Bundesdatenschutzgesetz Handlungsempfehlungen für Makler, Verwalter und Sachverständige. Hans-Joachim Beck IVD Bundesverband

Transkript

1 Bundesdatenschutzgesetz Handlungsempfehlungen für Makler, Verwalter und Sachverständige Hans-Joachim Beck IVD Bundesverband

2 Grundsätze Erforderlichkeit Datenerhebung muss erlaubt sein. 5 GwG, Vertragszweck ( 28 BDSG) Datensparsamkeit nur soviel wie nötig Zweckbindung nur zu dem Zweck, der die Datenerhebung rechtfertigt Transparenz Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 2

3 Datenschutzbeauftragter Erforderlich erst in Unternehmen mit 10 Beschäftigten Datenschutzbeauftragter intern oder extern Fachkunde Zuverlässigkeit Keine Interessenkollision Interne Datenschutzbeauftragter ist nicht kündbar Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 3

4 Registeranmeldung Grundsätzlich nicht erforderlich, wenn höchstens 9 Personen tätig sind. Ausnahmen Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 4

5 Verfahrensverzeichnis In jedem Fall 1. Name oder Firma der verantwortlichen Stelle, 2. Inhaber, Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung des Unternehmens berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen, 3. Anschrift der verantwortlichen Stelle, 4. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung, 5. Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien, 6. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können, 7. Regelfristen für die Löschung der Daten, 8. Geplante Datenübermittlung in Drittstaaten. Nicht zu veröffentlichen 9. Allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach 9 BDSG zur Gewährleistung der Sicherheit der Verarbeitung angemessen sind, 10. Angabe der zugriffsberechtigten Personen Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 5

6 Vordrucke Vordrucke finden sie auf der Internetadresse des Datenschutzbeauftragten im Adressfeldhttp:// Empfehlenswert auch: Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 6

7 Verpflichtung auf das Datengeheimnis Gemäß 5 Satz 2 BDSG muss jedes Unternehmen seine Mitarbeiter, die für die Verarbeitung personenbezogener Daten verantwortlich sind, bei Aufnahme der Tätigkeit schriftlich auf das Datengeheimnis verpflichten.

8 Erhebung von Daten Die Erhebung, Verarbeitung und Nutzung der Daten ist gemäß 4 Abs. 1 BDSG nur zulässig, wenn eine Rechtsvorschrift dies zulässt oder eine Einwilligung der betroffenen Person vorliegt. Außerdem dürfen gemäß 28 Abs. 1 Nr. 1 BDSG Daten erhoben werden, wenn und soweit dies für die Begründung und Abwicklung eines Vertrages erforderlich ist. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 8

9 Online Kontaktformular Personenbezogene Daten dürfen nur mithilfe einer HTTPS-verschlüsselung bzw. der Verschlüsselungstechnik Perfect Forward Security übertragen werden. TLS Verschlüsselung (Transport Layer Security) Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 9

10 Datensparsamkeit Von dem Kaufinteressenten dürfen nur diejenigen Daten verlangt werden, die in dem jeweiligen Stadium des Prozesses erforderlich sind. Geldwäschegesetz Verkauf einer Immobilie Kaufinteressent Pflicht zur Identifizierung Erlaubnis zum Kopieren des Ausweises Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 10

11 Verkauf einer Immobilie 1. Kaufinteressent Übersendung des Exposés Lediglich Namen Kontaktdaten Besichtigungstermin Name Kontaktdaten + Finanzierungsnachweis Zum Schutz des Verkäufers vor Touristen Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 11

12 Verkauf einer Immobilie 2. Kaufinteressent Kaufverhandlung Objektbezogener Finanzierungsnachweis Einkommensnachweis Schufa-Auskunft Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 12

13 Verkauf einer Immobilie 3. Kaufinteressent Weitergabe der Daten des Kaufinteressenten an den Verkäufer Die Daten des Kaufinteressenten dürfen an den Verkäufer weitergegeben werden. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 13

