Das Regelwerk hatte schon lange vor seinem Inkrafttreten für Wirbel in der Finanzbranche gesorgt. Die EU-Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Wirkung entfaltet, könnte zu einer wahren Abmahnwelle führen, warnten Rechtsexperten. Die Erstellung des neuen Verarbeitungsverzeichnisses, das die DSGVO vorschreibt, sei kaum zu bewältigen, klagten Makler und Vermittler.

Inzwischen sind die ersten Monate unter dem neuen Regime verstrichen. FONDS professionell ONLINE fragt bei Chefs sowie Juristen und Datenschutzbeauftragten von Maklerpools und Finanzdienstleistern nach, wie der Start der DSGVO gelaufen ist, und wie sie mit den veränderten Datenschutzvorschriften zurechtkommen. Heute berichtet Christine Mühlberger, Datenschutzbeauftragte des Wuppertaler Vermögensverwalters Michael Pintarelli Finanzdienstleistungen AG, von ihren Erfahrungen.


Die Datenschutzgrundverordnung, kurz: DSGVO, ist nun knapp fünf Monate in Kraft. Wie beurteilen Sie den Start der Verordnung? Lief er glatt oder eher holprig?

Christine Mühlberger: Bei uns im Unternehmen ist der Start der Verordnung am 25. Mai völlig geräuschlos verlaufen. Ich hatte allerdings auch über ein Jahr vor dem Inkrafttreten der DSGVO begonnen, mich in die komplexen neuen Regelungen einzuarbeiten. Es war schon aufwendig, die datenschutzrechtlichen Vorgaben an die Branche, an die Vermögensverwaltung also, anzupassen. Formulare und Informationsmaterial anzufertigen, in Informationsprozesse und Vertragsunterlagen zu implementieren, war nicht so einfach. Das war nicht mal schnell nebenbei zu erledigen. Viele Kollegen haben den Aufwand unterschätzt und stattdessen Datenschutzgeneratoren bemüht. Wer die Anpassungen aber von langer Hand vorbereitet hatte, konnte dem 25. Mai gelassen entgegensehen. So war es auch bei uns.

Wie läuft es inzwischen?

Mühlberger: Bisher läuft alles gut. Offenbar sind wir auch von der befürchteten Abmahnwelle verschont geblieben. Zwar habe ich von einigen Fällen gelesen, kenne aber keinen persönlich. Zugenommen hat offenbar jedoch das Auskunftsersuchen von Betroffenen, die bis zum Zeitpunkt der Anfrage mit dem jeweiligen Unternehmen in keinerlei Verbindung standen. Ich kann nur sagen: Hier ist Vorsicht geboten. Mit einer Negativauskunft ist es nicht getan, denn mit dem Eintreffen der Anfrage sind auf einmal entsprechende personenbezogene Daten vorhanden – und diese müssen dann auch dokumentiert werden. Das sind die lästigen Trittbrettfahrer, die uns die DSGVO beschert hat.

Das hört sich so an, als wäre die Sache insgesamt aber viel glatter über die Bühne gegangen als erwartet.

Mühlberger: Ja, es gab es wirklich viel weniger Schwierigkeiten, als ich erwartet hatte. Ich hatte eigentlich damit gerechnet, dass deutlich mehr Nachfragen kommen und Zweifel angemeldet werden würden. Allerdings waren kurz vor dem Stichtag viel zu viele Informationen im Umlauf – fundierte ebenso wie halbgare. Dadurch hat sich vielerorts Fatalismus breit gemacht. Anstatt sich zu informieren, fingen Betroffene dann an, das Thema zu ignorieren. Die Informationsflut führte damit zu einer Informationsillusion, die nötige Entscheidungen blockierte. Dabei ist leicht nachvollziehbares und informatives Datenschutzmanagementsystem sehr wichtig. Es zeichnet Unternehmen aus, ist sozusagen eine gute Visitenkarte.

Wo müsste Ihrer Ansicht nach noch einmal nachgebessert werden?

Mühlberger: Hinsichtlich der lösungsorientierten Auslegung der DSGVO muss dringend weiter nachgebessert werden. Der Ruf nach Guidelines wurde schließlich bereits vor Inkrafttreten der DSGVO laut. Eine umfassendere Unterstützung für die Unternehmen mit Hilfe von Auslegungsleitfäden der Aufsichtsbehörden hätte bereits im Vorfeld zu einer besseren Informationslage und Akzeptanz der DSGVO bei allen Beteiligten geführt. Viele stecken noch immer den Kopf in den Sand und ignorieren ihre datenschutzrechtlichen Verpflichtungen. 

Kommen in naher Zukunft noch Aufgaben im Zusammenhang mit der DSGVO auf Sie zu?

Mühlberger: Die DSGVO ist eine echte Never-Ending-Story. Prozesse im Zusammenhang mit dem betrieblichen Datenschutz müssen laufend überprüft werden, um sie an veränderte Bedingungen anzupassen. Durch die Brille eines Betroffenen betrachtet ist das vor dem Hintergrund der fortschreitenden Digitalisierung natürlich auch gut so. Klarheit über alle wichtigen Fragen werden wir wohl erst nach der Evaluierung der DSGVO haben, die für 2020 geplant ist. Bis dahin können aber viele Fragen einfach heruntergebrochen werden. Wichtig ist, handlungsfähig zu bleiben. Die neuen Regelungen wurden in erster Linie für echte Daten-Kraken geschaffen. Finanzdienstleister sollten bei der Umsetzung die Absicht des Gesetzgebers im Blick behalten und bei der Auslegung gesunden Menschenverstand walten lassen.

Vielen Dank für das Gespräch. (am)


Einen ausführlichen Artikel über den Start der DSGVO lesen Sie in der Heftausgabe 3/2018 von FONDS professionell ab Seite 260. Angemeldete FONDS professionell KLUB-Mitglieder können den Beitrag auch hier im E-Magazin abrufen.