FONDS professionell Deutschland, Ausgabe 1/2018

338 www.fondsprofessionell.de | 1/2018 zur Seite stellen sollen“, berichtet Pradetto. Eine komplizierte Vorschrift, die die DSGVO festlegt, ist die sogenannte Daten- folgeabschätzung. „Was genau darunter zu verstehen ist, erschließt sich mir bisher nicht so ganz“, sagt Christine Mühlberger. Und auch Netfonds-Jurist Eifrig spricht von einer „Blackbox“. „Es geht darum, Datenverarbei- tungsprozesse zu identifizieren, die besonders hohe Risiken für die Rechte und Freiheiten der Betroffenen darstellen“, erläutert er. Ein- zelne Berater und Vermittler seien von der Vorschrift möglicherweise aber gar nicht be- rührt, sie beziehe sich vermutlich eher auf „Daten-Kraken“ wie Google oder Facebook. Gar nicht so viel Neues „Ansonsten bringt die DSGVO gar nicht so viel Neues“, findet Eifrig. Für die zu treffen- den technischen und organisatorischen Maß- nahmen gelten in Deutschland wie bisher auch die Vorgaben des Paragrafen 9 BDSG, die teilweise sogar noch strenger sind als die Regelungen der DSGVO. In der Anlage zu Paragraf 9 ist ein ganzer Maßnahmenkatalog zu finden. Dieser regelt unter anderem, dass alle Computer, auf denen personenbezogene Informationen gespeichert werden, durch Zu- gangscodes gesichert sein müssen. Büros, in denen solche Rechner stehen, sollten nicht je- dem offenstehen. Serverräume sollten stets ab- geschlossen sein. Jede Art von Software, die zur Speicherung und Verarbeitung von Kun- dendaten verwendet wird, muss eine ver- schlüsselte Dateneingabe und -übertragung er- lauben. Dieselben Standards gelten bei der Weiter- gabe von Daten an Dienstleister. „Versiche- rungsmakler und Finanzanlagenvermittler ha- ben zu prüfen, ob ihre Auftragnehmer den Rechtsvorschriften nach den neuen Daten- schutzgesetzen entsprechen“, sagt Gómez. Wer seine Buchhaltung outsourct, Daten auf einen externen Server auslagert oder einen Reinigungsservice beauftragt, der den Papier- korb leert, muss mit diesen – nun „Auftrags- datenverarbeiter“ genannten – Unternehmen neue Verträge abschließen. Die Übersendung der unterschriebenen Auftragsdatenverarbei- tungsverträge sollten Vermittler einfordern. „Denn die Aufsicht lässt das Argument, ein Dienstleister habe es versäumt, den Vertrag einzureichen, nicht gelten“, sagt Eifrig. Künftig benötigen Vermittler die schriftliche Einwilligung ihrer Kunden, wenn deren Daten an konkret benannte Dritte zum Zwecke der Vertragsabwicklung witergeleitet werden sol- len. „Neu ist, dass es dabei nicht mehr aus- reicht, Kategorien von Empfängern anzuge- ben“, erläutert Eifrig. Künftig müssen diese namentlich genannt werden. Das ist für Ver- sicherungsmakler von Bedeutung. Wechselt ein Vermittler den Maklerpool, schlüsseln manche Versicherer Kundendaten nicht auf den neuen Pool um, sofern dieser nicht explizit in der Datenschutzerklärung angegeben ist. Die Kunden hätten den Makler nicht zur Weitergabe ihrer Daten an diesen Pool bevollmächtigt, erklären sie oft. Damit liegen sie in Zukunft auch richtig. „Schwierig ist das neue ‚Recht auf Ver- gessenwerden‘“, sagt Eifrig. Vermittler müss- ten dem Wunsch von Kunden auf Löschung ihrer Daten nach Beendigung des Vertragsver- hältnisses eigentlich umgehend nachkommen. Andererseits