Datenschutz in der Praxis des Finanzmaklers im Überblick


Datenschutz in der Praxis des Finanzmaklers im Überblick | Grundanker


Im Datenschutzgefüge im Rahmen der Vermittlung von Versicherungs- und Finanzverträgen gibt es unterschiedliche Rollen. Ein häufiges Konstrukt ist dabei das Verhältnis Finanzmakler, Vertriebspartner und Kunde.


„Verantwortlich“ für die Verarbeitung personenbezogener Daten ist dabei derjenige, der allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.


Vertriebspartner von Finanzmaklern sind in der Regel im Sinne des § 84 HGB tätig und vertreten die Interessen im Bereich der Beratung und Vermittlung von Versicherungsprodukten als selbstständiger Handelsvertreter. Dabei treten Sie im Namen und für Rechnung der Finanzmakler auf. Die Tätigkeiten sind maßgeblich durch den Umstand geprägt, dass der Kundenkontakt in der Regel zwischen Vertriebspartner und dem Kunden stattfindet, wohingegen die Geschäftsbeziehung rechtlich zwischen dem Kunden und dem Finanzmakler auf Grundlage einer separaten Vereinbarung zustande kommt. Sie sind daher gemeinsam gemäß Art. 26 DSGVO für den Schutz der personenbezogenen Daten der Kunden zuständig und tragen datenschutzrechtlich die gemeinsame Verantwortung für diejenigen personenbezogenen Daten, die im Rahmen der Anbahnung, des Abschlusses, der Durchführung und der Beendigung der Kundenvereinbarung von Kunden von Ihnen erhoben, gespeichert und genutzt werden. Die Aufgabenverteilung und rechtliche Stellung zum Kunden ergibt sich in der Regel aus der Kundenvereinbarung: Vertriebspartner stellen in der Regel den Kundenkontakt her, pflegen diesen und erbringen die mit dem Kunden vertraglich vereinbarten Dienstleistungen im Namen und für Rechnung des Finanzmaklers, der wiederum Vertragspartner des Kunden ist.


„Auftragsverarbeiter“ ist derjenige, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Beauftragt der Verantwortliche externe Dienstleister mit der Verarbeitung von Daten, hat er mit diesen eine Vereinbarung über die Auftragsverarbeitung abzuschließen.  Diese Vereinbarung regelt die datenschutzrelevanten Pflichten des Auftragsverarbeiters (insbesondere die Pflicht zur Geheimhaltung der im Auftrag verarbeiteten personenbezogenen Daten des Verantwortlichen und zur Gewährleistung ausreichender Datensicherheitsmaßnahmen) und besteht neben dem zivilrechtlichen Vertragsverhältnis zwischen Auftraggeber und Dienstleister.


„Betroffener“ ist derjenige, dessen personenbezogene Daten vom Unternehmen verarbeitet werden.


Jeder Kunde kann Auskunft über die zu seiner Person gespeicherten Daten verlangen. Darüber hinaus kann er unter bestimmten Voraussetzungen die Berichtigung oder die Löschung seiner Daten verlangen oder eine einmal erteilte Einwilligung zur Datenverarbeitung widerrufen.
Er kann weiterhin ein Recht auf Einschränkung der Verarbeitung seiner Daten sowie ein Recht auf Herausgabe der von ihm bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen.


Schlussendlich steht dem Kunden auch das Recht zu, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.


Im Rahmen der Organisation der Aktivitäten als Vertriebspartner sind Datenschutzgrundsätze zu beachten, die bei Nichteinhaltung empfindliche Folgen haben können. Die rechtlichen Anforderungen gelten unabhängig davon, ob Kundendaten per Hand in eine Kundenkartei geschrieben werden, oder ob die Verarbeitung der Daten automatisiert, z.B. in einem Kundendatenmanagementsystem erfolgen. Dies folgt aus den datenschutzrechtlichen Anforderungen: Die Bestimmungen der Datenschutzgrundverordnung (DSGVO und des BDSG) gelten für jeden, der personenbezogene Daten speichert.


