Im Mai 2018 wird es ernst. Dann muss die bereits vor zwei Jahren in Kraft getretene EU-Datenschutz-Grundverordnung, kurz EU-DSGVO, von allen Unternehmen verbindlich angewendet werden – auch von Maklerbüros, die jeden Tag mit personenbezogenen Daten ihrer Kunden zu tun haben. All diejenigen, die sich bisher noch nicht mit dem Thema befasst haben, sollten nun Gas geben, empfiehlt Norman Wirth. Der Grund: „Die Datenschutzgrundverordnung umfasst 99 Artikel und 173 Erwägungsgründe. Selbst wenn Vermittler und Makler bereits heute datenschutzkonform nach dem derzeit gültigen Bundesdatenschutzgesetz arbeiten, ist alleine eine Bestandsaufnahme, welche Umsetzungen noch zu erfolgen haben, ein erheblicher zeitlicher und administrativer Aufwand“, so der Rechtsanwalt.
Ferner sei es mit der Umsetzung der DSGVO nicht getan. Denn sie beinhalte an vielen Stellen sogenannte Öffnungsklauseln. Diese erlaubten es dem nationalen Gesetzgeber, abweichende, im Ergebnis auch „schärfere“ Regelungen zu treffen. Wirth: „Das hat der deutsche Gesetzgeber zum Anlass genommen und das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, kurz: BDSG-neu, geschaffen. In diesem sind weitere Regelungen enthalten, die mit Inkrafttreten umgesetzt werden müssen.“
Es drohen Reputationsschäden oder gar der Verlust der Berufszulassung
Werden die neuen Regeln nicht umgesetzt, drohen den Betroffenen empfindliche Sanktionen. „Das Gesetz sieht bei Datenverstößen Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes vor“, erklärt Harald Müller-Delius, selbstständiger Software-Ingenieur und Datenschutzbeauftragter der Kanzlei Michaelis in Hamburg. Er räumt aber gleichzeitig ein, dass das nur die „juristischen Fakten“ seien, die als Sanktionsmaßnahme eher gegen die großen Internetportale und Konzerne zielten.
„Für den Makler ist aus meiner Sicht der Reputationsschaden oder der drohende Verlust der Berufszulassung schwerwiegender. Zudem ist der Datenschutz auch als Sorgfaltspflicht des ordentlichen Kaufmanns mit allen Konsequenzen anzusehen, hier droht in schwerwiegenden Fällen der Einsatz des Strafgesetzes oder die Haftung mit dem persönlichen Vermögen“, sagt Müller-Delius. Ab Mai 2018 müssten Makler verstärkt mit Kontrollen der Landesdatenschutzämter (LDA) rechnen, „auch weil unliebsame Kunden oder Mitbewerber zu Beginn gerne anonyme Anzeigen bei den LDA platzieren könnten“. Heißt also: Es besser gar nicht erst so weit kommen lassen und das eigene Maklerbüro sauber aufstellen.
Basis der neuen EU-DSGVO ist Artikel 5. Hier hat der Gesetzgeber die Grundsätze für die Verarbeitung personenbezogener Daten aufgeschrieben. Danach müssen sie 1. auf rechtmäßige, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (Grundsatz der Rechtmäßigkeit und Transparenz), 2. für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung), 3. auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Datenminimierung), 4. sachlich richtig und auf dem neuesten Stand sein, sonst müssen sie sofort gelöscht oder berichtigt werden (Richtigkeit), 5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für den zuvor festgelegten Zweck erforderlich ist (Speicherbegrenzung) und 6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (Integrität und Vertraulichkeit).
