Datenschutz Makler: Was Sie beachten müssen, um DSGVO-Bußgelder zu vermeiden

Makler erheben eine Vielzahl von personenbezogenen Daten von Eigentümern, Interessenten und Käufern. Makler müssen dabei die gesetzlichen Regelungen der DSGVO und des BDSG beachten. Dieser Artikel beleuchtet, wann Makler einen Datenschutzbeauftragten bestellen müssen und welche weiteren Pflichten sich im Datenschutz für Makler aus der DSGVO ergeben. 

Warum muss ein Makler Datenschutz beachten?

Als Immobilienmakler erheben Sie eine Vielzahl von personenbezogenen Daten. Dazu gehören der Name, Geburtsdatum, Geschlecht, Anschrift, E-Mail-Adresse, Gehaltsinformationen, Bonität von lebenden Personen. Diese personenbezogenen Daten werden auf unterschiedliche Weise verarbeitet: Durch Formulare zur Selbstauskunft werden Mietinteressenten auf Eignung überprüft, ein Kaufinteressent erhält ein Exposé per E-Mail, im Inserat wird der Ansprechpartner namentlich benannt und noch vieles mehr. Makler müssen dabei die gesetzlichen Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) einhalten. Deshalb muss ein Makler den Datenschutz bei der Immobilienvermittlung beachten. 

Datenschutzbeauftragter Makler – Wann ist ein Datenschutzbeauftragter Pflicht?

Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten für Makler in folgenden Fällen: 

• Das Maklerbüro beschäftigt mindestens 20 Mitarbeiter, die regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer – verarbeiten.  
• Das Maklerbüro verarbeitet in großem Umfang sensible Daten, z.B. Gesundheitsdaten, Religionszugehörigkeit im Rahmen der Lohn- und Gehaltsabrechnung.

Weiterhin sollte ein Makler einen externen Datenschutzbeauftragten bestellen, wenn die Ressourcen oder das Know-How im datenschutzrechtlichen Bereich nicht vorhanden sind. So kann auch eine freiwillige Benennung eines Datenschutzbeauftragten für Makler Sinn ergeben, um bei der Umsetzung der DSGVO-Vorgaben Unterstützung zu erhalten.

Wer darf als Datenschutzbeauftragter im Maklerbüro benannt werden?

Es kommt grundsätzlich jeder als Datenschutzbeauftragter für Makler in Betracht, der über die erforderliche Fachkunde auf dem Gebiet des Datenschutzrechts verfügt (Art. 37 Abs. 5 DSGVO). Die Geschäftsleitung kann auch einen Angestellten zum Datenschutzbeauftragten bestellen. Die Rolle des sogenannten internen Datenschutzbeauftragten sollte jedoch nicht von dem Geschäftsführer, dem IT-Administrator oder Führungskräften ausgeübt werden, um Interessenskonflikte zu vermeiden. Um das erforderliche Fachwissen auf dem Gebiet des Datenschutzrechts zu erwerben, ist der Besuch einer mehrtägigen Schulung zu empfehlen. Fort- und Weiterbildungsveranstaltungen werden von diversen Einrichtungen angeboten. Am Markt haben sich beispielsweise der TÜV, DEKRA, IHK, GDD als vertrauenswürdige Schulungsanbieter etabliert. Selbstverständlich entstehen dabei Fortbildungskosten von mehreren Tausend Euro pro Weiterbildungsmaßnahme – es ist wichtig, dies im Voraus zu wissen. Alternativ kann auch ein Dienstleister als externer Datenschutzbeauftragter benannt werden. Ein externer Datenschutzberater kann bereits ab 99 Euro im Monat beauftragt werden und kann von Beginn der Zusammenarbeit an zertifizierte Fachkenntnisse vorweisen. 

