Datenschutzgesetz Fidroc Immobilien,
gültig ab 01. September 2023
Einleitung
Unsere Kernkompetenz ist auf den schweizerischen Immobiliensektor ausgerichtet. Wir nehmen Sie als Kundin/Kunde und damit Ihr Recht und Ihr Bedürfnis nach Datenwahrheit und Datensicherheit sehr ernst.
Aus diesem Grunde haben wir uns dafür entschieden den Umgang mit Ihren Daten nach den strengen Anforderungen gemäss dem Schweizer Datenschutzgesetz auszurichten.
Die Totalrevision des Bundesgesetzes über den Datenschutz (DSG) tritt am 1. September 2023 in Kraft. Die Totalrevision hat neben der Anpassung des bestehenden Gesetzes an die technologische Entwicklung zum Ziel, das revidierte Datenschutzübereinkommen SEV 108 des Europarats zu ratifizieren sowie die Schengenrelevante Richtlinie (EU) 2016/680 über den Datenschutz in Strafsachen umzusetzen.
Die Immobilienwirtschaft und angrenzende Branchen verarbeitet viele Daten. In der überragenden Mehrheit sind dies jedoch keine besonders schützenswerten Personendaten gemäss DSG.
Ungeachtet dessen hat die Gesetzesrevision für die Immobilienwirtschaft eine Bedeutung von erheblicher Tragweite. Im Kern geht es darum, sich über den Datenanfall, den Umgang mit Daten, die Verantwortungszuordnung sowie die Sicherung und Archivierung von Daten in einem Unternehmen bewusst zu werden.
Der Zweck des Gesetzes ist es Personendaten, d. h. Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (wie Name, Adresse, Geburtsdatum, Telefonnummern, Mail-Adressen, Äusserungen, fotographische Aufnahmen usw.) zu schützen. Für die Umsetzung des DSG und die Etablierung von Datenschutzmassnahmen kann somit davon ausgegangen werden, dass grundsätzlich alle Daten mit Bezug zu identifizierbaren natürlichen Personen als schützenswerte Daten gelten.
Es ist nicht davon auszugehen, dass im Normalfall solche Daten im immobilien-wirtschaftlichen Alltag eine wesentliche Rolle spielen, mit Ausnahme des Betreibungsregisterauszugs bei den Abklärungen zum Mietvertrag.
Besonders schützenswerte Personendaten sind:
- Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
- Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie
- genetische Daten
- biometrische Daten, die eine natürliche Person eindeutig identifizieren, personenbezogene Daten (z.B. E-Mail-Adresse, Vorname, Nachname, Titel, Adresse, Telefonnummer)
- Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen
- Daten über Massnahmen der sozialen Hilfe oder Angaben über den Arbeitgeber und die Arbeitsstelle
Vermietung (Interessenten)
Mietinteressentenformular:
Nach Abschluss des Prozesses und der (Wieder-)Vermietung einer Wohnung
sind alle eingereichten Formulare bzw. Daten von nicht berücksichtigen Mietern zur vernichten, sofern diese nicht ausdrücklich ihr Einverständnis zur weiteren Speicherung gegeben haben (z. B. Interesse an anderen Wohnungen des Bewirtschaftungs-unternehmens). Originale allenfalls zu retournieren mit grösster Sorgfalt – an die richtige Adresse/Person.
Mietvertrag:
Mietverträge müssen aufgrund der allgemeinen Verjährungsfrist im Vertragsrecht für die Dauer von 10 Jahren über die letzte vertragliche Leistung hinaus aufbewahrt werden. In der Regel handelt es sich bei der letzten vertraglichen Leistung um die Heiz- und
Nebenkostenabrechnung. Bis zu diesem Zeitpunkt lässt sich die Speicherung als verhältnismässig rechtfertigen. Danach ist der Mietvertrag zu vernichten.
Der Mieterspiegel ohne persönliche Daten des Mieters ist aufzubewahren, damit bei einem Wechsel des Bewirtschaftungsunternehmens alle relevanten Daten zur Liegenschaft vorhanden sind.
