nDSG: Was gilt jetzt für Immobiliendienstleister?

ImmoSparrow
·
August 9, 2023

Seit 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz in Kraft. Immobiliendienstleister sind gefordert, gewisse Bestimmungen einzuhalten, um sich vor Klagen oder inadäquatem Handeln zu schützen. 

Sie erfahren in diesem Blogartikel, welche Massnahmen Sie umsetzen sollten, damit Sie Datenschutz-konform handeln.

 

Diese Themen erwarten Sie:

  • Was ist Datenschutz?
  • Welche Herausforderungen birgt das nDSG?
  • Mit welchen Massnahmen erfüllen Sie Ihre Datenschutzpflichten?
  • Welche Bedeutung hat das nDSG für die Immobilienwirtschaft?
  • Welche Daten dürfen Immobilienmakler:innen erheben?

 

Was ist Datenschutz?

Das Datenschutzgesetz (DSG) regelt das Bearbeiten von Personendaten durch private Personen (private Unternehmen, Institutionen etc.) und Bundesorgane. Der Begriff “Bearbeiten” umfasst u. a. das Beschaffen, Aufbewahren, Verwenden, Bekanntgeben, Archivieren, Löschen oder Vernichten von personenbezogenen Daten.

Obwohl in der Schweiz das Erheben und Bearbeiten von Personendaten in der Regel erlaubt ist, sind im Sinne des Datenschutzgesetzes bestimmte Grundprinzipien einzuhalten. Die Bearbeitung der Personendaten muss nach Treu und Glauben sowie den Grundsätzen der Zweckbindung, Erkennbarkeit, Verhältnis- sowie Rechtmässigkeit entsprechen. Ausserdem muss neben der Richtigkeit der Personendaten deren sichere Aufbewahrung, Löschung und Vernichtung gewährleistet sein.

Welche Herausforderungen birgt das nDSG?

Die Totalrevision (nDSG) passt das geltende Datenschutzgesetz (DSG) ab 1. September 2023 der europäischen Datenschutzverordnung (DSGVO) an. Dadurch treten zahlreiche Pflichten und Bestimmungen wie beispielsweise strengere Sanktionen und erweiterte Informationspflichten auch für kleinere Unternehmen in Kraft.

Erweiterte Informationspflicht

Organisationen sind verpflichtet, über jede Datenbeschaffung zu informieren, sofern nicht eine gesetzliche Ausnahme davon befreit (Unternehmen mit weniger als 250 Mitarbeitende).

Folgende Inhalte sind erforderlich: 

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Beschreibung der Kategorien der betroffenen Personen, der bearbeiteten Personendaten und der Empfänger
  • Aufbewahrungsdauer der Personendaten resp. der Kriterien für die Festlegung der Aufbewahrungsdauer
  • Allgemeine Beschreibung der Massnahmen zur Datensicherheit
  • Bei Daten zur Bekanntgabe ins Ausland, Staat und Garantien angeben
Protokollieren der Bearbeitungsaktivitäten

Das revidierte Datenschutzgesetz (nDSG) fordert von Verantwortlichen und Auftragsbearbeiter:innen, dass sie ein Datenbearbeitungsverzeichnis führen, um ihre Datenbearbeitungsaktivitäten zu protokollieren. Die Protokollierungspflicht verbessert die Transparenz und ersetzt die bisher geltende Meldepflicht für Datensammlungen. Unternehmen mit weniger als 250 Mitarbeitenden und geringem Risiko (von Verletzungen der Persönlichkeit der betroffenen Personen) sind von dieser Pflicht befreit.

Vorlage für ein Datenbearbeitungsverzeichnis.

Verschärfte Sanktionen bei vorsätzlicher Missachtung

Vorsätzliche Verfehlungen werden neu mit Geldbussen von bis zu CHF 250’000 bestraft und verlieren den Status eines Kavaliersdelikts, den es vor der Totalrevision noch hatte. Dasselbe gilt für die Verletzung von Sorgfaltspflichten, beruflichen Schweigepflichten oder das Missachten von Verfügungen.

Einführung vom Privacy-by-Design-Prinzip

Neu übernimmt das Datenschutzgesetz der Schweiz das in der europäischen Union geltende Privacy-by-Design-Prinzip. Dieses besagt, dass die technische und organisatorische Konzeption der Datenverarbeitung schon in der Projektphase den Bestimmungen entsprechen muss.

Die Bearbeitung gesammelter Daten ist dabei auf ein Minimum zu beschränken ("Privacy by Default"). Unter Einhaltung der Grundsätze der Zweckbindung und Rechtmässigkeit sollte diese Bestimmung leicht einzuhalten sein. Im Gegensatz zur DSGVO besteht im nDSG keine Pflicht zur Implementierung von Cookie-Bannern, sofern das Unternehmen nicht der DSGVO unterliegt.

Datensicherheitsverletzungen melden

Tritt eine Verletzung der Datensicherheit (welche für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen) ein, müssen die Verantwortlichen den EDÖB, den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, so schnell wie möglich informieren.

Eine Verletzung liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, vernichtet, verändert oder nicht autorisierten Dritten zugänglich gemacht werden. Eine Meldepflicht besteht ausschliesslich bei erhöhtem Risiko. Wann mit einem erhöhten Risiko zu rechnen ist, geht aus dem nDSG nicht hervor. Die datenverarbeitenden Stellen sind verpflichtet, eine Folgenabschätzung bereits in der Planungsphase vorzunehmen.

Auslagern der Datenverarbeitung

Auftragsbearbeiter:innen haben dieselben Pflichten zu berücksichtigen wie ihre verantwortlichen Auftraggeber:innen. Letztere haben sicherzustellen, dass die Beauftragten in der Lage sind, die Datensicherheit zu gewährleisten.