benötigen sie ihre Beratungsdo- kumentationen bis zu zehn Jahre nach Ver- mittlung für den Fall, dass es später zu Rechtsstreitigkeiten kommt. Das Steuerrecht schreibt für die Aufbewahrung aller Rechnun- gen ebenfalls zehn Jahre vor. Offen kommunizieren „In einem Zwiespalt muss man offen mit den Kunden kommunizieren“, sagt Eifrig. Be- rater sollten ihnen erklären, dass sie die Daten nicht löschen können, sie aber sperren, also nicht mehr verwenden. Es kann auch gut sein, beispielsweise eine bestimmte Software zu nutzen, die Dokumente anonymisiert. Dabei werden vereinfacht gesagt Namen von Rech- nungsnummern getrennt, sodass sie sich dem Kunden nicht mehr zuordnen lassen. Christine Mühlberger macht jetzt nachmit- tags ihre Bürotür zu. „Dann widme ich mich nur noch der neuen Verordnung“, sagt sie. Bis sie alle Aufgaben bewältigt hat, wird noch etwas Zeit vergehen. ANDREA MARTENS | FP steuer & recht I datenschutz-grundverordnung Foto: © Thomas Berg | Bilderberg Oliver Pradetto, Blau Direkt: „Die Datenschutzbeauftrag- ten der Länder werden künftig viel strenger prüfen.“ Fehler vermeiden Hohe Bußgelder: Durch Fehler im Umgang mit personenbezogenen Daten entsteht meist kein Vermögensschaden, für den Vermittler oder Makler haften müssten. Je nach Verstoß können aber Bußgelder von bis zu 20 Millionen Euro drohen. Bei Unternehmen können auch bis zu vier Prozent des im vorangegan- genen Geschäftsjahr weltweit erzielten Umsatzes fällig werden – je nachdem, welche Summe höher ist. Zwar werden die maximalen Bußgelder nur bei schwe- ren Verstößen verhängt. Doch auch ein Vertrauensschaden, der entsteht, wenn Daten bei unbefugten Dritten landen, wirkt natürlich geschäftsschädigend. Datenschutzbeauftragter: Achtung! Versicherungsvermittler müssen immer einen Datenschutzbeauftragten benennen, denn sie verarbeiten besonders ge- schützte personenbezogene Daten. Das galt auch bisher schon, aller- dings prüften die Landes-Daten- schutzbeauftragten so gut wie nie. Künftig wird es Prüfungen geben. Tür zu! Unbefugte dürfen keinen Zugang zu personenbezogenen Daten erhalten, auch nicht aus Versehen oder durch Zufall. Wer eine Politik der offenen Türen verfolgt, sollte umso mehr darauf achten, dass die- se Daten verschlossen bleiben. Sicher scannen: Können Mitarbeiter Scans von Unterlagen auf einem USB- Stick direkt am Drucker spei- chern, ist das ein echtes Datenleck. Unterlagen von Kunden ge- scannt, Stick im Drucker vergessen – und schon können die Daten aus dem Haus getragen werden. Legen Sie zur Vorsicht solche USB-Schnittstellen lahm. Richtig entsorgen: Nicht mehr benö- tigte Daten sind zu löschen. Befinden sie sich auf Papier, müssen die Unterlagen in einem Aktenvernichter zerkleinert werden, sodass sie nicht mehr lesbar sind. Wechsel des Maklerpools: Wechselt ein Makler den Pool, weigern sich man- che Versicherer, Kundendaten auf den neuen Pool umzuschlüsseln, sofern dieser nicht in der Datenschutzerklärung ange- geben ist. Ihr Argument: Die Kunden hät- ten den Makler nicht zur Weitergabe ihrer Daten an diesen Pool bevollmächtigt. Das ist ab Mai 2018 rechtlich korrekt. Denn: Die DSGVO sieht vor, dass Auftragsdaten- verarbeiter in einer Datenschutzerklärung namentlich genannt sein müssen.