Spannende Immobilienthemen Jahrgang 2019 - Marcus Lasar Martin Goege, LL.M. Rechtsanwalt - ETL-Rechtsanwälte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Spannende Immobilienthemen Jahrgang 2019
Marcus Lasar Martin Goege, LL.M.
Rechtsanwalt Rechtsanwalt
Fachanwalt für Bau- und Architektenrecht
Fachanwalt für Miet- und Wohnungseigentumsrecht
© RA Lasar | 06. März 2019
1
ETL Rechtsanwälte GmbH
© RA Lasar | 06. März 2019
2
Teil eines Ganzen
ETL Rechtsanwälte sind Teil des ETL Netzwerks
Erfahrung und Vertrauen als Grundlage ganzheitlicher Beratung
Wir stellen uns den Herausforderungen im Wandel der anwaltlichen
Dienstleistung
© RA Lasar | 06. März 2019
3
Auszug aus unseren Standorten der ETL Rechtsanwälte
© RA Lasar | 06. März 2019
4
Für Sie da – Ihr Team Bau- und Immobilienrecht!
ETL Rechtsanwälte GmbH
Rechtsanwaltsgesellschaft
Niederlassung Dortmund
Ruhrallee 9
44139 Dortmund
Tel.: (0231) 5869010
Fax: (0231) 58690199
E-Mail: dortmund@etl-rechtsanwaelte.de
IHRE ANSPRECHPARTNER:
Martin Goege, LL.M., Rechtsanwalt
Marcus Lasar, Rechtsanwalt
Fachanwalt für Bau- und Architektenrecht
Fachanwalt für Miet- und Wohnungseigentumsrecht
Ganzheitliche Beratung unserer Mandanten
Effektive und persönliche Beratung durch Fachanwälte
Spezialisiert auf zahlreiche Rechtsgebiete, beraten wir kompetent
erfolgsorientiert und persönlich bei 100 % Kostentransparenz
Vorausschauend und durchsetzungsstark – gestaltend und streitvermeidend
© RA Lasar | 06. März 2019
6
Mandanten
Unternehmen und Unternehmer “KMUs”
Private Bauherren, Vermieter und Bestandshalter
Architekten, Ingenieure, Fachplaner und Sachverständige
Handwerker und Freiberufler sowie Makler und WEG Verwaltungen
© RA Lasar | 06. März 2019
7
Ein erstes Fazit zur DSGVO!
© RA Lasar | 06. März 2019
8
DSGVO – Sind alle Unternehmen fit?
„Deutsche Unternehmen noch immer mit großen Defiziten bei DSGVO“
(FAZ online)
“Unternehmen kommen bei DSGVO-Umsetzung kaum voran“
(Wirtschaftswoche online)
“Erst ein Viertel der Unternehmen in Deutschland hat laut einer
Umfrage die neue Datenschutzgrundverordnung (DSGVO) bis heute
vollständig umgesetzt.“
(Digitalverband Bitkom)
© RA Lasar | 06. März 2019
9
Die Basics
© RA Lasar | 06. März 2019
10DSGVO - Anwendungsbereich
Wofür gilt die DSGVO?
Art. 3 DSGVO Art. 4 DSGVO
Räumlicher Sachlicher
Anwendungsbereich Anwendungsbereich
EU weit – es gilt das Verarbeitung
Standortprinzip Personenbezogener Daten
© RA Lasar | 06. März 2019
11Verarbeitung
• Jeder
• mit oder ohne automatisierte Hilfe
• ausgeführte Vorgang
• im Zusammenhang mit personenbezogenen Daten.
© RA Lasar | 06. März 2019 12 12Art. 4 DSGVO
Was sind personenbezogene Daten?
Einzelangaben über persönliche oder sachliche Verhältnisse einer
bestimmten oder bestimmbaren natürlichen Person, z.B.
• Name, Alter, Familienstand, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail Adresse, IP-Adresse
• Konto-, Kreditkartennummer, Kraftfahrzeugnummer, Kfz-Kennzeichen
• Zeugnisse, Vorstrafen
• Personalausweisnummer, Sozialversicherungsnummer, Krankendaten
© RA Lasar | 06. März 2019
13Anforderungen an die Datenverarbeitung
Rechtmäßigkeit z.B. zur Vertragserfüllung
Transparenz die Betroffenen sind informiert
Sicherheit die Technik ist auf dem aktuellen Stand
- im Unternehmen
- bei Auftragsverarbeitern
- Übermittlung in Drittstaaten?
