hello@tulos.de0221 54812 944Kontaktformular
Downloads

Datenschutz im Vertrieb richtig angewendet

Für viele im Vertrieb bereiten die Datenschutz-Anforderungen Kopfschmerzen, denn wer die Vorschriften der DSGVO nicht kennt oder sie auf die leichte Schulter nimmt, riskiert empfindliche Strafen.

Nicht selten überraschen Abmahnungen bei Marketing-Kampagnen oder Kaltakquise.

Statt Gewinnung neuer Kunden bekommen Unternehmen Kontakt von der Datenschutzbehörde oder Rechtsanwälte. Die staatlichen Datenschützer verhängen nicht nur empfindliche Strafen, sie prüfen dann auch gerne das gesamte Unternehmen auf Datenschutz-Konformität. So eine Prüfung zieht fast immer aufwändige Maßnahmen mit sich, die niemand haben will.

Dieser Blog richtet an Vertriebsverantwortliche, die wissen wollen, was geht und was riskant ist.

Zunächst die am häufigsten angewendeten Gesetze bei Datenschutzverstößen im Vertrieb.

Für Marketing und Vertrieb sind das Wettbewerbsrecht (UWG), das Urheberrecht und natürlich die DSGVO die am häufigsten angewandten Gesetze. Seit 1. Dezember 2021 gibt es zusätzlich Änderungen im Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG). Juristen werden an dieser Stelle mehr berichten können.

Die direkte Kundenansprache.

Hier eine Übersicht klassischer Kaltakquise. Die Tabelle berücksichtigt die Ansprache von Privatpersonen (B2C) und Kontaktaufnahme von Angestellten in Unternehmen (B2B).

DSGVO Vertrieb

Die Tabelle macht es deutlich. Ohne Einwilligung geht fast gar nichts. Wer also Personen privat oder in Unternehmen anspricht, ohne das diese vorab eine Einwilligung gegeben haben, riskiert eine Abmahnung.

Schon eine Abmahnung mit 10,00€ Strafe pro Akquise-Adresse kann schnell zu einer Gesamtstrafe von 100.000€ wachsen. Hier das Rechen-Beispiel:

Angenommen die Strafe beträgt lediglich 10,00€. weil der Schaden für den Betroffenen gering ist. Bei einer Kampagne mit 10.000 Adressen, wären aber 100.000€ fällig, denn die Datenschutzbehörde geht davon aus, dass keine der Adressaten eine Einwilligung erteilt hat. Bei Kampagnen mit tausenden Adressaten kann also so ein Verstoß teuer werden, auch wenn der Schaden für den Einzelnen gering ist. Bei solchen Summen kommt schnell die Frage nach dem Schuldigen auf.

Schuld ist der Verantwortliche so das Gesetz und dieser muss oft seine Unschuld beweisen, denn bei der DSGVO gilt in vielen Fällen die Beweislast-Umkehr.

Wenn eine Agentur involviert ist, streiten sich Auftraggeber und die Agentur nicht selten um die Verantwortlichkeit. Wie so oft gilt der Rat; ein sauber definierter Vertrag zwischen Auftraggeber und Agentur ist im Streitfall hilfreich. Das gilt vor allem für den Auftragsdatenvereinarungsvertrag (AVV). Warum der AVV von vielen als lästige DSGVO Auflage vernachlässig wird, liegt wohl daran, dass viele im Vertrieb die oben genannten Konsequenzen nicht kennen. Der AVV erinnert auch daran, die Herkunft der Adressenlisten festzustellen, inkl. aller benötigten rechtlichen Anforderungen, wie z.B. die Einwilligung.

Kann man potenzielle Interessenten ohne vorherige Einwilligung ansprechen?

Ja, das kann man, z.B. in den sozialen Medien und Handelsplattformen. Die meisten Social-Media-Plattformen und Handelsplattformen sind so gestaltet, dass die direkte Ansprache möglich, sogar erwünscht ist. Mehr soll hier nicht erläutert werden, denn alle Experten für Marketing und Vertrieb werden die Marketing-Methoden der gängigen Plattformen kennen. Als Datenschutzbeauftragte haben wir bei Tulos es meistens mit Amazon, eBay, Zalando, Facebook, Instagram, YouTube, Twitter und LinkedIn zu tun.

Es geht aber auch anders. Direkte Kundenansprache über Briefpost und über Paketbeilagen.

Briefpost sind sowohl für B2B als auch im B2C erlaubt. Ausgenommen sind ausdrückliche Ablehnungen. Mit Paketbeilagen kann man Kunden auch kontrolliert ansprechen. Tulos Kunde Dimabay verbindet Werber mit Paketversender. Hierbei werden das Dimabay-Netzwerk und ein Algorithmus genutzt. Ergebnis sind direkte Kundenansprachen für den Werber und reduzierte Versandgebühren für den Versender.

Fazit

Insbesondere im Vertrieb sollte man die Regeln der DSGVO besonders beachten, denn dieser Bereich hat bei den Datenschutzbehörden den Ruf den Datenschutz nicht immer korrekt zu beachten. Es sind aber auch viele Anwälte eifrig damit beschäftigt Datenschutzverstöße bei Kampagnen auszumachen. Abmahnungen und ungeplante Aufwände für Datenschutz-Anforderungen sind die Folge.

