1 336 Table of Contents 338 356

FONDS professionell Deutschland, Ausgabe 1/2018

337 www.fondsprofessionell.de | 1/2018 fene dadurch geschädigt worden, kann er Schadensersatz verlangen. Um angeschlosse- nen Partnern die Arbeit an der Dokumentation zu erleichtern, stellen ihnen Maklerpools wie Netfonds Muster zur Verfügung, die sie nut- zen können. Datenschutzbeauftragter nötig? „Ein weiteres zentrales Thema, dem sich Versicherungsmakler und Finanzberater wid- men sollten, ist die Benennung eines Daten- schutzbeauftragten“, erklärt Oliver Pradetto, Kommanditist und Mitgründer des Versiche- rungspools Blau Direkt aus Lübeck. Sofern es sich um ein größeres Maklerbüro handelt, ist die Sache einfach: Verarbeiten mehr als neun Personen Kundendaten, so ist ein Daten- schutzbeauftragter zu bestellen. Dabei ist unter „Verarbeitung“ jede Tätigkeit zu verstehen, bei der Daten auftauchen. Schreibt eine Sekretärin die Kunden etwa per E-Mail an, zählt auch sie zu den Mitarbei- tern, die mit der Datenverarbeitung betraut sind. „Im Grunde gehört jeder Mitarbeiter da- zu, der mit einem PC ausgestattet ist“, erläu- tert José Enrique Gómez Asbeck, Geschäfts- führer der BBG Bitbase Group aus Reutlin- gen, die Unternehmen bei der Umstellung auf die DSGVO in rechtlichen und technischen Fragen berät. Bei Finanzanlagenvermittler, die als „Ein- zelkämpfer“ unterwegs sind, ist die Sache nicht so klar. Die Frage ist, ob Informationen zum Vermögen von Kunden rechtlich als be- sonders geschützte Daten gelten. Auf der si- cheren Seite sind Vermittler, wenn sie einen Beauftragten benennen. Bei Versicherungsver- mittlern ist es hingegen anders. Vor allem, wenn sie Policen an den Kunden bringen, die biometrische Risiken wie Krankheiten, Unfäl- le oder Tod absichern, verarbeiten sie Daten, die besonderen Schutz genießen. „In diesem Fall ist immer ein Datenschutzbeauftragter zu stellen“, erläutert Gómez Asbeck. Diese Regelung sah zwar auch das alte BDSG bereits vor. „Die Datenschutzbeauf- tragten vieler Bundesländer haben aber so gut wie gar nicht geprüft“, sagt Pradetto. Das werde sich nun ändern, ist er überzeugt. „Und wenn ein Versicherungsmakler keinen Beauf- tragten hat, kann er sich auf ein empfindliches Bußgeld gefasst machen“, erklärt der Pool- Chef. Das wesentliche Problem erkennt er darin, dass ein einzelner Versicherungsvermitt- ler nicht gleichzeitig sein eigener Daten- schutzbeauftragter sein dürfe. „So eine Perso- nalunion verbietet sich, weil der Beauftragte gesetzlich verpflichtet ist, auch Verstöße sei- nes Chefs anzuzeigen“, sagt er. Teure Externe Natürlich können Vermittler externe Daten- schutzbeauftragte einsetzen. Bitbase etwa stellt ihnen Spezialisten gegen eine monatliche Pauschale von 150 Euro. „Jedes Mal, wenn der Beauftragte tätig wird, werden aber zu- sätzliche Beträge fällig“, sagt Gómez Asbeck. „Wir überlegen daher, ob wir unseren Pool- Partnern nicht einen Datenschutzbeauftragten Christine Mühlberger, Michael Pintarelli Finanzdienstleis- tungen: „Ich habe zuerst den Ist-Stand aufgenommen.