Welche Maßnahmen Sie konkret vornehmen müssen, damit Sie in Ihrer Tätigkeit als Makler:in der DSGVO gerecht werden, hängt von der individuellen Situation und der Art der gesammelten Daten ab. Generell müssen Sie sich folgende Aufgabenbereich vornehmen:
Privacy by design/Privacy by default: Betreiben Sie beispielweise eine Website für Ihr Unternehmen, müssen Sie darauf achten, dass der Datenschutz durch die technische Gestaltung und entsprechende Voreinstellungen gefördert wird. Das fängt bereits bei der Verschlüsselung des Kontaktformulars an – hier sollte ein HTTPS- oder besser noch ein TLS-Standard gewählt werden. Zudem sollte darauf geachtet werden, dass tatsächlich nur jene persönlichen Daten verarbeitet werden, die tatsächlich für die konkreten Auftrag gebraucht werden. Hier spielt auch das Kopplungsverbot eine Rolle, das ebenfalls in der europäischen DSGVO verankert ist. So ist es verboten, die Vertragserfüllung von der Angabe personenbezogener Daten abhängig zu machen, wenn diese für den Vertrag überhaupt nicht benötigt werden.
Rechenschaftspflicht und Datenschutzmanagement: Jedes Unternehmen muss ein Mindestmaß an Dokumentation vorlegen können, in der der Umgang mit den personenbezogenen Daten nachvollziehbar dargestellt wird. Dazu gehören zum Beispiel die Zuständigkeiten für den Datenschutz im Unternehmen, die Schulung von Mitarbeiter:innen, die Durchführung von Kontrollen, der technische Stand, das Verzeichnis von Verarbeitungstätigkeiten und die Auflistung eventueller Datenschutzrechtsverletzungen. Welche Elemente in der Dokumentation zwingend auftauchen müssen, ist abhängig von der Größe des Unternehmens sowie der Menge und Qualität der verarbeiteten Daten.
Benennung eines Datenschutzbeauftragten: Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine systematische Überwachung der Betroffenen nötig macht, oder Unternehmen, die hauptsächlich sensible Daten oder Daten über Straftaten verarbeiten, müssen laut Verordnung einen Datenschutzbeauftragten benennen. Dazu gehören beispielsweise Banken, Versicherungen und Krankenanstalten. Alle anderen Unternehmen können freiwillig einen Datenschutzbeauftragten bestimmen.
Berücksichtigung von Betroffenenrechten: Betroffene, das heißt Personen, deren Daten gespeichert und verarbeitet werden, haben gegenüber den Auftragsbearbeitern und Verantwortlichen verschiedene Rechte, auf deren Einhaltung sie bestehen können. Dazu zählen unter anderem das Auskunftsrecht, Recht auf Berichtigung, Löschung und „Vergessenwerden“, Recht auf Datenübertragbarkeit und ein Widerspruchsrecht.
Informationspflicht: Die Betroffenen müssen über ihre Rechte und die Art und Weise der Datenverarbeitung informiert werden. Das geschieht meistens im Rahmen einer Datenschutzerklärung. Zudem muss eine Einwilligungserklärung der Person vorliegen, die einfach verständlich und leicht zugänglich sein muss.
Wer sich unsicher hinsichtlich der korrekten Umsetzung der Datenschutz-Grundverordnung ist, sollte sich Unterstützung von Fachleuten holen, die technische und rechtliche Aspekte genau kennen und gemeinsam mit Ihnen die passenden Lösungen entwickeln und umsetzen können.
Gut zu wissen: Die Vorgaben der europäischen Datenschutzgrundverordnung sollten ernst genommen werden: Bei einem Verstoß drohen hohe Geldstrafen. Bis zu 4 Prozent des Jahresumsatzes können bei Unternehmen hier fällig werden.