Article

Die EU-Datenschutzgrundverordnung - ist die Immobilienwirtschaft vorbereitet?

Ab dem 25. Mai 2018 gilt die DSGVO

Auch in der Immobilienwirtschaft sind personenbezogene Daten und das Netzwerk von Geschäftspartnern nicht nur ein wesentliches Element bestehender Geschäftsmodelle, sondern stehen darüber hinaus im Mittelpunkt, wenn es um zukünftige Geschäftsmodelle geht. Die zunehmende Digitalisierung der Branche führt zu einem drastischen Anstieg der Menge der verarbeiteten Daten und einer Vervielfachung der Nutzungsmöglichkeiten. Gleichzeitig zählt die Immobilienwirtschaft zu einer der Branchen, die im vergangenen Jahr verstärkt von systematischen Prüfungen durch die Datenschutzbehörden betroffen waren.

Die EU-Datenschutzgrundverordnung (DSGVO) und neue nationale Datenschutzregelungen bringen ab dem 25. Mai 2018 erhebliche Änderungen im Datenschutzbereich mit sich. Aufgrund der massiv erhöhten Bußgeldandrohungen sowie der Ausweitung einschlägiger Nachweispflichten (Accountability) entsteht erheblicher Handlungsdruck – auch und gerade für die Immobilienwirtschaft.


Bis Mai 2018 muss konzernweit ein nachweisbarer Umsetzungsgrad erreicht sein. Hierzu ist es erforderlich, ein Umsetzungskonzept nachzuweisen und bis dahin mögliche Umsetzungsschritte vollzogen zu haben. Eine Vielzahl von Unternehmen in Europa sieht sich nach eigenen Angaben noch nicht in der Lage, die erforderlichen Nachweise bis zum Ablauf der Umsetzungsfrist erbringen zu können.


Um ein Umsetzungskonzept zu gewährleisten und die optimale Umsetzung des neuen Datenschutzgesetzes zu garantieren, ist es von Bedeutung folgende grundlegende Themenbereiche bzw. Fragestellungen zu berücksichtigen:
 

  • Sind interne Guidelines und Policies auf dem aktuellen Stand?
  • Sind das Verfahrensverzeichnis und weitere relevante Dokumentationen aktuell und vollständig und zum Nachweis der Einhaltung des neuen Datenschutzgesetzes ausreichend?
  • Sind die Datenverarbeitung und die Weitergabe an Dritte zulässig, dürfen die Daten an Drittstaaten übermittelt werden?
  • Entsprechen die Technisch-Organisatorischen Maßnahmen (TOMs) den Anforderungen von Art. 25 und 32 DSGVO? Gibt es ein Managementsystem zur regelmäßigen Überprüfung und Verbesserung der TOMS?
  • Werden Privacy by Design und Privacy by Default umgesetzt?
  • Sind Meldewege und Abhilfen bei Datenschutzverstößen geklärt?
  • Wird der Grundsatz der Datenminimierung beachtet?
  • Gibt es ein Löschkonzept?
  • Können die Betroffenenrechte wie Information, Auskunft, Berichtigung, Löschung/Sperrung, Widerruf und Datenportabilität innerhalb der Fristen und ohne wesentlichen Aufwand ordnungsgemäß umgesetzt werden?
  • Entsprechen die Vereinbarungen mit Auftragsverarbeitern, Verbund- und Kooperationspartnern den neuen Anforderungen?

Die hier nicht abschließend aufgeführte Vielzahl der Anforderungen in rechtlicher, organisatorischer, prozessualer und technischer Hinsicht macht den Einstieg in und die erfolgreiche Durchführung von DSGVO-Projekten zu einer komplexen Aufgabe. Deshalb bedarf es – auch in laufenden Projekten – einer kontinuierlichen und konsequenten Prüfung und Sicherstellung der Erreichung kritischer Milestones sowie der Durchführung kurzfristiger Maßnahmen um ausreichend auf das Inkrafttreten der DSGVO vorbereitet zu sein.

Ihre Ansprechpartner

Stefan Buchholz 
Director | Risk Advisory
stbuchholz@deloitte.de

Dr. Söntje Julia Hilberg 
Partner | Deloitte Legal
shilberg@deloitte.de