Die DSGVO verpflichtet Unternehmen, Selbständige und Freiberufler detailliert zu dokumentieren, wie sie personenbezogene Daten verarbeiten, um bei Auskunftsersuchen schnell und korrekt reagieren zu können. Unternehmen müssen beweisen, dass sie datenschutzkonform handeln, was eine Herausforderung darstellt, da sie bei Beschwerden nur eine kurze Frist zur Vorlage der Beweise haben. 

Das Auskunftsrecht nach Art. 15 DSGVO ermöglicht es Betroffenen, detaillierte Informationen über die Verarbeitung ihrer Daten zu verlangen. Unternehmen müssen selbst für Daten, die sie vermeintlich nicht besitzen, eine korrekte Negativauskunft erstellen können. 

Die Erkennung und Bearbeitung von Auskunftsersuchen, selbst in informeller Form, erfordert gut geschultes Personal und effiziente Prozesse. Die Nutzung eines Datenschutz-Management-Systems (DSMS) ist inzwischen für Unternehmen aller Größen unerlässlich, um den Anforderungen gerecht zu werden und bei behördlichen Überprüfungen schnell reagieren zu können.

Ein Auskunftsersuchen, das falsch, zu spät oder unvollständig beantwortet wird, zieht in der Regel immer ein vierstelliges Bußgeld nach sich und ist eine Aufforderung für die Behörden, sich die Umsetzung der DSGVO im Unternehmen genauer anzusehen.

Die nicht korrekte, verspätete oder unvollständige Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO kann für Unternehmen finanzielle Strafen zur Folge haben, typischerweise im vierstelligen Bereich. 

Das Landgericht Düsseldorf hat in einem Urteil vom 15-03-2024 (Az. 34o41/23) festgestellt, dass eine verspätete Beantwortung eines Auskunftsersuchens gegen die Marktverhaltensregelungen verstößt und damit abmahnfähig ist.

Auch signalisieren solche Vorfälle den Aufsichtsbehörden oft, dass eine genauere Überprüfung der DSGVO-Konformität im Unternehmen notwendig ist. Dies unterstreicht die Bedeutung einer effizienten und regelkonformen Handhabung solcher Anfragen, um weiterführende Untersuchungen und mögliche zusätzliche Sanktionen zu vermeiden.

Daten von Bestandskunden, die vor der Einführung der DSGVO am 25. Mai 2018 gesammelt wurden, bergen rechtliche Risiken, da oft die notwendige Dokumentation zur Einhaltung der aktuellen Datenschutzstandards fehlt. 

Unternehmen müssen sicherstellen und jederzeit nachweisen können, dass auch diese älteren Daten den Anforderungen der DSGVO entsprechen, was möglicherweise eine Nachdokumentation oder sogar eine erneute Einholung der Einwilligung erfordert. Unzureichende Compliance kann zu rechtlichen Konsequenzen führen.

Ein Makler darf die Einwilligung eines Kunden nur für den eigentlichen Geschäftszweck, also die Vermittlung in Immobilien- und Wohnangeboten, verwenden. Das Einbeziehen von Klauseln in Maklerverträge, die es dem Makler erlauben, die erfolgreiche Vermittlung zu Werbezwecken zu nutzen, ist nicht zulässig. Für jegliche Nutzung der Daten zu anderen Zwecken, also auch zur Werbung, ist eine separate, explizite Einwilligung des Kunden erforderlich.

Wenn ein Dienstleister im Auftrag eines Maklers personenbezogene Daten verarbeitet, wie beispielsweise für das Versenden eines Newsletters oder das Hosting einer Webseite, muss diese Zusammenarbeit durch einen Auftragsverarbeitungsvertrag (AVV) geregelt werden. Dieser Vertrag soll sicherstellen, dass der Dienstleister die Daten gemäß den Datenschutzvorgaben der DSGVO verarbeitet und sowohl die Daten als auch den Auftraggeber vor rechtlichen Risiken schützen.

Das Verzeichnis der Verarbeitungstätigkeiten spielt eine zentrale Rolle im Rahmen der DSGVO-Compliance eines Unternehmens und führt alle geschäftlichen Prozesse, bei denen personenbezogene Daten verarbeitet werden auf.

Dazu zählen Tätigkeiten wie das Erstellen von Gutachten, die Vermittlung von Miet- und Kaufverträgen, die Gehaltsabrechnung, die Finanzbuchhaltung und das Versenden von Newslettern. 

Das Verzeichnis muss ständig aktualisiert und überprüft werden, da es bei Kontrollen durch die Aufsichtsbehörden oft das erste Dokument ist, das angefordert wird, häufig mit sehr kurzen Fristen. 