Wir können Sie dabei unterstützen, Ihr bestehendes Datenschutzkonzept zu überprüfen oder ein solches zu entwickeln.


Datenverarbeitungszwecke

Sie dürfen nur die notwendigen personenbezogenen Daten und ausschließlich solche Daten von den Betroffenen erheben, nutzen und speichern, die für die Zwecke der Beratung sowie der Vermittlung von Kapitalanlage-, Versicherungs- oder sonstigen Finanzprodukten, der Betreuung, der Generierung von Neugeschäft sowie der Wahrnehmung administrativer Aufgaben erforderlich sind.


Datenverarbeitungsmittel

Im Rahmen der stattfindenden Kundengespräche erheben Vertriebspartner häufig personenbezogene Daten der Betroffenen. Achten Sie darauf, diese in sicheren Medien zu dokumentieren.


Tragen Sie dafür Sorge, dass nur solche personenbezogenen Daten erhoben werden, die zwingend erforderlich sind und beachten Sie den Grundsatz der Datenminimierung.


Technische und Organisatorische Maßnahmen

Stellen Sie in Ihrem Verantwortungsbereich die Einhaltung aller technisch-organisatorischer Maßnahmen (Art. 24 Abs. 1 i.V. m. Art. 32 DS-GVO) sicher, nur so können Sie verhindern, dass Datenverarbeitungen zu physischen, materiellen oder immateriellen Schäden bei den betroffenen Personen führen:


  • Unbefugten ist der Zutritt zu Ihren Datenverarbeitungssystemen zu verwehren (Zutrittskontrolle).
  • Verhindern Sie die Nutzung von Datenverarbeitungssystemen durch Unbefugte (Zugangskontrolle).
  • Stellen Sie sicher, dass nur dazu Berechtigte Ihre Datenverarbeitungssysteme und die gespeicherten Daten nutzen (Zugriffskontrolle).
  • Übermitteln Sie Daten darf nur an berechtigte Empfänger (Weitergabekontrolle).
  • Stellen Sie die Nachverfolgbarkeit von (gewollten und ungewollten) Datenmanipulationen sicher (Eingabekontrolle)-
  • Stellen Sie die weisungsgemäße Verarbeitung von Daten im Auftrag sicher (Auftragskontrolle).
  • Sichern Sie Daten gegen zufällige Zerstörung oder Verlust (Verfügbarkeitskontrolle).
  • Stellen Sie die Trennung zu unterschiedlichen Zwecken erhobener Daten sicher (Trennungskontrolle).


Verpflichtung auf das Datengeheimnis

Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer Beschäftigung bei Ihnen anvertraut wurden oder zugänglich geworden sind, geheim zu halten, außer es besteht ein zulässiger Grund zur Weitergabe der Daten (Datengeheimnis).


Die einfachste Form ist es, Mitarbeiter eine Verpflichtungserklärung unterschreiben zu lassen und diese zu Dokumentationszwecken entweder in der Personalakte oder in der datenschutzrechtlichen Dokumentation abzulegen. Das Datengeheimnis besteht auch nach Beendigung des Arbeitsverhältnisses fort.


Datenschutzbeauftragter

Die Ernennung eines Datenschutzbeauftragten ist nicht immer verpflichtend. Es kann dabei sowohl ein Mitarbeiter aus ihrem Unternehmen zum Datenschutzbeauftragten durch entsprechende Aus- und Weiterbildung bestellt werden oder ein externer Datenschutzbeauftragter benannt werden. Eigene Mitarbeiter sind in der Regel mit den Abläufen und Prozessen im Zusammenhang mit den verarbeiteten Kundendaten vertraut. Ein externer Datenschutzbeauftragter unterstützt Sie objektiv auf der Basis seiner Expertise. Gerne unterstützen wir Sie bei der Klärung der gesetzlich benannten Kriterien und stehen Ihnen im Bedarfsfall auch als externer Datenschutzbeauftragter zur Verfügung.


Datenschutzinformationen

Kunden sind unter anderem darüber zu informieren, dass und zu welchem Zweck ihre Daten verarbeitet werden und an wen diese weitergegeben werden. Achten Sie auf die Erfüllung der Informationspflichten gegenüber den Kunden in ihrem jeweils verfügbaren Stand.


