Dieses Regelwerk hatte schon lange vor seinem Inkrafttreten für Wirbel in der Finanzbranche gesorgt. Die EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Wirkung entfaltet, könnte zu einer wahren Abmahnwelle führen, warnten Rechtsexperten. Die Erstellung des neuen Verarbeitungsverzeichnisses, das die DSGVO vorschreibt, sei kaum zu bewältigen, klagten Makler und Vermittler. Völlig unklar sei zudem, ob und unter welchen Voraussetzungen Gewerbetreibende einen eigenen Datenschutzbeauftragten benennen müssen.

Am 2. September waren die ersten 100 Tage unter dem Regime der neuen Datenschutzverordnung bereits vorbei. FONDS professionell ONLINE hat dies zum Anlass genommen, um bei den Chefs führender Maklerpools nachzufragen, wie der Start der DSGVO gelaufen ist und wie sie mit den veränderten Datenschutzvorschriften zurechtkommen. Als erster berichtet Oliver Pradetto, Geschäftsführer des Lübecker Versicherungsmaklerpools Blau Direkt, von seinen Erfahrungen.


Herr Pradetto, die DSGVO ist nun seit 100 Tagen in Kraft. Wie beurteilen Sie den Start der Verordnung?

Oliver Pradetto: Ich habe den Eindruck, dass aus der Sache mehr gemacht wird, als eigentlich dran ist. Die DSGVO ist in weiten Teilen eine Übernahme des Bundesdatenschutzgesetzes. An sich haben sich nur wenige Veränderungen zum vorherigen Stand ergeben. Die große Unruhe im Vorfeld hatte für mich viel gemein mit anderen gesellschaftlichen Diskussionen. Es scheint ein Trend zu sein, immer hysterischer zu werden und dabei der gefühlten Wahrheit Vorrang vor den Fakten zu geben. Wir haben die Einführung der DSGVO genutzt, um alle Prozesse noch einmal zu checken und ein paar Dinge gründlicher zu regeln als bisher. Aber das lief alles entspannt.

Gab es bestimmte Punkte, die sich in Ihrer Praxis als kompliziert oder problematisch herausgestellt haben?

Pradetto: Das Schwierigste ist es tatsächlich, die unterschiedlichen Reaktionen abzufangen. Das wird nicht leichter dadurch, dass sich jetzt jeder Anwalt genötigt fühlt zu beurteilen, welche Maßnahmen sinnvoll sind und welche nicht. Da liest man dann auch immer wieder Kommentare, die  wohl begründete Maßnahmen ohne nähere Kenntnis der Hintergründe in Abrede stellen. Die Diskussionen, die man im Anschluss führt, sind ebenso unnötig wie nervtötend.

Wo gibt es weniger Schwierigkeiten, als Sie vielleicht erwartet hatten?

Pradetto: Ich hatte mit mehr Maklern gerechnet, die die DSGVO nutzen, um alte Rechnungen zu begleichen und Wettbewerber abzumahnen. Glücklicherweise scheinen die Kollegen aber begriffen zu haben, dass Datenschutz als Streitobjekt höchst ungeeignet ist.

Ist die große Abmahn-Welle, vor der Juristen gewarnt und die viele Vermittler befürchtet hatten, also ausgeblieben?

Pradetto: Die Angst einer Abmahn-Welle war immer übertrieben. Für Anwälte ist es völlig uninteressant, ein Gesetz abzumahnen, das noch nicht ausgeurteilt ist. Sie müssten dann regelmäßig vor Gericht ins Kostenrisiko gehen und das ist nicht lukrativ. Von den Abmahn-Anwälten werden wir erst hören, wenn es Urteile gibt. Das werden dann aber eher seichte Wogen sein als große Wellen.

Gab es bei Ihnen bereits Prüfungen der Aufsicht hinsichtlich der DSGVO?

