Dieses Regelwerk hatte schon lange vor seinem Inkrafttreten für Wirbel in der Finanzbranche gesorgt. Die EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Wirkung entfaltet, könnte zu einer wahren Abmahnwelle führen, warnten Rechtsexperten. Die Erstellung des neuen Verarbeitungsverzeichnisses, das die DSGVO vorschreibt, sei kaum zu bewältigen, klagten Makler und Vermittler.

Inzwischen sind ersten 100 Tage unter dem Regime der neuen Datenschutzregeln schon vorbei.  FONDS professionell ONLINE fragt bei Chefs sowie Juristen von Maklerpools und Finanzdienstleistern nach, wie der Start der DSGVO gelaufen ist und wie sie mit den veränderten Datenschutzvorschriften zurechtkommen. Heute berichtet Christoph Eifrig, Syndikus und Datenschutzbeauftragter des Hamburger Pools Netfonds, von seinen Erfahrungen.


Herr Eifrig, die Datenschutzgrundverordnung ist nun seit mehr als 100 Tagen in Kraft. Wie beurteilen Sie den Start?

Christoph Eifrig: Der 25. Mai 2018 war ein durchaus denkwürdiger Tag. Schon deshalb, weil er das Ende einer langen Vorbereitungsphase bedeutete. Netfonds versteht sich nicht nur als Abwickler, sondern auch als Dienstleister. Zu diesem Zweck bieten wir unseren Kooperationspartnern auch eine große Anzahl an Musterformularen und erläuternden Unterlagen sowie eine Vertragssoftware an, die sämtliche relevanten Änderungen zum Stichtag berücksichtigen musste. Hinzu kam, dass wir unsere eigenen Vereinbarungen mit den Partnern auf eine neue Basis umstellen mussten. In Summe waren doch große Teile des Unternehmens eingebunden, umso größer war die Erleichterung, als wir rechtzeitig Vollzug melden konnten.

Wie läuft es heute, fast vier Monate nach dem Inkrafttreten?

Eifrig: Das Ganze wurde am Ende nicht so heiß gegessen wie gekocht. Die Abmahnwellen sind weniger intensiv ausgefallen, als man zunächst vermutet hatte, und wir haben hier sicher auch durch konsequente Weitergabe aktueller Informationen vorbeugen können.

Welche Punkte haben sich in Ihrer Praxis als kompliziert, problematisch oder sehr aufwendig herausgestellt?

Eifrig: Eine echte Herausforderung war, ist und bleibt das Verfahrensverzeichnis. Die Anpassung an den DSGVO-Standard war mit hohem Aufwand verbunden, der aber nicht mit Abschluss der initialen Ermittlung erledigt ist. Das Verzeichnis muss fortlaufend gepflegt werden. Auch verfügen wir in der Netfonds-Gruppe über mehrere Datenschutzsysteme. Dort, wo wir mit vertraglich gebundenen Vermittlern zusammenarbeiten, haben wir uns für ein Joint-Control-Verfahren, also eine gemeinsame Verantwortung, entschieden. Bei der Kooperation mit freien Maklern haben wir eine klassische Auftragsverarbeitung vereinbart. Die DSGVO hat auch nachhaltigen Einfluss auf die Konzeption und Umsetzung neuer IT-Projekte. Hier werde ich als Datenschutzbeauftragter doch deutlich intensiver einbezogen als noch vor ein paar Jahren.

Wo müsste Ihrer Ansicht nach nachgebessert werden?

Eifrig: Ich denke, dass viele Betroffene einfach so weiter machen wie bisher. Dies bedeutet, dass die meisten Menschen die wesentliche Stärkung ihrer Rechte noch gar nicht verinnerlicht haben. Demgegenüber gibt es einen kleinen Kreis von Eingeweihten, die die neuen datenschutzrechtlich verschärften Bestimmungen zur Durchsetzung eigener Interessen möglicherweise auch missbrauchen können. Ein Missbrauchstatbestand hätte der DSGVO folglich gut angestanden. Auch wäre es sinnvoll gewesen, kleine bis mittelständische Unternehmen von dem Pflichtenkatalog ganz oder zumindest teilweise zu entbinden und dafür echte "Datenkraken" in den Fokus zu nehmen. Ein Rätsel bleibt außerdem, warum der deutsche Gesetzgeber – einmal mehr – über die Vorgaben der Europäischen Union hinausschießt. So regelt Artikel 30, Absatz 5 DSGVO eine Entlastung hinsichtlich der Erstellung des Verfahrensverzeichnisses, wohingegen diese Erleichterung im neuen Paragrafen 70 Bundesdatenschutzgesetz gänzlich fehlt.

Haben Sie für die Makler, die Ihrem Pool angeschlossen sind, einen Datenschutzbeauftragten an die Seite gestellt?

Eifrig: Nein. Stattdessen haben wir dafür gesorgt, dass unsere Partner darüber informiert sind, wann sie wirklich einen solchen Datenschutzbeauftragten benötigen. Hier sind im Vorfeld leider viele Halbwahrheiten von anderen Marktteilnehmern kommuniziert worden.

Kommen in naher Zukunft noch Aufgaben im Zusammenhang mit der DSGVO auf Sie zu?

Einfrig: Davon gehe ich aus. Welche das genau sind, wissen wir aber erst, wenn sich die Aufsicht hierzu öffentlich geäußert hat.

Und zum Schluss: Wie beurteilen Sie die Verordnung? Welche Vorteile und Minuspunkte hat sie?

Eifrig: Ich möchte mich des allgemein bekannten Zitats "Das Gegenteil von gut ist gut gemeint" bedienen. Die Verordnung verfolgt ein hehres Ziel, belastet aber hauptsächlich diejenigen, die nicht Gefährder im datenschutzrechtlichen Sinne sind, sondern kleine und mittelständische Betriebe. Ein weiterer Indikator für die öffentliche Wahrnehmung der Verordnung ist letztendlich auch, wie humorvoll die Gesellschaft mit der Einführung der DSGVO umgegangen ist. Ernstzunehmende und sinnvolle Regulierung wird anders aufgenommen.

Vielen Dank für das Gespräch. (am)