Datenschutz-Audit
Auch: DSGVO-Compliance-Check · Datenschutzprüfung
Ein Datenschutz-Audit ist eine strukturierte Bestandsaufnahme und Prüfung, ob ein Maklerunternehmen seine Prozesse zur Erhebung, Verarbeitung und Speicherung personenbezogener Daten rechtskonform gestaltet hat. Es kann intern (Selbstprüfung), durch einen externen Datenschutzberater oder im Rahmen einer behördlichen Kontrolle erfolgen.
Ausführliche Erklärung
Anders als etwa die Datenschutz-Folgenabschätzung ist das Datenschutz-Audit keine gesetzlich einzeln normierte Pflicht mit festem Ablauf, sondern ergibt sich aus der allgemeinen Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und der Pflicht, geeignete technische und organisatorische Maßnahmen sicherzustellen (Art. 24, Art. 32 DSGVO). In der Praxis ist es das zentrale Werkzeug, um diese Pflichten nachweisbar zu erfüllen.
Typischer Prüfumfang für ein Maklerbüro:
- Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): Sind alle Verarbeitungsvorgänge (Interessentendaten, Eigentümerdaten, Mitarbeiterdaten, Bewerberdaten, GwG-Prüfungen) vollständig und aktuell dokumentiert?
- Rechtsgrundlagen: Liegt für jede Verarbeitung eine tragfähige Rechtsgrundlage vor (Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Pflicht)?
- Informationspflichten: Sind Datenschutzhinweise bei Website, Kontaktformular, Exposé-Versand und Besichtigungsterminen vollständig und aktuell?
- Auftragsverarbeitung: Bestehen mit allen externen Dienstleistern (CRM-Anbieter, Cloud-Speicher, Fotografen, Home-Staging-Firmen, Portale) wirksame Auftragsverarbeitungsverträge (Art. 28 DSGVO)?
- Technische Sicherheit: Verschlüsselung, Zugriffsrechte, Passwortrichtlinien, Backup-Konzept, mobile Endgeräte (Art. 32 DSGVO).
- Löschkonzept: Bestehen dokumentierte Löschfristen für Interessenten-, Bewerber- und Vertragsdaten, und werden sie eingehalten?
- Mitarbeiterschulung: Sind Mitarbeiter auf Vertraulichkeit verpflichtet und regelmäßig geschult?
- Betroffenenrechte: Existiert ein Prozess, um Auskunfts-, Berichtigungs- und Löschanfragen fristgerecht (i. d. R. binnen eines Monats, Art. 12 Abs. 3 DSGVO) zu beantworten?
Ein regelmäßiges Datenschutz-Audit – etwa jährlich oder bei wesentlichen Prozessänderungen (neue Software, neue Marketingkanäle) – reduziert das Haftungs- und Bußgeldrisiko erheblich und ist ein wichtiger Baustein eines funktionierenden Datenschutz-Management-Systems. Größere Maklerunternehmen lassen das Audit häufig durch den betrieblichen oder externen Datenschutzbeauftragten durchführen und dokumentieren die Ergebnisse in einem Prüfbericht mit Maßnahmenplan.
Beispiel aus der Praxis
Ein Maklerbüro mit zehn Mitarbeitenden beauftragt einen externen Datenschutzberater mit einem jährlichen Audit. Dabei stellt sich heraus, dass für das genutzte CRM-System kein aktueller Auftragsverarbeitungsvertrag vorliegt und Interessentendaten von Objekten, die vor drei Jahren verkauft wurden, noch immer gespeichert sind. Das Büro schließt daraufhin den fehlenden Vertrag ab und richtet eine automatisierte Löschroutine ein.
Rechtsgrundlage
- Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht: Der Verantwortliche muss die Einhaltung der Grundsätze nachweisen können.
- Art. 24 DSGVO – Verantwortung des Verantwortlichen zur Umsetzung geeigneter Maßnahmen.
- Art. 32 DSGVO – Sicherheit der Verarbeitung, Pflicht zu angemessenen technischen und organisatorischen Maßnahmen.