FONDS professionell Deutschland, Ausgabe 2/2015

174 www.fondsprofessionell.de | 2/2015 De jure ist das nicht korrekt. „De facto führt es aber zu nichts, wenn Makler auf die gelten- de Rechtslage verweisen“, sagt Anwalt Wirth. „Da empfiehlt es sich schon eher, die Pools in die Erklärung aufzunehmen, mit denen eine Zusammenarbeit künftig eventuell in Frage kommt“, sagt Wirth. Grundsätzlich gilt: Je präziser und detaillierter eine Vereinbarung zum Datenschutz gestaltet ist, desto besser. Verschlossene Türen Bei all den Klauseln, die nötig sind, um eine Datenschutzerklärung rechtssicher zu ge- stalten, erstaunt es, dass Vermittler von Fonds oder Versicherungen häufig versäumen, sich wenigstens eine Minimalvereinbarung unter- schreiben zu lassen. „Vor allem bei Einzel- kämpfern kommt das aber immer noch vor“, sagt Eifrig. „Ohne diese Vereinbarung geht es jedoch nicht, der Gesetzgeber verlangt, dass sie mit dem Kunden getroffen wird.“ Auch sei in vielen Maklerbetrieben nicht klar, dass ein Datenschutzbeauftragter bestellt werden muss. Wer sensible Daten automatisiert verarbeitet oder mehr als neun Mitarbeiter beschäftigt, ist dazu in jedem Fall verpflichtet. „Richtig Ärger kann es geben, wenn Ver- mittler und Makler die Daten ihrer Kunden im eigenen Büro oder Betrieb nicht so schüt- zen, wie es gesetzlich vorgesehen ist“, sagt Anwalt Wirth. Der Gesetzgeber sieht hier einen ganzen Katalog von Maßnahmen vor, die Fonds- und Versicherungsvermittler unbe- dingt einhalten müssen. Wer auf Nummer sicher gehen will, sollte sich die Vorschriften in Paragraf 9 BDSG genau ansehen. Hier ist unter anderem geregelt, dass alle Computer, auf denen personenbezogene Informationen gespeichert werden, durch Zugangscodes ge- sichert sein müssen. Büros, in denen solche Rechner stehen, sollten nicht jedem offenste- hen. Serverräume sollten stets abgeschlossen sein. Jede Art von Software, die zur Spei- cherung und Verarbeitung von Kundendaten verwendet wird, muss eine verschlüsselte Dateneingabe und -übertragung erlauben. Dasselbe gilt bei der Weitergabe von Daten an Dienstleister. „Versicherungsmakler und Vermittler von Fonds haben zu prüfen, ob ihre Auftragnehmer den Rechtsvorschriften nach Paragraf 9 entsprechen“, sagt Wirth. Wer zum Beispiel seine Buchhaltung outsourct, Daten auf einen externen Server auslagert oder bei einem Softwarehaus ein neues Datenverar- beitungsprogramm einkauft, tut gut daran, mit den künftigen Geschäftspartnern alle relevan- ten Rechtsnormen abzuklären. „Die Übermittlung von Kundeninformatio- nen an Maklerpools lässt das Bundesdaten- schutzgesetz natürlich zu“, erklärt Wirth. Doch bei der Wahl des Pools müssen Makler und Vermittler sicherstellen, dass alle techni- schen und organisatorischen Vorschriften ein- gehalten werden. „Vor der Zusammenarbeit mit einem Maklerpool sollten sich Vermittler immer vergewissern, wie der Pool Daten ver- vertrieb & praxis I datenschutz Foto: © Wilm Ihlenfeld | Dreamstime.com, Thomas Berg/Bilderberg Oliver Pradetto, Blau Direkt: „Manche Maklerpools gehen sehr nachlässig mit Kundendaten um.