Heiz- und Nebenkostenabrechnungen:
Der Betrieb einer Immobilie generiert je nach Objekt sehr viele Nutzerdaten. Zutrittskontrollen, Netzwerke, Verbraucherdaten etc. Diese Daten fallen meist an verschiedenen Stellen an. Die Verarbeitung erfolgt in der Regel zweckgebunden, und sie müssen teilweise für die Buchhaltung aufbewahrt werden. Somit liegt im Grundsatz eine gesetzliche Erlaubnis für die Speicherung der Daten vor. Allerdings besteht die Herausforderung darin, die Verantwortungsträger und die Speicher- und Archivierungsorte zu kennen. Daten aus Abrechnungen sind bis zur absoluten Verjährungsfirst von 10 Jahren aufzubewahren. Bei einem allfälligen Wechsel der Verwaltung dürfen darum mit diesen Abrechnungen auch die persönlichen Daten früherer Mieter zweckgebunden weitergegeben werden. Fidroc wird in diesen Prozessen von GaraioREM unterstützt und es wird hiermit auf die Datenschutzmassnahmen durch Garaio hingewiesen.
Vermarktung
Kontaktdaten potenzieller Käufer: Es gelten die gleichen Grundsätze wie unter «Vermietung/Mietinteressentenformular».
Kaufverträge: Falls der Makler als Vermittler zwischen Verkäufer und Käufer aufgetreten ist, so sind allfällige Kopien des Kaufvertrags und alle weiteren Daten spätestens nach Ablauf der Garantiefristen nach SIA bzw. OR (je nach Vertrag) zu vernichten. Bis zu diesem Zeitpunkt lässt sich die Speicherung als verhältnismässig rechtfertigen, da evtl. die eine oder andere Partei noch Auskünfte vom Makler verlangen könnte.
Zahlungsbelege für Reservationszahlungen: Da der Makler nicht Partei ist gilt für die Belege zu den Zahlungen, dass diese gemäss Gesetz durch den Makler nicht aufbewahrt werden müssen. Somit sind sie spätestens nach Abschluss des Kaufvertrags bzw. nach Übergang des Eigentums zu vernichten.
Bewertung/Beratung/Bewirtschaftung
Im weiten Feld der Immobiliendienstleistungen sind über die Vermietung und Vermarktung hinaus zahlreiche Berührungspunkte mit dem DSG vorstellbar, beispielsweise in der Bewertung von Liegenschaften von Privatpersonen, in der Beratung bei Bauvorhaben oder in der Verwaltung von Stockwerkeigentümer-Gemeinschaften. Einzelaspekte des Datenschutzes in der Immobilienwirtschaft Zusammenarbeit mit Dritten. Als Zusammenarbeit mit Dritten gilt die sog. Auftragsbearbeitung gem. Art. 5 Buchst. k DSG i. v. m. Art. 9 DSG sowie die Zusammenarbeit mit Unternehmen entlang der Wertschöpfungskette. Unternehmen der Immobilienwirtschaft sind vielfältig vernetzt und arbeiten entlang des Immobilienlebenszyklus oder für die Erbringung von Unternehmensdienstleistungen (insb. Informatik, Werbung, Finanzwesen) mit zahlreichen Partnern zusammen. Im Rahmen dieser Zusammenarbeit werden nicht nur Sachdaten, sondern auch schützenswerte Personendaten regelmässig weitergegeben und/oder durch Partner im Auftrag des Unternehmens bearbeitet (z. B. Speicherung). Das DSG bezeichnet die Bearbeitung schützenswerter Personendaten durch Dritte als «Auftragsbearbeitung». Bei der Auftragsbearbeitung ist namentlich an die Auftragsvergabe an Informatik-dienstleister (Server-Betreiber, Newsletter-Dienste usw.) und deren Leistungserbringung unter Verwendung solcher Personendaten zu denken. Bei Fidroc handelt es sich um Partner wie GaraioREM, LAN Computer und emoticom.