Aufgaben eines externen Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DS-GVO definiert. Dazu gehören die Unterrichtung und Beratung der Geschäftsführung hinsichtlich des Datenschutzes sowie der mit der Datenverarbeitung Beschäftigten, die Überwachung der Einhaltung der datenschutzrechtlichen Vorgaben und deren Umsetzung sowie die Beratung bei der Erstellung des Verzeichnis von Verarbeitungstätigkeiten und Datenschutz-Folgenabschätzung. Ferner umfassen die Aufgaben die Zusammenarbeit mit der Aufsichtsbehörde und die Funktion als Anlaufstelle für die Behörde. Der Datenschutzbeauftragte im Maklerbüro agiert zudem als Ansprechpartner für die von der Datenverarbeitung betroffenen Personen.

DSGVO-/Datenschutz-Pflichten für Immobilienmakler

Von der ersten Kontaktaufnahme über den Versand eines Exposés bis hin zur Bonitätsanfrage – die betroffenen Personen müssen sich darauf verlassen können, dass die dem Makler anvertrauten Daten aus datenschutzrechtlicher Sicht vertraulich bleiben. Der Datenschutz für Makler spielt eine wichtige Rolle. Die DSGVO stellt an den Umgang mit personenbezogenen Daten strenge Anforderungen und definiert die folgenden Datenschutzgrundsätze:

• Grundsatz der Rechtmäßigkeit
• Transparenzgebot
• Grundsatz der Zweckbindung
• Grundsatz der Speicherbegrenzung oder Datenminimierung
• Grundsätze der Integrität und Vertraulichkeit

Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Begründung und Durchführung des Vertragsverhältnisses (Mietvertrag oder Kaufvertrag) in der konkreten Phase erforderlich ist.

Dokumentationspflicht: Die bloße Einhaltung der Datenschutzbestimmungen ist für den Makler nicht ausreichend. Als Makler müssen Sie jederzeit dokumentiert nachweisen, dass Sie mit Ihrem Unternehmen die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten („Rechenschaftspflicht“). Daraus ergeben sich einige weitere Pflichten, die weiter unten dargestellt werden.

Mieterselbstauskunft auf DSGVO-Konformität prüfen

Formulare zur Selbstauskunft sind heutzutage standardmäßig von Mietinteressenten auszufüllen und aus dem Maklergeschäft kaum mehr wegzudenken. Aber zu welchem Zeitpunkt darf die Auskunft verlangt werden und welche Daten dürfen abgefragt werden? 

Mieterselbstauskunft darf nicht im Vorfeld verlangt werden: 

Eine Mieterselbstauskunft darf nicht zu jedem Zeitpunkt verlangt werden. Nach dem Grundsatz der Datensparsamkeit dürfen Sie als Makler eine Selbstauskunft nur verlangen, wenn seitens des Mietinteressenten ein tatsächliches Interesse an der Wohnung besteht. Die Mieterselbstauskunft darf deshalb nicht im Vorfeld von dem Mietinteressenten verlangt werden. 

Datenschutz vor dem Besichtigungstermin

Geht es nur darum, einen Besichtigungstermin zu vereinbaren, dürfen nur die Daten abgefragt werden, die erforderlich sind, um die Besichtigung zu terminieren, z.B. Name, E-Mail-Adresse, Telefonnummer. Die Frage nach Familienstand, wirtschaftlichen Verhältnissen, Schufa-Auskunft sind zu diesem Zeitpunkt unzulässig. 

Datenschutz bei Interessensbekundung

Besteht Interesse am Mietobjekt, dürfen Sie vor Vertragsschluss weitere personenbezogene Daten erheben. Auch hier gilt aber weiterhin, dass diese für die Vermittlung der Immobilie erforderlich sein müssen. Zu diesem Zeitpunkt dürfen Kopien von Einkommensnachweisen (BWA oder Gehaltsabrechnungen) oder Bonitätsnachweise angefordert werden. 

Praxistipp: Prüfen Sie, ob Ihre  eingesetzte Vorlage der Mieter-Selbstauskunft den datenschutzrechtlichen Grundsätzen standhält, und vermeiden Sie Datenschutzverstöße. Informationen, die für das Mietverhältnis nicht relevant sind, dürfen nicht abgefragt werden. Unzulässig sind insbesondere Fragen zur Religion, Rasse, ethnischer Herkunft, Heiratsabsichten, Schwangerschaften, Kinderwünsche, Mitgliedschaften in Parteien und Mietervereinen, persönliche Hobbies, Krankheiten. Entfernen Sie deshalb derartige Fragen aus Ihrer Selbstauskunfts-Vorlage. Weitere Informationen zu diesem Themenkomplex finden Sie in der Orientierungshilfe zur „Einholung von Selbstauskünften bei Mietinteressenten“ der deutschen Aufsichtsbehörden.

