Über 300 Mustervorlagen, Fachinformation, aktuelle Judikatur
» Mehr Infos zum Portal Wohnrecht
Dokument-ID: 980975
Die neue Datenschutzgrundverordnung – Auswirkungen auf die Immobilienbranche?
Mag. Roman Reßler stellt in diesem Beitrag die wesentlichen Punkte der DSGVO dar. Was gilt es hinsichtlich der Verarbeitung personenbezogener Daten zu beachten? Gibt es spezielle Informationspflichten im Immobilienbereich?
Rechtlicher Hintergrund
Die Datenschutzgrundverordnung tritt am 25. Mai 2018 in Kraft. Sie ist als EU-Verordnung in jedem EU-Mitgliedstaat anwendbar. Auf nationaler Ebene werden zahlreiche innerstaatliche Rechtsnormen durch das Datenschutzanpassungsgesetzt 2018, welches ebenso am 25. Mai 2018 in Kraft tritt, novelliert. Neu ist, dass nach dem neuen Datenschutzrecht nur mehr personenbezogene Daten natürlicher Personen geschützt sind. Auch das Datenverarbeitungsregister wird abgeschafft und durch eine umfassende Dokumentationsverpflichtung ersetzt, welche auch mit einer Nachweispflicht verbunden wird. Regelungen bei der Datenschutzgrundverordnung treffen alle Verarbeitungen personenbezogener Daten. Dazu zählen unter anderem das Erfassen, Organisieren, Speichern, Verändern oder Liquidieren von Daten unabhängig davon, ob das EDV-mäßig erfolgt oder nicht. Zu den wichtigsten Akteuren der Datenschutzgrundverordnung zählen ua der Betroffene, der Verantwortliche und der Auftragsverarbeiter.
Betroffene sind natürliche Personen, deren Daten verarbeitet werden.
Der Verantwortliche kann eine natürliche oder juristische Person, Behörde, Einrichtung oder eine andere Stelle sein, welche allein oder gemeinsam mit anderen über die Zwecke und Wege der Verarbeitung von personenbezogenen Daten entscheidet.
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art 4 Z 8 DSGVO).
Grob unterscheidet man anonymisierte Daten, bei denen kein Bezug zu einer natürlichen Person gegeben ist, wie zum Beispiel statistische Daten, wo die Datenschutzgrundverordnung nicht gilt. Daneben gibt es die Gruppe der sensiblen Daten, wie Gesundheitsdaten, Weltanschauungsdaten, Daten über die politische Zugehörigkeit, aber auch strafrechtlich relevante Daten. Die wichtigste Gruppe stellen jedoch die personenbezogenen Daten dar. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, wie etwa Name, Kennnummer zu Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck einer physischen, physiologischen, genetischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Darunter fallen Name, Adresse, Fotos, Videoaufnahmen, aber auch Login-Dateien in einem Verarbeitungsprogramm (Art 4 Z 1 DSGVO).
Bei der Verarbeitung von personenbezogenen Daten normiert die Datenschutzgrundverordnung bestimmte Grundprinzipien:
Demnach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz). Die personenbezogenen Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (Zweckbindung). Personenbezogene Daten müssen weiters dem Zweck angemessen und erheblich, sowie auf das für Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung).
Darüber hinaus müssen sie sachlich richtig und erforderlichenfalls auf den neuesten Stand sein. Dabei sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Richtigkeit). Ferner müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Speicherbegrenzung).
Schlussendlich müssen personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigten Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit. Art 5 Abs 1 lit a bis f DSGVO). Der Verantwortliche ist für die Einhaltung der Grundprinzipien nach der DSGVO verantwortlich (Art 5 Abs 2 DSGVO).
Achtung:
Beachten Sie, dass eine Datenverarbeitung nur dann rechtmäßig ist, wenn mindestens eine der folgenden Bedingungen erfüllt ist (siehe Gratis-Download-Beitrag unten).
