Das ist die Bilanz nach einem Jahr DSGVO
01.07.2019
Christian Nölke, Managing Consultant bei der adesso AG / Foto: © adesso AG
Die nächsten Schritte
Nur wenige Unternehmen haben die Anforderungen der DSGVO vollständig in allen Bereichen umgesetzt. Eine hohe Compliance ist anzustreben, trotzdem stellt sich die Frage, wo sollte ein Vermittler schon jetzt seine Schwerpunkte gesetzt haben und welche Punkte sollten dann folgen?
Mit „Vermittler“ sind hier ausschließlich freie Vermittler und Berater, Makler, Mehrfachvertreter oder Handelsvertreter nach HGB §84 gemeint. Bei einem Finanzdienstleister fest angestellte Vermittler können sich hier auf die Maßnahmen und Weisungen ihres Arbeitgebers verlassen.
Was heute unbedingt funktionieren muss
Freie Vermittler sollten in den letzten 12 Monaten bereits folgende Punkte als Mindestmaß umgesetzt haben:
1. Informationen auf Webseiten
Da bereits die IP-Adressen von Besuchern der eigenen Webseite personenbezogene Daten darstellen, ist es unmöglich, auf dem Internet-Auftritt des Vermittlers keine personenbezogenen Daten zu verarbeiten. Somit besteht schon dadurch die Informationspflicht nach DSGVO Artikel 13. Der Betroffene ist zu informieren, welche Daten verarbeitet werden, zu welchen Zweck, durch wen, und welche Rechte sich hierdurch für den Betroffenen ergeben.
Die entsprechenden Informationen können als Mustertexte im Internet gefunden werden und sollten prominent auf der Webseite unter einem Link „Datenschutz“ platziert sein ebenso wie das Impressum. Verstöße hiergegen können leicht zu Abmahnungen führen.
2. Information der Bestandskunden
Die Information der Bestandskunden ist in DSGVO Artikel 13 nicht gefordert. Allerdings löst jede neue Datenerhebung eine sofortige Informationspflicht aus, und schon eine Telefonnotiz kann eine solche Datenerhebung sein. Deshalb ist es für Vermittler sehr sinnvoll, den Bestand einmalig zu informieren. Auch hierzu sind entsprechende Muster im Internet verfügbar, die nach Anpassungen allen Bestandkunden (auch per E-Mail) geschickt werden sollten.
3. Information der Neukunden
Ebenso wie Bestandskunden, müssen natürlich auch Neukunden bei der Erhebung von Daten über ihre Betroffenenrechte nach DSGVO Artikel 13 informiert werden. Hierfür kann dasselbe Dokument wie bei Bestandskunden genutzt werden.
Interessenten am Telefon DSGVO-konform zu informieren kann jedoch eine Herausforderung darstellen. Es ist daher sinnvoll, diese auf den jeweiligen Passus auf der eigenen Website zu verweisen.
4. Verfahren bei Kundenanfragen
Das Gesetz räumt Kunden weitgehende Rechte auf Information, auf Kopie oder Löschung ihrer Daten, auf Beschwerde und Ähnliches ein, denen in der Regel binnen eines Monats nachzukommen ist. Gerade große Vermittler sollten bereits Prozesse etabliert haben, um solche Anfragen und Beschwerden zeitnah beantworten zu können.
Die Erfahrung hat gezeigt, meist haben solche Anfragen eine Geschichte. Ein Kunde ist verärgert oder enttäuscht. Gerade hier kann eine sehr zeitnahe und vollständige Reaktion dem Kunden signalisieren, dass man sein Anliegen ernst nimmt. Weitere Nachfragen sind dann in der Regel selten.
5. Löschen alter Daten
Wie die verhängten Bußgelder zeigen, hat das Löschen nicht mehr benötigter Daten eine hohe Priorität. Dieses Verfahren ist in Deutschland nicht neu, es war schon eine Kernforderung des BDSG, die allerdings oft nachrangig behandelt wurde. Hier sollten Vermittler schon nachgearbeitet haben und Daten, die für ihre Aufgabe nicht mehr benötigt werden und für die es auch keine gesetzlichen Aufbewahrungsfristen gibt, zeitnah und regelmäßig löschen. Dies trifft beispielsweise auf Unterlagen wie ärztliche Atteste zu, die der Kunde dem Vermittler zum Zweck des Vertragsschlusses zur Verfügung gestellt hat. Sobald der Vertrag geschlossen ist, besteht keine Notwendigkeit mehr, diese weiter aufzubewahren.
Welche Aufgaben Vermittler jetzt unbebingt angehen sollten, lesen Sie auf Seite 4