Finanzdienstleister, Berater, Makler und Vermittler unterstützen ihre Kunden nicht nur bei der Altersversorge, Vermögensverwaltung oder in Versicherungsfragen, sondern auch bei ihrer ganzheitlichen Finanzplanung. Mit dem Blick durch die Datenschutz-Brille bedeutet das Folgendes: Damit Finanzprofis ihre Kernleistung anbieten und Kunden hochwertig und individuell beraten können, müssen sie immer Name, Adresse, Alter, Kontodaten evtl. auch Gesundheitsbild, Kfz-Kennzeichen oder weitere persönliche Informationen abfragen, sortieren, gruppieren, speichern, weiterleiten und in Einzelfällen auch einer automatisierten Entscheidungsfindung unterwerfen. In der Datenschutzwelt heißt das zusammengefasst: personenbezogene Daten verarbeiten. Bei dieser Verarbeitung muss jeder Berater, Anbieter, Unternehmer zu jeder Zeit die Vorgaben der Datenschutzgrundverordnung (DSGVO) beachten. Sobald ein Finanzberater mit Kundendaten arbeitet, gelten für ihn daher folgende Grundsätze.
Das kleine Datenschutz-ABC für Finanzberater
- Rechtmäßigkeit
Um Daten aufzunehmen, zu nutzen und zu speichern, benötigen Finanzberater eine Rechtsgrundlage. Grundsätzlich ist die Verarbeitung personenbezogener Daten nämlich verboten. Es sei denn, die DSGVO erlaubt dies ausdrücklich. Im Falle einer Kundenberatung zählt vor allem ein Beratungsvertrag, in Einzelfällen auch die Einwilligung oder ein begründetes Interesse. - Transparenz
Zudem müssen Berater die Verarbeitung personenbezogener Daten so organisieren, dass es für den Betroffenen nachvollziehbar bleibt. Ein Anbieter darf seine Kunden nicht „hinters Licht führen“, z.B. eine Einwilligung einfordern und, falls diese nicht kommt, sich auf einen bestehenden Vertrag beziehen. - Zweckbindung
Kunden müssen darauf vertrauen können, dass der Finanzprofi ihre Daten nur für die Zwecke verarbeitet, die er z.B. im Beratungsvertrag eindeutig und legitim festgelegt hat. Eine Änderung ist nur in ganz wenigen Ausnahmefällen erlaubt und muss dem Betroffenen sofort mitgeteilt werden. - Datenminimierung
Finanzanbieter und -vermittler dürfen nur die Daten verarbeiten, die für die Beratungsleistung tatsächlich notwendig sind. Erheben Sie also keine Bewertung einer Altersvorsorge, wenn der Kunde gar keine Altersvorsorgeberatung möchte. - Richtigkeit
Nur „sachlich richtige“ Daten dürfen verarbeitet werden. Personenbezogene Angaben müssen daher immer auf dem neusten Stand sein. Berater sollten regelmäßig abfragen, ob ein gespeicherter Datensatz noch korrekt und der Zweck der Datenverarbeitung gegeben ist. Im Bedarfsfall löschen oder korrigieren Sie die Informationen. Wer auf Nummer sicher gehen will, fragt seine Bestandskunden einmal jährlich, ob der gespeicherte Datensatz noch stimmt. - Speicherbegrenzung
Personenbezogene Daten müssen so abspeichert sein, dass sie nach Wegfall des Zwecks gelöscht oder anonymisiert werden können. Die Daten selbst müssen sicher gespeichert werden. - Integrität und Vertraulichkeit
Finanzdienstleister haben die Aufgabe, die Sicherheit der Daten durch geeignete technische und organisatorische Maßnahmen zu gewährleisten. Die DSGVO nennt dabei konkret: „angemessene Sicherheit“ sowie Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung und Schädigung.
Datenschutz im Tagesgeschäft
Wenn Sie Inhaber oder Geschäftsführer sind, müssen Sie als Verantwortlicher diese Vorgaben nicht nur umsetzen, sondern deren Einhaltung auch belegen können. Diese Rechenschaftspflicht ist vielen nicht bewusst. Doch der Chef muss durch geeignete Prozesse und Dokumentationen nachweisen, dass er diese Grundprinzipien einhält. Dabei lässt sich die Unternehmensleitung am besten von einem Datenschutzbeauftragten unterstützen.
Im Alltag des Finanzberaters machen sich diese Prinzipien an folgenden Stellen bemerkbar: Er hält sich an Richtlinien, bekommt Durchführungshinweise, arbeitet mit Vertraulichkeitserklärungen und Datenschutzunterweisungen. Der Kunde profitiert so von einer geschützten Umgebung. Nehmen Unternehmen und Berater das Thema ernst, genießen Klienten drei Vorteile: mehr Transparenz, was mit den eigenen Daten passiert; weniger(!) datenschutzrechtliche Einwilligungen und mehr Sicherheit für die gespeicherten personenbezogenen Daten.