Bei jeder Marketing oder Vertriebskampagne ist es ratsam einen Datenschutzbeauftragten hinzuzuziehen, der der kennt, die Linien zwischen legaler und illegaler Datenverarbeitung.

In unserem nächsten Blog erläutern wir, wie man Einwilligungen kundenfreundlich gestaltet.

By |22. August 2022|Categories: Uncategorized|Tags: , , , |0 Comments
Read More

DSGVO für Online Shops im Jahr 2022

Worauf müssen Online-Händler achten, um Abmahnungen wegen Datenschutz-Verstößen zu vermeiden.

Viele Händler betreiben, neben ihrem stationären Ladenlokal auch einen Onlineshop. Die Zahl der Händler die ausschließlich über einen Onlineshop ihre Waren verkaufen, wächst noch schneller. Im B2C Bereich ergänzen Onlinehändler ihre Vertriebskanäle über bekannte Plattformen wie Amazon oder eBay.

Egal welche E-Commerce Methoden eingesetzt werden, es stellen sich immer die gleichen rechtlichen Fragen:

  • Wie müssen Bestellprozess, Preisangaben und Lieferangaben aussehen?
  • Wie sind AGB, Impressum und eine Datenschutzerklärung zu gestalten?
  • Und was muss rund um die Widerrufsbelehrung beachtet werden?

Mehr hierzu zeigt auch die Tulos DSGVO Checkliste für Online-Shops. Kostenlos!

Vermeiden Sie Abmahnungen für Datenschutzverstöße durch Verbraucherschutzverbände und Abmahnvereine oder verärgerte Kunden.

Datenschutzverstöße werden auch als Wettbewerbsverstoß gewertet. Abmahnungen können also beides beinhalten.

Dass die Datenschutzerklärung oder das Impressum der DSGVO entsprechen muss, hat inzwischen jeder Online-Shop-Betreiber verstanden. Hier macht kaum ein Händler Fehler, es gibt ja auch genügend Generatoren, die diese Texte rechtskonform für wenig Geld erstellen.

Aber, unbeabsichtigte Datenschutzverstöße merkt der Onlinehändler oft nicht.

Er sieht nicht selten überrascht und verärgert auf die Abmahnung in seinem Postfach.

Typische Fehler, die keiner haben will.

  • eine nicht DSGVO konforme Einbindung eines Facebook-Like-Buttons
  • Fehler in der AGB
  • veraltete/unsichere Software für den Online-Shop. Das ist besonders unnötig, wenn der Software-Hersteller eindeutig empfohlen hat, diese (veraltete) Softwareversion wegen ihrer bekannten Schwachstellen zu aktualisieren.
  • Unsicherer Zugriff auf die Webseiten, zum Beispiel durch unzureichende Passwörter. Teuer wird es, wenn Kundendaten durch Hacker ausgespäht wurden.

Verbraucherschützer sammeln Ärger-Shops.

Online-Händler mit den unten genannten Geschäftspraktiken können schlechter bewertet werden oder sogar wegen DSGVO Verstoß abgemahnt werden.

Zwei Beispiele, worauf Verbraucherschützer achten:

1.     Keine Möglichkeit von Gastbestellungen

Online-Shops müssen grundsätzlich die Möglichkeit schaffen, auch ohne Kundenkonto Bestellungen anzunehmen.

Die Gesetzgrundlage ist hierbei der Grundsatz der Datenminimierung.

Der Grundsatz der Datenminimierung besagt, dass nur die personenbezogenen Daten verarbeitet werden dürfen, die für die Vertragserfüllung notwendig sind. Für eine Bestellung im Online-Shop sind das also klassischerweise der Name, die Lieferanschrift, Rechnungsadresse und die E-Mail-Adresse.

In einem Kundenkonto werden die Daten auf Vorrat gespeichert, um mögliche, künftige Bestellungen zu erleichtern. Bei einer erstmaligen Bestellung kann der Händler nicht per se unterstellen, dass er Kundendaten für mögliche, aber ungewisse zukünftige Geschäfte auf Vorrat vorhalten darf. Für die Einrichtung eines fortlaufenden Kundenkontos ist eine entsprechende, bewusste Einwilligungserklärung des Kunden erforderlich.

Hinzu kommt das Problem der Freiwilligkeit einer Einwilligungserklärung. Da es sich bei der Anlegung eines Kundenkontos um keine erforderliche Datenverarbeitung handelt, muss der Kunde seine Einwilligung geben. Eine Einwilligung muss laut DSGVO freiwillig erfolgen. Es darf also kein Druck auf die Kunden ausgeübt werden.

Es gibt aber auch Ausnahmen: So kann es für Fachhändler bei bestimmten Berufsgruppen für die Vertragserfüllung erforderlich sein, Bestellungen nur über Kundenkontos zuzulassen. Der Grundsatz der Datenminimierung muss dennoch beachtet werden. So sollten Kundenkonten nach einer kurzen Frist bei Inaktivität automatisch gelöscht werden.

2.     Werbung mit Kundendaten und nach Benutzerverhalten ohne Einwilligung

Online-Händler haben durch die fortlaufenden Kundenkonten grundsätzlich die Möglichkeit, das Verhalten der Kontobesitzer auszuwerten und zielgerichtete Werbung zu versenden. Diese Form der Datenverarbeitung benötigt eine gesonderte Einwilligung. Denn dies ist eine Datenverarbeitung, die über die bloße Einrichtung und Führung eines fortlaufenden Kundenkontos hinausgeht. Die Nutzung dieser Kundeninformationen ist nicht bereits durch eine Einwilligung zur Einrichtung und Führung des fortlaufenden Kundenkontos abgedeckt.

