Der 25. Mai 2018 war für Millionen europäische Unternehmen ein bedeutsames Datum. An diesem Tag wurde es tatsächlich ernst mit der Datenschutzgrundverordnung (DSGVO), denn nach einer zwei-jährigen Übergangsfrist entfaltete sie mit diesem Tag ihre volle Wirkung. Gerade für die Immobilienbranche, die stark von Kontakten, Beziehungsgeflechten und Informationsquellen abhängig ist, eine große Herausforderung.
Von Florian Padberg
Der sicher größte Schlag ins Kontor war das Rütteln der DSGVO an den mühsam über die Jahre aufgebauten Adressbeständen — nicht selten gehen diese bei umtriebigen Maklern in die Zehntausende. Die Anforderungen der DSGVO hinsichtlich des „Datenminimierungs-Prinzips“ haben zur Überprüfung gezwungen, auf welche Art und Weise man diese Adressen gewonnen und auf welcher Basis man sie über all die Jahre aufbewahrt und genutzt hat. Passt die Rechtsgrundlage noch? Kann ich die mündliche Einwilligung von 1998 irgendwie nachweisen? Gehe ich korrekt mit Löschaufforderungen um? Viele sahen ihr größtes Asset dahinschwinden.
Betroffenenrechte wie Auskunftsersuchen
Betroffene gingen immer selbstbewusster mit ihren Rechten um: Eine Auskunftsanfrage gemäß Artikel 15 DSGVO konnte ein unvorbereitetes Hausverwalterbüro schon mal zwei Tage auf Trab halten. Es musste geklärt werden, wo man überall Daten von Interessenten und Kunden „verarbeitet“. Und dann blieb noch die Frage: Wie dokumentiere ich die Anfrage eigentlich sauber?
Dokumentation
Die mit der DSGVO ausgelösten Dokumentationspflichten brachten Verarbeitungsverzeichnisse, Auftragsverarbeitungsverträge, Datenschutzfolgenabschätzungen und jede Menge interne Richtlinien und Verpflichtungen mit sich. Ohne professionelle Hilfe war das nicht zu schaffen.
Technik
Auch die Technik hatte so einiges an Datenschutz-Überraschungen parat: Ein Urteil des AG München von Anfang 2022 löste die bis dato größte Abmahnwelle mit Datenschutzfokus aus, bei der ein paar glücksritternde Anwälte von zigtausenden Websitebetreibern wegen der weit verbreiteten eingebundenen Google-Fonts-Dienste mehrere hundert Euro „Stillhaltegebühr“ verlangten. Unter den Betroffenen nicht wenige Makler und Hausverwalter.
Diese Abmahnungen waren sachlich streng genommen korrekt, aber von der Umsetzung standeswidrig, wie sich inzwischen zeigte. Der Aufwand und die Aufregung waren aber da. Und auch die fortwährende Diskussion um die Rechtmäßigkeit des Einsatzes von Microsoft 365 — die noch immer schwelt — trug nicht zum Sicherheitsempfinden der Branchenteilnehmer bei, von denen weit über 90 Prozent diese Produkte nutzen.
Blick in die Zukunft
Was werden die nächsten Jahre im Datenschutz für den Immobilienbereich mit sich bringen? Zum einen ist von einer schrittweisen Annäherung der behördlichen Vorgaben und Auslegungen des Datenschutzrechts auszugehen. Zum anderen ist bei Datenverarbeitungslösungen von strukturellen Anpassungen auszugehen. Die großen IT-Konzerne werden einseitige und intransparente Verarbeitungen in ihrem Angebotsportfolio zugunsten akzeptablerer Prozesse anpassen, um die zunehmenden Bußgeldrisiken in Europa besser in den Griff zu bekommen. Gleichzeitig werden sich bei den Aufsichtsbehörden für hochrelevante und stark verbreitete Tools letztendlich realitätsnähere Vorgabekataloge herausbilden, da eine fortlaufende grundsätzliche Rechtmäßigkeitsdiskussion ohne Bewegung die Akzeptanz der Datenschutzdisziplin im Ganzen schwächen würde.
Allzu große Hoffnungen auf ein langfristig und umfangreich wirkendes Datenschutzabkommen zwischen der EU und den USA als Nachfolger der gescheiterten Safe Harbour- und EU-US Privacy- Shield-Programme sollten sich die hiesigen Unternehmen jedoch nicht machen. Ein solcher Rechtsrahmen wird umgehend wieder zur gerichtlichen Prüfung vor den Europäischen Gerichtshof zitiert werden — und er wird diese Prüfung nicht vollumfänglich bestehen. Die „Verschnaufpause“ für den Einsatz von US-Tools ohne technisch separierte EU-Ableger ist also begrenzt. Es empfiehlt sich daher, die hoffentlich bei vielen bereits initiierte Suche nach stabileren Alternativen aus sicheren Rechtsräumen fortzuführen. Die Angebote werden umfangreicher werden.
Wenn wir schon von Tools sprechen: Die von der DSGVO geforderten Prinzipien des Privacy by Design und by Default, die sich am ehesten durch geeigneten Aufbau der Softwaresysteme erreichen lassen, werden an Relevanz zunehmen. Lösungsanbieter werden neben dem Aufwand für den Umbau auch die Chancen erkennen, die ihnen derart gestaltete Produkte im Markt bieten.
Ein gewisses Fragezeichen steht hinter der Hoffnung, dass zunehmende Gerichtsentscheidungen zu Datenschutzthemen wirklich dazu führen werden, die teils unkonkreten Aussagen der DSGVO interpretationsfreier und handfester zu machen. Eine solche Aufgabenteilung zwischen Legislative und Judikative ist zwar der Anspruch im Regulierungsumfeld, es hat sich aber in den letzten fünf Jahren gezeigt, dass dieser Anspruch nur sehr bedingt erfüllt wurde. Eine echte Trendwirkung wird sicher noch ein bisschen auf sich warten lassen.
Ein weiterer wichtiger Punkt in den kommenden Jahren, bei dem der Datenschutz eine Rolle spielt, ist die Informationssicherheit. Es ist zu erwarten, dass der Gesetzgeber hier verstärkte Vorgaben erlassen wird. Verstärkte Hacking-Angriffe und Datendiebstahl werden Unternehmen dazu zwingen, sich intensiver mit diesem Thema auseinanderzusetzen.
Fazit
Eines ist sicher: Das Thema Datenschutz und die DSGVO „sind gekommen, um zu bleiben“. Nur diejenigen Akteure in der Immobilienbranche werden die operative Belastung in den Griff bekommen, die sich darauf einlassen und ihre Abläufe entsprechend angemessen auf die grundsätzlichen Anforderungen ausrichten. Ein etablierter Regelprozess ist deutlich leichter zu handhaben als punktuelle Aufwandsspitzen. Packen Sie es an, dann packt es Sie nicht zum
falschen Zeitpunkt!
Bildnachweis: depositphotos/limbi007