14 Gemeinschaftsgeschäft Weitergabe der Daten an den Partner des Gemeinschaftsgeschäftes ist zulässig Keine Einwilligung erforderlich Aber: Information Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 14

15 Löschung der Daten Kaufinteressent Maklervertrag beendet (Kauf oder kein Kauf) BDSG: sofort löschen (2-3 Monate) GwG: 5 Jahre aufbewahren MaBV: 5 Jahre Steuerrecht: 10 Jahre aufbewahren Anders nur Anschließender Suchauftrag Konsequenz: Getrennte Speicherung Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 15

16 Mietvertrag Wohnungssuchender Nach GwG keine Verpflichtung zur Feststellung der Identität Erhoben werden dürfen nur die Daten, die zur Durchführung des Vertrages erforderlich sind ( 28 Abs. 1 Nr. 1 BDSG) Eine Einwilligung des Wohnungssuchenden ist gemäß 4 a Abs. 1 Satz 1 BDSG unbeachtlich, wenn die Wohnung in knappen Märkten liegt. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 16

17 Mietvertrag Wohnungssuchender Arbeitshilfen Merkblatt des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit : Datenerhebung bei der Vermietung von Wohnraum, wonach der Vermieter nicht fragen darf Orientierungshilfe zur Einholung von Selbstauskünften bei Mietinteressenten des Düsseldorfer Kreises vom 27. Januar 2014 Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 17

18 Mietvertrag Wohnungssuchender Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 18

19 Mietvertrag Wohnungssuchender Vor dem Besichtigungstermin lediglich Namen des Mietinteressenten und seine Kontaktdaten Ist die Wohnung noch von dem Vormieter bewohnt, sind allerdings auch dessen schutzwürdige Interessen zu berücksichtigen. Der Makler muss vermeiden, dass die Wohnung von Personen besichtigt wird, die nicht als Mieter nicht in Betracht kommen. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 19

20 Mietvertrag Wohnungssuchender Mieterauswahl Hat der Wohnungssuchende die Wohnung besichtigt und sein Interesse am Abschluss eines Mietvertrages bekundet: weitere Angaben zur Identität, Anzahl der einziehenden Personen, Namen der einziehenden Personen für die Wohnungsgeberbescheinigung Beruf und Arbeitgeber, Einkommensverhältnisse, etwaige Privatinsolvenz, mögliche Bürgen für die Miete. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 20

21 Bei Vertragsabschluss Mietvertrag Wohnungssuchender weitere Daten des potentiellen Mieters wie insbesondere: Nachweis der Einkommensverhältnisse, Bank- und Kontodaten. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 21

22 Mietvertrag Wohnungssuchender Sollte der Mietinteressent eine Ausweiskopie vorlegen, muss er darauf hingewiesen werden, dass nach der Anfertigung einer Ausweiskopie ein Teil der Daten, die der Ausweis enthält, zu schwärzen ist. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 22

23 Mietvertrag Wohnungssuchender Löschung der Daten Kein Mietvertrag Löschung der Daten es sei denn Suchauftrag Abschluss des Mietvertrages: Makler: Löschung der Daten Ausnahme: Steuerrecht Vermieter: Keine Löschung Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 23

24 Mietvertrag Nachbarn Dem Wohnungssuchenden dürfen die Namen und Daten der Mitmieter nicht genannt werden. Dem Käufer einer Eigentumswohnung dürfen die Namen und Daten der Miteigentümer erst nach dem Kauf mitgeteilt werden aber die Beschlusssammlung Dem Käufer eines vermieteten Objekts dürfen vor Abschluss des Kaufvertrages die Mieterliste ausgehändigt werden ggf. auch die Mietverträge Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 24

25 Fotos Fotos der Wohnung sind zulässig, auch wenn diese noch vermietet ist. Ist die Wohnung noch vermietet, sollte der Mieter anwesend sein. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 25

