In diesem kleinen Erfahrungsbericht einer dreitägigen EU-DSGVO-Schulung beim „Arbeitskreis für Datenschutz“ möchte ich die Essenz einiger spannender Diskussionen mit Pools und Maklern weitergeben. Schwerpunkte sind Gefahren und Fallstricke in Ihren Makler IT-Systemen.

Die EU-DSGVO naht

Verwirrung herrscht in großen Teilen der Maklerschaft zum Thema EU-DSGVO, aber auch in großen Verbänden sind viele Fragen noch nicht geklärt. Von den vier Pools mit denen ich bisher gesprochen habe, haben zwar alle bereits einen Datenschutzbeauftragten benannt und haben Verfahrensverzeichnisse angefangen/ fertiggestellt, aber jeder ist unsicher, wie weit man denn jetzt gehen muss – insbesondere beim Thema IT. Das beginnt beim Thema Webseitenformulare, erstreckt sich über das Maklerportal und den Anschluss zu Vergleichern bis hinein in das MVP.

Dabei hat sich durch die EU-DSGVO fast gar nichts geändert, es gibt kaum neue Punkte zum Thema Datenschutz sowie einige Begriffs- und Auslegungsänderungen. Alles andere galt schon zuvor, nur wurde es bisher nicht ernstgenommen.
Das ist jetzt anders, dank guten Marketings von Anwälten, Sensibilisierung der Makler für Rechtsthemen durch IDD und MIFID sowie drastisch gestiegene Höchststrafen.

Datenverarbeitung im Maklerbüro

Grundsätzlich darf niemand personenbezogenen Daten verarbeiten: Nun beauftragt mich aber unter Umständen mein Mandant für ihn gewisse Dinge zu tun, die ich ohne Daten wie Name, Anschrift und z. B. finanzielle Situation nicht ausführen kann. In diesem Fall kann der Mandant einwilligen, dass ich bestimmte Daten von ihm erfasse, auswerte, weitergebe und damit also verarbeite. Diese Einwilligung muss er geben noch bevor ich das erste Mal Daten von ihm erhoben und verarbeitet habe. Damit er seinen Entschluss abwägen kann, muss ihm die Datenschutzerklärung vorliegen mit Informationen über die Datenverarbeitung.
Möchte er bestimmte Daten nicht preisgeben, darf ich nur den Vertrag verweigern, wenn es gesetzlich zwingende Daten oder für die Ausführung notwendige sind.

Die Einwilligung erfolgt z. B. durch Häkchen setzen auf einer Webseite oder Unterschrift vor Ort. In der Verarbeitungseinwilligung wird auch jeder Dritte aufgezählt, der die persönlichen Daten verarbeitet, die Art der jeweils übertragenen Daten, sowie ihr Zweck. Dies sind z. B. Softwarehersteller, VRs, Pools, externe Berater, Service-Büros u.v.m.
Sobald ein neuer Anbieter dazu kommt, muss die Liste erweitert werden und die Mandanten darüber informiert werden. Mit diesen Unternehmen muss auch eine Auftragsdatenverarbeitung unterzeichnet werden, selbst mit Google, sollten dessen Dienste auf der Webseite verwendet werden (höchstwahrscheinlich der Fall) oder z. B. einem Newslettersystem-Hersteller wie DIGiDOR.

Löschung und Auskunft

Verlangt der Mandant, ehemaliger Berater oder Mitarbeiter später die Löschung seiner Daten, so muss er darüber in Kenntnis gesetzt werden, welche Daten die Firma über ihn besitzt und in welchem Rahmen die Löschung erfolgen kann. Diese Auskunft kann auch unabhängig von einer Löschung eingefordert werden und muss innerhalb eines Monats beantwortet werden.
Ein kleiner Trost, persönliche Notizen müssen nicht preisgeben werden, daher bleiben Terminnotizen und interne Meldungen außen vor – selbst erstellte Daten wie Scores und Beratungsprotokolle hingegen müssen übergeben werden.

In der Schulung vom Arbeitskreis Datenschutz (www.arbeitskreis-datenschutz.de) wurde dazu ein Beispiel aus der bekannten IT-Zeitschrift „Chip“ gezeigt. Hier wurde vorgeschlagen, einfach einen Screenshot der Adressmaske in das Antwortschreiben einzufügen.