Unter die Auftragsbearbeitung fällt die Beauftragung zur Beschaffung von Personendaten doch Unternehmen welche weniger als 250 Mitarbeitende beschäftigen und natürliche Personen sind gemäss Art. 26 DSV von der Pflicht befreit. Eine Informationspflicht seitens des Verantwortlichen bzw. des Auftragsbearbeiters besteht, wenn Personendaten beschafft werden. Zu denken ist dabei mit Bezug zur Immobilien-wirtschaft etwa an Bonitätsauskünfte.
Hinsichtlich der Zusammenarbeit zwischen dem Verantwortlichen und dem Auftragsbearbeiter ist dem Datenschutz besondere Beachtung zu schenken, namentlich mit Auftragsbearbeitern mit Sitz im Ausland. Der Verantwortliche, der die Bearbeitung von Personendaten einem Auftragsbearbeiter überträgt, bleibt für den Datenschutz verantwortlich. Er muss sicherstellen, dass die Daten vertrags- oder gesetzesgemäss bearbeitet werden.
Das DSG sieht ein Auskunftsrecht vor. Jede betroffene Person kann die über sie gespeicherten Daten einfordern.
Es ist sicherzustellen, dass ausschliesslich der betroffenen Person Auskunft erteilt wird (Identifikation nur über den Absender des E-Mails reicht nicht aus um Auskunft zu erteilen).
Wenn die Person identifiziert ist und sichergestellt ist, dass es sich um eine berechtigte Person handelt, müssen ihr die folgenden Informationen mitgeteilt werden:
- die bearbeiteten Personendaten als solche
- der Bearbeitungszweck
- die Aufbewahrungsdauer der Personendaten oder, falls dies nicht möglich ist, die Kriterien zur Festlegung dieser Dauer.
- die verfügbaren Angaben über die Herkunft der Personendaten, soweit sie nicht bei der betroffenen Person beschafft wurden.
Alle Mitglieder des Verbands SVIT, welche weniger als 250 Mitarbeitende beschäftigen, fallen unter die Ausnahmeregelung und müssen somit kein Verzeichnis führen. Die Erstellung einer Datenschutz-Folgenabschätzung, ist für Betriebe im Immobilienbereich nicht nötig, da in der Regel keine umfangreiche Bearbeitung besonders schützenswerter Personendaten oder systematisch umfangreiche öffentliche Bereiche überwacht werden.
FIDROC nimmt den Schutz der persönlichen Kundendaten sehr ernst. Selbstverständlich beachten wir die gesetzlichen Bestimmungen des Bundesgesetzes über den Datenschutz (DSG), der Verordnung zum Bundesgesetz über den Datenschutz (VDSG), des Fernmeldegesetzes (FMG) und andere gegebenenfalls anwendbare datenschutzrechtliche Bestimmungen des schweizerischen oder EU-Rechts, bzw. die Datenschutz-grundverordnung (DSGVO), sofern anwendbar.
Auf unserer Website www.fidroc.ch setzen wir verschiedene Techniken ein, mit denen wir und von uns beigezogenen Dritte Sie bei Ihrer Nutzung wiedererkennen und unter Umständen auch über mehrere Besuche hinweg verfolgen können. In diesem Abschnitt informieren wir Sie darüber.
Im Kern geht es darum, dass wir die Zugriffe von Ihnen (über Ihr System) von Zugriffen anderer Benutzer unterscheiden können, damit wir die Funktionalität der Website sicherstellen und Auswertungen und Personalisierungen vornehmen können. Wir wollen dabei nicht auf Ihre Identität schliessen, auch wenn wir dies können, soweit wir oder von uns beigezogene Dritte Sie durch Kombination mit Registrierungsdaten identifizieren können. Auch ohne Registrierungsdaten sind die eingesetzten Techniken aber so ausgestaltet, dass Sie bei jedem Seitenaufruf als individueller Besucher erkannt werden, etwa indem unser Server (oder die Server der Dritten) Ihnen bzw. Ihrem Browser eine bestimmte Erkennungsnummer zuweist (sog. «Cookie»).
