zurück

Teurer Verstoß: Datenschutz und Immobilien

Datenschutz? Das geht doch Immobilienunternehmen nicht weiter an! Tut es sehr wohl – und das Thema hält einiges an Konfliktpotenzial in den Unternehmen bereit. Ein schneller Überblick.

Auch Immobilienunternehmen müssen die bald in Kraft tretende Datenschutzgrundverordnung beachten (Foto: Posteriori/istockphoto.com)
Auch Immobilienunternehmen müssen die bald in Kraft tretende Datenschutzgrundverordnung beachten (Foto: Posteriori/istockphoto.com)

Die Schere geht derzeit weit auseinander: Auf der einen Seite wissen Immobilienunternehmen, dass Big Data und Digitalisierung bereits mittelfristig enormes Potenzial entfalten werden. Potenzial im Sinne von neuen Geschäftsmodellen, von zusätzlichen Erträgen oder auch Einsparungen. So lassen sich beispielsweise über Nutzerprofile, die ihre Daten aus einer entsprechenden Sensorik automatisch beziehen, die Betriebskosten einer Immobilie senken.

Auf der anderen Seite findet sich das Thema Datenschutz. Eine Umfrage, durchgeführt von Ernst & Young gemeinsam mit dem Zentralen Immobilien Ausschuss ZIA, zeigt: Jedes zweite Immobilienunternehmen sieht im Datenschutz nur eine geringe oder überhaupt keine Herausforderung für die Zukunft.

Dabei ist bereits die Gegenwart für viele Unternehmen eine Herausforderung: Die EU-Datenschutzgrundverordnung (DSGVO) wird am 25. Mai 2018 geltendes Recht und verschärft den bisher schon hohen Anspruch noch zusätzlich. Keineswegs alle Unternehmen sind darauf vorbereitet.

Bis zu 20 Millionen Euro Bußgeld drohen
Wenn die DSGVO im Mai 2018 das Bundesdatenschutzgesetz in weiten Teilen ersetzt, wird die datenrechtliche Selbstbestimmung des Einzelnen ausgeweitet. Ebenso die Pflichten der Unternehmen rund um die Dokumentation und den Nachweis ihrer Vorkehrungen zum Schutz der Daten. Bis zu 20 Millionen Euro Bußgeld drohen – beziehungsweise vier Prozent des globalen Vorjahresumsatzes. Der Geltungsbereich umfasst grundsätzlich alle Unternehmen, bei denen personenbezogene Daten auflaufen.

Die Daten müssen dabei nicht nur Kunden wie beispielsweise Wohnungsmieter betreffen. Bereits der Umgang mit bestimmten Daten über die eigenen Mitarbeiter kann im Widerspruch zur neuen Norm stehen. In vielen Unternehmen dürfte das Konfliktpotenzial vor allem in den Bereichen Marketing, HR, IT und Compliance groß sein.

Für Unternehmen der Immobilienwirtschaft empfiehlt sich zunächst eine individuelle Betroffenheitsanalyse. Die Fragen lauten hier unter anderem:

  • Kann ein Unternehmen die Einhaltung des neuen Datenschutzes durch entsprechende technische und organisatorische Maßnahmen sowie Richtliniengebung und Dokumentation adäquat nachweisen?
  • Sind Datenschutzfolgeabschätzungen für die jeweils relevanten Verfahren und Anwendungen bereits implementiert?
  • Ist ein Unternehmen in der Lage, der Datenschutzbehörde Verstöße innerhalb von 72 Stunden zu melden?
  • Liegen Einwilligungen der Betroffenen unzweifelhaft vor, und ist die Einwilligung auch tatsächlich freiwillig erfolgt?
  • Ist ein Data Protection Officer erforderlich – und kann die Position im Zweifel von einer dritten Instanz außerhalb des Unternehmens eingenommen werden?

    In vielen Fällen ist eine Analyse sämtlicher Datennutzungen und eine Anpassung der Erklärungen und Verträge erforderlich. In einem weiteren Schritt erfolgt das Ableiten von Maßnahmen sowie ein entsprechender Umsetzungsplan. Insgesamt gilt dabei: Beim Thema Datenschutz und Datensicherheit – auch vor Cyberangriffen – stehen keineswegs immer neue technische Systeme im Vordergrund. In den allermeisten Fällen ist es der Mensch und Anwender, der durch entsprechende Prozesse sensibilisiert und dem ein neues Sicherheitsbewusstsein im täglichen Umgang mit den relevanten Daten nahegebracht werden muss. Vor diesem Hintergrund sind mit dem neuen Recht oft auch ein Change Management sowie flankierende interne Kommunikationsmaßnahmen verbunden.
Autor: Christian Schulz-Wulkow ist Real Estate Market Segment Leader für die Region DACH und Managing Partner bei EY Real Estate.

06.02.2018