Verzeichnis der Verarbeitungsvorgänge

Die Verarbeitung personenbezogener Daten beschreibt die einzelnen Tätigkeiten, die im Zusammenhang mit Kundendaten stehen. Dazu gehören die Datenerhebung, Datenweitergabe bzw. Datenverwaltung, Datensicherung und Datenlöschung. In dem Verzeichnis der Verarbeitungsvorgänge, werden alle Verarbeitungen festgehalten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis der Verarbeitungsvorgänge ist einer Aufsichtsbehörde auf Nachfrage vorzulegen.


Datenschutzplan

In einem internen Datenschutzhandbuch oder Datenschutzplan sind alle organisatorischen Maßnahmen und technischen Schutzmaßnahmen aufzunehmen, die zu Einhaltung der Datenschutzanforderungen zu beachten sind. Richtlinien zum Datenschutz, Arbeitsanweisungen, Hinweise, technische Maßnahmen werden in einem solchen Datenschutzplan beschrieben, der auf Anforderung der Aufsichtsbehörden diesen vorlegbar sein sollte.


Externe Dienstleister

Im Rahmen der Ausgliederung von Tätigkeiten oder Beauftragung von IT-Leistungen einschließlich der Speicherung von Daten in Cloud-Diensten ist regelmäßig zu prüfen, ob gegebenenfalls die erforderlichen Auftragsverarbeitungsverträge abzuschließen sind.



Best Practise in der Praxis

Pflichtverletzungen oder ein Datenschutzvorfall kann zu Bußgeldern führen und kann im Falle der Verletzung der Verschwiegenheitsverpflichtung mit einer Geld- oder bis zu einjähriger Freiheitsstrafe geahndet werden. Achten Sie in Ihrem Alltag besonders auf folgende Hinweise:


Unachtsame Gespräche vermeiden

Wahren Sie auch im Rahmen von Telefonaten besondere Diskretion und geben Sie nur telefonische Auskünfte, sofern die Identität des Anrufers zweifelsfrei feststeht.


Schriftliche Einwilligung in die Datenverarbeitung

Holen Sie die Einwilligung zur Verarbeitung der personenbezogenen Daten bei den Kunden, z.B. im Rahmen der Gesprächsdokumentation schriftlich ein. Achten Sie darauf, dass ggfs. auch der Partner, dessen Daten sie auch erfasst haben, ebenfalls seine Einwilligung erteilt. Häufig erfassen Sie bei Versicherungsangelegenheiten auch besondere personenbezogene Daten wie Gesundheitsinformationen. Der Hinweis, die Informationen zum Datenschutz lediglich durchzulesen und die Kenntnisnahme mündlich zu bestätigen, ist nicht ausreichend.


Kundendaten sorgfältig aufbewahren schließen

Informationen der Kunden oder die Sie im Rahmen Ihrer Zusammenarbeit mit einem Finanzmakler erhalten haben, dürfen nicht an Dritte weitergegeben werden oder dem Zugriff durch Dritte ausgesetzt werden. Stellen Sie sicher, dass kein Unbefugter Zugriff auf die Kundendaten nehmen kann oder andere Informationen erhält. Dies gilt für Ihr Büro wie für Besprechungsräume und Heimarbeitsplätze. Sichern Sie papierbasierte Kundenakten und -Unterlagen in abschließbaren Schränken und schützen die elektronischen Daten durch eine Bildschirmsperre und einen adäquaten Passwortschutz.


Verpflichtung auf das Datengeheimnis

Verpflichten Sie alle Mitarbeiter regelmäßig auf das Datengeheimnis und schulen Sie diese zum Datenschutz.


Weitere Best Practise finden Sie hier


Wenn Sie sich für weitere Informationen interessieren, so stellen wir Ihnen gerne eine erste Checkliste zur Verfügung. Im Gespräch lassen sich Ihre Fragen klären. Kommen Sie gerne auf uns zu. Wir sind für Sie da.