DSGVO für Immobilienmakler

Die Digitalisierung und der zunehmende Umfang der Datenerhebung prägen den Alltag von Immobilienmaklern. Mit der europaweiten Einführung der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 sind die Anforderungen an den Umgang mit personenbezogenen Daten erheblich gestiegen. Für Immobilienmakler bedeutet dies eine genaue Prüfung der eigenen Prozesse und die Sicherstellung, dass alle datenschutzrechtlichen Vorgaben eingehalten werden. Dies betrifft nicht nur den Schutz der Daten von Interessenten, Eigentümern und Mietern, sondern auch die eigene Dokumentation und die Zusammenarbeit mit Dienstleistern. Die Nichteinhaltung der DSGVO kann erhebliche Bußgelder und Reputationsschäden nach sich ziehen. Ziel dieses Ratgebers ist es, Immobilienmaklern einen praktischen Überblick über die wichtigsten Aspekte der DSGVO zu geben und Handlungsempfehlungen für den Makleralltag aufzuzeigen.

Grundlagen der DSGVO und Relevanz für Immobilienmakler

Die DSGVO ist eine Verordnung der Europäischen Union, die den Schutz personenbezogener Daten natürlicher Personen regelt. Sie zielt darauf ab, die Rechte und Freiheiten der Individuen in Bezug auf die Verarbeitung ihrer Daten zu stärken. Für Immobilienmakler ist die DSGVO besonders relevant, da sie im Rahmen ihrer Tätigkeit regelmäßig eine Vielzahl personenbezogener Daten erhebt, speichert und verarbeitet. Dazu gehören beispielsweise Namen, Adressen, Telefonnummern, E-Mail-Adressen, aber auch finanzielle Informationen oder Auskünfte über Familienverhältnisse. Jede Information, die sich auf eine identifizierbare natürliche Person bezieht, gilt als personenbezogenes Datum und unterliegt den Bestimmungen der DSGVO. Die Verarbeitung solcher Daten muss stets auf einer rechtmäßigen Grundlage erfolgen.

Die Einhaltung der DSGVO ist für Immobilienmakler nicht nur eine rechtliche Pflicht, sondern kann auch einen Wettbewerbsvorteil darstellen. Kunden legen Wert auf den Schutz ihrer persönlichen Daten und vertrauen eher einem Makler, der transparent und verantwortungsbewusst mit diesen umgeht. Die DSGVO erfordert ein hohes Maß an Verantwortlichkeit und Transparenz im Umgang mit Kundendaten. Dazu gehören die Implementierung technischer und organisatorischer Maßnahmen, die regelmäßige Überprüfung der Datenschutzprozesse sowie die umfassende Information der betroffenen Personen über die Datenverarbeitung.

Rechtsgrundlagen für die Datenverarbeitung

Bevor personenbezogene Daten von potenziellen Kunden, Eigentümern oder anderen beteiligten Parteien verarbeitet werden dürfen, muss eine klare Rechtsgrundlage dafür vorliegen. Die DSGVO nennt hierfür mehrere Möglichkeiten. Die relevantesten Rechtsgrundlagen für Immobilienmakler sind in der Regel die Einwilligung der betroffenen Person und die Erfüllung eines Vertrages oder vorvertraglicher Maßnahmen.

• —Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Die betroffene Person hat ihre informierte Einwilligung für einen oder mehrere bestimmte Zwecke erteilt. Diese muss freiwillig, widerrufbar und dokumentierbar sein.
• —Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich (z.B. Maklervertrag, Mietvertrag, Kaufvertrag).
• —Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (z.B. Geldwäschegesetz, handels- und steuerrechtliche Aufbewahrungspflichten).
• —Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. Dies bedarf einer sorgfältigen Interessenabwägung.

Es ist entscheidend, für jede Datenverarbeitung die passende Rechtsgrundlage zu identifizieren und zu dokumentieren. Eine pauschale Einwilligung für alle zukünftigen Verarbeitungen ist in der Regel nicht ausreichend. Makler sollten prüfen, welche Daten für welchen Zweck erhoben werden und ob die gewählte Rechtsgrundlage dafür tragfähig ist.