© RA Lasar | 06. März 2019
14Wesentliche Pflichten
Rechtmäßigkeit der Verarbeitung (Art. 5/6/7 DSGVO)
Informationspflicht bei Verarbeitung (Art. 13 DSGVO)
Auskunftsrecht des Betroffenen (Art. 15 DSGVO)
Berichtigungsrecht (Art. 16 DSGVO)
© RA Lasar | 06. März 2019
15Wesentliche Pflichten
Recht auf Datenlöschung (Art. 17 DSGVO)
Datenschutz als übergeordneter Gedanke (Art. 25 DSGVO)
Bestellung Datenschutzbeauftragten (Art. 37/38/39 DSGVO)
Beachtung / Einhaltung von Sicherungsmaßnahmen (Art.32 DSGVO)
© RA Lasar | 06. März 2019
16Wesentliche Pflichten
Meldepflicht bei Datenschutzverletzungen (Art. 33 DSGVO)
Führen eines Verarbeitungsverzeichnisses (Art. 28 DSGVO)
Datenschutzfolgeabschätzung (Art. 35 DSGVO)
Datenschutzfreundliche Grundeinstellungen
© RA Lasar | 06. März 2019
17Umsetzung der DSGVO - Es brennt!
© RA Lasar | 06. März 2019
18Schritt 1: Sensibilisierung der Mitarbeiter Schaffen eines übergreifenden datenschutzrechtlichen Bewusstseins © RA Lasar | 06. März 2019 19 19
Schritt 2: Datenschutzrechtliche Risikoanalyse und Folgeabschätzung • Verzeichnis der Verarbeitungstätigkeiten • Dokumentation vorhandener technischer und organisatorischer Maßnahmen • Risikoanalyse und Abschätzung (analog ISO 27001) • Folgeabschätzung / Festlegung etwaiger Anpassungen © RA Lasar | 06. März 2019 20 20
Aufspüren von Risikobereichen
Tresen / Schreibtische Cloud-Computing,
Auftragsdatenverarbeitung
Geschäftskontakt Server, Workstations,
mit Dritten Drucker, WLan, ...
Web & Social Media Kundenkommunikation
© RA Lasar | 06. März 2019
21Schritt 3:
Prozessoptimierungen / Installation neuer Prozesse
Beispiel: Bonitätsprüfung Wohnungsunternehmen
1. Schritt Angaben von all den Personen, die
sich für eine Wohnung
interessieren
2. Schritt Weitere Angaben von den
Personen, die sich nach einer
Besichtigung für die Wohnung
bewerben
3. Schritt Detaillierte Informationen wie zum
Beispiel Gehaltsnachweis für die
Personen, für die der Mietvertrag
ausgefertigt wird
© RA Lasar | 06. März 2019
22DSGVO – Handlungsempfehlungen für die Praxis
© RA Lasar | 06. März 2019
23DSGVO – Handlungsempfehlungen für die Praxis
Verarbeitungsverzeichnis
Verzeichnis der Verarbeitungstätigkeiten anlegen
Sicherstellen, dass datenschutzrechtliche Belange bei Beginn oder
Änderung eines jeden Prozesses im Unternehmen Berücksichtigung
finden (Privacy by Design Art. 25 DSGVO)
© RA Lasar | 06. März 2019
24DSGVO – Handlungsempfehlungen für die Praxis
Externe Dienstleister
Sind Externe zur Erledigung Ihrer Arbeiten (Auftragsverarbeiter)
eingebunden, sind mit allen Auftragsverarbeitern die erforderlichen
Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DSGVO
abzuschließen
Beispiele: Hosting-Anbieter, externe Datenspeicherung, externe
Druckdienstleister, Cloud-Speicher, Newsletter-Dienste, Cloud Systeme
zur Personal- und Kundenverwaltung
© RA Lasar | 06. März 2019
25DSGVO – Handlungsempfehlungen für die Praxis
Annahme einer Auftragsverarbeitung, wenn Auftragnehmer
keine Entscheidungsbefugnis über die Daten hat
keinen eigenen Geschäftszweck verfolgt bezüglich der
personenbezogenen Daten
einem Nutzungsverbot der zu verarbeitenden Daten unterliegt
© RA Lasar | 06. März 2019
26DSGVO – Handlungsempfehlungen für die Praxis
in keiner vertraglichen Beziehung zu den Betroffenen steht, die er
verarbeitet
und nach außen hin der Auftraggeber für die Datenverarbeitung
verantwortlich ist
© RA Lasar | 06. März 2019
27DSGVO – Handlungsempfehlungen für die Praxis
Transparenz, Informationspflichten, Sicherstellung der Betroffenenrechte
Anpassen der Texte zur datenschutzrechtlichen Information der
betroffenen Personen bei der Datenerhebung an die Anforderungen
nach Art. 13 bzw. 14 DSGVO
Anpassen von Werbe-Einwilligungserklärungen für Kunden,
Interessenten usw., an die Anforderungen von Art. 7 und 13 DSGVO
(Achtung: erweiterte Informationspflichten, zu der jederzeitigen
Widerrufbarkeit der Einwilligung)
© RA Lasar | 06. März 2019
28DSGVO – Handlungsempfehlungen für die Praxis
Transparenz, Informationspflichten, Sicherstellung der Betroffenenrechte
Installation von Prozessen, um Anträge von betroffenen Personen auf
Auskunft zu den eigenen Daten nach Art. 15 DSGVO zeitnah und
vollständig erfüllen zu können (Art. 12 Abs. 1 DSGVO)
Installation von Prozessen, um Anträge auf Datenübertragbarkeit
betroffener Personen erfüllen zu können (Art. 20 DSGVO)
© RA Lasar | 06. März 2019
29DSGVO – Handlungsempfehlungen für die Praxis
Verantwortlichkeit, Umgang mit Risiken
Gibt es für jede Verarbeitungstätigkeit Angaben, mit der die
Rechtmäßigkeit der Verarbeitung nachgewiesen werden kann, z.B.
