Finet zur Vorratsdatenspeicherung: „Es ist wie bei einem guten Arzt“
Markus Neudecker, Uwe Gnad (v.l.)
DAS INVESTMENT.com: Die Hamburger Datenschutzbehörde hat vor kurzem gegen die Hamburger Sparkasse (Haspa) ein Bußgeld von 200.000 Euro verhängt, weil externe Berater eine zeitlang Zugriff auf die Kundendaten hatten. Finden Sie das richtig?
Markus Neudecker: Ohne die genauen Umstände des Einzelfalls zu kennen, ist eine Beurteilung naturgemäß schwierig. Richtig ist auf jeden Fall, dass bei der Weitergabe von Kundendaten bestimmte Standards gelten sollten. Im Falle externer Dienstleister stellt sich vor allem die Frage nach Umfang und Zweck von Datenweitergaben. Bekommen Dienstleister wirklich nur Daten, die sie für ihre Aufgabe und Stellung benötigen? Einmal für einen bestimmten Zweck erhobene Daten dürfen beispielsweise nicht pauschal für andere Zwecke verwendet werden. Die Erhebung muss laut Bundesdatenschutzgesetz stets zweckgebunden erfolgen.
DAS INVESTMENT.com: Gilt dies für alle Daten oder existieren unterschiedliche Datentypen, für die verschiedene Vorschriften gelten?
Uwe Gnad: Man unterscheidet drei Grundtypen von Daten: Rohdaten, aufbereitete Daten und personenbezogene Daten. Rohdaten sind sozusagen die Originale. Als „aufbereitet“ werden sie bezeichnet, sobald zwischen Datensätzen eine Verknüpfung beziehungsweise ein Zusammenhang hergestellt wird. Das Bundesdatenschutzgesetz bezieht sich auf die personenbezogenen Daten: So werden all jene Daten und Angaben bezeichnet, die über persönliche oder sachliche Verhältnisse einer Person Auskunft geben. Sie sind also eine Art Steigerung von aufbereiteten Daten.
DAS INVESTMENT.com: Wann muss das Einverständnis des Kunden eingeholt werden?
Gnad: Das Gesetz sieht vor, dass jeder, dessen personenbezogene Daten verwendet werden sollen, ausdrücklich damit einverstanden sein muss. Das gilt auch für das Einverständnis im Rahmen eines Vertragsschlusses. Der Gesetzgeber hat hier unlängst die Vorgaben zur Schriftform verschärft, damit der Datenschutz für den Kunden klar ersichtlich ist und entsprechende Passagen nicht im Kleingedruckten untergehen.
DAS INVESTMENT.com: Gibt es da auch Ausnahmen?
Gnad: Die einzige Ausnahme sind personenbezogene Daten, die laut Gesetz erhoben, gespeichert und verarbeitet werden müssen. Der Berater ist also dazu verpflichtet, bei Kundendaten genau dies zu tun. Oder nehmen wir zum Beispiel das Geldwäschegesetz. Das zwingt den Berater dazu, bestimmte personenbezogene Daten seines Kunden zu erheben, weiterzuverarbeiten und zu speichern. Oder aber wenn der Kunde einen Vertrag über eine Sache oder Dienstleistung abschließen möchte. Dafür können personenbezogene Daten erforderlich sein. Möchte der Kunde das nicht, muss er auf den Vertrag verzichten.
Markus Neudecker: Ohne die genauen Umstände des Einzelfalls zu kennen, ist eine Beurteilung naturgemäß schwierig. Richtig ist auf jeden Fall, dass bei der Weitergabe von Kundendaten bestimmte Standards gelten sollten. Im Falle externer Dienstleister stellt sich vor allem die Frage nach Umfang und Zweck von Datenweitergaben. Bekommen Dienstleister wirklich nur Daten, die sie für ihre Aufgabe und Stellung benötigen? Einmal für einen bestimmten Zweck erhobene Daten dürfen beispielsweise nicht pauschal für andere Zwecke verwendet werden. Die Erhebung muss laut Bundesdatenschutzgesetz stets zweckgebunden erfolgen.
DAS INVESTMENT.com: Gilt dies für alle Daten oder existieren unterschiedliche Datentypen, für die verschiedene Vorschriften gelten?
Uwe Gnad: Man unterscheidet drei Grundtypen von Daten: Rohdaten, aufbereitete Daten und personenbezogene Daten. Rohdaten sind sozusagen die Originale. Als „aufbereitet“ werden sie bezeichnet, sobald zwischen Datensätzen eine Verknüpfung beziehungsweise ein Zusammenhang hergestellt wird. Das Bundesdatenschutzgesetz bezieht sich auf die personenbezogenen Daten: So werden all jene Daten und Angaben bezeichnet, die über persönliche oder sachliche Verhältnisse einer Person Auskunft geben. Sie sind also eine Art Steigerung von aufbereiteten Daten.
DAS INVESTMENT.com: Wann muss das Einverständnis des Kunden eingeholt werden?
Gnad: Das Gesetz sieht vor, dass jeder, dessen personenbezogene Daten verwendet werden sollen, ausdrücklich damit einverstanden sein muss. Das gilt auch für das Einverständnis im Rahmen eines Vertragsschlusses. Der Gesetzgeber hat hier unlängst die Vorgaben zur Schriftform verschärft, damit der Datenschutz für den Kunden klar ersichtlich ist und entsprechende Passagen nicht im Kleingedruckten untergehen.
DAS INVESTMENT.com: Gibt es da auch Ausnahmen?
Gnad: Die einzige Ausnahme sind personenbezogene Daten, die laut Gesetz erhoben, gespeichert und verarbeitet werden müssen. Der Berater ist also dazu verpflichtet, bei Kundendaten genau dies zu tun. Oder nehmen wir zum Beispiel das Geldwäschegesetz. Das zwingt den Berater dazu, bestimmte personenbezogene Daten seines Kunden zu erheben, weiterzuverarbeiten und zu speichern. Oder aber wenn der Kunde einen Vertrag über eine Sache oder Dienstleistung abschließen möchte. Dafür können personenbezogene Daten erforderlich sein. Möchte der Kunde das nicht, muss er auf den Vertrag verzichten.