Fazit.

Vor allem für Online-Händler, die sich bisher noch nicht viel mit Datenschutzrecht beschäftigt haben, empfehlen wir, den Datenschutz ernst zu nehmen, um unnötige Risiken zu vermeiden:

  • Der Onlineshop und die Prozesse der Warenwirtschaft sollten stabil laufen und gegen Datenpannen sowie Cyberkriminalität geschützt sein. Was zu beachten ist steht hier
  • Verstöße gegen die Gesetze des Datenschutzes sind ernst zu nehmen.
  • Fehler können zu teuren Abmahnungen und Ärger mit dem Verbraucherschutz führen.
  • Ein Datenschutzbeauftragter ist nicht immer gesetzlich vorgeschrieben. Er lohnt sich aber immer. Er kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung. Tulos Datenschutzbeauftragte können zudem auch die erforderlichen Maßnahmen technisch umsetzen.

Gender-Hinweis

In unseren Texten verwenden wir nicht immer gender-neutrale Wörter. Chancengleichheit ist für uns aber selbstverständlich – unabhängig von Herkunft, sexueller Identität, Geschlecht, Alter und Religion. Für Tulos Consulting gehören Inklusion, Vielfalt und Toleranz zu den zentralen Werten des Unternehmens. Personenbezeichnungen in Web und Print gelten gleichermaßen für alle Geschlechter, es sei denn, dies ist explizit anderweitig definiert.

By |29. Juni 2022|Categories: Tulos Blog, Uncategorized|Tags: , , , |0 Comments
Read More

Datenschutz in der Arztpraxis

Hier finden Sie typische Beispiele aus der Arztpraxis, gefährliche Schwachstellen und eine Checkliste für die DSGVO Konformitätsprüfung.

Im Gesundheitsbereich ist der Datenschutz von entscheidender Bedeutung. Die Betroffenen und die Öffentlichkeit reagieren überaus sensibel, wenn es zu Datenpannen kommt.

Die Bestellung eines Datenschutzbeauftragten ist erst ab 20 Personen in der Praxis Vorschrift. Tulos-Datenschutzbeauftragte lohnen sich aber immer. Denn sie oder er wissen, worauf man für den Datenschutz achten muss und sorgen für reibungslose und sichere Abläufe, Technik inklusive. Abgesehen davon kosten sie nicht viel. Tulos berechnet für die Gestellung eines Datenschutzbeauftragten für Arztpraxen 90,00€/Arzt und Monat, zzgl. der gesetzlichen MwSt.

Typische Beispiele aus der Arztpraxis für die Datenerhebung und deren Weitergabe

Zum einen spielt die Datenerhebung eine wichtige Rolle. Dabei geht es um die Frage welche Daten eines Patienten gesammelt werden dürfen. Zum anderen muss die Datenweitergabe den Regularien der DSGVO entsprechen.

  • Am Empfangstresen, an dem die Patienten in Empfang genommen werden und ihr Anliegen mitteilen, muss die Erhebung von Patienteninformationen vertraulich sein.
  • Dritte dürfen nicht mithören können, wenn über Diagnosen informiert wird. Das kann passieren, wenn Ärzte und Arzthelfer sich über Testergebnisse und Diagnosen von Patienten in der Nähe des Wartezimmers befinden
  • Akten und Computer dürfen nicht unbeaufsichtigt bleiben, zum Beispiel, wenn das Praxispersonal den Empfangsbereich verlässt oder der Arzt sein Arztzimmer.
  • Sämtliche Informationen, welche sich in der Patientenakte befinden, dürfen nicht automatisch an Versicherungen oder Dritte weitergegeben werden.
  • Um die Herausgabe der personenbezogenen Daten rechtskonform zu gestalten, muss in der Regel eine Einwilligungserklärung des Betroffenen vorliegen.
  • Bei Gemeinschaftspraxen ist die Datenweitergabe unter Ärzten in der Regel nur dann zulässig, wenn diese die Patienten auch betreuen. Allerdings darf sich der Datenaustausch nur auf die für die Betreuung des einzelnen notwendigen Informationen beschränken. Jeder Informationsaustausch, der sich außerhalb dieses Rahmens befindet, ist unzulässig.
  • Löschung von Patientendaten
    Bei einem Behandlungsvertrag sind das z.B. 10 Jahre nach Abschluss der Behandlung. In Einzelfällen kann aus ärztlicher Sicht eine längere Aufbewahrung geboten sein (z.B. Risikogeburten für Mutter und/oder Kind oder chronischen Krankheiten).

Hier Mehr Beispiele und Informationen erhalten Sie bei einem Erstgespräch. Kostenlos!

Typische Schwachstellen in der Arztpraxis die zu teuren Konsequenzen führen können.

Gefährliche Bequemlichkeit und Alltagsstress in der Praxis.

Unaufmerksamkeit ist oft die Ursache, wenn vertrauliche Patienteninformationen für Unbefugte sichtbar sind, zum Beispiel, am Empfang oder auf dem Arzt-Schreibtisch.