bezüglich Zwecken, Kategorien personenbezogener Daten, Empfängern
und/oder Löschfristen (Art. 5 Abs. 2 DSGVO)?
Nachweis des Vorliegens von Einwilligungen im Sinne von Art. 7, 8
DSGVO
© RA Lasar | 06. März 2019
30DSGVO – Handlungsempfehlungen für die Praxis
Verantwortlichkeit, Umgang mit Risiken
Installation eines Datenschutzmanagementsystems, um sicherzustellen
und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß
der DSGVO erfolgt (Art 24 Abs. 1 DSGVO)
Anpassung bestehender Prozesse zur Überprüfung der Sicherheit der
Verarbeitung auf die neuen Anforderungen des Art. 32 DSGVO
Notwendigkeit der Durchführung einer Datenschutzfolgenabschätzung
© RA Lasar | 06. März 2019
31DSGVO – Handlungsempfehlungen für die Praxis
Datenschutzverletzungen
Sicherstellen, dass gem. Art. 33 DSGVO die Meldung von Verletzungen
des Schutzes personenbezogener Daten innerhalb von 72 Stunden an
die Aufsichtsbehörde ermöglicht wird
Installation von Prozessen, die Datenschutzverletzungen im
Unternehmen erkennen und das entsprechende Risiko ermitteln
Festlegen von Maßnahmen im Fall einer Datenschutzverletzung - (“Der
Katastrophenplan”)
© RA Lasar | 06. März 2019
32und Praxishinweise nach Einführung der Datenschutzgrundverordnung
DATENPANNE Sachbezogene Daten Keine Meldepflicht.
Nutzen Sie die Gelegenheit, um Ihre Prozesse zu
überprüfen
Verletzungsarten nach DSGVO
Personenbezogene Daten 33 Abs. 1 DSGVO, § 65 BDSG-neu
• Verlust?
• Veränderung? Beschreibung der Datenpanne
• Vernichtung?
Droht der/den betroffenen • Unbefugter Zugang? - Art der Verletzung des Schutzes
Person/en voraussichtlich ein • Unbefugte Weitergabe? personenbezogener Daten, möglichst mit
Schaden durch die Panne? • Unbefugte Veränderung? Angabe der Kategorien und der ungefähren Zahl
der betroffenen Personen, der betroffenen
Kategorien und der ungefähren Zahl der
betroffenen personenbezogenen Datensätze.
ja nein
- Namen und Kontaktdaten des
Datenschutzbeauftragten oder einer sonstigen
Information und Einbindung des Managements / der Geschäftsführung Anlaufstelle für weitere Informationen.
Meldung an die Aufsichtsbehörde innerhalb von 72 Std. nach Bekanntwerden
- Beschreibung der wahrscheinlichen Folgen der
Verletzung des Schutzes personenbezogener
Droht ein unmittelbarer Schaden
*Aufwandsabhängig erfolgt die Daten.
im Sinne von Art. 34 DSGVO?
Benachrichtigung, individuell oder Ergriffene Maßnahmen
durch öffentliche Bekanntmachung,
z.B. in den Medien - Vom Verantwortlichen ergriffene oder
ja vorgeschlagenen Maßnahmen zur Behebung
nein der Verletzung des Schutzes
personenbezogener Daten und gegebenenfalls
Sofortige Benachrichtigung der Unmittelbare Benachrichtigung Maßnahmen zur Abmilderung ihrer möglichen
betroffenen Personen* der betroffenen Personen* nachteiligen Auswirkungen.
