PRESSEMITTEILUNG – 21. Mai 2014: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat die entscheidende Phase ihrer aufsichtsrechtlichen Prüfung zur Debeka abgeschlossen. Sie sieht geschäftsorganisatorische Mängel im Umgang mit personenbezogenen Daten potenzieller Neukunden und hat die Debeka aufgefordert, die Mängel zu beseitigen.
Das Unternehmen hat bereits vor Monaten erste Maßnahmen ergriffen und wird die erforderlichen Verbesserungen zeitnah umsetzen. Der Vertrieb, der in Teilen durch so genannte Tippgeber unterstützt wird, wurde von der BaFin nicht infrage gestellt. Aufsichtsrechtliche Sanktionen wurden nicht verhängt.
Die BaFin erklärte gegenüber der Debeka: „Insgesamt ist festzustellen, dass die konkrete Umsetzung Ihrer Vorgaben zur Geschäftsorganisation Lücken und Mängel aufweist, die zwar die festgestellten Problemfälle nicht beabsichtigt, ihnen aber auch nicht im gebotenen Maße vorgebeugt oder sie ggf. verhindert hat.“ So kritisiert sie insbesondere, dass „die Herkunft personenbezogener Daten nicht immer nachvollzogen und deren Rechtmäßigkeit nicht ausnahmslos dargetan werden kann“.
Verdachtsfälle von Verstößen im Umgang mit personenbezogenen Daten seien nicht gründlich und systematisch aufgearbeitet worden, die Mitarbeiter seien nicht ausreichend zum Thema „Datenschutz“ sensibilisiert und insbesondere deren Vertriebstätigkeit werde nicht ausreichend kontrolliert. Die Einschätzung der BaFin stützt sich neben umfangreichen eigenen Ermittlungen auch auf die Untersuchungsergebnisse der unabhängigen Wirtschaftsprüfungsgesellschaft KPMG.
Anlass der Prüfung waren Vorwürfe in einzelnen Medien, wonach Debeka-Mitarbeiter widerrechtlich Adressen von angehenden Beamtenanwärtern erworben haben sollen. Im Zuge dieser Berichterstattung wurden der gesamte Vertrieb der Debeka und auch die so genannten Tippgeber kritisiert und infrage gestellt.
Bei der Geschäftsorganisation geht es um die Risikostrategie, die Aufbau- und Ablauforganisation, das interne Steuerungs- und Kontrollsystem sowie die interne Revision. In diesen Bereichen stellt die BaFin Versäumnisse der Debeka fest. So fehlten beispielsweise beim internen Steuerungs- und Kontrollsystem standardisierte Prozesse und Berichtswege, die gewährleisten, dass die Rechtmäßigkeit der Datenherkunft und der Kontaktaufnahme mit potenziellen Kunden ausreichend kontrolliert werden kann.
Der Debeka-Vorstandsvorsitzende Uwe Laue dazu: „Wir haben bereits Ende Oktober 2013 selbstkritisch eingeräumt, dass früher die notwendige Sensibilität im Umgang mit dem Datenschutz fehlte und daher neue Verhaltensrichtlinien für unsere Mitarbeiter eingeführt. Auch wenn die BaFin das Vertriebssystem der Debeka nicht als solches beanstandet und keine Sanktionen ausspricht – ihre Aufforderung, eine Vielzahl von Maßnahmen und Strukturveränderungen an unserer Geschäftsorganisation vorzunehmen, ist klar und deutlich. Wir haben gesagt, wenn es erforderlich ist, werden wir konsequent handeln. Es ist erforderlich, und deshalb handeln wir konsequent. Jeder Einzelfall ist ein Einzelfall zu viel.“
Viele der von der BaFin geforderten Maßnahmen hat die Debeka bereits in den vergangenen Monaten ergriffen bzw. eingeleitet:
- Lückenlose Dokumentation: Seit dem 1. April 2014 wird die Herkunft der Daten potenzieller Mitglieder bereits vor der Antragsstellung vom Vermittler verpflichtend und lückenlos dokumentiert. Weiterhin werden neue Mitglieder nach Vertragsabschluss befragt, ob die Versicherungsvermittlung ordnungsgemäß abgelaufen ist.
- Datenschutz: Seit dem 1. Februar 2014 überwachen bundesweit 26 „Beauftragte für Qualitätsmanagement Vertrieb und Datenschutz“ insbesondere die Einhaltung datenschutzrechtlicher Bestimmungen vor Ort. Hinsichtlich ihrer Tätigkeit im Bereich des Datenschutzes sind sie direkt dem Konzerndatenschutzbeauftragten unterstellt.
- Verpflichtende Schulungen: Die Debeka führt regelmäßige und verpflichtende Schulungen für Vertriebsmitarbeiter durch, um sie für den Schutz personenbezogener Daten zu sensibilisieren. Auch diese Aufgabe wird von den 26 „Beauftragten für Qualitätsmanagement Vertrieb und Datenschutz“ umgesetzt.
- Vertriebsprozess auf dem Prüfstand: Ab sofort werden die mit der Mitgliedergewinnung verbundenen Prozesse vollständig analysiert und dort, wo Schwachstellen bestehen, optimiert.
- Ausbau der Compliance-Funktion: Die Debeka wird ihre Compliance-Funktion zeitnah organisatorisch von der Rechtsabteilung trennen. Außerdem wird sie personell verstärkt. Um die Arbeit zu unterstützen, wird ebenfalls eine permanente „Whistleblower-Hotline“ eingerichtet.
- Revision: Zum 1. Februar 2014 wurde innerhalb der Konzernrevision eine Fraud-Abteilung gegründet, die sich schwerpunktmäßig mit der Aufklärung von Verdachtsfällen hinsichtlich möglicher Mitarbeitermanipulationen beschäftigt.
- Tippgeber-Stopp: Wie bei der Jahrespressekonferenz am 6. Mai 2014 dargelegt, spielen Tippgeber nur eine untergeordnete Rolle für die Mitgliederwerbung. Bis zur zweifelsfreien Klärung der Vorwürfe verzichtet die Debeka daher darauf, neue Tippgeber einzusetzen. Gleichzeitig werden die Vertragsverhältnisse mit inaktiven Tippgebern aufgelöst.
Die Debeka ist zuversichtlich, mit den bereits umgesetzten bzw. bevorstehenden Maßnahmen die Anforderungen der BaFin umfassend und zeitnah zu erfüllen.
Sie unterstützt unterdessen weiterhin die Untersuchungen der Staatsanwaltschaft Koblenz und des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz. Zu den Ergebnissen dieser Ermittlungen wird sie sich nach deren Abschluss äußern.