Hinzu kommt eine große Dunkelziffer an Verprellten. Nämlich diejenigen, die unverlangt empfangene E-Mails klaglos in den digitalen Papierkorb versenken, ohne sich die Frage zu stellen, woher der Absender denn die E-Mailadresse hat. Auf Dauer erhält sich der Absender mit solcherart Mailings keine langen Freundschaften.
Andererseits sind Daten aus öffentlich zugänglichen Verzeichnissen nach BDSG für Briefwerbung nutzbar. Nicht vergessen: Wer ohne ausdrückliche Einwilligung werblich anruft, legt sich mit der Bundesnetzagentur an, bei Bußgeldhöhen ab 50.000 Euro pro Fall sollte man sich das sehr gut überlegen.
Und noch etwas ist am BDSG bemerkenswert. Es handelt sich um ein Verbotsgesetz mit Erlaubnisvorbehalt. Das heißt: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten einer natürlichen Person sind verboten, es sei denn ein Gesetz erlaubt es oder die natürliche Person (der Betroffene) hat eingewilligt, übrigens bevorzugt schriftlich.
Finanzdienstleister sind gut beraten, die Einwilligungen revisionssicher zu archivieren. Denn bei gerichtlichen Auseinandersetzungen um die Verwendung personenbezogener Daten muss die verantwortliche Partei alles beweisen, der Betroffene gar nichts. Schlimmer noch: Vor Gericht scheitern die meisten Einwilligungsformulierungen regelmäßig bei einer richterlichen Prüfung, besonders die „ausdrücklichen Einwilligungen“ beäugen die Richter sehr kritisch.
Ab neun Mitarbeiter wird es kritisch
Um dem Datenschutz ausreichend zu genügen, müssen Finanzdienstleister diese Hausaufgaben erledigen:
Hat der Finanzdienstleister, das Versicherungsbüro, der Makler oder Berater für mehr als neun Mitarbeiter E-Mailadressen, dann: Glückwunsch! Sie brauchen einen schriftlich bestellten Datenschutzbeauftragten (DSB). Ansonsten droht ein knackiges Bußgeld.
Aber auch ohne Datenschutzbeauftragten hat der Leiter des Büros oder der Geschäftsführer sicherzustellen, dass seine Mitarbeiter und er selbst die Datenschutzvorschriften einhalten. Dazu muss er sie mit den Gesetzen und Bestimmungen vertraut machen.
Jeder der vorgenannten Personengruppen benötigt eine Verfahrensübersicht aller verarbeiteten personenbezogenen Daten und ein dazugehöriges so genanntes öffentliches Verfahrensverzeichnis. Infos dazu gibt es beim zuständigen Landesbeauftragten für Datenschutz.
Mit allen außenstehenden Dienstleistern, die auch nur theoretisch in irgendeiner Weise Zugang zu personenbezogenen Daten haben könnten, sollte ein „Auftragsdatenverarbeitungsvertrag“ (ADV) bestehen, der den Umgang mit den Daten genau regelt. Solche Dienstleister sind beispielsweise Lettershops, IT-Dienstleister, Cloud-Computing-Anbieter, Datenhoster und andere Anbieter.
Nur notwendige Daten nutzen
Damit aber nicht genug. Damit der DSB auf Einhaltung der Gesetze und Bestimmungen hinwirken kann, muss das berechtigte Interesse an der Erhebung und Verwendung der personenbezogenen Daten gegen das schutzwürdige Interesse des Betroffenen abgewogen werden können.
Dazu muss das Maklerbüro oder die Finanzdienstleistungsgesellschaft den Zweck für die Verwendung der Daten formulieren. Anschließend sollten auch nur die Daten genutzt werden, die zur Zweckerfüllung notwendig sind.
Beispiel: Für einen elektronischen Newsletter-Versand ist nur die E-Mailadresse erforderlich. Ist der Zweck erfüllt, zum Beispiel bei einmaligen Aktionen, sind die Daten umgehend zu löschen. Und zu guter Letzt: Die Kunden sollten immer genau wissen, was mit ihren Daten geschehen kann und bei jeder Ansprache auf ihr Widerspruchsrecht hingewiesen sein.
Stephan Rogge ist geschäftsführender Gesellschafter der Certerius Gmbh in München und Beirat der Vereinigung zum Schutz für Anlage- und Versicherungsvermittler e.V..