© RA Lasar | 06. März 2019
33DSGVO - Konsequenzen für die Immobilienwitschaft
© RA Lasar | 06. März 2019
34Die Immobilienbranche als Datenkrake
Welche personenbezogenen Daten werden verarbeitet?
1. Name, Vorname, Adresse, Telefonnummern, E-Mail-Adresse
2. Alter, Geburtsdatum
3. Personalausweisdaten
4. Personenstand, Angaben zu Kindern, Alter der Kinder
5. Grundbuchdaten, Angaben zu Immobilieneigentum
6. Kontodaten, Gehaltsauskünfte und Angaben zu Finanzierungen
7. Angaben zu Mietern und Miteigentümern
8. Verbrauchsabrechnungen
© RA Lasar | 06. März 2019
35Die Immobilienbranche als Datenkrake
Welche personenbezogenen Daten werden verarbeitet?
9. Angaben zur Konfession
10. Steuer ID
11. Sozialversicherungsnummern
12. Gesundheitsdaten: Anfrage bei Spezialimmobilien: barrierefrei,
barrierearm, Rollstuhl geeignet
13. Videoüberwachung im Büro – Flure, Tiefgarage, Stellplätze,
Fahrradkeller
14. …
© RA Lasar | 06. März 2019
36Problem der Datenlöschung – Bsp.: Maklervertrag
Ist das Vertragsverhältnis beendet, weil der Kaufinteressent das Objekt
gekauft oder den Kauf abgelehnt hat, müssen dessen Daten gelöscht
werden.
Nach dem GwG sind die Daten über die Identität des
Kaufinteressenten und des Verkäufers allerdings 5 Jahre
aufzubewahren.
Aus steuer- und handelsrechtlichen Gründen sind Daten
möglicherweise 10 Jahre aufzubewahren.
© RA Lasar | 06. März 2019
37Problem der Datenlöschung – Bsp.: Betriebskosten
Daten zu Betriebskosten sind mindestens bis zum Ablauf der Mieter -
Einwendungsfrist aufzubewahren (gemäß §556 Abs. 3 S. 4 BGB zwölf
Monate nach Zustellung der Abrechnung).
Daten, die Vermieteransprüche betreffen, sind mindestens bis zum
Ablauf der regelmäßigen Verjährungsfrist gem. § 195 BGB (drei Jahre)
aufzubewahren.
© RA Lasar | 06. März 2019
38 Im Falle eines Rechtsstreits sind die Daten nicht vor rechtskräftigem
Abschluss des Rechtsstreits zu löschen.
Mietverträge und Betriebskostenabrechnungsunterlagen sind gemäß
§147 AO zehn Jahre aufzubewahren
© RA Lasar | 06. März 2019
39Häufige Fragen – FAQ
© RA Lasar | 06. März 2019
40DSGVO – FAQ
Müssen Sie eine Auftragsverarbeitung mit ImmobilienScout24 u.a.
abschließen?
Nein, da Portale wie z.B. ImmobilienScout24 den Kunden gegenüber
weder weisungsgebunden sind, noch die sonstigen Voraussetzungen für
eine Auftragsdatenverarbeitung gem. § 11 BDSG bzw. Art. 28 und 29
DSGVO vorliegen.
© RA Lasar | 06. März 2019
41DSGVO – FAQ
Datenerhebung auf der Website?
Ja, aber: Auf der Website muss …
ein SSL-Zertifikat (Datenverschlüsselungsprogramm für Daten
zwischen Server und Computer) integriert sein bzw. schnellstmöglich
integriert werden.
eine Datenschutzerklärung vorhanden sein.
© RA Lasar | 06. März 2019
42DSGVO – FAQ
Verwendung von Kontaktformularen auf der Website – Praxistipp:
Nur notwendige Angaben abfragen (Grundsatz der
Datenminimierung) und bei der Abfrage optionaler Angaben diese
dann als freiwillig kennzeichnen.
Übermittlung der Daten möglichst über eine verschlüsselte
Datenleitung („https“).
Hinweis zu Kontaktformular in der Datenschutzerklärung.
© RA Lasar | 06. März 2019
43DSGVO – FAQ
Verwendung von Facebook oder WhatsApp – Praxistipp:
Da beide Dienste Daten sammeln, müssen Kunden erst darüber in
Kenntnis gesetzt werden und einwilligen.
