Problematisch hierbei war vor allem, dass die Betroffenen zuvor nicht über die entsprechende Verwertung informiert worden waren. Um solche Vorfälle künftig zu vermeiden, findet demnächst nach einer zweijährigen Übergangszeit die neue EU-Datenschutz-Grundverordnung (DSGVO) ihre Anwendung.
Die EU-DSGVO gilt ab dem 25. Mai 2018 grundsätzlich für alle Unternehmen, welche entweder ihren Firmensitz in Europa haben oder welche mit personenbezogenen Daten von europäischen Bürgern arbeiten. Einige bisherige Vorgaben aus bestehenden länderspezifischen Datenschutzrichtlinien wurden dabei lediglich verschärft, andere Regelungen sind dagegen gänzlich neu. Welche Anforderungen künftig insbesondere an die Finanzbranche gestellt werden, erfahren Sie im nachfolgenden Artikel.
Notwendige Einwilligungserklärung
Wenn auch nicht ganz neu, so bildet die aktive Einwilligungshandlung der Verbraucher den wichtigsten Bestandteil zukünftiger Datenschutzmaßnahmen. Zum Zeitpunkt der Datenerhebung muss den Betroffenen in schriftlicher oder auch mündlicher Form dargelegt werden, welche ihrer Angaben zu welchem Zweck und innerhalb welchen Zeitraums gespeichert werden. Soll eine Erhebung derselben Daten zu verschiedenen Zielsetzungen erfolgen, ist dies ebenfalls kenntlich zu machen. Ohne die eindeutige Einwilligung vonseiten der Kunden ist jede Datennutzung unzulässig. Darüber hinaus muss ihnen stets die Möglichkeit gegeben werden, jedem Anliegen der Datenspeicherung gesondert zuzustimmen. Hierzu gilt mit Art. 7 Abs. 4 DSGVO gleichzeitig das sogenannte Koppelungsverbot, wonach das grundsätzliche Zustandekommen eines Vertrages nicht an die Einwilligung des Nutzers in die Datenverarbeitung gebunden sein darf.
Weiterhin wird es im Zuge der Einwilligungshandlung notwendig, dem potenziellen Kunden sämtliche seiner Rechte mitzuteilen. Dazu gehört:
- das Auskunftsrecht: Der Betroffene kann jederzeit die Art, die Dauer und den Zweck der Datenspeicherung sowie – falls nicht von ihm selbst zur Verfügung gestellt – die Herkunft der Daten erfragen.
- das Widerrufsrecht: Die Einwilligung zur Datenspeicherung kann stets ohne Angabe von Gründen widerrufen werden. Im Zuge dessen kann der Betroffene auch den Verarbeitungszweck einschränken.
- das Recht auf Berichtigung oder Löschung: Im Falle von falschen Angaben kann der Verbraucher eine Berichtigung durch das Unternehmen verlangen. Unter Umständen ist es auch möglich, eine Löschung derselben einzufordern.
- das Beschwerderecht: Zuwiderhandlungen gegen die geltenden Datenschutzmaßnahmen können stets einer Aufsichtsbehörde mitgeteilt werden.
Was gilt für Finanzunternehmen?
Die umfangreichen Compliance-Anforderungen müssen von den Finanzkonzernen nicht nur verstanden werden, darüber hinaus gilt es, neue organisatorische sowie technische Prozesse zu etablieren, um diesen gerecht werden zu können. Die DSGVO schreibt beispielsweise vor, einen sogenannten Data Protection Officer (DPO) zu benennen, der die betriebsspezifischen Richtlinien zum Umgang mit privaten und sensiblen Daten definiert, diese umsetzt sowie entsprechende Schulungen zu diesem Themengebiet durchführt. Des Weiteren wird von jedem Unternehmen verlangt, in regelmäßigen Abständen ein Data Protection Impact Assessment (DPIA) – auch Datenschutz-Folgenabschätzung genannt – durchzuführen, sobald es sich etwa um eine automatisierte Verarbeitung der Informationen handelt.
Um die Datensicherheit weiterhin zu gewährleisten, ist es nach der DSGVO zudem notwendig, mittels technischer Hilfsmittel die Daten zu klassifizieren und zu verschlüsseln sowie die Zugriffsmöglichkeiten der Mitarbeiter regeln zu können. Auch jede Einwilligung der Kunden im Hinblick auf die Datenverarbeitung ist explizit zu verwalten, sodass auf etwaige Widerrufe zeitnah reagiert werden kann. Hierbei gilt eine Frist von einem Monat, innerhalb dessen das Unternehmen gezwungen ist, den Wünschen des Betroffenen nachzukommen.
Zentraler Aspekt der DSGVO ist somit der Schutz von persönlichen Daten in Form von umfangreichen Betroffenenrechten. Diese zu berücksichtigen sollte auch für Finanzunternehmen in Bezug auf den Umgang mit Kunden im Vordergrund stehen. Vor allem in den letzten Wochen vor Inkrafttreten der DSGVO sollten Finanzkonzerne prüfen, ob die technischen Voraussetzungen den erforderlichen Schutzmaßnahmen genügen. Zu jeder Zeit müssen sie in der Lage sein, die Einhaltung der Vorgaben der DSGVO nachzuweisen, ansonsten werden hohe Strafen fällig. Bis zu 20 Millionen Euro oder auch 4 Prozent des weltweiten Jahresumsatzes des Unternehmens können bei unzureichenden Schutzmaßnahmen oder im Falle eines Datenmissbrauchs verlangt werden.
Fazit
Am 25. Mai 2018 wird das Datenschutzrecht mit der neuen EU-Datenschutz-Grundverordnung umfassend reformiert. Grundsätzlich sind alle Finanzunternehmen in der Pflicht, bis zu diesem Termin die neuen Anforderungen der DSGVO umzusetzen, andernfalls drohen hohe Bußgeldforderungen. Gleichzeitig steigt die Gefahr, von Konkurrenzunternehmen oder Verbraucherschutzverbänden abgemahnt zu werden, was zu neuerlichen Kosten führen kann. Weiterführende Informationen zu dem Thema können Sie auch den nachfolgenden Pressemitteilungen des Berufsverbandes der Rechtsjournalisten entnehmen:
20. April 2018
Schreibe einen Kommentar
- Am 25. Mai 2018 findet die DSGVO ihre Anwendung. Hauptbestandteil stellen darin die Betroffenenrechte dar.
- Ohne die Einwilligung vonseiten des Verbrauchers darf keinerlei Datenspeicherung oder -verarbeitung erfolgen.
- Finanzunternehmen müssen vor allem neue technische und organisatorische Maßnahmen ergreifen, um die Datensicherheit gewährleisten zu können.
EU-DSGVO: Das gilt für die Finanzbranche!
Mit der Einführung der EU-Datenschutz-Grundverordnung kommen auf Unternehmen einige Neuerungen zu. Auch in der Finanzbranche gilt es, vor allem technische Veränderungen vorzunehmen, um den Datenschutzvorgaben weiterhin gerecht werden zu können. Mehr dazu erfahren Sie im kostenfreien eBook.