Interne Datenschutzrichtlinie
Auch: Datenschutzleitlinie · Datenschutz-Policy
Die interne Datenschutzrichtlinie ist ein schriftliches Regelwerk, mit dem ein Maklerbüro festlegt, wie Mitarbeiter personenbezogene Daten von Interessenten, Eigentümern und Mietern erheben, verarbeiten, speichern und löschen dürfen. Sie macht die abstrakten DSGVO-Pflichten für den Arbeitsalltag konkret handhabbar.
Ausführliche Erklärung
Nach Art. 24 DSGVO muss der Verantwortliche – also auch der Maklerbetrieb – geeignete technische und organisatorische Maßnahmen (TOM) treffen, um die Einhaltung der DSGVO sicherzustellen und dies auch nachweisen zu können (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO). Eine interne Datenschutzrichtlinie ist der zentrale Baustein, um diese Pflicht praktisch umzusetzen.
Typische Inhalte für ein Maklerbüro:
- Zugriffsrechte: Wer darf auf CRM-System, Bonitätsunterlagen, Ausweiskopien und Selbstauskünfte zugreifen (Need-to-know-Prinzip).
- Umgang mit Interessentendaten: Regeln zur Erfassung bei Besichtigungen, zur Weitergabe an Kooperationspartner und zur Nutzung für Werbezwecke (Newsletter, Kaltakquise).
- Löschfristen und Löschkonzept: Verweis auf das unternehmensweite Löschkonzept mit konkreten Aufbewahrungsdauern.
- Meldewege bei Datenpannen: Klare interne Eskalationskette, damit die 72-Stunden-Frist nach Art. 33 DSGVO eingehalten werden kann.
- Umgang mit Betroffenenanfragen: Wer bearbeitet Auskunfts-, Berichtigungs- und Löschanfragen und in welcher Frist.
- Homeoffice und mobile Endgeräte: Verschlüsselung, Passwortrichtlinien, Clean-Desk-Prinzip.
- Schulungspflicht: Regelmäßige Sensibilisierung neuer und bestehender Mitarbeiter.
Für Makler ist die Richtlinie nicht nur Compliance-Papier, sondern auch ein Haftungsschutz: Bei einer Kontrolle durch die Aufsichtsbehörde oder im Streitfall mit einem Betroffenen kann das Büro nachweisen, dass es organisatorisch vorgesorgt hat. Eine fehlende oder nur formal existierende, aber nicht gelebte Richtlinie wirkt sich bei der Bußgeldbemessung nach Art. 83 DSGVO regelmäßig nachteilig aus.
Beispiel aus der Praxis
Ein Maklerbüro mit fünf Mitarbeitern erstellt eine zweiseitige Datenschutzrichtlinie, in der geregelt ist, dass Ausweiskopien nur verschlüsselt gespeichert und nach Abschluss der Mietvertragsprüfung binnen 30 Tagen gelöscht werden. Jeder neue Mitarbeiter unterschreibt die Richtlinie als Teil der Einarbeitung.
Rechtsgrundlage
- Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht des Verantwortlichen.
- Art. 24 DSGVO – Pflicht zu geeigneten technischen und organisatorischen Maßnahmen.
- Art. 32 DSGVO – Sicherheit der Verarbeitung.