In den Datenschutzbestimmungen und im Impressum ist ausdrücklich
darauf hinzuweisen, dass über WhatsApp oder ähnliche Dienste
Kundendaten automatisch übermittelt und gespeichert werden.
© RA Lasar | 06. März 2019
44DSGVO – FAQ
Verwendung von Social Media Plugins – Praxistipp:
Shariff-Lösung
Zwei-Klick Lösung
Totaler Verzicht
© RA Lasar | 06. März 2019
45DSGVO – FAQ
Einbindung von Videos – Praxistipp:
Videos mit erweiterter Datenschutzeinstellung einbetten
Die Zwei-Klick-Lösung
© RA Lasar | 06. März 2019
46DSGVO – Und was kommt noch?
ePrivacy Verordnung
Regelungsgehalt rund um die elektronische Kommunikation also
Cookies, Tracking, Adblocker, E-Mail-Werbung, Browsereinstellung
Voraussichtliches Inkrafttreten Ende 2019 mit Übergangsfrist
(voraussichtlich 1 Jahr)
© RA Lasar | 06. März 2019
47Das Geldwäschegesetz 2018
© RA Lasar | 06. März 2019
48Geldwäschegesetz 2018
Neue Verfahren zur Identifizierung der Vertragspartner
Erleichterung der Geschäftspartneranalyse – Transparenzregister
Neuer Schwellenwert
© RA Lasar | 06. März 2019
49Geldwäschegesetz 2018
Geschäfte mit Drittstaaten
Zentrale Meldestelle für Verdachtsmeldungen
Höhere Sanktionen und Prangervorschrift
© RA Lasar | 06. März 2019
50Geldwäschegesetz 2018
Was hat der Immobilienmakler damit zu tun?
Immobilienmakler sind Verpflichtete im Sinne von § 2 Absatz 1 Ziffer 10
des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten
(GwG).
© RA Lasar | 06. März 2019
51Geldwäschegesetz 2018
Nach dem Geldwäschegesetz (GwG) müssen Immobilienmakler die
Identität ihrer Kunden (Käufer und Verkäufer) feststellen.
Der Makler muss Verkäufer und Käufer jedoch erst identifizieren, wenn
ein ernsthaftes Kaufinteresse besteht. Dies ist der Fall, wenn
1. eine der Kaufvertragsparteien von der anderen den Kaufvertrag
erhalten hat
2. der (voraussichtliche) Käufer mit dem (möglichen) Verkäufer oder
dem Makler eine Reservierungsvereinbarung oder einen Vorvertrag
abgeschlossen hat oder
3. dem Makler eine Reservierungsgebühr gezahlt wurde
© RA Lasar | 06. März 2019
52Geldwäschegesetz 2018 - Identitätsfeststellung
Bei natürlichen Personen:
Personalausweis: Name, Anschrift, Ausweisnummer, Geburtsname
und -datum, Nationalität sowie die ausstellende Behörde.
Ausweiskopie fertigen und zur Akten nehmen
Beachte: Kopie des neuen Personalausweises: sechsstellige Nummer,
Unterschrift (Vorderseite) sowie Augenfarbe und Körpergröße
(Rückseite) sind zu schwärzen
Prüfen, ob Kunden im eigenen wirtschaftlichen Interesse oder für
einen Dritten handeln. Letztgenannter Fall: Ermittlung und
Identifikation des wirtschaftlich Berechtigten
© RA Lasar | 06. März 2019
53Geldwäschegesetz 2018 – Identitätsfeststellung der
Kunden
Bei juristischen Personen
Sitz und Anschrift der Gesellschaft, die Namen der Mitglieder der
gesetzlichen Vertreter
Kopie des Handelsregisterauszugs, ggf. eine Gesellschafterliste
(unübersichtliche Gesellschafterstruktur)
25% Anteil am Stammkapital („Sperrminorität“): Erfassung und
Identifikation auch dieser wirtschaftlichen Berechtigten
© RA Lasar | 06. März 2019
54Geldwäschegesetz 2018: Was tun im Ernstfall?
Im Verdachtsfall - Immobilienmakler muss von sich aus tätig werden
Geldwäscheverdacht muss bei der Zentralstelle für
Finanztransaktionsuntersuchungen (FIU) der zuständigen
Generalzolldirektion gemeldet werden
Die Verdachtsmeldung erfolgt elektronisch über das Portal der FIU:
goAML (Registrierung erforderlich)
© RA Lasar | 06. März 2019
55Fragen?
© RA Lasar | 06. März 2019
56Vielen Dank für Ihre Aufmerksamkeit!
© RA Lasar | 06. März 2019
57Sie können auch lesen