Wir verwenden solche Techniken auf unserer Website und erlauben bestimmten Dritten, dies ebenfalls zu tun. Je nach dem Zweck dieser Techniken fragen wir aber nach Ihrer Einwilligung, bevor diese zum Einsatz kommen. Sie können Ihren Browser so programmieren, dass er bestimmte Cookies oder Alternativtechniken blockiert, täuscht oder bestehende Cookies löscht. Sie können Ihren Browser auch mit Software erweitern, die das Tracking durch bestimmte Dritte sperrt. Weitere Angaben dazu finden Sie auf den Hilfeseiten Ihres Browsers (meist unter dem Stichwort «Datenschutz») oder auf den Websites der Dritten, die wir unten aufführen.
Es werden folgende Cookies (Techniken mit vergleichbaren Funktionsweisen wie das Fingerprinting sind hier mitgemeint) unterschieden:
- Notwendige Cookies: Einige Cookies sind für das Funktionieren der Website als solche oder bestimmte Funktionen notwendig. Sie stellen z.B. sicher, dass Sie zwischen den Seiten wechseln können, ohne dass in einem Formular eingegebene Angaben verloren gehen. Sie stellen ausserdem sicher, dass Sie eingeloggt bleiben. Diese Cookies bestehen nur temporär («Session Cookies»). Falls Sie sie blockieren, funktioniert die Website möglicherweise nicht. Andere Cookies sind notwendig, damit der Server von Ihnen getroffene Entscheide oder Eingaben über eine Sitzung (d.h. einen Besuch der Website) hinaus speichern kann, falls Sie diese Funktion beanspruchen (z.B. gewählte Sprache, erteilte Einwilligung, die Funktion für ein automatisches Einloggen etc.). Diese Cookies haben ein Verfallsdatum von bis zu 24 Monaten.
- Performance Cookies: Um unsere Website und entsprechende Angebote zu optimieren und besser auf die Bedürfnisse der Benutzer abzustimmen, nutzen wir Cookies, um die Verwendung unserer Website aufzuzeichnen und zu analysieren, unter Umständen auch über die Sitzung hinaus. Das tun wir durch den Einsatz von Analyse-Diensten von Drittanbietern. Diese haben wir unten aufgeführt. Performance Cookies haben ebenfalls ein Verfallsdatum von bis zu 24 Monaten. Details finden Sie auf den Websites der Drittanbieter.
- Marketing Cookies: Wir und unsere Werbe-Vertragspartner haben ein Interesse daran, Werbung zielgruppengenau zu steuern, d.h. möglichst nur denen anzuzeigen, die wir ansprechen wollen. Unsere Werbe-Vertragspartner haben wir unten aufgeführt. Zu diesem Zweck setzen wir und unsere Werbe-Vertragspartner ebenfalls Cookies ein, mit denen die aufgerufenen Inhalte oder geschlossenen Verträge erfasst werden können. Das ermöglicht es uns und unseren Werbe-Vertragspartnern, Werbung anzuzeigen, bei der wir davon ausgehen können, dass sie Sie interessiert, auf unserer Website, aber auch auf anderen Websites, die Werbung von uns bzw. unseren Werbe-Vertragspartnern anzeigen. Diese Cookies haben je nach Situation eine Verfalldauer von einigen Tagen bis zu 13 Monaten. Falls Sie in die Verwendung dieser Cookies einwilligen, wird Ihnen entsprechende Werbung angezeigt. Falls Sie nicht in diese Cookies einwilligen, sehen Sie nicht weniger Werbung, sondern einfach irgendwelche andere Werbung.