Am besten erst mal eine Bestandsaufnahme machen
Was Makler nun konkret umsetzen müssen, ist schwierig zu sagen, da das von dem jeweils vorliegenden Datenschutzniveau der Makler abhängt. Harald Müller-Delius rät daher dazu, erst mal eine Bestandsaufnahme zu machen. „Alle Verträge müssen auf DSGVO-Konformität geprüft werden“, sagt er. Das beginnt beim Maklervertrag, geht über die Datenschutzerklärung für den Kunden bis hin zu den Datenschutzhinweisen auf der eigenen Website. „Zudem sollten Courtagevereinbarungen, bestehende Auftragsdatenverarbeitungen und alle weiteren relevanten Verträge auf DSGVO-Konformität geprüft und der Datenschutzordner aktualisiert werden“, so Müller-Delius. Dabei die Mitarbeiterverträge nicht vergessen. Auch sie müssen überarbeitet oder durch Zusatzvereinbarungen ergänzt werden.
Ein wichtiger Punkt der DSGVO ist die Einführung einer grundsätzlichen Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO. „Diese führt dazu, dass der Unternehmer – also auch der Makler – jederzeit die Einhaltung der gesetzlichen Regelungen nachweisen können muss“, erklärt Rechtsanwalt Oliver Kadler, der ebenfalls bei der Kanzlei Wirth Rechtsanwälte tätig ist. Diese Pflicht beginne bei der Dokumentation von erteilten Einwilligungen und setze sich fort bei den Informationspflichten sowie den zu ergreifenden technischen Maßnahmen zur Einhaltung der DSGVO-Vorgaben.
Hat die neue EU-DSGVO auch Auswirkungen auf Websites und Apps? Definitiv.
Der Makler muss, insbesondere wenn er Gesundheitsdaten verarbeitet, auch ein Verzeichnis über diese Verarbeitungstätigkeit führen. Das fordert Artikel 30 DSGVO. Darin müssen unter anderem Namen und Kontaktdaten des Verantwortlichen enthalten sein, die Zwecke der Verarbeitung der Daten, die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind sowie, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Der Kunde hat ein Recht auf Einsicht, Änderung, Sperrung, Löschung und Übertragung der Daten. Und das setzt eben voraus, dass der Makler exakt wissen muss und dokumentiert hat, wann er welche Daten wie auf welchem Medium gespeichert hat. Bei Datenschutzverstößen muss er Meldung gegenüber den Betroffenen und den Behörden machen.
Hat die neue EU-DSGVO auch Auswirkungen auf Websites und Apps? „Definitiv“, meint Datenexperte Müller-Delius. „Unverschlüsselte Websites mit Kontakt- oder sonstigem Online-Formular sind ein absolutes No-Go, dafür haben auch die Landesdatenschutzämter automatisierte Verfahren der Kontrolle und kennen kein Pardon mehr“, warnt er. Für Online-Angebote gelte in der DSGVO das Prinzip der Privacy-by-Default und Privacy-by-Design. Daten dürfen also nur in der datenschutzfreundlichsten Version mit deutlich sichtbarer, aktiver, freiwilliger und explizit bestätigender Aktion durch den Kunden erhoben werden. Müller-Delius: „Also bitte alle Apps, Online-Formulare, Newsletter-Bestellungen und sonstigen Online-Datenerhebungen prüfen und anpassen.“ Makler sollten auch die Gelegenheit nutzen, auf Impressum, Nutzungsbedingungen und Datenschutzhinweise zu schauen und dabei am besten einen Fachmann zu Rate ziehen. Denn: „Es kommt auf das Detail an.“
„Gesetz ist eine Chance, seinen Betrieb besser zu strukturieren und zu organisieren“
Auch wenn das Thema Datenschutz unter der neuen EU-DSGVO Maklern nun als kaum zu bewältigende Aufgabe vorkommen mag – man kann dem Ganzen auch etwas Positives abgewinnen. Firmen können ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern stärken, wenn sie die Richtlinie umsetzen.
Und: „Das neue Gesetz ist eine Chance, seinen Betrieb besser zu strukturieren und zu organisieren“, sagt Müller-Delius. „Oft können hier sogar Abläufe effizienter gestaltet und Mitarbeiter qualifiziert werden, und der Makler erhält den Datenschutz dann quasi umsonst.“