Mit welchen Massnahmen erfüllen Sie Ihre Datenschutzpflichten?

Prüfen Sie zunächst, welchen Handlungsbedarf in Ihrer Organisation besteht, um interne Prozesse und nach aussen gerichtete Aktivitäten den Bestimmungen des nDSG anzupassen.

Damit Sie die Sicherheit von Personendaten im Rahmen der Bestimmungen des nDSG gewährleisten können, sollten Sie bis zum 1. September 2023 einige konkrete Aktivitäten eingeführt haben.

Folgende Massnahmen müssen umgesetzt sein:

  • Eine Datenschutzerklärung auf Ihre Webseite aufschalten
  • Ein Datenbearbeitungsverzeichnis in einem gängigen elektronischen Format bereitstellen
  • Datenverantwortliche Person definieren
  • Interne Weisungen einführen und durchsetzen
  • Mitarbeitende schulen und korrekter Umgang mit Daten sicherstellen
  • Technische Massnahmen zur Gewährleistung der IT-Sicherheit, z. B. Multifaktor-Authentifizierung

Vorlage für das Erstellen einer Datenschutzerklärung.

Der EDÖB gibt Empfehlungen zur Ausarbeitung Ihrer Datenschutzerklärung. Im Internet finden Sie zahlreiche Vorlagen und Beispiele wie beispielsweise die Vorlage vom SVIT, die Ihnen das Erstellen einer eigenen Datenschutzerklärung erleichtern. Der Datenverantwortliche ist verpflichtet, das Datenbearbeitungsverzeichnis jederzeit aktuell zu halten.

Das Datenbearbeitungsverzeichnis bedarf mindestens folgender Inhalte:

  • Identität des Verantwortlichen
  • Bearbeitungszweck
  • Beschreibung von Kategorien betroffener Personen wie auch von bearbeiteten Personendaten
  • Kategorien der Empfänger
  • Wenn möglich, die Aufbewahrungsdauer von Personendaten oder Kriterien zur Festlegung dieser Dauer
  • Wenn möglich, eine allgemeine Beschreibung der Massnahmen zur Gewährleistung der Datensicherheit
  • Falls Daten ins Ausland bekanntgegeben werden, die Angaben des Staates sowie die Garantien

 

Welche Bedeutung hat das nDSG für die Immobilienwirtschaft?

Die Bedeutung wie auch die Tragweite des revidierten Datenschutzgesetzes für die Immobilienwirtschaft scheint auf den ersten Blick moderat. Die genauere Betrachtung macht jedoch deutlich, wie viele Aktivitäten sich im Tagesgeschäft effektiv um Personendaten drehen.  

Als Akteur:innen der Immobilienwirtschaft bearbeiten Sie regelmässig personenbezogene Daten. Dazu zählen generelle Personendaten wie Namen, Adressen und weitere zur Kommunikation erforderlichen Daten genauso wie sensible Daten. Sensible Daten sind beispielsweise Angaben zum Gesundheitszustand oder zur familiären wie auch finanziellen Situation einer Person. Solche Daten erhalten Sie manchmal auch ohne Erhebung; nämlich in einer gewöhnlichen Plauderei mit Ihren Kund:innen.

Deshalb gilt es, bisherige Arbeitsabläufe, Datenflüsse wie auch die Sicherheit von Speicherorten zu analysieren und festzustellen, ob Sie diese den Bestimmungen des revidierten Datenschutzgesetzes anzupassen haben. Möglicherweise müssen neue Prozesse eingeführt und die Verantwortung für den gesetzeskonformen Umgang mit Personendaten im Unternehmen definiert werden. Der SVIT stellt auf seiner Webseite branchenbezogene Empfehlungen zum Vorgehen bereit.

Welche Daten dürfen Immobilienmakler:innen erheben?

Grundsätzlich dürfen Sie Informationen zur Personenidentifikation wie Namen und Kontaktdaten erheben, solange Sie die Datenbearbeitung innerhalb der geltenden Bestimmungen des revidierten Datenschutzgesetzes durchführen.

Sind Sie selbständig erwerbend, im Sinne eines Einzelunternehmens oder arbeiten Sie in einer kleinen Agentur mit wenigen, anderen Immobilienmakler:innen zusammen, sind Sie vom Führen eines Datenbearbeitungsverzeichnisses befreit (sofern deren Datenbearbeitung nur ein geringes Risiko von Verletzungen der Persönlichkeit der betroffenen Personen mit sich bringt). Alle weiteren Bestimmungen gelten auch für Sie als Einzel-oder Kleinunternehmen.

Als Immobilienmakler:in ist es Ihnen innerhalb des Grundsatzes der Zweckgebundenheit erlaubt, Daten Ihrer Kund:innen aufgrund einer konkreten Anfrage zu erheben. Ihr:e Kund:innen geben Ihnen die Erlaubnis zur Datenerhebung stillschweigend durch die Anfrage. Wird die Bearbeitung der Personendaten auf weitere Objekte und Zwecke erweitert, muss Ihr:e Kund:in Ihnen dazu die ausdrückliche Erlaubnis erteilen. Wir empfehlen, die Erlaubnis schriftlich einzuholen, sollten sich Ihre Aktivitäten über die ursprüngliche Anfrage hinaus erweitern.

Disclaimer: Wir haben für den Inhalt dieses Artikels grosse Sorgfalt angewendet. Trotzdem können wir Fehler nicht ausschliessen. Die Gültigkeit des Inhalts beschränkt sich auf den Zeitpunkt der Veröffentlichung.

Als Partner:in durchstarten
Stärken Sie Ihr Business und werden Sie ImmoSparrow-Partner:in.