Datenschutz nach DSGVO – die Folgen für Versicherungsvermittler

In früheren Jahren wurde dem Datenschutz keine große Relevanz beigemessen. Denken wir nur einmal an die Telefonhäuschen der Telekom. In diesen lag ein Telefonbuch aus. Jedermann konnte hier Einsicht nehmen und auf personenbezogene Daten zugreifen.

Heute ist das Thema der personenbezogenen Daten viel sensibler zu handhaben. Grundlage des heutigen Datenschutzes ist das Grundrecht auf die informationelle Selbstbestimmung. Dies heißt vereinfacht, dass jeder Mensch das Recht hat zu entscheiden, wer was über ihn weiß. Dies wurde vom Bundesverfassungsgericht entsprechend bestätigt und ist abgeleitet aus dem Grundgesetz mit Artikel 1 „Würde des Menschen“ und Artikel 2 „Freie Entfaltung der Persönlichkeit“.

Was sind nun die besonders schützenswerten personenbezogenen Daten?

Einfach ausgedrückt sind das Daten, die sich durch Zusatzwissen auf eine Person beziehen lassen (zum Beispiel Name und diesem zugeordnet eine Adresse, Geburtsdatum oder eine E-Mail-Adresse). Und in diesem Augenblick beginnt der Datenschutz. Für alle Institutionen, Unternehmen und Behörden gilt der Datenschutz – derzeit noch nach Bundesdatenschutzgesetz (alt) und ab 25. Mai 2018 nach der Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (neu). Rein private und familiäre Anwendungen fallen nicht unter die Regelungen des Datenschutzes.

Die DSGVO soll den Datenschutz auf einheitlichem Niveau für die beteiligten 28 EU-Länder gewährleisten. Insgesamt 99 Artikel regeln diese Vorgaben. In der Verordnung sind jedoch sogenannte „Öffnungsklauseln“ beinhaltet, die es ermöglichen, bestimmte nationale Gegebenheiten zu berücksichtigen. Deutschland macht von diesen Öffnungsklauseln mit dem BDSG (neu) in der Umsetzung Gebrauch.

Grundlegend gibt es in der neuen DSGVO zwei Personengruppen, auf die eingegangen wird. Zunächst der Betroffene. Dies ist der Kunde, von dem Daten erhoben werden, und dann der Verantwortliche, dies ist derjenige, der die erhobenen Daten verarbeitet und speichert.

Nachfolgend nun einige Fragen (keine vollständige Liste), die Sie sich im Vorfeld bis zum 25. Mai 2018 stellen sollten.

1. Brauchen Sie einen Datenschutzbeauftragten (intern beziehungsweise extern)?

Ab zehn Mitarbeiter, die personenbezogene Daten verarbeiten, sind Sie bereits heute und auch in der Zukunft verpflichtet, einen Datenschutzbeauftragten zu bestellen. Eine Bestellung ist für Sie als Versicherungsvermittler ebenso verpflichtend, wenn Sie in umfangreichem Maße Gesundheitsdaten verarbeiten. Noch nicht klar definiert ist die Frage: Was ist „in umfangreichem Maße“? In der Versicherungsvermittlungsbranche kann man davon ausgehen, dass ein Vermittler, der hauptsächlich das Lebens- und Krankenversicherungsgeschäft betreibt, hierunter fällt.

Der Datenschutzbeauftragte kann wie bisher intern (aus dem Kreise der Mitarbeiter – mit Nachweis der entsprechenden Qualifikation) oder extern bestellt werden. Nicht zulässig ist die Funktion des Datenschutzbeauftragten in Personalunion mit dem Inhaber beziehungsweise Geschäftsführer.

2. Haben Sie ein Verzeichnis der Verarbeitungstätigkeiten?

Dies ist das bisherige Verfahrensverzeichnis (Dokumentation Ihrer Verfahren mit dem Umgang personenbezogener Daten). Diese Dokumentation ist nicht mehr generell verpflichtend. Ein Recht zur Einsichtnahme durch den Betroffenen (Kunde) besteht, wie unter BDSG, nicht mehr. Jedoch ist das Verzeichnis auf Verlangen den Aufsichtsbehörden vorzulegen.

3. Haben Sie von all Ihren Kunden eine Datenschutzerklärung?

Ohne Datenschutzerklärung dürfen Sie keine Kundendaten erheben, verarbeiten und speichern. Letztendlich bedeutet dies für die Beziehung Kunde – Versicherungsvermittler ein striktes Einhalten dieser Vorgabe.

Der Kunde ist unter anderem in der zu unterzeichnenden Datenschutzerklärung darauf hinzuweisen, dass die Datenschutzerklärung jederzeit widerrufen werden kann (die Verarbeitung von personenbezogenen Daten wird untersagt). Der Betroffene (Kunde) kann dies jedoch nicht rückwirkend machen, das heißt, bis zum Widerruf erhobene Daten dürfen auch entsprechend verarbeitet werden.

4. Arbeiten Sie mit fremden Dienstleistern bei der Datenverarbeitung zusammen?

Die bisherige Auftragsdatenverarbeitung wird durch die DSGVO-Auftragsverarbeitung ersetzt. Dieser Vertrag ist wichtig, wenn Sie fremde Dienstleister beauftragen, personenbezogene Daten Ihrer Kunden zu verarbeiten oder zu speichern. Zunächst gilt es zu ermitteln, mit wem Sie bereits Vertragsverhältnisse zur Verarbeitung personenbezogener Daten – extern – haben. Hier gilt es zu überprüfen, ob diese externen Dienstleister die Vorgaben der DSGVO einhalten. Lassen Sie sich dieses bestätigen und schließen Sie gegebenenfalls einen neuen Vertrag.

