44
VERMARKTUNG & MANAGEMENT
I
TITELTHEMA
Es muss der Zeitpunkt der Benennung angegeben werden. In
einigen Bundesländern wird zusätzlich die Dauer der Bestellung
abgefragt, sodass automatisch ausgelesenwerden kann, wenn eine
Erneuerung dieser Nennung an die Aufsichtsbehörden ausbleibt.
Aktuell haben mehrere Bundesländer angegeben, dass sie
bis Ende August 2018 keine Bußgelder verhängen werden, wenn
die Benennung des Datenschutzbeauftragten an die Behörden
verspätet erfolgt. Im Umkehrschluss bedeutet dies, dass danach
Bußgelder verhängt werden, wenn die Benennung unterbleibt.
Dies alles wird in die Gesamtbemessung eines Bußgeldes Eingang
finden, wenn eine Untersuchung stattfindet. Handlungsbedarf ist
also bei Firmen geboten, bei denen die Benennung noch nicht
erfolgt ist oder bei denen die Bestellung des Datenschutzbeauf-
tragten noch erfolgen muss.
beimDatenschutz in denUnternehmen ist. Deshalb ist die Schaf-
fung einer datenschutzfreundlichenUmwelt in denUnternehmen
so wichtig.
Fehlender Datenschutzbeauftragter:
Bußgelder drohen
Eine erste Auskunft können die Aufsichtsbehörden schon be-
kommen, bevor sie das erste Mal an die Unternehmen schreiben.
Hat das Unternehmen einen Datenschutzbeauftragten benannt
oder nicht? Abgesehen davon, dass der Datenschutzbeauftragte
auf derWebseite in der eigenenDatenschutzerklärung zu nennen
ist, muss dieser auch bei der Aufsichtsbehörde angemeldet wer-
den. Diese Anmeldung erfolgt durch denVerantwortlichen (oder
durch den Datenschutzbeauftragten) bei der Aufsichtsbehörde.
«
Sven R. Johns, Rechtsanwalt, Berlin
1.
Rechtmäßigkeit der Verarbeitung von
Daten erforderlich – Art. 5/6/7 DSGVO
Personenbezogene Daten dürfen nur dann
verarbeitet werden, wenn diese Verarbeitung
rechtmäßig erfolgt. Das sind: gesetzliche
Verpflichtung zur Verarbeitung der Daten (z.B.
Gesetz über das Aufspüren von Gewinnen aus
schweren Straftaten, Makler- und Bauträger-
VO u.ä.) – Art. 6 Abs. 1 Satz 1 Buchst. c),
vorvertragliche oder vertragliche Maßnahmen
– Art. 6 Abs. 1 Satz 1 Buchst. b), ausdrückliche
Einwilligung – Art. 6 Abs. 1 Satz 1 Buchst. a),
Verarbeitung der Daten im öffentlichen Interes-
se (z. B. Gerichtsgutachten) – Art. 6 Abs. 1 Satz 1
Buchst. e), oder Werbezwecke – Art. 6 Abs. 1
Satz 1 Buchst. f) DSGVO.
2.
Informationspflicht bei Datenerhebung –
Art. 13 DSGVO
Immobilienfirmen müssen ihre Kunden von sich
aus darüber informieren, dass sie personenbe-
zogene Daten verarbeiten.
3.
Auskunftsrecht des Kunden, welche
Daten gespeichert sind – Art. 15 DSGVO
Jede betroffene Person hat das Recht zu erfra-
gen, welche Daten von den Immobilienfirmen
gespeichert sind und verarbeitet werden.
4.
Recht zur Berichtigung der verarbeiteten
Daten – Art. 16 DSGVO
Sind die Daten nicht korrekt, kann verlangt
werden, dass diese korrigiert werden.
5.
Recht zum Löschen von Daten –
Art. 17 DSGVO
Werden Daten verarbeitet und die betroffene
Person ist damit nicht einverstanden, kann
diese die Löschung der Daten (rückstandsfreie
Vernichtung von elektronischen und Papierak-
ten) verlangen.
6.
Berücksichtigung Datenschutz bei neuen
Maßnahmen – Art. 25 DSGVO
Bei allen neuen Maßnahmen in Unternehmen
muss der Datenschutz „mitgedacht“ werden.
7.
Die Bestellung des Datenschutzbeauf
tragten – Art. 37/38/39 DSGVO
In Immobilienfirmen, in denen mehr als neun
Personen Zugriff auf personenbezogene Daten
haben, muss von Gesetzes wegen ein Daten-
schutzbeauftragter erstellt werden.
8.
Sicherungsmaßnahmen einhalten –
Art. 32 DSGVO
Dazu zählen die Verschlüsselung von Da-
ten bei der Sicherung und Übertragung, die
Pseudonymisierung von Datensätzen u. a. Alle
Maßnahmen werden als sog. TOMs „Technische
und organisatorische Maßnahmen“ zusammen-
gefasst.
9.
Meldepflicht bei Datenschutz-
verletzungen – Art. 33 DSGVO
Innerhalb von 72 Stunden muss bei einer
Datenschutzverletzung die Meldung an die
zuständige Aufsichtsbehörde erfolgen, z. B. bei
Einbruchdiebstahl von Server, PCs, Festplatten
usw., bei Phishing von Daten, Verlust von grö-
ßeren Daten, einem Hackerangriff usw.
10.
Verarbeitungsverzeichnis führen –
Art. 28 DSGVO
Die wichtigsten Verarbeitungstätigkeiten wer-
den in diesem Verzeichnis beschrieben.
11.
Datenschutzfolgeabschätzung –
Art. 35 DSGVO
Bei künftigen Maßnahmen, die Auswirkungen
auf Rechte und Freiheiten von Personen haben,
muss eine Datenschutzfolgeabschätzung
vorgenommen werden. Wann ist das der Fall?
Das werden die Aufsichtsbehörden demnächst
kommunizieren.
12.
Datenschutzfreundliche
Grundeinstellungen
Es gilt der Grundsatz der datenschutzfreund-
lichen Grundeinstellungen, wonach z. B.
keine Voreinstellungen in Kontaktformularen
o. Ä. gesetzt sein dürfen. Alle Erklärungen
müssen von der betroffenen Person allein
ausgehen.
BLICK INS GESETZ
Die wichtigsten Pflichten aus der DSGVO im Überblick