Zu dem Schreiben gehört jedoch zusätzlich eine Information, wann welchem Dritten seine Daten zugänglich gemacht wurden und für welchen Zweck. Konkret bedeutet dies, jedes Mal, wenn ich z. B. einen Vergleichsrechner nutze oder Adressdaten an einen VR oder Pool übermittle, muss ich über Zweck und Zeitpunkt sowie über die transferierten Daten Protokoll führen. Es ist Auslegungssache, wie eng der Rahmen gefasst ist – und Grundsatzurteile fehlen noch.

Datenlöschung im MVP

Nun kommt die eigentlich interessante Frage: Kann ich löschen? Aus technischer Sicht ist das schwer, denn die Adresse ist mit zahlreichen Objekten verknüpft, die ohne sie frei in der Luft schweben zu lassen, etwa Dokumente, Termine, Provisionsbuchungen und Verträge. Mache ich Buchungen unbrauchbar, würde die Buchhaltung kopfstehen und das Finanzamt mir auf die Finger hauen. Andere Gesetze und auch der Selbstschutz stehen der Löschung manchmal entgegen. Z. B. könnte der Mandant beim Ablauf seines fondsgebunden LV-Vertrages mich immer noch wegen Falschberatung verklagen. Ich benötige also Beratungsprotokolle, Verträge und Adressdatensatz sowie die vorgelegten Angebote weiterhin.

Es bleibt also in den meisten Fällen nur, die Daten technisch vor Zugriff und Verarbeitung durch Mitarbeiter zu schützen, z. B. durch Sperrung und oder Pseudonymisierung.

Die Grundsätze der Datensparsamkeit und Zweckbindung nötigen mich sogar, die Daten proaktiv zu vernichten, daher auch ohne Löschanfrage!
Ein beliebtes Beispiel sind Bewerbungsunterlagen, spätestens nach sechs Monaten muss ich diese aus dem System entfernen und darüber ein revisionssicheres Protokoll führen, um es z. B. bei einer Prüfung vorzeigen können.

Software sollte zwar Löschfristen für Dokumente unterstützen, aber sie vor Vernichtung einen geeigneten Mitarbeiter vorlegen, wenigstens besondere Datensätze. Wird zu früh oder ungewollt gelöscht, ist das Geschrei groß. Gleichzeitig zerfasert die EU-DSGVO leider Datensätze, da einige Daten früher und andere später gelöscht werden. Das beeinflusst u.U. das Controlling.

Für kleine Maklerunternehmen bedeutet die EU-DSGVO also einen starken zusätzlichen Verwaltungsaufwand, selbst mit IT-Unterstützung. Es ist zu hoffen, dass die Landesämter für Datenschutz bei der Auslegung der EU-DSGVO die Kirche im Dorf lassen.

Das Verfahrensverzeichnis

Dieses Vorgehen und auch die technischen und organisatorischen Maßnahmen zum Schutz der persönlichen Daten sind Teil des Verfahrensverzeichnisses (ab Mai heißt das dann „Verzeichnis von Verarbeitungstätigkeiten“).

Der Makler erstellt im Prinzip eine Liste, in der er alle Prozesse nennt, in denen er persönliche Daten verarbeitet. Dazu zählt auch die Übergabe an Pools, Kauf von Leads oder senden seiner Newsletter. Verarbeitet er in einem Prozess sehr sensible Daten (Einkommen, Gesundheit, Kontodaten), die ein hohes Risiko für Recht und Freiheiten sind, muss er dafür eine Datenschutzfolgeabschätzung niederschreiben. In dieser wird aufgezeigt, was könnte passieren, wenn Daten „wegkommen“ und was konkret getan wird (technisch und organisatorisch), um dies zu verhindern.

Das Bundesamt für Sicherheit in der Informationstechnik hat dazu einen sehr schönen Leitfaden entwickelt, der aufzeigt, welche IT-Maßnahmen angestrebt werden sollten: http://kurzelinks.de/BSI-Grundschutz-Kataloge

Realistisch betrachtet, wird vielen Einzelmakler die Zeit fehlen, sich ernsthaft damit zu befassen. Sie sollten externe Anbieter nutzen, um Wissenslücken zu füllen und einen Teil der Arbeit delegieren. Das befreit einen nicht von der Haftung, ist aber besser als die Flinte ins Korn zu werfen und gar nichts zu tun.