Datenschutz: Diese Maßnahmen sollte jeder Makler jetzt überprüfen

Wolfgang Zehrt Berater Recht & Haftung

Die Cyberkriminalität nimmt immer mehr zu: Laut „Allianz Krisenbarometer“ halten deutsche Unternehmen „Cybercrime“ inzwischen für die größte Bedrohung, noch vor Pandemien. Die DSGVO hat zwar dazu beigetragen, dass Kundendaten sicherer sind, trotzdem: Die eigenen Maßnahmen sollten auch Makler immer wieder überprüfen.

Datenschutz Bild: Pixabay/Jan Alexander

Aufgrund immer häufigerer Cybercrime-Attacken wird Datenschutz noch wichtiger Bild: Pixabay/Jan Alexander

Die grundlegende Frage zu Beginn: Mit wem arbeite ich zusammen? Was steht in meinen Verträgen mit Dienstleistern und Versicherungsunternehmen zum Thema Datenschutz? Wo liegen die Daten meiner Kunden und welcher meiner Mitarbeiter und Dienstleister hat Zugriff darauf? „Anhand dieser Fragen können Vermittler für sich eine Art Landkarte anlegen, um nachzuvollziehen, wer in welchem Umfang Zugriff auf welche Kundendaten hat. Hier wird schnell deutlich, an welchen Stellen Handlungsbedarf besteht, um die Daten noch besser zu schützen“, sagt Datenschutz-Experte Benjamin Zoells im Gespräch mit der LV 1871.

Vernichten und Löschen gehört zum Datenschutz

„Die Daten können wir bestimmt irgendwann noch mal gebrauchen“ – eine verständliche Sicht auf aufwändig recherchierte Lead-Adressen oder Kontaktdaten ehemaliger Kunden. „Vorsicht Falle“ warnt Uli Kievernagel vom Datenschutzexperten-Forum DC gegenüber procontra: „Genau das soll das Datenschutzrecht verhindern: Es verpflichtet dazu, ein sogenanntes Löschkonzept zu entwickeln. In diesem Konzept müssen Maßnahmen beschrieben werden, wann welche Daten zur Löschung anstehen“. Und auch für die Vernichtung von Akten gibt es klare Regeln. Daten werden nach Schutzklassen eingeteilt, die festlegen, wie kleinteilig die Akten geschreddert werden müssen. Daraus folgt die Sicherheitsstufe, die der Schredder aufweisen muss. Praxistipp der LV 1871: Ein datenschutzkonformer Aktenvernichter, der mindestens die Sicherheitsstufe P-4 erfüllt.

Ein für alle sichtbares Passwort ist kein Passwort

Das Post-it mit dem Passwort am Rand des Bildschirmes – das gibt es noch. Genau wie das „unauffällig“ auf die Schreibtischunterlage geschrieben Codewort, dass mit „PW“ gekennzeichnet ist. Längst gibt es hervorragend organisierte internationale Banden, die Zuträgern nur für Zugangswörter Geld zahlen. Gelingen so Einblicke in Vermögensverhältnisse sind das für Cyber-Kriminelle Goldgruben. Passwörter müssen deswegen nicht nur sicher gestaltet sein: Jeder Mitarbeiter benötigt eigene Zugänge und die müssen für Dritte unzugänglich aufbewahrt werden. Wer sich Passwörter nicht merken kann, dem können Passwortmanager helfen, den Überblick zu behalten und die Passwörter zu verwalten. Die schlechteste Lösung, aber sehr häufig vorkommend: Ein einziges Passwort für alles.

Datenschutz-Experten sind kein Luxus

Viele Verbände bieten Unterstützung an: Für die Einwilligungserklärung der Kunden und deren Datenschutzinformation gibt es zum Beispiel Mustertexte des Bundesverbandes Finanzdienstleistung AfW und auch der GDV bietet Mustererklärungen an. Freiberufliche Experten können Datenschutz- und Datensicherheitsaudits durchführen, um Schwachstellen in den Systemen und Prozessen frühzeitig zu identifizieren und zu beheben. Auch bei der Schulung von Mitarbeitern und der Gestaltung der nötigen Datenschutzverträge unterstützen sie. Die Investition zahlt sich mitunter aus, denn um die DSGVO wurde politisch lange gerungen, schnelle Veränderungen sind eher nicht zu erwarten.

Dreimal Datenschutz: Recht, Technik und Organisation

Datenschutz besteht aus drei Komponenten:

  • Die rechtliche Frage umfasst beispielsweise Verträge und Einwilligungserklärungen, aber auch das DSGVO-konforme Löschen von Daten oder die Frage, ob ein Datenschutzbeauftragter benannt werden muss. Bereits ab 10 Mitarbeitern, die mit sensiblen Daten wie Gesundheits- oder Vermögensdaten arbeiten, führt laut dem Arbeitskreis Beratungsprozesse kein Weg an einen Datenschutzexperten vorbei. Uli Kievernagel vom Forum DC: „Zu den Mitarbeitern zählen auch freie Mitarbeiter und Aushilfen“. Der Datenschutzexperte weist darauf hin, dass diese Aufgabe aber auch von Dienstleistern erbracht werden darf – „meistens zu deutlich geringeren Kosten als bei internen Lösungen“.
  • Der technische Teil umfasst Zugriffs-, Zugangs- und Zutrittskontrollen sowie sichere Passwörter und Verschlüsselungen.
  • Bei der Organisation geht es um die Auswahl zertifizierter Dienstleister, der regelmäßigen Schulung aller Mitarbeiter und mit dem Aufsetzen und Einhalten eines Prozesses für den Worstcase – die Datenpanne oder das Datenleck.

Ist dieser Aufwand tatsächlich notwendig? Allein am gestrigen „Tag des Europäischen Datenschutzes“ wurden in einer willkürlich ausgewählten Region, dem eher ländlich geprägten Märkischen Kreis in Nordrhein-Westfalen, vier Menschen Opfer von Cyberattacken. Zum Teil sind hohe Geldbeträge von ihren Konten abgebucht worden. Alle Opfer bezeichnen sich selbst als „Internet-erfahren“ und trotzdem hatten die Täter alle persönlichen Daten der Betrogenen ausgespäht. Wie sie das geschafft haben, ermittelt die Polizei noch.