Richtig umgesetzt
Die Spreu vom Weizen beim Thema Datenschutz trennt sich mit den Stichworten: „richtig umgesetzt“. Da hapert es in der Praxis leider oft. Das soll nicht heißen, dass Datenschutz in der Finanzberatung keine Rolle spielt. Vielmehr setzen Unerfahrene sehr oft irgendetwas um, ohne dass weder die Geschäftsleitung noch die Berater selbst wissen, warum überhaupt. Man hat eventuell gesehen, dass der Kollege so verfährt, in einem Tagesseminar etwas aufgeschnappt oder vom Berufsverband wenig „Hilfreiche Tipps zur Umsetzung des DSGVO“ erhalten. Oft fehlen bei der Umsetzung auch zwei Zutaten: gesunder Menschenverstand und genaues Wissen, was die DSGVO überhaupt in der praktischen Umsetzung verlangt … und was nicht.
Dass die Unternehmensleitung die Voraussetzung für den Umgang mit personenbezogenen Daten schafft, liegt natürlich gänzlich in deren Verantwortungsbereich. Darum müssen sich angestellte Berater, Mitarbeiter oder Außendienstler nicht kümmern. Wer von seinem Chef aber überhaupt keine Vorgaben, Richtlinien o.ä. erhält, kann natürlich vorsichtig anklopfen, wie es intern eigentlich mit der Umsetzung der DSGVO aussieht. Das gilt übrigens auch, wenn die Vorgaben völlig an der Arbeitsrealität vorbeigehen. Eine optimierte Datenschutz-Umsetzung kann den Arbeitsalltag spürbar erleichtern.
Tipps für den Umgang im Alltag
Gehen wir davon aus, dass die Geschäftsleitung ihre Mitarbeiter korrekt unterwiesen, auf Vertraulichkeit verpflichtet und ihnen entsprechende Hard- und Software zur Verfügung gestellt hat. In diesem Falle helfen dem Finanzberater folgende Tipps im Alltag, um datensicher unterwegs zu sein:
Verwenden Sie ausschließlich autorisierte Hardware, keine sonstigen Geräte (z.B. das private Smartphone, ohne vorherige Freigabe durch die Geschäftsführung und die IT)
Nutzen Sie für die elektronische Datenerfassung nur betriebliche Software. Bei schriftlicher Datenerfassung bewahren Sie die Dokumente gemäß Unternehmensvorgaben auf. Dies gilt besonders beim mobilen Arbeiten.
Zweckbindung und Vertraulichkeit gilt immer und bei jedem Kunden. Auch kuriose Begebenheiten sind kein Thema für die private Stammtischrunde. Ebenso darf nie die gespeicherte Mobilnummer von Kunden zu privaten Zwecken genutzt werden. Daten, die Sie nicht für Ihren Beratungsauftrag brauchen, erheben Sie nicht.
Zusätzlich zu den technischen Maßnahmen zur IT-Sicherheit, die durch die IT umgesetzt wird (VPN-Verbindungen, Virenschutz, Firewall, Blickschutzfolien etc.), schützen Sie alle Daten auf Ihren Systemen auch durch eigenes Verhalten. Hier gilt folgendes Credo: Gehen Sie mit den Kundendaten so um, wie Sie wollen, das andere mit Ihren Daten umgehen.
Bleiben Sie beim Thema up to date. Informieren Sie sich regelmäßig über die technische Entwicklung, Cyberangriffe, Phishing-E-Mails oder neue Regularien.
Auf einen Blick
Datenschutz in der Finanzberatung unterteilt sich in zwei Bereiche: in Managementaufgaben für den Chef und in den aktiven Datenschutz, den Mitarbeiter in ihrer täglichen Arbeit berücksichtigen und somit einen wichtigen Baustein legen, damit das Gesamtunternehmen DSGVO-konform arbeitet. Das bedeutet, die Vorgaben der Unternehmensleitung gewissenhaft umzusetzen und dabei den gesunden Menschenverstand nicht über Bord zu werfen.
Als digitaler Aufklärer kennt Achim Barth sie alle – die Gefahren der Datenspinne, die Tricks der Datenräuber, aber auch zuverlässige Wege, wie jeder seine Privatsphäre im Netz schützen kann. Zielgerichtet, sachkundig und immer up to date begleitet der mehrfach zertifizierte Datenschutzbeauftragte Privatleute und Unternehmen in die IT-Sicherheit. In Workshops, Seminaren und Vorträgen begeistert Barth mit praktikablen Lösungen. Risikomanagement ist sein Steckenpferd. Kontakt: www.barth-datenschutz.de