Solche Missgeschicke können Patientenvertrauen gefährden und rechtliche Konsequenzen nach sich ziehen.

Mangelnde Kenntnisse im Umgang mit der Datenvereinbarung.

Unsachgemäßer Umgang mit vertraulichen Informationen und der EDV verursacht unnötig mehr Aufwand und ist auch ein Sicherheitsrisiko. Deshalb verlangt die DSGVO nachweisliche Kenntnisse im Umgang mit personenbezogenen Daten.

Mangelhafter Nachweis der DSGVO Erfordernisse.

Medizinische Einrichtungen müssen nachweisen, dass Ihre Praxis den Anforderungen des Datenschutzes entsprechen. Eine Prüfung durch die Datenschutzbehörde oder eine Beschwerde verursacht ungeplante Aufwände und im schlimmsten Fall eine teure Abmahnung.

Mangelhaft integrierte Praxis-Abläufe mit der Datenverarbeitung.

Die meisten Arztpraxen haben viele Abläufe digitalisiert. Viele Daten werden aber immer noch parallel auf Papier, digital und auf Drucker oder Fax verarbeitet. Das ist nicht nur aufwändig, dadurch passieren auch viele Fehler. Eine nachweisliche Kontrolle ist schwierig bis unmöglich. Für eine DSGVO Konformität muss die Kontrolle jedoch nachgewiesen werden.

Fazit

Viele Arztpraxen haben oft so viel zu bewältigen, dass der Datenschutz oft vernachlässigt wird. Das ist aber gefährlich. Daher ist es wichtig möglichst einfache Prozesse einzuführen auch bei Hektik eine sichere Datenverarbeitung möglich machen. Ein Datenschutzbeauftragter leistet hier wertvolle Hilfe.

Datenschutzbeauftragte von Tulos kennen die Anforderungen der DSGVO für medizinische Einrichtungen. Sie begleiten Arztpraxen bei der Umsetzung der erforderlichen Maßnahmen, einschließlich der IT-Systeme.

Tulos Datenschutz Checkliste für die Arztpraxis zum kostenlosen Download

By |25. Juni 2022|Categories: Tulos Blog|Tags: , , , , , |0 Comments
Read More

Google Maps DSGVO konform auf der eigenen Webseite einbinden

Schritt für Schritt Erklärung wie man Google Maps in eine Webseite DSGVO konform einbindet.

Eine Onlinekarte hat fast jede Unternehmenswebseite. Sie informiert über den Firmenstandort. Sie hilft Kunden das Unternehmen zu finden. Für Handel und Dienstleistungen, die ihr Geschäft nicht nur Online betreiben ist dieser Wegweiser sehr hilfreich.

Aber Achtung! Wer Kartendienste falsch in die Webseite einbindet, kann mit teuren Abmahnungen rechnen, denn diesen Verstoß kann jeder sehen. Viele Kartenanbieter, die einen Quellcode zur Integration der Maps anbieten, lassen sich  nicht DSGVO konform nutzen.

Google Maps in die Webseite einbinden

  1. Für die gewerbliche Nutzung von Google Maps benötigt man einen „Google Maps API Key“. Diese Programmschnittstelle generiert Google, wenn man sich in der Google Cloud Plattform anmeldet.
  2. Zunächst muss die Einbindung von Karten in die Datenschutzerklärungaufgenommen werden. Diese klärt den User über die Übertragung der Daten zu den Kartenportalen
  3. Google Maps erfordert eine 2-Klick-Lösung.
    Der Nutzer muss vor dem Laden von Google Maps ausdrücklich darüber informiert werden, dass seine persönlichen Daten bzw. seine IP-Adresse an Google weitergeleitet werden können.
  • Bei WordPress gibt es Plugins, für die rechtssichere Karteneinbindung
  • Die drei der bekanntesten WordPress Google Maps Widgets sind:
    • WP Google Maps
    • Maps Widget for Google Maps
    • WP Store Locator
  • Alternative, OpenStreetMap ist grundsätzlich möglich, doch auch diese sind nicht immer datenschutzkonform. Einfachster Weg ist die Prüfung, ob die Karten durch das Privacy-Shield-Programm zertifiziert sind
  1. Wer zusätzlich einen Routenplaner anbieten will, sollte darauf achten, dass diese Funktion beim Einbinden von Google Maps in die Website funktioniert. Jedes Widget bzw. jeder Website-Baukasten und jedes CMS haben ihre Eigenheiten.

Was kostet Google Maps.

  • Kostenlos bis 28.500 monatliche Kartenaufrufe.
  • Kosten von Tool bzw. Plugin zur Einbindung von Google Maps in die Website, siehe Preislisten der Tools

Fazit: Kartenanbieter mit datenschutzkonformer Map-Einbindung

Ohne Probleme lassen sich die Kartendienste, von OpenStreetMap mit Hauptsitz innerhalb der EU oder Bing Maps sowie Google Maps einbinden.

Alle nehmen am Privacy-Shield-Programm teil. Wer Google Maps datenschutzkonform einbinden möchte, braucht zusätzlich immer eine Datenschutzerklärung auf seiner Website, die den Besucher über die Übertragung personenbezogener Daten aufklärt.

By |24. Juni 2022|Categories: Tulos Blog|Tags: , , , , |0 Comments
Read More

Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!

