19. April 2018 | Von Eric Czotscher

Warum Finanzberater Kundendaten besser schützen müssen

DSGVO ab 25. Mai in Kraft / Wichtig ist Einwilligung der Kunden für Datennutzung

Die Finanzberatung und Vermittlung wird immer mehr zum Datengeschäft. Hier sind künftig strengere Sicherheitsregeln zu beachten. (Bild: Thinkstock/Jane_Kelly).

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft – gemeinsam mit einem komplett überarbeiteten Bundesdatenschutzgesetz. Auch Finanzberater und Versicherungsmakler müssen sich daran halten. Denn den neuen Regeln unterliegen alle natürlichen und juristischen Personen, die über die Verarbeitung personenbezogener Daten entscheiden. Künftig haben sie eine noch größere Verantwortung für Kundendaten, aber auch für Daten von Mitarbeitern oder Bewerbern. Durch die DSGVO werden die Rechte der Verbraucher stärker geschützt und die Strafen für Datenverstöße sind schärfer als bisher.

Personenbezogene Daten sind alle Angaben über eine identifizierbare natürliche Person oder Daten, die einer bestimmten Person zugeordnet werden können – egal ob digital gespeichert oder in Papierform.

Voraussetzungen für Datennutzung

Berater und Vermittler dürfen nur solche personenbezogene Daten von Kunden sammeln, aufzeichnen, speichern, ordnen, anpassen und weitergeben, die für die Vertragserfüllung erforderlich sind. Für die darüber hinaus gehende Datenverarbeitung ist das klare Einverständnis der betroffenen Kunden einzuholen. Dies gilt ganz besonders für sensible Daten wie Gesundheitsdaten. Ein „stilles“ Einverständnis genügt nicht mehr. Die Zusendung von Marketingmaterial und Newsletter bedarf in jedem Fall einer Einwilligung.

Die Datenverwendung durch den Finanzberater muss dem angegebenen Zweck entsprechen. Die Nutzung und Verarbeitung unzulässig gewonnener Daten kann als Datenschutzverstoß geahndet werden. Dafür und für andere Verstöße gegen die DSGVO können Geldbußen von bis 20 Millionen Euro verhängt werden – oder bis zu 4 Prozent des Umsatzes.

Es gilt das Prinzip der Datensparsamkeit: Berater sollen von Kunden nur Daten erheben, die sie für die Beratung und Vertragserfüllung benötigen oder die gesetzlich vorgeschrieben sind. Beispielsweise sieht MiFID-2 für die Anlageberatung durch Wertpapierdienstleistungsunternehmen eine Geeignetheitsprüfung vor, zu der Kundenangaben über seine persönlichen Verhältnisse, Anlagekenntnisse und -erfahrungen, Risikobereitschaft und Verlusttragfähigkeit abzufragen sind. Außerdem besteht die Pflicht, telefonische Beratungsgespräche aufzuzeichnen. Inwieweit diese Verpflichtungen auch für Finanzanlagenvermittler und Honorarfinanzanlagenberater gelten, wird die noch ausstehende neue Finanzanlagenvermittlerverordnung (FinVermV) zeigen.

Falls der Berater über falsche oder veraltete Kundendaten verfügt, hat der Kunde jederzeit Anspruch auf eine Korrektur bzw. Löschung der Daten. Ebenso hat der Kunde das Recht, seine personenbezogenen Daten in einem gängigen maschinenlesbaren Format zu erhalten – zum Beispiel wenn diese Daten an Dritte, zum Beispiel Wettbewerber, weitergeleitet werden sollen.

Was Finanzberater künftig beachten müssen

An erster Stelle stehen Information und Transparenz. So müssen Berater und Vermittler ihre Kunde genau über die Erhebung aller personenbezogener Daten informieren. Dabei müssen sie u.a. Auskunft darüber geben,

  • wer Datenverantwortlicher ist,
  • welche Daten genau erhoben werden,
  • zu welchem Zweck die Daten verwendet werden sollen (evtl. auch gesetzliche oder vertragliche Auskunftspflichten),
  • wo die Daten gespeichert werden,
  • wie die Daten weiterverarbeitet und evtl. an Dritte weitergeleitet werden,
  • wann die Daten wieder gelöscht werden,
  • welche Betroffenen-, Widerrufs- und Beschwerderechte der Kunde hat.

Für diesen Zweck eignet sich am besten ein standardisiertes Informationsblatt, das ähnlich wie die AGB dem Kunden zur Verfügung gestellt wird und auf der Website des Finanzberaters abrufbar ist.

Dokumentation

Zweitens müssen Finanzberater künftig die konkrete Verwendung personenbezogener Daten dokumentieren. Dazu soll ein sogenanntes Verarbeitungsverzeichnis diene, das schriftlich ist führen ist. Dafür eignet sich eine Excel-Tabelle, die

  • den Namen des Verantwortlichen (in der Regel der Finanzberater oder Makler),
  • die betroffenen Personengruppen (Kunden, Mitarbeiter, Tippgeber, Kooperationspartner etc.),
  • den Verarbeitungszweck (zum Beispiel Versicherungsvermittlung, Schadenbearbeitung, Newsletter),
  • die Datenkategorien (Name, Adresse, Geburtsdatum, Bankverbindung etc.) sowie
  • Löschfristen und Sicherheitsmaßnahmen enthält.

Außerdem ist festzuhalten, wie Daten durch Dritte, zum Beispiel Pools oder Versicherer, verarbeitet werden können. In diesem Fall ist eine schriftliche Auftragsvereinbarung zwischen dem Makler und dem Dienstleister („Auftragsverarbeiter“), zu unterzeichnen.

Kunden bzw. Mitarbeiter habe jederzeit ein Auskunftsrecht: Der Finanzberater bzw. Makler sollte deshalb jederzeit in der Lage sein, einem Kunden oder Mitarbeiter per Knopfdruck alle über ihn gespeicherten Daten anzuzeigen. Es kann sich lohnen, ein Standardformular  dafür anzufertigen, um Auskunftsbegehren schnell erfüllen zu können.

Nach dem Grundsatz der Datensparsamkeit sollte der Berater daneben auch ein Konzept entwickeln, um Daten, die für den angegebenen Zweck nicht mehr benötigt werden, zu löschen.

Falls es zu Datenschutzvorfällen kommt, beispielsweise ein Hackingangriff registriert wurde oder Daten auf andere Weise abhanden gekommen sind, ist dies zu dokumentieren. Außerdem müssen sowohl der Betroffene als auch die zuständige Datenschutzbehörde informiert werden.

Bei größeren Maklerbetrieben kann es sich lohnen, einen Mitarbeiter als Datenschutzbeauftragten auszuwählen und fortzubilden. Im typischen Kleinbetrieb ist das nicht erforderlich, außer wenn die Verarbeitung von Gesundheitsdaten zum Kerngeschäft gehört oder der Makler Profiling-Maßnahmen zur systematischen Überwachung einzelner Personen durchführt. Dies ist jedoch normalerweise nur in Banken oder Versicherungen der Fall.

Artikel teilen