Maklerwebsite: Datenschutzerklärung

Makler verfügen für die Immobilienvermarktung oftmals über eine Website. Dabei werden personenbezogene Daten, zum Beispiel in Form von Name, Telefonnummer, Adressen und IP-Adresse des Webseitenbesuchers verarbeitet. Über diese Datenverarbeitung müssen Makler die betroffenen Personen mittels einer Datenschutzerklärung informieren. 

Praxistipp: Achten Sie auf eine datenschutzkonforme Internetpräsenz und binden Sie eine Datenschutzinformation auf Ihrer Website ein. Lassen Sie Ihren Datenschutzbeauftragten  prüfen, ob die  Makler Datenschutzerklärung auch alle nötigen Angaben aus Art. 13 DSGVO enthält. Zu jedem eingesetzten Dienst und jeder Social-Media-Präsenz sollte sich ein entsprechender Textbaustein in Ihrer Datenschutzerklärung finden. Des Weiteren ist innerhalb der Social-Media-Präsenzen, z. B. Facebook, Instagram, LinkedIn, Xing etc., auf die Einbindung bzw. Verlinkung der eigenen Datenschutzerklärung und Impressum zu achten. 

Makler: Cookie Banner auf der Webseite

Zur Optimierung der eigenen Internet-Performance oder aus werblichen Zwecken werden auf Makler-Websites häufig Tools von Drittanbietern, wie z.B. Google Analytics, Hotjar, Adobe Analytics und Co. eingesetzt. Häufig wird vergessen, sich zuvor eine Einwilligung des Nutzers einzuholen mit der Folge, dass eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. Selbst wenn diese Daten nicht ausgewertet werden, besteht auf der Makler-Website DSGVO Handlungsbedarf. Der Einsatz von Tracking und Analyse-Tools begründet einen Verstoß gegen die Datenschutz-Grundverordnung. 

Praxistipp : Prüfen Sie, ob auf Ihrer Website  Drittanbieter-Tools eingesetzt werden. Sofern Ihr Unternehmen die Daten nicht benötigt, sollten Sie die Tools aus Gründen der Datenminimierung deaktivieren. Sollten die Daten zu werblichen oder statistischen Zwecken benötigt werden, muss die Einwilligung mittels eines Cookie-Banners eingeholt werden. Dieser Cookie-Banner muss beim erstmaligen Besuch der Website angezeigt werden und darf den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen.

Makler Datensicherheit: Technische und organisatorische Maßnahmen implementieren und dokumentieren:

Makler, Immobiliengesellschaften und Wohnungsunternehmen sind für die Sicherheit personenbezogener Daten verantwortlich. Dazu müssen sie angemessene technische und organisatorische Maßnahmen  zur Datensicherheit ergreifen. Zur Erfüllung der Dokumentationspflichten sollten die implementierten Sicherheitsmaßnahmen dokumentiert und fortlaufend (jährlich) aktualisiert werden (Art. 32 DSGVO). 

Praxistipp: Makler Datenschutzbeauftragter sollten den IST-Zustand, d.h. alle im Unternehmen bereits umgesetzten technischen und organisatorischen Maßnahmen dokumentieren. Werden in Interviews mit Ansprechpartnern  aus dem Bereich IT und Verwaltung Schwächen im Sicherheitskonzept aufgedeckt, sollten diese ebenfalls festgehalten werden. Diese bilden die Grundlage für den Plan der zukünftig umzusetzenden Maßnahmen. Folgende Maßnahmen lassen sich beispielsweise aus den entdeckten Schwachstellen ableiten: 