Datenintegrität bedeutet die verlässliche Korrektheit von Daten. Das ist wichtig und keineswegs selbstverständlich! Denn eine der Gefahren ist die ungewollte Veränderung der Information. Jeder kennt das lustige Spiel „Stille Post“; also das Weiterreichen und die damit manchmal verbundenen, falschen Informationen.  Im richtigen Leben ist das aber kein Spaß!

Zusätzlicher Aufwand oder Vertrauensverlust sind die häufigsten Schäden, wenn Daten zerstört oder ungewollt verändert werden.

Auch die DSGVO verlangt nach korrekten, personenbezogenen Informationen, denn dies sind Schutzrechte in der EU.

Für die DSGVO und IT-Sicherheit gehört Daten-Integrität zu einem wichtigen Schutzziel.

In Artikel 5 DSGVO steht: „Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).“

Die DSGVO Art. 32 Abs. 1 Buchst. b verlangt „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“

Sicherheitsmaßnahmen müssen auch in den technisch-organisatorischen Maßnahmen (TOM) dokumentiert werden.

Ungewollt veränderte Informationen, in Dateien genau wie auf Papier, kommen im Alltag sehr häufig vor. Daher wundert es, dass viele Datenschutzkonzepte ihren Fokus auf Backups, Verschlüsselung und Verfügbarkeit legen. Veränderungen an den Daten führen aber dazu,   dass die Daten nicht mehr nutzbar sind. Das ist genauso schlimm wie verlorene Daten.

Personenbezogene Daten müssen also vor Manipulationen geschützt sein, so das Datenschutz-Gesetz. Alle anderen wertvollen Informationen sollten aber auch geschützt werden. Bei der Umsetzung der DSGVO nutzt Tulos oft Informationssicherheits-Standards, wie die ISO27001. Der Standard ist weltweit verbreitet und man erreicht dadurch die Schutzziele sowohl für die DSGVO als auch für die Informationssicherheit anderer unternehmenswertvoller Daten.

Maßnahmen für die Kontrolle und den Schutz der Integrität personenbezogener Daten dürfen also nicht fehlen, da Verantwortliche die Sicherheit der Verarbeitung auch in diesem Punkt gewährleisten müssen.

Empfehlungen und Checkliste des BayLDA zur Integrität

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) nennt in seiner Checkliste zur „Good Practice bei technischen und organisatorischen Maßnahmen nach Artikel 32 DSGVO“ Maßnahmen, um den Grundsatz der Integrität personenbezogener Daten umzusetzen.

Die Datenschutz-Aufsichtsbehörde: „Verantwortliche müssen sowohl den Datenaustausch mit anderen Stellen über elektronische Kommunikationsnetze als auch den physikalischen Transport von mobilen Datenträgern und Dokumenten absichern. Vertraulichkeit und Integrität der personenbezogenen Daten sollen nicht beeinträchtigt werden.“

Tipp aus der Praxis:

Digitale Signaturen können bei der Datenweitergabe Sicherheit geben. Außerdem sind kryptographische Verfahrenund Hashwerte ebenfalls bei sehr vertraulichen Daten empfohlen.

Hash-Verfahren erkennen Manipulation an Daten, da sich dadurch Hash-Werte verändern. Hash-Werte sind für Daten digitale Fingerabdrücke. Wer also Hash-Werte von Daten zu einem bestimmten Zeitpunkt erzeugt und dies an einem späteren Zeitpunkt wiederholt, erkennt, ob die Daten verändert wurden oder gleich geblieben sind.

Quellen: Oliver Schonschek, Datenschutz-Praxis, DSGVO, BayLDA

By |12. Februar 2022|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Stille Post: Warum müssen Informationen korrekt sein? DSGVO relevant!
Read More

Datenschutz in der Immobilienwirtschaft

Die wichtigsten DSGVO-Erfordernisse die man als Makler und Vermieter einhalten sollte, um sein Unternehmen vor Datenschutz-Sanktionen zu schützen. Immobilien sind oft Opfer von Rechtsstreitigkeiten in denen mangelnder Datenschutz eine Schwachstelle darstellt.

Der Datenschutz ist für Makler, Hausverwalter und Vermieter besonders wichtig, denn in der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet.

In der Immobilienwirtschaft werden besonders sensible Informationen verarbeitet. Trotzdem vernachlässigen Immobilienmakler und Hausverwalter meist unbewusst die gesetzlichen Anforderungen der DSGVO. Sogar die einfachsten Regeln, um hoch vertrauliche Daten zu schützen, werden ignoriert. Kein Wunder, dass diese Branche besonders unter Datenschutz-Sanktionen und Cyberschäden leidet.

1. Vermietung von Immobilien

Ein klassischer Bereich intensiver Datenverarbeitung ist die Vermietung. Vermieter erhalten oft extrem sensible Daten wie Schufa Auskunft und Einkommensnachweise, um die Bonität potenzieller neuer Mieter zu überprüfen. Wer hier die Datenschutz-Anforderungen nicht korrekt einhält, riskiert empfindliche Strafen.

Für Makler und Vermieter ist hier das Risiko besonders groß, weil erstens oft die Unschuldsnachweispflicht beim eigenen Unternehmen liegt und zweitens Mieter in der Regel bei Gericht wohlwollend behandelt werden.

