Datenschutz ist auch in der Immobilienbewertung ein wichtiges Thema – die Umsetzung dabei einfacher, als man denkt

Seit Mai 2018 gilt mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in allen Ländern der EU ein neues und einheitliches Datenschutzrecht. Die Verordnung findet Anwendung bei der Verarbeitung von personenbezogenen Daten durch Personen und Firmen, die in der Europäischen Union ansässig sind, unabhängig davon, ob die Datenverarbeitung innerhalb der EU oder außerhalb erfolgt.

Der Gesetzgeber hat mit der Verabschiedung dieser Verordnung zwar auf die großen Datensammler wie Facebook, Google, u.a. abgezielt, dennoch gilt das Gesetzeswerk auch für alle kleinen Unternehmen und Vereine. Dabei wird die Anwendung des recht umfangreichen Gesetzes oft als „unverhältnismäßig“ kritisiert. 

Auch in der Immobilienbewertung werden persönliche und vertrauliche Daten verarbeitet, wie zum Beispiel Grundbuchdaten, Mietverträge, WEG-Protokolle, Nebenkostenabrechnungen, Mietabrechnungen, etc.  Diese Daten wiederum sind Bestandteil von Markt- oder Beleihungswertgutachten, die in der Regel auch Angaben zu personenbezogenen Daten beinhalten. 

Daraus resultieren hohe Anforderungen hinsichtlich des Schutzes der zu verarbeitenden persönlichen Daten und die Vertraulichkeit der Kommunikation. Hier sind selbstverständlich auch Immobiliengutachter gefordert, entsprechende Maßnahmen zum Schutz persönlicher Daten zu ergreifen. Es haftet „jeder an einer Verarbeitung beteiligte Verantwortliche für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde“ (§ 82, Abs. 2 DSGVO).  Anders als in der Vergangenheit, kann bei Verstößen gegen den geltenden Datenschutz eine Geldstrafe von bis zu 20 Mio. Euro verhängt werden. 

Aufgrund der noch fehlenden Rechtsprechung zu vagen und unklaren Formulierungen der Verordnung bleibt abzuwarten, wie die Gerichte im Endeffekt entscheiden. Dies hält selbsternannte Datenschützer und Abmahnunternehmen aber nicht davon ab, nach Verstößen zu suchen und Abmahnschreiben zu versenden. In der Immobilienbranche sind davon zurzeit verstärkt Hausverwaltungen betroffen. Das Oberlandesgericht Hamburg hat zwischenzeitlich bestätigt, dass Datenschutzverstöße gegen die DSGVO abgemahnt werden dürfen. (Urteil vom 25.10.2018, Az. 3 U 66/17)

Auch wenn aktuell noch unklar ist, ob und in welchem Umfang überhaupt Sanktionierungen erfolgen, scheint es ausgeschlossen, dass die verabschiedete Datenschutzgrundverordnung zurückgenommen wird. Deshalb ist es empfehlenswert, die notwendigen organisatorischen Maßnahmen Schritt für Schritt einzuführen.

Nachfolgend sind zunächst die – aus meiner Sicht – wesentlichen Punkte der DSGVO zusammengefasst: 

1. Die DSGVO enthält „Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“: 

Personenbezogene Daten müssen demnach …

  • auf rechtmäßige Art und Weise und in einer für die betroffene Person nachvollziehbaren Art und Weise verarbeitet werden 
  • nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
  • dem Zweck angemessen und erheblich sowie auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein
  • sachlich richtig und auf dem neuesten Stand sein
  • in einer Weise gespeichert werden, die die Identifizierung der betreffenden Person nur so lange ermöglicht, wie es erforderlich ist
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet

Die Person oder das Unternehmen, das die Daten erhoben und verarbeitet hat, ist für die Einhaltung der Verordnung verantwortlich und muss dessen Einhaltung nachweisen können. (§ 5 DS-GVO)

2. Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist (§ 6 DS-GVO): 

  • die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten erteilt;
  • die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich;
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  • die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  • die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde

3. Für Sachverständige heißt das konkret:

  • Sicherheit und Verschlüsselung

Die DSGVO verlangt von Organisationen einen angemessenen Schutz für private Daten, von der Verschlüsselung bis hin zu klaren und gut implementierten Sicherheitspraktiken.

  • Verfügbarkeit und Zugang

Privatpersonen haben das Recht, einen vollständigen Überblick darüber zu verlangen, welche Daten gesammelt werden, einschließlich eines Exports dessen, welche Daten eine Organisation über sie hat.

  • Transparenz und Überprüfbarkeit

Auf Wunsch muss eine Organisation nachweisen können, was sie mit den Benutzerdaten macht, wer Zugriff hat (und hatte) und sie muss in der Lage sein, die Daten von Privatpersonen zu ändern oder zu löschen.

4. Zur Erfüllung der Anforderungen der DSGVO sind die nachfolgenden Schritte einzuleiten:

  • Information der Nutzer über Art, Umfang und Zweck der Erhebung personenbezogener Daten auf einer Internetseite, am besten über eine separate Datenschutzerklärung, die nicht im Impressum versteckt ist.
  • Verschlüsselung eines Kontaktformulars auf der Internetseite.
  • Überprüfung, ob die auf der Homepage vorhandenen PlugIns und anderen Dienste DSGVO-konform sind.
  • Anpassung der „Allgemeinen Geschäftsbedingungen“ an die Anforderungen der DSGVO (z.B. zur Einwilligung von personenbezogenen Daten etc.).

Fazit:

Mit der Datenschutzgrundverordnung wurde ein umfassendes Gesetzeswerk zum Schutz der Verbraucher gegen große Datensammler verabschiedet. Der Inhalt der Verordnung ist allerdings von allen Unternehmen anzuwenden und hat zu Unsicherheiten geführt. Aufgrund der noch fehlenden Rechtsprechung zu der Verordnung fehlt aktuell noch die notwendige Rechtssicherheit. Um sich vor Abmahnungen zu schützen, ist es notwendig zu wissen, welche Auswirkungen die DSGVO für Immobiliengutachter und ihre Arbeit hat und welche Maßnahmen zum Schutz personenbezogener Daten zu implementieren sind.

Zur Vertiefung der Thematik und für weitere Informationen verweise ich auf die in der Zeitschrift „Der Sachverständige“ (herausgegeben vom Bundesverband öffentlich bestellter und vereidigter sowie qualifizierter Sachverständiger e.V. b.v.s.) veröffentlichten Fachbeiträge von Verena Wirwohl (Heft 06/2018 und 09/2018) und  Guido Eusani (Heft 12/2018 und 1-2/2019), denen ich die meisten in diesem Beitrag veröffentlichten Informationen entnommen habe. Dem Thema „Datensicherheit im Email-Verkehr“ widme ich mich in diesem Beitrag. Ich bin gespannt auf Ihre Meinung und Ihr Feedback,

Ihr Peter Stokowy