden der nationalen Aufsichtsbehörde und der betroffenen Vertragspartner gemeldet werden. Eine Verletzung der neuen Verordnung kann auch durch Datenverlust schlagend werden. Die Strafen bei Verletzungen der Vorordnung bewegen sich teilweise im Millionenbereich. Mehr Infos dazu hier.