26 Technische und organisatorische Maßnahmen zum Schutz der Daten Das Unternehmen muss gemäß 9 BDSG technische und organisatorische Maßnahmen treffen, um die Daten wirksam zu schützen. Dazu schreibt das BDSG in der Anlage zu 9 folgende Maßnahmen vor: Zutrittskontrolle Dies wird üblicherweise durch die Eingabe von Login-Namen und Passwort erreicht. Die Zugangskontrolle kann aber auch durch eine Magnet oder Chipkarte sichergestellt werden. Zugriffskontrolle Dies kann z. B. durch differenzierte Berechtigungen bei der Nutzung der Software erreicht werden. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 26

27 Technische und organisatorische Maßnahmen zum Schutz der Daten Weitergabekontrolle In der Praxis kann die Weitergabekontrolle mit Hilfe einer Verschlüsselung erreicht werden. Die Webseite (z.b. per Online-Formular) besitzt eine https-verschlüsselung mit Perfect Forward Secrecy, der eingesetzte Server unterstützt die Transportverschlüsselungstechnik STARTTLS, der eingesetzte Server unterstützt die Verschlüsselungstechnik Perfect Forward Secrecy. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 27

28 Technische und organisatorische Maßnahmen zum Schutz der Daten Verfügbarkeitskontrolle Die Daten müssen gegen zufällige Zerstörung oder Verlust geschützt sein. Dies geschieht in der Regel durch fachgerechte regelmäßige Datensicherung, aber auch durch einen Notfallplan und durch Virenschutz. Back-up Verfahren Spiegeln von Festplatten Unterbrechungsfrei Stromversorgung Getrennte Aufbewahrung Virenschutz /Firewall Notfallplan Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 28

29 Getrennte Verarbeitung Zu unterschiedlichen Zwecken erhobene Daten müssen grundsätzlich auch getrennt verarbeitet werden können. 28 BDSG 5 GwG, 10, 14 MaBV Steuerrecht Ausweiskopien sollten getrennt aufbewahrt werden mit einem Hinweis auf das Objekt Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 29

30 Verpflichtung auf das Datengeheimnis Gemäß 5 Satz 2 BDSG muss jedes Unternehmen seine Mitarbeiter, die für die Verarbeitung personenbezogener Daten verantwortlich sind, vor bzw. bei der Aufnahme der Tätigkeit schriftlich auf das Datengeheimnis verpflichten. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 30

31 Auftragsdatenverarbeitung Mit Auftragnehmern, die als Dienstleistungsunternehmen personenbezogene Daten weisungsgebunden im Auftrag für das Unternehmen verarbeiten muss ein Vertrag abgeschlossen werden, der den Voraussetzungen des 11 Abs. 2 BDSG entspricht. Dabei handelt es sich z. B um Rechenzentren, Cloud-Computing- Dienstleister, IT-Wartungsunternehmen, Drucker Wartungsunternehmen Heizkostenabrechnung Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 31

32 Datenträgervernichtung Auch bei der Vernichtung der Datenträger muss das Unternehmen sicherstellen, dass alle technischen und organisatorischen Maßnahmen zum Schutz der Daten umgesetzt werden. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 32

33 Broschüre Preis für Nichtmitglieder: 14,95 Euro Für Mitglieder: 4.95 Zu bestellen auf dem IVD-Webshop unter: Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 33

34 Zusammenfassung Gibt es einen Datenschutzbeauftragten und ist dieser formal bestellt? Wie sieht es mit der Fachkunde, Zuverlässigkeit, Interessenskonflikte etc. aus? Sind bei Ihnen im Betrieb alle gemäß 5 BDSG und zur Geheimhaltung verpflichtet? schriftlicher Vertrag notwendig mit demjenigen, der Daten verarbeitet der Auftraggeber muss sich von der Einhaltung der Maßnahmen überzeugen (Vor-Ort-Prüfung, Audits, Fragebogen ) Umsetzung der technischen und organisatorischen Schutzmaßnahmen gemäß 9 BDSG Erstellen von Verfahrensverzeichnissen 4 BDSG Erstellung von Datenschutzerklärung z.b. für Webseite / Portale / Social Networks um die Transparenz und Nachvollziehbarkeit darzustellen. Donnerstag, 3. November 2016 Hans-Joachim Beck, IVD 34