Im Datenschutzrecht gilt der Grundsatz der „Datenminimierung“, wonach Daten nur insoweit verarbeitet werden dürfen, wie dies für einen konkreten Zweck erforderlich und angemessen ist. Vor dem Hintergrund dieses Grundsatzes ist eine vollständige Erfassung aller Daten „auf Vorrat“ zu Beginn des Vermietungsprozesses unzulässig. Die Aufsichtsbehörden teilen den Vermietungsprozess in drei Abschnitte:

  1. vor/bei der Besichtigung
  2. Mietinteressent äußert konkretes Interesse an der Immobilie
  3. kurz vor/bei Vertragsschluss

Dabei dürfen in jedem Abschnitt nur bestimmte Informationen von den Mietinteressenten abgefragt werden. Nach Auffassung der Aufsichtsbehörden dürfen Einkommensnachweise erst verlangt werden, wenn bereits ein konkreter Mietinteressent ausgewählt wurde.

Hier die Regel:
1. vor/bei der Besichtigung

  • Kontaktdaten
  • Daten zu Suchkriterien
  • Vorlegen des Wohnberechtigungsscheines

2. Mietinteressent äußert konkretes Interesse an der Immobilie

  • Höhe des Nettoeinkommens
  • Anzahl der einziehenden Personen
  • Beruf, Arbeitgeber
  • Eröffnetes Verbraucherinsolvenzverfahren
  • Name und Höhe des Nettoeinkommens eines Bürgen

 3. kurz vor/bei Vertragsschluss

  • Einkommensnachweise
  • Bonitätsauskünfte

2. Umgang mit Auskunfteien

Um die Bonität eines Mietinteressenten zu überprüfen, werden häufig Auskunfteien wie die Schufa angefragt. Dies ist jedoch nur eingeschränkt zulässig und sollte – soweit zur Beurteilung der Bonität noch erforderlich – erst kurz vor Vertragsschluss mit einem Mietinteressenten erfolgen. Gängige Praxis der Vermieter ist es auch, von Mietinteressenten die Vorlage einer Selbstauskunft zu verlangen, obwohl diese Informationen enthält, die für das Mietverhältnis irrelevant sind.

Regelmäßig gibt es derzeit neue Urteile zum Schadenersatz nach DSGVO. Und sie fallen immer häufiger zugunsten der betroffenen Person aus.

Informationspflichten des Vermieters

Der Vermieter muss Mietinteressenten bzw. Mieter vor der ersten Datenerhebung über die Datenverarbeitung im Vermietungsprozess und im anschließenden Mietverhältnis informieren. Die Zwecke und Rechtsgrundlagen der Datenverarbeitung, die Dauer der Speicherung und potentielle Empfänger der Daten müssen erläutert werden.

 Tipp:

Vermieter können entsprechende Datenschutzhinweise als Anlage zum Mietinteressentenfragebogen/Mietvertrag beilegen.

 Löschung der Daten

Die Löschung der Daten wird von Vermietern und Maklern oft versehentlich vergessen oder absichtlich vermieden. Das ist immer wieder eine Schwachstelle, wenn diese Unternehmen juristisch angegriffen werden. Die DSGVO wird allzu oft als Druckmittel verwendet, um Recht zu bekommen.

Vermieter sollten wissen, wann personenbezogene Daten von Mietinteressenten und Mietern zu löschen sind. Makler und Vermieter sind zur Löschung verpflichtet, wenn der ursprüngliche Verarbeitungszweck entfällt und keine (bspw. steuer- und handelsrechtlichen) Aufbewahrungspflichten bestehen. Das gilt z.B. wenn der Mieter ausgezogen ist und ein neuer Mieter die Wohnung bewohnt. Nach dem Ende der Mieterauswahl, also nach Vertragsabschluss, darf ein Vermieter grundsätzlich nur die Daten weiterhin speichern, die zur Durchführung des Mietverhältnisses oder zur Erfüllung gesetzlicher Pflichten notwendig sind. Also keine Auskünfte betreffend seiner oder ihrer Bonität.

Datenweitergaben an Dritte

Die Weitergabe von Informationen von Betroffenen, also oft Mieter oder Mietinteressenten ist selbstverständlich ich in der DSGVO geregelt. Vermieter und Makler sollten prüfen, inwieweit Mieterdaten an Dritte, z.B. Hausverwaltungen, Makler und sonstige Dienstleistungsunternehmen, weitergegeben werden dürfen. Gelegentlich müssen Datenschutzverträge mit entsprechenden Dienstleistern abgeschlossen werden.

Kommunikation mit Mietern

Ein gutes Verhältnis zwischen Vermieter und Mieter ist immer hilfreich. Selbstverständlich werden zwangsläufig personenbezogene Daten der Mieter verarbeitet. Wenn es um Dinge rund um den Vertrag oder die Nebenkosten geht, ist der Austausch von personenbezogenen Daten unvermeidbar und erlaubt.

Etwas Anderes kann in Fällen gelten, in denen die Datenverarbeitung nur am Rande Berührungspunkte mit dem Mietvertrag aufweist (z.B. Veranstaltung eines Mieterfestes, Newsletter-Versand). In diesen Fällen bedarf die Datenverarbeitung einer gesonderten Prüfung, insbesondere ist zu prüfen, ob eine Einwilligung der Mieter erforderlich ist.

