Noch verbleiben ein paar Wochen bis zur Umsetzung der neuen Datenschutz-Grundverordnung (DSGVO). Doch was betrifft den kleinen und mittelgroßen Finanzdienstleister wirklich?
Gastbeitrag von Volker H. Grabis, Deutsche Makler Akademie (DMA)
Einige Passagen der neuen Verordnung klingen recht klar und eindeutig. So müssen Unternehmen, die mindestens zehn Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten bestellen.
Doch was bedeutet in diesem Zusammenhang ständig? Als Synonym könnte man ununterbrochen sagen. In den „Alten-Hasen-Regelungen“, etwa zur Gewerbeerlaubnis nach Paragraf 34 i der Gewerbeordnung (GewO), wurde ununterbrochen wie folgt ausgelegt.
Selbstständige Vermittler mit einer Erlaubnis nach Paragraf 34 c der GewO konnten sich in einer Übergangsregelung von der Sachkundeprüfung befreien lassen, wenn sie nachweisen konnten, mindestens drei Finanzierungen pro Jahr beraten zu haben.
Bezieht man sich auf diese Auslegung, sind alle Mitarbeiter, die wiederholt in ihrem Arbeitsprozess entsprechend Daten einpflegen, davon betroffen.
Datenschutzgesetz ist Verbotsgesetz
Gehören nur die angestellten Mitarbeiter zu diesem Personenkreis oder auch die arbeitnehmerähnlichen selbstständigen Handelsvertreter? Ein kleines Unternehmen kommt bei dieser Betrachtung sehr schnell auf zehn Mitarbeiter.
Das Datenschutzgesetz wurde als Verbotsgesetz definiert, sodass es nur gewisse Ausnahmen gibt, unter denen eine Erhebung, Verarbeitung und Speicherung personenbezogener Daten zulässig ist.
Verbindlich können Sie unangenehme Situationen in Bezug auf die neue DSGVO vermeiden, wenn Sie jede Handlung nach der DSGVO durch eine entsprechende Einwilligung des Betroffenen dokumentieren.
Einwilligung schon im Erstgespräch einholen
Wichtig dabei ist auf Folgendes zu achten: Die Einwilligung sollte vom Betroffenen für den bestimmten Fall, in informierter Weise und durch eine unmissverständlich abgegebene Willensbekundung stattfinden.
Da Sie diese Einwilligung benötigen, sobald Sie Daten erheben, würde ich dieses grundsätzlich im Erstgespräch klären und dann bei jedem Einzelgeschäft separat erneuern. So vermeiden Sie die Diskussion um die Auslegung der Formulierung des bestimmten Falls.
Weiterhin würde ich in einer zusätzlichen Informationsbroschüre oder auf der Homepage auf die Grundsätze der Datenverarbeitung nach der DSGVO verweisen.
Seite zwei: Zweckbindung und Datenminimierung
