CyberSecurity und Privacy: Immobilienwirtschaft als Datensammler wider willen!?

Im Rahmen der in der Schweiz in Vernehmlassung stehenden Datenschutz-Gesetz-Ueberarbeitung (CH-DSG) und im Zuge der Datenschutzgrundverordnung (EU-DSGVO / GDPR) sind alle Akteure in der ganzen Wertschöpfungskette der Immobilien-Wirtschaft und entsprechendem Lebenszyklus wahre (unfreiwillige…) Datensammler von personenbezogenen Daten.

In der ersten Vor-Klassifikation von entsprechenden personenbezogenen Daten fällt speziell auf, dass die kontextbezogene Quantität und vorallem prozessrelevante Qualität (Detaillierungsstufe von personensensitiven Informationen) schon sehr hoch ist, sehr früh beginnend bei z.B. der Qualifizierung , Bewertung und gar Profiling von Wohnungsinteressenten, Leads, Verkaufschancen, Verlauf, Aktivitäten über Miet- und Kauf-Vertrag mit Bank- und Konten-Informationen bis hin zu Abrechnungen, Nachweisen, Wünschen, Handwerker, Lieferanten und Unterhalt.

Mit diesen anvertrauten Daten müssen die Firmen – je nach Rolle oder Mandat als fortan gesetzlich schärfer regulierter Auftrag-Datenverarbeiters bzw. Datenverarbeiter – zukünftig noch sensibler umgehen bzw. die Daten-Sicherheit UND Daten-Schutz sicherstellen und beweisbar nachweisen.

Mittels der angesprochen Daten-Klassifizierung, Dokumentation / Verzeichnis, Verarbeitungsnachweis und Prozess-Definitionen bei z.B. Behörden-Anfragen, Auskunftspflicht, Meldepflichten (innert 72h), Datenschutz-Verletzungen, Kommunikation, Formularverarbeitungen, Datenflüssen, Schnittstellen, Datenlöschungen, Privacy by default sind erste relevante Schritte zu forcieren. Dies ist bereits ein adäquater Start in einen beweisbaren Tätigkeitsnachweis und kann als hilfreicher Beweis zur nötigen, ernsthaften Sensibilierung positiv referenziert werden.

Durch eine solche dokumentierte Ernsthaftigkeit und Auseinandersetzung ist man sehr wahrscheinlich schon mal von einem möglichen Vorwurf oder gar Tatbestand „fehlender Datenschutz“ befreit und auf gutem Wege, einen datenschutz-technisch mittlerweilen essentiellen Reifegrad zugunsten des künftig zunehmend geforderten Datenschutz zu erreichen.

Einen Reifegrad zu erreichen reicht jedoch schon lange nicht mehr im Kontext der Disruption in der Digitalisierung und dynamischen Bedrohungslagen im Zeitalter von CyberCrime / CyberSecurity.
Die fortwährende Auditierung, Bewertung, Monitoring und auch Ausrichtung an „best practices“ erweitert über „privacy by default“, „Security by design“ bis hin zu „Stand der Technik“ ist unumgänglich.

Auch werden die Mieter / Käufer / Auftraggeber (oder sonst auch Verbände oder Aemter) die ausgebauten Grundrechte bzw. deren expliziten Datensubjekt-Rechte stärker und aufwandintensiv(er) einfordern.
Hier werden Themen zu lösen und nachzuweisen sein in z.B. Auskunftsrecht, Einwilligung, Recht auf Löschen / Vergessen, Datenportabilität, Datenminimierung, Verwendungszwecke (inkl. Informations- und Einwilligungs-Pflicht bei Aenderungen) oder gar Datenflüsse.

Dass es hierbei eine erweiterte, klar definierte und auch nach aussen kommunizierbare Zuständigkeit und Sensibilisierung / Schulung des Managements und Mitarbeiter braucht zum Themenkreis Datensicherheit, Datenschutz bzw. CyberSecurity ist sicherlich selbsterklärend. Ein sogenannter Datenschutzbeauftragter (intern oder extern) der entsprechende Datenschutzfolgenabschätzungen im Rahmen des ICT- Risk-Management durchführt, begleitet oder verantwortet wird im CH-DSG referenziert / empfohlen und aber im EU-DSGVO / GDPR explizit verlangt.

Datenschutz / Sicherheit / CyberSecurity ist eine gemeinsam geteilte Verantwortung unter allen Akteuren.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

w

Verbinde mit %s