Daneben können datenschutzrechtliche Vorgaben beim Einsatz bestimmter Kommunikationsmittel (z.B. Messenger-Dienste) nötig sein. Neben der Frage der Rechtmäßigkeit der Datenverarbeitung stellen sich in diesen Fällen immer wieder Probleme bezüglich der Weitergabe der Kommunikationsdaten an die Betreiber der Dienste, so die Erfahrung der Kanzlei Taylor Wessing in Wien.

3. Immobilien- bzw. Unternehmenskauf

Was für die Vermietung gilt, gilt selbstverständlich auch für den Verkauf von Immobilien oder Unternehmen mit Immobilien. Auch hier sind vertrauliche und weniger vertrauliche, personenbezogene Daten, Bestandteil der Dokumente oder Information, die im Verkaufsprozess verarbeitet werden.

Rechtmäßigkeit der Weitergabe von Mieterdaten im Verkaufsprozess

Bei Immobilientransaktionen stellt der Verkäufer dem Käufer in den einzelnen Phasen des Verkaufs Informationen zur Verfügung, um eine Prüfung wertbildender Faktoren des Zielobjekts zu ermöglichen. Bei der Weitergabe oder beim Empfang personenbezogener Daten müssen die Parteien die datenschutzrechtlichen Anforderungen berücksichtigen. Der Verkauf einer vermieteten Immobilie enthält vertrauliche Daten von Unbeteiligten, die einen Einfluss auf den Wert der Immobilie haben können. In den meisten Fällen müssen personenbezogene Daten anonymisiert werden. Grundsätzlich gilt aber, je näher eine Vertragseinigung rückt, desto mehr Informationen dürfen ausgetauscht werden.

Informationspflichten

Selbstverständlich sind auch bei Transaktionen Informationspflichten zu beachten. So muss jedenfalls das Unternehmen, das personenbezogene Daten im Rahmen einer Transaktion offenlegt, die betroffenen Mieter darüber meistens informieren.

Tipp:

Informationen über eine mögliche Datenweitergabe an Dritte können bereits in abstrakter Form in die allgemeinen Datenschutzhinweise aufgenommen werden, um die Notwendigkeit eines späteren Tätigwerdens zu vermeiden.

4. Videoüberwachung von Immobilien

Die Videoüberwachung von Häusern ist eines der häufigsten Stolpersteine der Immobilienwirtschaft. Sie ist auch eines der beschwerdeträchtigsten Bereiche.

Zulässigkeit der Videoüberwachung/Datenschutz-Folgenabschätzung

Wer bei Häusern eine Videoüberwachung durchführt oder durchführen lässt, sollte sorgfältig prüfen, ob der Zweck und die Wahrung der Interessen rechtmäßig sind. Meistens ist eine Datenschutzfolgenabschätzung durchzuführen. Selbstverständlich sind die Dauer der Speicherung, Zugriff auf die Informationen und Kameratyp sorgfältig zu prüfen. Die Abläufe müssen dokumentiert sein.

Informationspflichten

Zudem muss die Videoüberwachung durch ein Piktogramm kenntlich gemacht werden. Die betroffenen Personen müssen über den Zweck der Videoüberwachung, ihre Rechtsgrundlage und die Dauer der Datenspeicherung informiert werden.

Datenlöschung 

Videoaufnahmen sollten grundsätzlich spätestens nach 48 Stunden gelöscht werden. In Ausnahmefällen und guter Begründung ist auch eine längere Speicherung möglich.

Sicherheit

Die Filme der Videoüberwachung müssen ausreichend vor Missbrauch geschützt werden. Dies kann z.B. durch eine Verschlüsselung der Aufnahmen und eine kontrollierte Zugriffsberechtigung geschehen.

5. „Smart Home, Smart Building“

Die Welt von Internet of Things (IOT) verbreitet sich auch in der Immobilienwirtschaft. „Smart Meter“ für Energiemessungen oder intelligente Licht- und Alarmsysteme in Wohnimmobilien verbessern mittels vernetzter Geräte und automatisierter Abläufe die Wohnqualität und Sicherheit.

Auch aus Vermietersicht werten IOT-Systeme Häuser auf. So kann man zum Beispiel automatisch Nebenkosten ermitteln und in ein ERP System überführen. Dass dabei personenbezogene Daten übermittelt und verarbeitet werden, ist klar. Also gilt auch hier die DSGVO.

Vermieter müssen prüfen, ob die Datenverarbeitung von einer entsprechenden Rechtsgrundlage gedeckt ist. In Betracht kommt z.B. die Einwilligung der betroffenen Person (z.B. eines Mieters). Damit eine Einwilligung wirksam ist, muss diese über die Datenverarbeitung informieren.

Auch wenn eine Rechtgrundlage zur Datenverarbeitung und die Einwilligung vorliegen, sollten Unternehmen den Grundsatz der Datenminimierung beachten. Danach dürfen (auch) bei „Smart Home“-Anwendungen personenbezogene Daten nur insoweit verarbeitet werden, wie dies für den verfolgten Zweck erforderlich und angemessen ist.

Sicherheit

Die Daten aus IOT-Systemen müssen ausreichend vor Missbrauch geschützt werden. Dies kann, z.B. durch eine Verschlüsselung der Aufnahmen, eine kontrollierte Zugriffsberechtigung geschehen.