• Verschlüsselung von mobilen Endgeräten, z.B. Bitlocker
• Durchführung von Datenschutz-Schulungen für Mitarbeiter
• Datenschutz-Richtlinien und Arbeitsanweisungen für Mitarbeiter 
• Abschluss von Vertraulichkeitsvereinbarungen mit Beschäftigten
• Einrichtung einer Firewall
• Durchführung von regelmäßigen Updates
• Regelmäßige Back-Ups-Tests
• Etablierung von Multi-Faktor-Authentifizierung für alle Nutzer

Verzeichnis über die Datenverarbeitungen im Maklerbüro 

Alle Unternehmen in der Immobilienwirtschaft sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsprozesse erfasst, bei denen der Makler personenbezogene Daten von Mietern, Immobilienfirmen, Mitarbeitern, Geschäftspartnern, Interessenten etc. verarbeitet. Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen. Liegt kein Verarbeitungsverzeichnis vor, drohen Bußgelder.

Praxistipp: Für das Erstellen des Verarbeitungsverzeichnis sollten Sie zunächst überlegen, wo überall im Unternehmen personenbezogene Daten verarbeitet werden. Dabei ist es sinnvoll, Tätigkeiten mit dem gleichen Zweck zusammenzufassen. Einige Verarbeitungstätigkeiten, die in den meisten Immobilienmaklerbüros anfallen dürften, sind z. B.:

• Kontaktaufnahme mit Auftraggebern
• Anschluss des Maklervertrages
• Kontaktaufnahme mit Kauf-/Mietinteressenten
• Vereinbarung von Besichtigungsterminen
• Auswertung von Selbstauskünften
• Vertragsabschluss
• Lohnbuchhaltung
• Bewerbermanagement
• Führung der Personalakte
• Rechnungsstellung
• Newsletter Versand

Als nächstes beschreiben Sie zu jeder Tätigkeit die Zwecke der Verarbeitung, betroffene natürliche Personen, Kategorien personenbezogener Daten und Kategorien von Empfängern. Weitere Hinweise zur Erstellung und ein Muster-Verzeichnis finden Sie in Art. 30 DSGVO und auf der Webseite des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit.

Auf Betroffenenanfragen vorbereiten

Immobilienmaklerbüros sollten ihre Angestellten auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Mieter, Mietinteressent, ehemalige Mitarbeiter oder Mitarbeiter, Dienstleister, Immobilieneigentümer) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Falls dies der Fall ist, hat die betroffene Person das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Der Makler muss dem Betroffenen innerhalb der Frist von einem Monat unter Nennung der Verarbeitungszwecke, Datenkategorien, Empfänger, Speicherdauer, Rechtebelehrung, Beschwerderecht, die Herkunft, Bestehen einer automatisierten Entscheidungsfindung, einschließlich Profiling antworten. 

Des Weiteren können betroffene Personen auch die Löschung der gespeicherten personenbezogenen Daten verlangen. Auch Löschanfragen müssen innerhalb der Frist von einem Monat beantwortet werden. Allerdings müssen Makler beachten, dass im Rahmen der Maklertätigkeit einige gesetzliche Aufbewahrungspflichten die Durchsetzung des Löschungsanspruchs hemmen.

Praxistipp: Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung entsprechender Prozesse im Unternehmen hat ihre Stolperfallen. Es ist daher sinnvoll, Verantwortlichkeiten zu definieren und seine Mitarbeiter auf Anfragen vorzubereiten, um vollständig und innerhalb der gesetzlichen Frist antworten zu können. Weiterhin sollte jedes Antwortschreiben von dem Datenschutzbeauftragten Makler vor Versand auf Richtigkeit geprüft werden. 

Datenschutz Makler: Was passiert bei Nichteinhaltung der DSGVO?

Vermeiden Sie die typischen Datenschutzfehler und unterschätzen Sie die DSGVO-Pflichten nicht. Andernfalls drohen DSGVO-Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes. Als Geschäftsführer der Immobilienvermittlung können Sie für Datenschutzverstöße persönlich haften. Als externer Datenschutzbeauftragte oder im Rahmen unserer allgemeinen Datenschutzberatung unterstützen wir Sie auf dem Weg zur Einhaltung der europäischen und deutschen Datenschutzregelungen.

FAQ Datenschutzbeauftragter Immobilienmakler