Die Immobilienwirtschaft steht derzeit stark im öffentlichen Fokus. Wohnungsknappheit und Mietensteigerungen sind zwei Themen, über die viel diskutiert wird. Jetzt kommt ein drittes, bereits als erledigt angesehenes Thema, wieder auf: Datenschutz. Seit Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Vor einigen Wochen hat die Berliner Datenschutzbehörde das bislang höchste Bußgeld in der deutschen Datenschutzgeschichte verhängt. Eine Immobiliengesellschaft soll 14,5 Millionen Euro zahlen. Unter anderem wird dem Unternehmen vorgeworfen, personenbezogene Daten gespeichert zu haben, ohne zu prüfen, ob dies zulässig war. Die Nervosität in der Branche ist entsprechend groß.
Ein konkretes Risiko wurde nicht gesehen
Obwohl die Verordnung seit mehr als 18 Monaten angewendet werden muss, hat sich in vielen Unternehmen nur sehr vereinzelt etwas geändert. Das tatsächliche Risiko einer Strafzahlung wegen Verstößen gegen die EU-DSGVO war nach erster Einschätzung eher abstrakter Natur. Unterschiedliche Aufbewahrungsfristen, Einwilligungen zur Datenverarbeitung und Begründungen für berechtigte Datenaufbewahrung erwiesen sich in der Praxis zwar als komplexe Herausforderungen. Ein konkretes Risiko wurde aber negiert. Viele warteten ab – frei nach dem Motto: „So schlimm wird es schon nicht werden.“
In den Systemen liegen viele sensible Daten
Dabei speichert kaum eine andere Branche mehr personenbezogene Daten. Neben Namens- und Adressdaten liegen auch Daten zu Arbeitgebern und Gehältern, Religions- und Nationalitätsstatus und weitere vertrauliche Informationen in den Systemen. Viele davon werden in den ERP-Systemen vorgehalten. Diese wurden jedoch aus völlig anderen Gesichtspunkten als dem Datenschutz entwickelt. Mit gravierenden Folgen. Die ERP-Systeme beherrschen nicht die EU-DSGVO-Vorgabe personenbezogene Daten zu löschen, da sie für eine regulatorisch geforderte revisionsichere und unveränderbare Datenhaltung konzipiert wurden. Einige Systemanbieter reagierten darauf mit Lösungen zur Daten-Anonymisierung, also dem Überschreiben von ausgewählten Datensätzen.
Viele Systeme, viele Daten, viele Risiken
Bei näherem Blick zeigt sich jedoch, dass im Zusammenspiel mehrerer Systeme erhebliche Gefahren für die Unternehmen lauern. Denn selbst wenn im ERP-System eine Anonymisierung möglich ist, so ist eine Datenlöschung in den Umsystemen nicht selbstverständlich. In den mit Schnittstellen gekoppelten Property-Management-, Dokumentenmanagement-, HR- oder Projektsystemen mit separater Datenhaltung und vor allem in Reporting-Tools ist die Gefahr groß, dass bestimmte Daten dauerhaft weiter verfügbar sind. Die Gefahr liegt in der fehlenden Kommunikation der Systeme untereinander für Lösch- oder Anonymisierungsvorgänge.
Lücken erkennen und schließen
Daten, die vielfach durch Prozessänderungen, Migrationen oder Systemtransfers strukturell verändert wurden und nicht mehr eindeutig dem ursprünglichen Datensatz im ERP-System zugeordnet werden können, werden bei einer hierarchisch nachfolgenden Anonymisierung nicht berücksichtigt. Darüber hinaus arbeiten nicht alle Unternehmen in der Branche mit Systemen, die automatische Routinen ermöglichen oder periodische Prüfungen durchführen. Speziell in diesen Fällen ist es erforderlich, sich intensiv mit der Thematik zu befassen und mögliche Lücken zu erkennen und manuell zu bereinigen.
Trügerische Sicherheit
Die Immobilienwirtschaft wähnte sich beim Thema EU-DSGVO in trügerischer Sicherheit und verließ sich auf die Systemanbieter. Doch das Beispiel aus Berlin zeigt, dass Bußgeldforderungen in Millionenhöhe real sind. Die eingesetzten Systeme enthalten komplex strukturierte Daten. Insbesondere in der IT kann es bedingt durch die Datenhaltung im ERP-System und dem fehlenden Zusammenspiel mit den über Schnittstellen integrierten Umsystemen bei der Datenanonymisierung zu nachhaltigen Datenschutzverstößen kommen. Gerade deswegen sollten sich Unternehmen noch intensiver damit beschäftigen, ihre IT, deren Abläufe und inhärenten Systematiken und somit das Zusammenspiel der Systeme an die EU-DSGVO anpassen – denn die Behörden machen längst ernst.