Die ab 25. Mai 2018 zur Anwendung kommende Datenschutz-Grundverordnung, kurz DSGVO, betrifft grundsätzlich alle Unternehmer. Und zwar ohne Ausnahme, unabhängig davon, ob es sich um ein EPU, KMU oder einen Konzern handelt.
Folglich ist auch jeder Finanzdienstleister – Wertpapierunternehmen, gewerbliche Vermögensberater, Versicherungsvermittler, usw. – direkt von der DSGVO betroffen. Als diejenigen, die im Rahmen der Beratung personenbezogene Daten von Kunden erheben, sind sie die Verantwortlichen. Und daraus ergibt sich eine Vielzahl von enorm strengen Pflichten.
Achtung! ALLE personenbezogenen Daten sind betroffen.
Denken Sie nicht nur an Kundendaten! Personenbezogene Daten haben Sie auch von Mitarbeitern, Interessenten, Produktanbietern, ggf. Ihrem Haftungsdach und Kollegen. All diese Daten sind im Rahmen Ihrer beruflichen Tätigkeit von der DSGVO umfasst!
Diese erhobenen und bei Ihnen im Sinne der DSGVO verarbeiteten personenbezogenen Daten müssen geschützt werden. Und zwar auf sehr hohem Niveau, organisatorisch und technisch. Zwar gelten auch heute schon strenge Datenschutz-Vorschriften, diese führen jedoch oft ein Schattendasein, da die Geldstrafen vergleichsweise gering sind. Auch das ändert sich mit der DSGVO. Ab 25. Mai 2018 reichen die Geldstrafen bis zu 20.000.000 Euro oder 4% des weltweiten Konzernumsatzes.
ACHTUNG! Drakonische Geldstrafen drohen.
Ein extremes, aber reales Beispiel: Derzeit kann das Verletzten des Auskunftsrechts, das jeder Person zusteht, eine Strafe von maximal 500 Euro nach sich ziehen. Die DSGVO sieht dafür Strafen bis zu 20.000.000 Euro vor. Das entspricht dem 40.000-fachen Betrag!
Beim Weiterleiten von personenbezogenen Daten auf Anträgen, Protokollen, Ausweiskopien, usw. an Haftungsdächer, Produktanbieter und Versicherungsgesellschaften besteht die Pflicht zur Transportkontrolle. Nachdem der Inhalt von herkömmlichen E-Mails bekanntlich so offen einsehbar ist wie der Text auf Rückseite von Postkarten, besteht hier womöglich großer Handlungsbedarf.
ACHTUNG! Auch Ihre Empfänger müssen compliant sein.
Als Verantwortlicher haben Sie auch die Pflicht sich zu vergewissern, dass die Empfänger der personenbezogenen Daten – Haftungsdächer, Versicherungsgesellschaften, Produktanbieter – sämtliche Pflichten der DSGVO einhalten. Sind alle Ihre diesbezüglichen Partner fit für die DSGVO?
Diese und – zum Leidwesen aller Unternehmer und Finanzdienstleister – noch viele weitere Vorschriften beschert uns die Datenschutz-Grundverordnung schon ab 25. Mai 2018. Diesem ersten Beitrag werden also in den nächsten Wochen noch viele weitere folgen.
Andreas Dolezal (www.andreasdolezal.at) ist der Compliance Experte im Team von AL&E mit aktuellem Fokus auf dem praxisnahen Umsetzen der DSGVO sowie des Datenschutz-Anpassungsgesetzes.