6. Allgemeine datenschutzrechtliche Anforderungen

Wie alle Unternehmen, die personenbezogene Daten in größerem Umfang verarbeiten, müssen Vermieter und Makler die allgemeinen datenschutzrechtlichen Anforderungen entsprechen:

  • Verarbeitungsverzeichnis: Ein Verzeichnis, das Informationen zu den Datenverarbeitungstätigkeiten enthält (z.B. zu den Verarbeitungszwecken, den verarbeiteten Daten und den Fristen für eine Löschung der Daten).
  • Datenschutzbeauftragter: Ein Datenschutzbeauftragter lohnt sich immer. Er oder sie kennt die Grenzen zwischen legaler und illegaler Datenverarbeitung.
  • Betroffenenrechte: Unternehmen müssen sicherstellen, dass die Rechte der betroffenen Personen (z.B. auf Auskunft, Löschung und Widerspruch) erfüllt werden.
  • Meldepflichten: Im Fall einer Verletzung des Schutzes personenbezogener Daten sind – unter bestimmten Voraussetzungen – innerhalb von 72 Stunden nach Kenntniserlangung die Aufsichtsbehörden und ggf. auch die betroffenen Personen zu informieren.
  • Datenschutz-Management-System: Zur Bewältigung der zahlreichen datenschutzrechtlichen Anforderungen empfiehlt es sich häufig, ein Datenschutz-Management-System einzuführen. Im Rahmen dieses Systems sollten v.a. Rollen und Verantwortlichkeiten festgelegt und Konzepte, Richtlinien und Standardvorgehensweisen zu bestimmten Vorgängen entwickelt werden (z.B. zur beschriebenen Erfüllung der Betroffenenrechte und Meldepflichten).

Quellen:

DSGVO, Anwaltskanzlei Taylor Wessing, Dr. Paul Voigt, Partner, Wiebke Reuter, LL.M.

By |2. Dezember 2021|Categories: Tulos Blog|Tags: , , , , |Kommentare deaktiviert für Datenschutz in der Immobilienwirtschaft
Read More

IT-Sicherheit & Datenschutz aus Köln

Tulos Consulting GmbH
Christophstraße 15-17, 50670 Köln NRW
 0221 54812 944‬
  hello@tulos.de https://tulos.de/wp-content/uploads/2022/01/logo-tulos-280px.png
0221 54812 944‬
hello@tulos.de
Zum Kontaktformular
Tulos IT-Sicherheit und Datenschutz aus Köln

5 von 5 Sterne bei 10 Bewertungen auf Google.

Von Tulos erbrachte Leistungen werden vom Staat gefördert

Besondere Branchenkentnisse

Datenschutz für Hausverwaltung & Immobilienwirtschaft | Datenschutz für Online-Shops | Datenschutz für M&A-Berater | Datenschutz für Arztpraxis

2025 Tulos Consulting GmbH|Impressum|Datenschutz

Erfahren Sie mehr zu unseren Services & Angeboten

Interesse an: *

Mit * markierte Felder sind Pflichtfelder.

Mehr Kundenvertrauen durch Tulos Secured Siegel

Wirksamer Schutz vor teuren Datenschutz-Abmahnungen

Mehr Sicherheit in den digitalen Wertschöpfungsketten

Datenschutz und Informations-Sicherheit schützen Unternehmen vor DSGVO Strafen und Cyber Schäden. IT-Sicherheit ist hiervon ein wichtiger Bestandteil, denn die Digitalisierung entwickelt sich rasant in alle Bereiche unseres Lebens und in den Unternehmen. Daher ist ein kontrollierbarer Umgang mit vertraulichen  Daten nicht nur gesetzlich vorgeschrieben, er ist auch Erfolgsfaktor. Der richtige Umgang mit Informationstechnologie hat direkten Einfluss auf die Betriebskosten und selbstverständlich auch auf den Schutz unternehmens-wichtiger-Daten. Das gilt für alle Formen der Datenverarbeitungen, egal ob analoge Archive, eigene Server oder vernetzte Cloud-Systeme.

Für die Umsetzung der Datenschutzgesetzte und Datensicherheit arbeiten die DSGVO und Standards für Informationssicherheit Hand in Hand. Daher ist, für eine wirksame Umsetzung, Expertise in beiden Bereichen wichtig, nämlich Erfahrung in der DSGVO und ISO 27001 und BSI. Ein gut eingeführtes Informations-Sicherheits-Management-System (ISMS), verhindert nicht nur wirtschaftliche Schäden. Standardisierte Abläufe für Betrieb und Technik reduzieren auch die Kosten.

Der Umgang mit Daten muss beherrschbar sein. Cyber-Schäden oder Strafen durch DSGVO-Verstöße können schnell zu teuren Aufwänden führen oder Kunden-Vertrauen beschädigen. Kalkulierbare Risiken sollten daher integraler Bestandteil im Unternehmen sein, nicht nur bei  digitalen Betriebsprozessen.

Tulos-Berater sind zertifizierte Datenschutzbeauftragte nach DSGVO, Lead Auditoren nach ISO 27001 sowie erfahrene Projektleiter mit PMP/ Six Sigma Master Blackbelt.

Unsere „Best Practice-Methoden“ sind auf das Zusammenspiel von operativen Geschäftsprozessen, Technologie und betriebswirtschaftlichen Erfordernissen ausgerichtet.

Bei Tulos erhalten Sie Datenschutz und Informationssicherheit aus einer Hand, für eine wirksame Umsetzung aller wichtigen Erfordernisse.

Go to Top