Bei vor-Ort-Prüfungen dient das Verzeichnis zudem als Basis, um die Praktiken der Datenverarbeitung im Unternehmen darzulegen.

Die Website eines Unternehmens, besonders im Maklergeschäft, steht oft im Fokus öffentlicher und rechtlicher Aufmerksamkeit bezüglich des Daten- und Wettbewerbsschutzes. 

Da sie öffentlich zugänglich ist, ermöglicht sie es jedermann, Datenschutzverstöße schnell und einfach zu identifizieren. Neben der DSGVO sind auch das Gesetz gegen den unlauteren Wettbewerb (UWG), Marktverhaltensregelungen und das Telemedien-Gesetz (TMG) relevant. 

Nicht nur Aufsichtsbehörden, sondern auch Wettbewerber und Abmahnanwälte prüfen die Einhaltung dieser Vorschriften. Besondere Sorgfalt ist beim Datenschutzhinweis, der Handhabung von Cookies und der Integration von Dienstleistungen aus Nicht-EU-Ländern geboten. Die Nichtbeachtung dieser Aspekte kann zu kostspieligen rechtlichen Konsequenzen führen.

Unter der DSGVO ist es erforderlich, alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, gründlich zu analysieren und zu dokumentieren. 

Dabei muss klar festgehalten werden, woher die Daten stammen, auf welcher Rechtsgrundlage sie verarbeitet werden und zu welchem Zweck die Verarbeitung erfolgt. 

Nur wenn einer der in Art. 6 Abs. 1 lit. a) bis f) der DSGVO aufgeführten Gründe zutrifft, ist die Verarbeitung rechtmäßig. Fehlt eine solche Grundlage, müssen die Daten gelöscht werden.

Die explizite Einwilligung für die Datenverarbeitung muss dokumentiert und jederzeit nachweisbar sein. Und: Sie kann vom Betroffenen jederzeit widerrufen werden. 

Für Daten, die aufgrund eines „berechtigten Interesses“ erhoben werden, muss dieses Interesse genau definiert und gegenüber den Schutzinteressen der betroffenen Person abgewogen werden. 

Zudem ist die Zweckbindung der Daten gemäß Art. 5 Abs. 1 lit. b) strikt einzuhalten, was bedeutet, dass Daten nur für den Zweck verwendet werden dürfen, für den sie erhoben wurden. 

Zum Beispiel darf einem Kunden, der einen Vermittlungsauftrag erteilt, nicht automatisch ein Newsletter zugesendet werden, es sei denn, er hat dafür seine ausdrückliche Einwilligung gegeben.

Ein Datenschutz-Management-System (DSMS) ist nicht nur für große Unternehmen sinnvoll, sondern auch für kleinere Firmen, Selbstständige und Freiberufler, wie z. B.  Makler. 

Ein DSMS bietet mehrere Vorteile:

Schneller Zugriff auf Informationen
Bei behördlichen Prüfungen oder Auskunftsersuchen sind alle relevanten Datenschutzinformationen sofort verfügbar.

 Effiziente Problembehebung
Schwachstellen im Datenschutz können schneller erkannt und behoben werden, was langfristig Zeit und Kosten spart.

Vorbeugung von rechtlichen Problemen
Wer bei einem Auskunftsersuchen erst beginnt, über die Beantwortung nachzudenken, riskiert Verzögerungen und mögliche Bußgelder. Ein DSMS hilft, diese Situationen effektiv zu vermeiden.

Anpassung an regulatorische Erwartungen
Die regulatorischen Anforderungen haben sich gewandelt; Papierdokumentation reicht nicht mehr aus. Behörden erwarten, dass auch kleine Unternehmen ein professionelles Datenschutzmanagement aufweisen.

Ein DSMS hilft Maklern, den Überblick über ihre Datenverarbeitungsaktivitäten zu behalten und sicherzustellen, dass sie den Anforderungen der DSGVO entsprechen. Dies minimiert das Risiko von Datenschutzverletzungen und den damit verbundenen rechtlichen Konsequenzen.

Ein Makler muss einen Datenschutzbeauftragten (DSB) bestellen, wenn mindestens 20 Personen im Unternehmen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Die Wahl zwischen einem internen oder externen Datenschutzbeauftragten liegt beim Unternehmer. Unabhängig von der Bestellung eines DSB bleibt die Verpflichtung zur Einhaltung der DSGVO und zur ordnungsgemäßen Dokumentation der Datenverarbeitungsprozesse bestehen.