5. Haben Sie ein Verfahren zur Übertragbarkeit von Kundendaten?

Die DSGVO fordert ein Recht auf Datenübertragbarkeit, um der sogenannten „Anbieterabhängigkeit“ entgegenzuwirken. Gibt es ein Verfahren in Ihrem Büro hierzu? Die Daten müssen dann in einem allgemeingültigen Dateiformat (nicht in Form von ausgedruckten Daten) zur Verfügung gestellt werden.

6. Haben Sie ein Verfahren, um das „Recht auf Vergessenwerden“ zu realisieren?

Dies betrifft die Löschpflicht der Kundendaten, wenn sie nicht mehr benötigt werden. Achtung: Zum Beispiel steuerliche Daten müssen trotzdem zehn Jahre aufbewahrt werden, aber auch Daten, die Sie zur Beweissicherung brauchen, oder Daten, die im öffentlichen Interesse liegen, zum Beispiel bei Strafverfolgung. Hier empfiehlt es sich, nach einer technischen Lösung zu suchen, welche diesen Prozess automatisiert unterstützt. Der Betroffene kann somit die Löschung seiner Daten verlangen, Sie müssen jedoch die Berechtigung durch Identitätsfeststellung überprüfen.

7. Haben Sie ein Verfahren zu Meldepflichten gegenüber Aufsichtsbehörden?

Falls bei Ihnen Daten verloren gehen (zum Beispiel durch Diebstahl) oder sollte Ihre EDV gehackt werden, dann sind Sie verpflichtet, dies den zuständigen Aufsichtsbehörden und den Betroffenen innerhalb von 72 Stunden zu melden.

8. Befolgen Sie Datenschutzmaßnahmen im Unternehmen?

Haben Sie eine klare und verpflichtende Anweisung in Ihrem Vermittlerbetrieb (für alle Mitarbeiter), wie mit dem Datenschutz umgegangen werden sollte? Schulen Sie Ihre Mitarbeiter regelmäßig im Umgang mit personenbezogenen Daten? Empfindlich hoch ist auch der neue Strafkatalog nach der DSGVO. Der Bußgeldrahmen geht bei Verstößen bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes (betrifft weltweit tätige Großkonzerne).

9. Beschäftigen Sie als Vermittler Mitarbeiter?

Wenn ja, dann hat das Bundesdatenschutzgesetz (BDSG) in § 5 eine Verpflichtung auf das Datengeheimnis vorgeschrieben. Rein rechtlich fällt diese Verpflichtung mit Einführung der DSGVO zum 25. Mai 2018 weg. Was nun tun?

Die Datenschutz-Grundverordnung kennt keine formale Verpflichtung in dieser Form mehr. Bisher war, wie oben ausgeführt, Grundlage § 5 BDSG. Aber in der DSGVO ist trotzdem eine Nachweispflicht beinhaltet, dass die Verarbeitung von personenbezogenen Daten (und ein Versicherungsvermittler verarbeitet generell und grundlegend personenbezogene Daten – ohne diese Verarbeitung ist kein Versicherungsvertrag möglich) nach DSGVO erfolgt.

Sie haben als Unternehmer und Arbeitgeber eine Wahrnehmung der Verantwortung für den Datenschutz. Denn Artikel 24 DSGVO verlangt von Ihnen als Verantwortlichem, den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Verordnung erfolgt.

Diese Nachweispflicht bezieht sich auch darauf, dass unterstellte Personen sich an die Vorgaben der DSGVO halten. Geeignete technische und organisatorische Maßnahmen müssen sicherstellen, dass die Nachweispflicht erfüllt wird. Eine solche organisatorische Maßnahme kann darin bestehen, die unterstellten Personen schriftlich zu belehren beziehungsweise zu verpflichten. Sie können damit dokumentieren, dass auf den Datenschutz hingewiesen wurde.

Das Bayerische Landesamt für Datenschutz empfiehlt sogar, zukünftig die Verpflichtung auf das Datengeheimnis in regelmäßigen Abständen zu wiederholen. Der Sinn liegt auf der Hand: Im Druck der täglichen Arbeit bleiben die Vorgaben des Datenschutzes nicht dauerhaft im Bewusstsein. Dann ist eine Erinnerung daran sinnvoll.

Natürlich kann man nach der Devise vorgehen: Wo kein Kläger, da kein Richter. Dies ist aber aufgrund der beschriebenen drastischen Straferhöhung nach DSGVO nicht empfehlenswert. Der Nachweis kann wiederum rechtssicher mit einer Verpflichtung auf das Datengeheimnis erbracht werden.

Fazit und Empfehlung

Behalten Sie die schriftliche Verpflichtung bei – so sind Sie beim Thema Nachweispflicht auf der sicheren Seite. Zum Thema Datenschutz bietet die Deutsche Makler Akademie eine 50-minütige Online-Schulung. Am 14. Juni um 10 Uhr. Näheres unter Deutsche Makler Akademie (DMA).

Deutsche Makler Akademie (DMA), Mail

Bilder: (1) © peshkova / fotolia.com (2) © Deutsche Makler Akademie (DMA) (3) © experten-netzwerk GmbH