“ Was künftig gilt: Die wichtigsten Datenschutzvorschriften Schutz aller Kundendaten: Die Datenschutz-Grund- verordnung (DSGVO) und das überarbeitete Bundes- datenschutzgesetz (BDSG neu) schützen personen- bezogene Daten. Dies sind alle Informationen zu einer identifizierten oder identifizierbaren natürlichen Person, auch „betroffene Person“ genannt. Als identifizierbar gilt eine Person, die durch Zuordnung zu einer Kennung wie einem Namen oder zu anderen Merkmalen identifiziert werden kann (Art. 4 Abs. 1 DSGVO). Zu den personenbezogenen Daten gehören alle Kundendaten. Für die Verarbei- tung gelten die Vorschriften der DSGVO und des BDSG neu. Besonderer Schutz sensibler Daten: Die DSGVO definiert besondere Kategorien von Daten. Dazu zählen unter anderem alle Angaben zur Gesundheit einer Person. Für diese besonders geschützten Daten gelten strengere Vorschriften (Art. 9 DSGVO). Wen betreffen die Regeln? Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stel- le, die entscheidet, zu welchem Zweck und in welcher Form Daten verarbeitet werden, gilt als „Verantwortlicher“ (Art. 4 Abs. 7 DSGVO). Datenschutzbeauftragter: Wenn mehr als neun Personen mit der automatisierten Verarbeitung von Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu bestellen. Werden besonders geschützte Daten verarbeitet, ist dieser immer zu benen- nen (Art. 37, 38, 39 DSGVO). Verarbeitung: Der Begriff „Verarbeitung von Daten“ bedeutet unter anderem das Erheben, Erfassen, Organisieren, Ordnen, Speichern, die Verwendung und Übermittlung von per- sonenbezogenen Daten. Im Grunde ist jeder Vorgang, bei dem Daten eine Rolle spielen, betroffen. Dabei kommt es nicht darauf an, ob Daten automatisiert oder auf einem Blatt Pa- pier erhoben werden (Art. 4 Abs. 2 DSGVO). Einwilligung: Personenbezogene Daten dürfen nur verarbeitet werden, wenn die betroffene Person schriftlich ihre Einwilligung erteilt hat. Liegt diese nicht vor, müsste eine gesetzliche Grundlage greifen, die eine Verarbeitung der Daten erlaubt. Ist auch dies nicht der Fall, ist die Datenverarbeitung verboten (Art. 6 Abs. 1a DSGVO). Verarbeitungsverzeichnis: Das Verarbeitungsver- zeichnis ersetzt das bisherige Verfahrensverzeichnis. Dort sind alle Verarbeitungstätigkeiten genau darzulegen (Art. 30 DSGVO). Details: Artikel 25 DSGVO regelt verschiedene tech- nische und organisatorische Maßnahmen, etwa wie der Zutritt zu Serverräumen zu kontrollieren ist und dass Daten vor einer Übertragung verschlüsselt werden müssen. Da- neben gelten die Bestimmungen aus Paragraf 9 BDSG weiter. Sie sind deutlich strenger als die Vorschriften der EU-Verordnung. Weitergabe von Daten: Bei der Weitergabe von Daten an Dienstleister für Buchhaltung, Softwarehäuser oder Maklerpools hat der Auftraggeber sicherzustellen, dass auch diese alle technischen und organisatorischen Pflich- ten aus Artikel 25 DSGVO und Paragraf 9 BDSG erfüllen. Der Betroffene muss in die Weitergabe seiner Daten ein- willigen, bei sensiblen Daten ist eine schriftliche Einwil- ligung notwendig. Es reicht nicht mehr, Kategorien von Empfängern anzugeben. Die DSGVO verlangt eine na- mentliche Nennung (Art. 28 DSGVO). Daten löschen oder sperren: Ist ein Vertragsverhältnis beendet, so kann der Kunde verlangen, dass seine Daten gelöscht werden. Ist dies nicht möglich, weil die Daten aus Gründen der Dokumentation noch benötigt werden, muss der Vermittler sie sperren (Art. 17, Art. 18 DSGVO).

RkJQdWJsaXNoZXIy ODI5NTI=