Ein Text des Berufs­ver­bands der Rechts­jour­na­lis­ten e.V.

Ab dem 25. Mai 2018 tritt in der EU die neue Daten­schutz­grund­ver­ord­nung (DSGVO) in Kraft. Damit müs­sen auch Finanz­un­ter­neh­men ihren Umgang mit per­so­nen­be­zo­ge­nen Daten den neu­en Regeln anpas­sen. Hier erfah­ren Sie die wich­tigs­ten Regeln und Grund­sät­ze, die die DSGVO mit sich bringt.

Bei der DSGVO han­delt es sich um eine Schutz­vor­schrift für per­so­nen­be­zo­ge­ne Daten. Damit sind alle Infor­ma­tio­nen gemeint, die dazu die­nen kön­nen, eine bestimm­te natür­li­che Per­son zu iden­ti­fi­zie­ren. Beson­ders bei der Betreu­ung von Finanz­kun­den wer­den häu­fig hoch­sen­si­ble per­so­nen­be­zo­ge­ne Daten ausgetauscht. 

Die­se sind beispielsweise:

  • Name
  • Geburts­da­tum
  • Adres­se
  • Tele­fon­num­mer
  • Kon­to­da­ten

Da im Kon­takt mit den Kun­den mit­un­ter vie­le ver­trau­li­che Daten aus­ge­tauscht wer­den, ist hier der Schutz der Sel­bi­gen umso wich­ti­ger. Außer­dem müs­sen unbe­dingt die Rech­te des Ver­brau­chers beach­tet wer­den. So sagt der Geset­zes­text, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten grund­sätz­lich nicht erlaubt ist, wenn kei­ne Erlaub­nis durch die Per­son vor­liegt – das soge­nann­te Ver­bot mit Erlaub­nis­vor­be­halt. Ist jedoch eine Ein­wil­li­gungs­er­klä­rung abge­ge­ben, steht der Ver­ar­bei­tung auch nichts im Weg.

Aber auch für die Art, wie Daten ver­ar­bei­tet wer­den dür­fen, setzt die DSGVO Richt­li­ni­en. Das schlägt sich vor allem in den Vor­schrif­ten zur Ver­ar­bei­tung selbst nie­der. So muss in den meis­ten Fäl­len bei einer stän­di­gen Daten­ver­ar­bei­tung ein Daten­schutz­be­auf­trag­ter ernannt wer­den. Die­ser soll mit ver­schie­de­nen Mit­teln den not­wen­di­gen Daten­schutz in allen Ver­ar­bei­tungs­ver­fah­ren gewährleisten.

Die Auf­ga­ben des Daten­schutz­be­auf­trag­ten umfas­sen dabei sowohl die Schu­lung der Mit­ar­bei­ter, wie auch die Orga­ni­sa­ti­on der Daten­schutz­in­fra­struk­tur. Aber er ist auch ver­trau­li­cher Ansprech­part­ner für die Mit­ar­bei­ter, die Fra­ge zum Daten­schutz oder den damit ver­bun­de­nen Auf­ga­ben haben. Auch die Über­wa­chung der Löschung von Daten fällt in den Auf­ga­ben­be­reich des Daten­schutz­be­auf­trag­ten. Er ist auch Ansprech­part­ner für die Kun­den, die Fra­gen zu ihren Daten haben. Zu den unan­ge­nehms­ten Auf­ga­ben und Pflich­ten des Daten­schutz­be­auf­trag­ten gehört wohl die Mel­de­pflicht über Daten­schutz­ver­stö­ße gegen­über den Behör­den. Ein dis­zi­pli­nier­ter Umgang mit den erho­be­nen Daten der Bank­kun­den kann vie­le Stö­run­gen vermeiden.

Doch nicht nur die Unter­neh­men bekom­men mit der DSGVO neue Regeln, die ein­ge­hal­ten wer­den wol­len, auch der Ver­brau­cher bekommt Rech­te zuge­si­chert, die beach­tet wer­den müs­sen. So gilt, wie oben erwähnt, das Ver­bot mit Erlaub­nis­vor­be­halt. Damit muss der Ver­brau­cher erst in eine Ver­ar­bei­tung ein­wil­li­gen, bevor eine sol­che statt­fin­den kann. Auch die Form die­ser Ein­wil­li­gungs­er­klä­rung unter­liegt Vor­schrif­ten. Außer­dem hat der Ver­brau­cher ein umfas­sen­des Recht auf Aus­kunft, Berich­ti­gung und Löschung. Das bedeu­tet, dass der Daten­schutz­be­auf­trag­te jedem Zugang zu sei­nen Daten ver­schaf­fen muss, der das wünscht. Ein wei­te­res Recht, das dem Ver­brau­cher zusteht, ist die soge­nann­te Daten­por­ta­bi­li­tät. Das bedeu­tet, dass die erho­be­nen Daten von einem Anbie­ter zum ande­ren über­trag­bar sein sol­len. Die­se Rege­lung zwingt damit zu einem bran­chen­wei­ten Stan­dard beim Daten­um­fang. Denn wei­ter­hin sol­len nur die per­so­nen­be­zo­ge­nen Daten erho­ben wer­den, die unbe­dingt not­wen­dig sind.

Aber auch wei­te­re Grund­sät­ze müs­sen beach­tet wer­den, um mit der neu­en DSGVO nicht in Kon­flikt zu gera­ten. Denn auch Sank­tio­nen sind in der Grund­ver­ord­nung bereits ange­kün­digt. Mit Buß­gel­dern von bis zu 20 Mil­lio­nen Euro oder 4% des Jah­res­um­sat­zes dro­hen emp­find­li­che Stra­fen für die, die die neu­en Regeln nicht aus­rei­chend umset­zen. Das gilt eben­so für alle Finanz-Unter­neh­men, die mit den Daten von EU-Bür­gern umgehen.