MPF-Datenschutzbeauftragte DSGVO: Alles ganz einfach - oder doch nicht?

Christine Mühlberger ist Datenschutzbeauftragte bei Michael Pintarelli Finanzdienstleistungen.  | © MPF AG

Christine Mühlberger ist Datenschutzbeauftragte bei Michael Pintarelli Finanzdienstleistungen. Foto: MPF AG

Wo verarbeiten Sie überhaupt personenbezogene Daten im Unternehmen? Wer verarbeitet sie und warum? Nach einer Bestandsaufnahme wird schnell klar, dass es bei der Datenschutzreform in erster Linie um das Beschreiben von Prozessen geht. Die berechtigte Annahme, dass die Verarbeitung personenbezogener Daten von einem Vermögensverwalter grundsätzlich rechtmäßig ist, bringt uns schon den ersten Schritt weiter: Wir könnten ansonsten unseren Geschäftszweck nicht mehr verfolgen. Nur bedürfen die sensiblen Vermögensdaten einer besonderen Sorgfalt. Was wir wann und wo mit ihnen anstellen – spätestens jetzt müssen wir es dokumentieren.

Auch Vermögensverwaltern drohen Bußgelder

Wenn einer ans Aufschreiben denkt, ist er vor dem Hintergrund des Datenschutzes schnell bei einem Verarbeitungsverzeichnis, einem Löschkonzept, der Dokumentation von Datenschutzvorfällen, Auftragsverarbeitungsverträgen und natürlich einer Datenschutzrichtlinie. Für Vermögensverwalter in Deutschland ist der Aufwand dennoch überschaubar. Ich möchte jetzt nicht in der Haut einer Großbank oder eines international aktiven Konzerns stecken. Das hieße, die Datenübermittlung nach internationalen Leitlinien auf sichere Füße stellen zu müssen und eine Folgenabschätzung nach der anderen auszufertigen. Dennoch tun auch Vermögensverwalter in Deutschland gut daran, eine Risikoanalyse vorzunehmen, um der Aufsichtsbehörde gegebenenfalls schlüssig darzustellen, dass man das Gefährdungspotenzial klein hält.

Was haben Facebook, Amazon und Co. uns da bloß eingebrockt. Klauseln wie der „One-stop-Shop“, das „Recht auf Vergessenwerden“ und die „Datenübertragbarkeit“ richten sich sicherlich zuerst an international agierende Unternehmen, Versicherungen und soziale Netzwerke. Aber wir sitzen ebenfalls in diesem Datenschutzboot, weil uns unsere Mandaten ihr Heiligstes anvertrauen – ihre persönlichen Daten. Und deswegen drohen auch Vermögensverwaltern dieselben hohen Bußgelder, wenn sie sich nicht an die Spielregeln halten – oder nicht nachweisen können, dass sie es tun. Bis zu 20 Millionen Euro! Datenschutz ist also auch Unternehmensschutz.

Dokumentieren und informieren

Die Umsetzung der DSGVO mag für manchen Vermögensverwalter ein Buch mit sieben Siegeln sein. Die Komplexität ergibt sich allerdings eher aus der Quantität der geforderten Unterlagen als aus der Qualität. Sämtliche Prozesse zu beschreiben, bei denen im Unternehmen personenbezogene Daten verarbeitet werden, ist wahrlich kein Pappenstiel. Das fängt bei einer CRM-Datenbank an, geht über Outlook oder ähnliche Systeme bis hin zur papierhaften Handakte. Ja auch die, denn die DSGVO und das BDSG beschränken sich nicht mehr nur auf die elektronische Verarbeitung. Und bitte vergessen Sie nicht, Ihre Telefonaufzeichnung zu erfassen – Mifid II lässt grüßen.

Das geflügelte Wort, „was einer nicht weiß, macht ihn nicht heiß“ funktioniert im Verhältnis Mandant-Vermögensverwalter schon lange nicht mehr. Im Gegenteil sollten wir mit gebührendem Respekt vor den Persönlichkeitsrechten der Menschen, die zu uns kommen, diese in die Lage versetzen, ihr „Recht auf informationelle Selbstbestimmung“ ausüben zu können. Dieses ist bereits 1983 vom Bundesverfassungsgericht als Datenschutz-Grundrecht anerkannt.

Es gilt klarzustellen, was wir über unsere Mandanten wissen, woher die Informationen kommen und was wir damit machen. Das schreiben wir alles auf, geben es ihnen mit und haben damit schon einen Grundpfeiler unserer betrieblichen Datenschutzorganisation fertig. Der zweite ist die Dokumentation für die Aufsichtsbehörde. Dokumentieren und informieren. Das ist doch nicht so schwierig, oder?