“ Die aktuelle Rechtslage Der Datenschutz ist ein weites Feld: Die wesentliche Vor- schriften regelt das Bundesdatenschutzgesetz (BDSG), daneben gelten die Landesdatenschutzgesetze (LDSG), verschiedene Verordnungen sowie die Rechtsprechung. FONDS professionell gibt einen Überblick über die wichtigsten Rechtsnormen für Finanzanlagenvermittler und Versicherungsmakler. Schutz aller Kundendaten: Das BDSG schützt per- sonenbezogene Daten. Dies sind Angaben über persön- liche und sachliche Verhältnisse einer natürlichen Person (Betroffener). Zu den personenbezogenen Daten gehören alle Kundendaten. Für ihre Erhebung, Nutzung und Ver- arbeitung gelten die Vorschriften des BDSG (§ 3 Abs. 1 BDSG). Besonderer Schutz sensibler Daten: Das BDSG de- finiert besondere Arten personenbezogener Daten, soge- nannte „sensible Daten“. Dazu zählen unter anderem alle Angaben zur Gesundheit einer Person. Für sensible Daten gelten besondere Schutzvorschriften, die Versicherungs- makler beachten müssen (§ 3 Abs. 9 BDSG). Datenschutzbeauftragter: Fondsvermittler und Ver- sicherungsmakler haben einen Datenschutzbeauftragten zu bestellen. Eine Ausnahme besteht, wenn weniger als neun Personen mit der Verarbeitung von Daten beschäftigt sind. Die Ausnahme gilt nicht, wenn es sich um sensible Daten handelt (§ 4f Abs. 1 BDSG u.a.). Erhebung, Nutzung, Verarbeitung: Personenbezo- gene Daten sind beim Betroffenen selbst und niemals heimlich zu erheben. Es dürfen nur so viele Informationen eingeholt werden wie unbedingt nötig. Zudem dürfen die Daten nur zu Zwecken erhoben, genutzt und verarbeitet werden, die der Vermittler oder Makler zuvor dargelegt hat (§§ 3a, 4, Abs. 2 und 3 BDSG). Schriftliche Einwilligung: Für die Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten ist die schriftliche Einwilligung des Betroffenen einzuholen. Soll die Einwilligung zusammen mit anderen Erklärungen un- terschrieben werden, ist sie besonders hervorzuheben. Werden sensible Daten erhoben, so muss sich die Ein- willigung ausdrücklich auf diese Angaben beziehen (§ 4a Abs. 1 und 2 BDSG). Technik und Organisation des eigenen Büros: Wer mit personenbezogenen Daten umgeht, hat umfangreiche technische und organisatorische Maßnahmen zu treffen. Unter anderem gilt: Unbefugten muss der Zutritt zu Räu- men verwehrt sein, in denen sich Server oder Computer mit Daten befinden (Zutrittskontrolle). Der Zugang zu Computern muss über Passwörter geschützt sein (Zugangskontrolle). Bei der Übertragung oder beim Trans- port von Daten ist zu gewährleisten, dass diese keinem Dritten zugänglich gemacht werden, verloren gehen, ge- löscht oder kopiert werden (Weitergabekontrolle). Dafür sind Verfahren zur Datenverschlüsselung zu verwenden (§ 9 BDSG sowie die Anlage zu § 9 Satz 1 BSDG). Weitergabe von Daten: Bei der Weitergabe von Daten an Dritte wie Dienstleister für Buchhaltung, Softwarehäuser oder Maklerpools hat der Auftraggeber sicherzustellen, dass auch diese alle technischen und organisatorischen Pflichten aus § 9 BDSG erfüllen. Der Betroffene muss in die Weitergabe seiner Daten einwilligen, bei sensiblen Daten ist eine schriftliche Einwilligung notwendig. Es reicht, Kategorien von Empfängern anzugeben, eine na- mentliche Nennung verlangt das BDSG nicht. Die Wei- tergabe von personenbezogenen Daten an Maklerpools ist zulässig, da sie der Vertragserfüllung des Vermittlers dient (§ 4 Abs. 1 und 3, § 11, § 28 BDSG).