Neben Marketing-Cookies verwenden wir weitere Techniken, um Online-Werbung auf anderen Websites zu steuern und dadurch Streuverluste zu reduzieren. Wir können bspw. die E-Mail-Adressen unserer Nutzer, Kunden und weiteren Personen, denen wir Werbung anzeigen wollen, an Betreiber von Werbeplattformen übermitteln (z.B. Social Media). Falls diese Personen dort mit derselben E-Mail-Adresse registriert sind (was die Werbeplattformen durch einen Abgleich feststellen), zeigen die Betreiber die von uns geschaltete Werbung zielgerichtet diesen Personen an. Personenbezogene E-Mail-Adressen von nicht bereits bekannten Personen erhalten die Betreiber dabei nicht. Bei bekannten E-Mail-Adressen erfahren sie aber, dass diese Personen mit uns in Verbindung stehen und welche Inhalte sie aufgerufen haben.
Wir können auf unserer Website auch weitere Angebote Dritter einbinden, insbesondere von Social Media-Anbietern. Durch eine Aktivierung können die entsprechenden Anbieter feststellen, dass Sie sich auf unserer Website befinden. Haben Sie beim Social Media-Anbieter ein Konto, kann er Ihnen diese Angabe zuordnen und so Ihre Nutzung von Online-Angeboten verfolgen. Diese Social Media-Anbieter bearbeiten diese Daten in eigener Verantwortung.
Derzeit verwenden wir Angebote der folgende Dienstleister und Werbe-Vertragspartner (soweit diese zur Werbesteuerung Daten von Ihnen bzw. bei Ihnen gesetzte Cookies verwenden):
Google Analytics: Google Irland (mit Sitz in Irland) ist der Anbieter des Dienstes «Google Analytics» und fungiert als unser Auftragsbearbeiter. Google Irland stützt sich hierfür auf Google LLC (mit Sitz in den USA) als ihr Auftragsbearbeiter (beide «Google»). Google verfolgt dabei durch Performance Cookies (s. oben) das Verhalten der Besucher auf unserer Website (Dauer, Häufigkeit der aufgerufenen Seiten, geographische Herkunft des Zugriffs etc.) und erstellt für uns auf dieser Grundlage Berichte über die Nutzung unserer Website. Wir haben den Dienst so konfiguriert, dass die IP-Adressen der Besucher von Google in Europa vor einer Weiterleitung in die USA gekürzt werden und dadurch nicht zurückverfolgt werden können. Wir haben die Einstellungen «Datenweitergabe» und «Signals» ausgeschaltet. Obwohl wir annehmen können, dass die Informationen, welche wir mit Google teilen, für Google keine Personendaten sind, ist es möglich, dass Google von diesen Daten für eigene Zwecke Rückschlüsse auf die Identität der Besucher ziehen, personenbezogene Profile erstellen und diese Daten mit den Google-Konten dieser Personen verknüpfen kann. Falls Sie der Nutzung von Google Analytics zustimmen, willigen sie explizit einer solchen Bearbeitung zu, welche auch die Übermittlung von Personendaten (insbesondere Nutzungsdaten zur Website und App, Geräteinformationen und individuelle IDs) in die USA und in andere Staaten ein. Informationen zum Datenschutz von Google Analytics finden Sie hier und falls Sie über ein Google-Konto verfügen, finden Sie weitere Angaben zur Bearbeitung durch Google hier.
Google Tag Manager: Über den Google Tag Manager können wir Website-Tags verwalten und Google Analytics und weitere Google-Marketing-Dienste in unsere Website einbinden. Anbieter ist Google. Informationen zum Datenschutz bei Google Tag Manager finden Sie hier.
Google Maps: Auf dieser Website wird der Kartendienst «Google Maps» eingesetzt, um Karten in unsere Seite einbetten zu können. «Google Maps» ist ein Dienst von Google. Informationen zur Verwendung der Standortdaten finden Sie hier, die allgemeine Datenschutzerklärung von Google hier.
Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden bei Inseraten, welche auf Immoscout24 erscheinen über GaraioREM, erfolgt dies, soweit möglich, stets auf freiwilliger Basis.
Welche Daten bearbeiten wir auf unseren Seiten in sozialen Netzwerken?