Informationspflichten und Transparenz

Ein zentraler Pfeiler der DSGVO ist das Prinzip der Transparenz. Makler sind verpflichtet, betroffene Personen umfassend darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden. Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache übermittelt werden. Die sogenannte Datenschutzerklärung ist hierfür das primäre Instrument.

• —Identität und Kontaktdaten des Verantwortlichen (Maklerbüro).
• —Zwecke der Datenverarbeitung und die Rechtsgrundlage hierfür.
• —Kategorien der erhobenen personenbezogenen Daten.
• —Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (z.B. Gutachter, Banken, Notare).
• —Absicht der Übermittlung von Daten in Drittstaaten.
• —Dauer der Datenspeicherung oder die Kriterien für deren Festlegung.
• —Hinweis auf die Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit, Beschwerderecht).
• —Information über das Bestehen oder Nichtbestehen einer automatisierten Entscheidungsfindung einschließlich Profiling.

Die Datenschutzerklärung sollte sowohl auf der Webseite des Maklerbüros leicht auffindbar sein als auch bei der ersten Datenerfassung (z.B. bei der Aufnahme in die Interessentenkartei oder bei der Unterzeichnung des Maklervertrags) den betroffenen Personen aktiv zur Kenntnis gebracht werden. Eine mündliche Information ist in der Regel nicht ausreichend; die Schriftform oder eine vergleichbare elektronische Form wird dringend empfohlen.

Rechte der betroffenen Personen

Die DSGVO stärkt die Rechte der Verbraucher bezüglich ihrer Daten erheblich. Immobilienmakler müssen in der Lage sein, diesen Rechten fristgerecht und vollständig nachzukommen. Eine gute interne Organisation und Dokumentation sind hierfür unerlässlich. Die wichtigsten Rechte sind:

• —Auskunftsrecht (Art. 15 DSGVO): Betroffene Personen können Auskunft darüber verlangen, ob und welche ihrer Daten verarbeitet werden.
• —Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Daten verlangen.
• —Recht auf Löschung ('Recht auf Vergessenwerden', Art. 17 DSGVO): Unter bestimmten Voraussetzungen können Daten gelöscht werden müssen, z.B. wenn der Zweck der Speicherung entfallen ist oder die Einwilligung widerrufen wurde.
• —Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): In bestimmten Fällen kann die weitere Verarbeitung der Daten eingeschränkt werden.
• —Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Betroffene Personen haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese einem anderen Verantwortlichen zu übermitteln.
• —Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung ihrer Daten unter bestimmten Umständen widersprechen, insbesondere bei Direktmarketing.
• —Widerrufsrecht der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine einmal erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Makler müssen interne Prozesse etablieren, um Anfragen bezüglich dieser Rechte zeitnah bearbeiten zu können. Die Frist für die Beantwortung solcher Anfragen beträgt in der Regel einen Monat.

Technische und Organisatorische Maßnahmen (TOM)

Um die Sicherheit personenbezogener Daten zu gewährleisten, sind Makler verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zu ergreifen. Diese sollen sicherstellen, dass Daten vor unbefugtem Zugriff, Verlust, Zerstörung oder Beschädigung geschützt sind. Die Auswahl der TOMs hängt von der Art, dem Umfang, den Umständen und den Zwecken der Verarbeitung sowie von der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen ab (Risikobasierter Ansatz).

• —Verschlüsselung von Daten, insbesondere bei Übertragung und Speicherung.
• —Pseudonymisierung, wo immer möglich und sinnvoll.
• —Zugangskontrollen (physisch und elektronisch) zum Schutz vor unbefugtem Zugriff.
• —Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs.
• —Sichere Software und regelmäßige Updates für Systeme und Anwendungen.
• —Regelmäßige Datensicherung und Wiederherstellungsmöglichkeiten.

Ein wesentlicher Bestandteil der TOMs ist auch die Sensibilisierung und Schulung der Mitarbeiter im Umgang mit personenbezogenen Daten. Jeder Mitarbeiter, der Zugang zu personenbezogenen Daten hat, muss die Datenschutzbestimmungen kennen und einhalten.