Pradetto: Nein. Die Aufsicht ist aktuell völlig überfordert. Paragraf 33 der DSGVO sieht vor, dass Datenschutzverstöße gemeldet werden müssen. Dort steht zwar auch, dass dies nur notwendig ist, wenn die Rechte und das Wohl der Betroffenen in Gefahr sind – und das dürfte in den allermeisten Fällen nicht so sein. Aber viele Firmen wollen auf Nummer sicher gehen. Da melden Versicherer sogar, wenn ein Dokument mal beim falschen Vermittler gelandet ist. Obwohl dieser ja selbst auch der DSGVO unterliegt und fälschlich erhaltene Daten daher kaum nutzen dürfte, um dem Kunden zu schaden. Das führt dann dazu, dass die Aufsicht derart viele Vorgänge bekommt, dass sie praktisch über Jahre hinweg beschäftigt ist. Wir hatten allerdings vor vier Jahren schon einmal Besuch von der Aufsicht wegen eines Datenschutzverstoßes auf Seiten eines unserer Makler. Letztlich ist das keine große Sache. Die Aufsicht hat sich damals schon sehr kooperativ verhalten. Den Leuten dort geht es um die Sache, nicht darum, auf Teufel komm raus Bußgelder zu verteilen. Wer sich aufgeschlossen zeigt, wird selbst bei einem tatsächlichen Verstoß nur selten mit einem Bußgeld rechnen müssen.

Haben Sie den Maklern, die Ihrem Pool angeschlossen sind, einen Datenschutzbeauftragten an die Seite gestellt?

Pradetto: Jeder Makler muss selbst einen Datenschutzbeauftragten bestellen. Dies kann ihm der Pool kann nicht abnehmen. Wir haben aber einen Rahmenvertrag ausgehandelt, bei der ein externer Datenschutzbeauftragter für etwa 65 Euro monatlich und ohne Einmalzahlung zur Verfügung steht. Das war unter den aktuellen Umständen gar nicht so leicht, weil solche Dienstleister aktuell so überbucht sind, dass sie normalerweise Preise ab 300 Euro monatlich plus 5.000 bis 10.000 Euro für die Erstanalyse aufrufen.

Welche Aufgaben kommen in naher Zukunft im Zusammenhang mit der DSGVO auf Sie zu?

Pradetto: Datenschutz muss auf der Höhe der Zeit bleiben. Das bedingt eine ständige Erneuerung vor allem der technischen Schutzmaßnahmen. Viel wichtiger ist aber etwas, das die meisten Firmen übersehen: Zum Datenschutz gehören auch die Datenhoheit und die Datenverfügbarkeit des Kunden. Es wird immer üblicher, dass der Kunde beispielsweise Änderungen selbst per Smartphone vornehmen kann. Daher wird irgendwann rechtlich auch gefordert werden, die technischen Möglichkeiten dafür bereitzustellen. Insofern gehört die DSGVO künftig genauso zu unseren Wegbegleitern wie die Versicherungsvermittlungsverordnung oder das Versicherungsvertragsgesetz.

Wie beurteilen Sie die neue Verordnung insgesamt?

Pradetto: Insgesamt sehe ich die Verordnung sehr positiv. Sie hat, ohne allzu viel zu verändern, Aufmerksamkeit auf ein wichtiges Thema gelenkt. Daten wurden in der Vergangenheit oft sehr nachlässig geschützt. Das hat die Vermittler benachteiligt, die das Thema immer schon korrekt gehandhabt haben. Deutschland hatte das strengste Datenschutzgesetz in Europa. Das haben vor allem amerikanische Internetfirmen ausgenutzt. Mit einem Firmensitz in Irland und dem dort eher laschen Datenschutz konnten sie machen, was sie wollten. Das ist jetzt anders. Für keine Branche ist das wichtiger als für unsere. Denn die Versicherungsbranche steht schon längst auf dem Speisezettel von Amazon & Co. Mir ist klar, dass viele Vermittler sich schwer tun, hier den Zusammenhang zu sehen, aber ich sage es deutlich: Ohne die Vereinheitlichung des Datenschutzes in Europa wäre unsere Branche geliefert gewesen. Jetzt haben wir zumindest eine Chance. Keiner sollte dankbarer für die DSGVO sein als wir.

Vielen Dank für das Gespräch. (am)