Home
Intern
von Lana Dachlauer-Baron
Die weitreichenden Bestimmungen der EU-Datenschutzgrundverordnung (EU-DSGVO) stehen den Unternehmen unmittelbar bevor. Dabei traten diese Bestimmungen bereits vor zwei Jahren in Kraft und sahen eine zweijährige Übergangsfrist (bis zum 25. Mai 2018) zur Umsetzung für die Unternehmen vor. Die Beratungspraxis innerhalb der Immobilienwirtschaft ergibt ein einhelliges Bild: Nicht selten blieb diese Zeit ungenutzt. Doch nun langsam wächst das Bewusstsein hinsichtlich des Ausmaßes der umzusetzenden Bestimmungen in der noch zur Verfügung stehenden knappen Zeit. Die Liste der zu erledigenden Aufgaben bei Implementierung der neuen datenschutzrechtlichen Bestimmungen ist vielerorts noch lang. Zu Beginn stellt sich stets die Frage, welche personenbezogenen Daten überhaupt im Unternehmen erhoben werden und über welche Kanäle diese in das Unternehmen gelangen oder dieses wieder verlassen.
Gerade in der Immobilienwirtschaft finden zahlreiche Datenströme statt. Angefangen bei den anfallenden Mieterdaten bis hin zur Weitergabe personenbezogener Daten an die Ablesedienste oder den Handwerker. Auch die eigenen Mitarbeiter genießen Beschäftigtendatenschutz. Diese Datenströme gilt es zu identifizieren und in die jeweiligen Verarbeitungen aufzugliedern, um diese schließlich in dem sogenannten Verarbeitungsverzeichnis niederzulegen. Dies stellt jedoch lediglich einen Bruchteil der umzusetzenden datenschutzrechtlichen Bestimmungen dar.
Trotz zahlreicher Last-Minute-Bemühungen werden die meisten Unternehmen wohl bis zur Geltung der EU-DSGVO sich weder datenschutzkonform nennen dürfen noch ein eigenes Datenschutzmanagement System vorweisen können. Unweigerlich stellt sich dann die Frage nach den Konsequenzen. Was erwartet die Unternehmen nach dem Stichtag?
Als erste Konsequenz ist die Möglichkeit der Aufsichtsbehörden zu nennen, Verstöße gegen datenschutzrechtliche Vorschriften mit empfindlichen Bußgeldern zu sanktionieren. Die EU-DSGVO ermöglicht jedoch mehr als nur die befürchteten Bußgelder der Aufsichtsbehörden – vielmehr bieten die neuen Regelungen einige Einfallstore für mögliche Abmahnungen durch Verbände und Mitbewerber. So können die Verbraucherschutzverbände nach dem Unterlassungsklagegesetz zur Beseitigung oder zum Unterlassen des datenschutzwidrigen Zustandes auffordern, indem sie strafbewährte Unterlassungserklärungen versenden. Beim nochmaligen Verstoß könnten sodann Strafzahlungen in Höhe von bis zu 25.000 Euro pro Verstoß fällig werden. Weiter sind Abmahnungen nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) möglich. Auch können nun die Verbraucher als Betroffene Ansprüche auf Schadensersatz gegen das Unternehmen als verantwortliche Stelle geltend machen.
Die Gefahr von Abmahnungen durch Verbände dürfte sogar erst einmal um ein Vielfaches höher sein als die Auferlegung von Bußgeldern durch die Aufsichtsbehörde. Dieser Schluss liegt nahe, da das Augenmerk der Aufsichtsbehörden in der Beratung der Unternehmen liegt. Ebenfalls fehlen den Aufsichtsbehörden schlicht die Kapazitäten, jedes einzelne Unternehmen auf den Prüfstand zu stellen. Verbraucherverbände sind da personell oftmals besser aufgestellt. Zudem liegt der Fokus dieser Verbände auf der Verfolgung von Verstößen. Kommt es zu einer Abmahnung durch einen Verband und wird der Prozessweg eröffnet, muss auch die Aufsichtsbehörde einschreiten, da sie einer Ermittlungspflicht unterliegt. Dies hätte weitreichende Kontrollen und Prüfungen zur Folge.
Wie kann sich aber nun die Immobilienwirtschaft kurzfristig gegen mögliche Abmahnungen wappnen?
Um gar nicht erst ins Visier zu geraten, sollte zumindest der Außenauftritt des Unternehmens keine Angriffsfläche bieten. Parallel zu der internen Gesamtumsetzung der datenschutzrechtlichen Bestimmungen sollte die eigene Homepage daher dringend kritisch auf mögliche datenschutzrechtliche Verstöße überprüft werden. Etwaige Datenschutzverstöße sind für Verbraucherverbände beim Online-Außenauftritt besonders leicht zu entdecken. Es ist daher anzuraten die eigene Homepage auf das Vorhandensein zumindest folgender Angaben zu checken:
Sofern sämtliche Vorschriften zumindest nach außen hin erfüllt und eingehalten werden, sind Abmahnungen durch Verbände zunächst weniger wahrscheinlich.
Sollte es doch zu einer Abmahnung kommen, sollte diese sorgfältig daraufhin geprüft werden, ob tatsächlich die geltend gemachten Ansprüche bestehen.
Zudem empfiehlt sich im zweiten Schritt die Vorbereitung eines Standardschreibens, in dem u.a. die eigenen datenschutzrechtlichen Maßnahmen erläutert werden. Das Standardschreiben erleichtert die erste Beantwortung ungemein und zeigt gleichzeitig sehr deutlich die eigene Datenschutzkonformität auf. Zudem schafft das Unternehmen eine einheitliche Struktur im Umgang mit datenschutzrechtlichen Belangen. Auch sollte noch vor Ende Mai mit der Erstellung der Verarbeitungsverzeichnisse i.S.d. Art. 30 EU-DSGVO begonnen werden.
Diese wirksamen Sofortmaßnahmen vermögen zwar vor Abmahnungen erst einmal zu schützen, die Vorgaben der EU-DSGVO müssen aber dennoch mithilfe eines vernünftigen Datenmanagements dauerhaft umgesetzt werden. Unsere Experten für IT- und Datenschutzrecht helfen Ihnen gerne dabei.
Sabine Schmitt
Rechtsanwältin
Manager
Anfrage senden
Profil