Wir können auf sozialen Netzwerken und anderen von Dritten betriebenen Plattformen Seiten und sonstige Online-Präsenzen betreiben («Fanpages», «Kanäle», «Profile» etc.) und dort die in Ziff. 3 und nachfolgend umschriebenen Daten über Sie erheben. Wir erhalten diese Daten von Ihnen und den Plattformen, wenn Sie über unsere Online-Präsenz mit uns in Kontakt kommen (z.B., wenn Sie mit uns kommunizieren, unsere Inhalte kommentieren oder unsere Präsenz besuchen). Gleichzeitig werten die Plattformen Ihre Nutzung unserer Online-Präsenzen aus und verknüpfen diese Daten mit weiteren, den Plattformen bekannten Daten über Sie (z.B. zu Ihrem Verhalten und Ihren Präferenzen). Sie bearbeiten diese Daten auch für eigene Zwecke in eigener Verantwortlichkeit, insbesondere für Marketing- und Marktforschungszwecke (z.B. um Werbung zu personalisieren) und um ihre Plattformen zu steuern (z.B. welche Inhalte sie Ihnen anzeigen).
Wir bearbeiten diese Daten zu den in Ziff. 4 beschriebenen Zwecken, so insbesondere zur Kommunikation, für Marketingzwecke (einschliesslich Werbung auf diesen Plattformen, vgl. dazu Ziff. 11) und zur Marktforschung. Zu den entsprechenden Rechtsgrundlagen finden Sie Angaben in Ziff. 5. Von Ihnen selbst veröffentlichte Inhalte (z.B. Kommentare zu einer Ankündigung) können wir selbst weiterverbreiten (z.B. in unserer Werbung auf der Plattform oder anderswo). Wir oder die Betreiber der Plattformen können Inhalte von oder zu Ihnen auch entsprechend den Nutzungsrichtlinien löschen oder einschränken (z.B. unangemessene Kommentare).
Weitere Angaben zu den Bearbeitungen der Betreiber der Plattformen entnehmen Sie bitte den Datenschutzhinweisen der Plattformen. Dort erfahren Sie auch, in welchen Ländern diese ihre Daten bearbeiten, welche Auskunfts-, Lösch- und weiteren Betroffenenrechte Sie haben und wie Sie diese wahrnehmen oder weitere Informationen erhalten können. Derzeit nutzen wir folgende Plattformen:
Facebook: Hier betreiben wir die Seite Fidroc.ch. Die verantwortliche Stelle für den Betrieb der Plattform ist für Benutzer aus Europa Facebook Ireland Ltd., Dublin, Irland. Deren Datenschutzhinweise sind unter www.facebook.com/policy abrufbar. Einige Ihrer Daten werden dabei in die USA übermittelt. Widerspruch bezüglich Werbung ist hier möglich. In Bezug auf die Daten, die beim Besuch unserer Seite für die Erstellung von «Page Insights» erhoben und bearbeitet werden, sind wir mit Facebook Ireland Ltd., Dublin, Irland, gemeinsam verantwortlich. Im Rahmen von Page Insights werden Statistiken darüber erstellt, was Besucher auf unserer Seite tun (Beiträge kommentieren, Inhalte weiterleiten, etc.). Das ist auf hier beschrieben. Es hilft uns zu verstehen, wie unsere Seite genutzt wird und wie wir sie verbessern können. Wir erhalten dabei nur anonyme, aggregierte Daten. Unsere Verantwortlichkeiten betreffend Datenschutz haben wir gemäss den Angaben hier geregelt.
LinkedIn: Hier betreiben wir die Seite FIDROC IMMOBILIEN. Die verantwortliche Stelle für den Betrieb der Plattform ist für Benutzer aus Europa LinkedIn Ireland Unlimited Company («LinkedIn Ireland»). Die Datenschutzrichtlinie von LinkedIn sind hier abrufbar.
Verantwortlich; Pascale Ferndriger, 01. September 2023