Seit 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO)
Makler dürfen Daten von Immobiliensuchenden ohne gesonderte Erlaubnis verarbeiten, wenn sie rechtlich dazu verpflichtet sind oder die Verarbeitung der Daten zur Vertragserfüllung notwendig ist. Damit der Makler Suchenden ein Exposé zuschicken kann, benötigt er zum Beispiel die E-Mail-Adresse. Zur Anbahnung eines Miet- oder Kaufvertrags sind ebenso einige Daten geschäftsrelevant, etwa die Anzahl der Personen, die in eine Mietimmobilie einziehen sollen, oder der aktuelle Beruf des Interessenten. Auch bestimmte Gesetze, wie das Geldwäschegesetz, verpflichten Makler, Daten von Suchenden zu verarbeiten.
Wann dürfen Immobilienprofis Kundendaten erfassen und verarbeiten?
Die Verarbeitung von Daten, also etwa das Nutzen, Speichern oder Übermitteln, ist für Makler laut Datenschutzgrundverordnung nur dann zulässig, wenn:
- Der betroffene Kunde zustimmt. Dies kann entweder schriftlich oder mündlich erfolgen – der Gesetzgeber verlangt hier keine spezielle Form. Um späteren Streitigkeiten vorzubeugen, empfiehlt sich aber die schriftliche Variante.
- Wenn eine in der DSGVO selbst normierte Ausnahme vorliegt. Eine solche Ausnahme ist insbesondere gegeben, wenn die Verarbeitung der Daten für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist – etwa, wenn der Makler mit einem Wohnungssuchenden in Kontakt tritt und diesen um seine E-Mail-Adresse bittet – beispielsweise um dem Kunden ein Exposé zuschicken zu können. In diesem Fall müssen Makler keine extra Erlaubnis vom Kunden einholen, um die Daten verarbeiten zu können.
- Wenn der Makler rechtlich dazu verpflichtet ist, Daten zu erheben – etwa durch das Geldwäschegesetz. Auch hier ist keine extra Erlaubnis vom Kunden erforderlich.
Wie müssen Makler jetzt mit Personendaten umgehen?
Neben den Regeln, wann eine Datenerfassung zulässig ist und wann nicht, schreibt die DSGVO auch vor, wie Unternehmen mit personenbezogenen Daten umgehen müssen:
- Die Daten müssen auf rechtmäßige und nachvollziehbare Weise verarbeitet werden. Das ist etwa der Fall, wenn die Daten im Rahmen einer Vertragsanbahnung erhoben wurden und in einer Kundendatenbank gespeichert werden.
- Die Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, beispielsweise für die Vermittlung einer Immobilie.
- Die Daten müssen sachlich richtig sein – also korrekter Name, korrekte Anschrift des Kunden.
- Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
- Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der fraglichen Personen nur so lange ermöglicht, wie dies erforderlich ist. Die Daten müssen in der Praxis also leicht zu löschen sein.
- Zudem gilt das Grundprinzip der Datenminimierung. Das bedeutet, dass sämtliche erhobenen Daten auf das notwendige Maß beschränkt werden müssen. Für die Vermittlung einer Immobilie sind E-Mail, Telefonnummer und Adresse des Suchenden wohl erforderlich – seine Haarfarbe oder die Adresse seines Arbeitgebers jedoch eher nicht.
Informationspflichten für Makler
Neben all diesen Vorsichtsmaßnahmen regelt die DSGVO auch, dass Verbraucher immer informiert sein müssen, wenn Daten von ihnen erhoben werden. Das gilt unabhängig davon, ob der Makler eine gesonderte Erlaubnis zur Datenverarbeitung von seinen Kunden benötigt.
Sobald er Daten erhebt, muss ein Makler den betroffenen Personen laut Artikel 13 der DSGVO zum Zeitpunkt der Datenerhebung bestimmte Informationen mitteilen. Wie er das macht, ist Sache des Maklers.
Folgende Informationen müssen aber auf jeden Fall an den Kunden übermittelt werden:
- Identität des betroffenen Kunden
- Kontaktdaten des Datenschutzbeauftragten (falls dieser vorhanden ist; ab einer Unternehmensgröße von zehn Mitarbeitern ist ein Beauftragter vorgeschrieben)
- Falls die Daten weitergegeben werden, die Kontaktdaten des Empfängers
- Verarbeitungszwecke und Rechtsgrundlage
- die Dauer der Speicherung
- die Rechte des Verbrauchers
Verbraucher haben das Recht auf Auskunft über die gespeicherten Daten, außerdem können sie verlangen, dass die Daten gelöscht oder berichtigt werden oder die Verarbeitung einschränken. Auch können sie ihre Einwilligung in die Datenspeicherung jederzeit widerrufen und haben ein Beschwerderecht bei der zuständigen Aufsichtsbehörde. Ausnahme: Der Makler ist aus rechtlichen Gründen verpflichtet, die Daten zu erheben – zum Beispiel wegen des Geldwäschegesetzes.
Technische und organisatorische Maßnahmen zum Datenschutz
Weiter konkretisiert die DSGVO Maßnahmen, die alle Unternehmen ergreifen müssen, um die obigen Anforderungen einzuhalten. So müssen Unternehmen ihre Mitarbeiter im Datenschutz schulen und regelmäßig Kontrollen durchführen, ob die Datenschutzmaßnahmen auch eingehalten werden. Hierbei kann es zum Beispiel sinnvoll sein, sich von Zeit zu Zeit zeigen zu lassen, wie diese Ihre E-Mails verschicken und wo Daten abgelegt werden.Bei Unternehmen, die zehn oder mehr Mitarbeiter haben, die ständig mit der Datenverarbeitung beschäftigt sind, ist zudem die Benennung eines Datenschutzbeauftragten und die Veröffentlichung von dessen Kontaktdaten sowie eine entsprechende Mitteilung an die zuständige Aufsichtsbehörde verpflichtend.
Die DSGVO beschreibt in Artikel 32 Maßnahmen, die für einen angemessenen Schutz von Kundendaten sorgen sollen:
- die Pseudonymisierung und Verschlüsselung personenbezogener Daten
- die Belastbarkeit und Verfügbarkeit der Datenverarbeitungssysteme, Computersysteme müssen also beispielsweise stabil laufen und dürfen nicht fehleranfällig sein
- die Fähigkeit, die Daten bei einem physischen oder technischen Zwischenfall schnell wiederherstellen zu können
- ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der genannten Maßnahmen