Datenschutzfolgeabschätzung und Auftragsverarbeitung

Unter bestimmten Umständen, insbesondere bei neuen Technologien und voraussichtlich hohem Risiko für die Rechte betroffener Personen, müssen Makler eine Datenschutz-Folgeabschätzung (DSFA) durchführen. Typischerweise ist dies der Fall, wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) oder eine umfassende Bewertung persönlicher Aspekte von Personen basierend auf automatisierten Prozessen erfolgt (z.B. umfangreiches Profiling). In der Immobilienbranche kommt dies meist bei sehr spezifischen Geschäftsmodellen vor und ist nicht Standard für jede Immobilienanzeige. Es ist jedoch wichtig, den Bedarf im Einzelfall zu prüfen.

Eine weitere wichtige Rolle spielt die Auftragsverarbeitung. Viele Makler nutzen externe Dienstleister für IT-Services, Webhosting, CRM-Systeme oder die Archivierung von Dokumenten. Wenn diese Dienstleister personenbezogene Daten im Auftrag des Maklers verarbeiten, handelt es sich um eine Auftragsverarbeitung. Hierfür ist der Abschluss eines schriftlichen Vertrags zur Auftragsverarbeitung (AVV) gemäß Art. 28 DSGVO zwingend erforderlich. Dieser Vertrag regelt die Pflichten und Verantwortlichkeiten des Auftragsverarbeiters und stellt sicher, dass die Datenschutzvorgaben auch bei Dritten eingehalten werden. Ohne einen gültigen AVV verstoßen Makler unmittelbar gegen die DSGVO.

Umgang mit Datenpannen und Aufbewahrungsfristen

Im Falle einer Datenschutzverletzung, auch als Datenpanne bekannt, sind Immobilienmakler unter bestimmten Umständen zur Meldung verpflichtet. Eine Datenpanne ist jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von oder zum unbefugten Zugriff auf personenbezogene Daten führt. Bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen muss die zuständige Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden der Verletzung gemeldet werden. Bei einem sehr hohen Risiko müssen auch die betroffenen Personen informiert werden. Ein klar definierter Notfallplan für den Umgang mit Datenpannen ist daher essenziell.

Darüber hinaus sind Makler verpflichtet, personenbezogene Daten nur so lange zu speichern, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist. Nach Erfüllung des Zwecks oder Ablauf gesetzlicher Aufbewahrungsfristen müssen die Daten gelöscht oder anonymisiert werden. Relevante Aufbewahrungsfristen ergeben sich oft aus anderen Gesetzen, z.B. dem Handelsgesetzbuch (HGB) oder der Abgabenordnung (AO), die für geschäftliche Unterlagen typischerweise sechs oder zehn Jahre betragen können. Es ist ratsam, ein transparentes Löschkonzept zu entwickeln und umzusetzen.

Fazit

Die DSGVO stellt für Immobilienmakler eine umfassende gesetzliche Grundlage für den Schutz personenbezogener Daten dar. Die Einhaltung der Bestimmungen ist nicht nur eine rechtliche Notwendigkeit, sondern stärkt auch das Vertrauen der Kunden und schützt vor empfindlichen Bußgeldern. Makler sollten ihre Datenverarbeitungsprozesse genau analysieren, rechtliche Grundlagen für jede Verarbeitung festlegen, transparente Datenschutzerklärungen bereitstellen, den Rechten der betroffenen Personen nachkommen, geeignete technische und organisatorische Maßnahmen implementieren und Auftragsverarbeitungsverträge prüfen. Ein proaktiver und strukturierter Ansatz in der Umsetzung der DSGVO sichert nicht nur die Compliance, sondern positioniert das Maklerunternehmen auch als verantwortungsbewussten und vertrauenswürdigen Partner im Immobilienmarkt. Regelmäßige Schulungen der Mitarbeiter und die ständige Überprüfung der Prozesse sind dabei unerlässlich, um den dynamischen Anforderungen des Datenschutzes gerecht zu werden.