Datenschutz

Einführung Datenschutz

Vorbemerkung

Die nachstehenden Hinweise dienen als erste Orientierung für Sie. Unsere Ausführungen stehen unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses sowie weiterer Auslegungen der Datenschutzbehörden. Eine Haftung für den Inhalt, die Vollständigkeit oder auch die Wirkung der Ausführungen wird nicht übernommen.

Geltung der EU-Datenschutzgrundverordnung

Sie haben als Versicherungsmakler mit einer Vielzahl von personenbezogenen Daten zu tun. Das sind in erster Linie die Daten über Ihre Kunden oder Interessenten für ein Versicherungsprodukt, aber auch Daten Ihrer Mitarbeiter, Daten von Bewerbern, Interessenten, Lieferanten und sonstigen Personen, wozu auch Ansprechpartner in den Versicherungsunternehmen gehören.

Für die Verarbeitung von personenbezogenen Daten gilt ab dem 25.05.2018 die EU-Datenschutzgrundverordnung (DSGVO). Die DSGVO gilt direkt und unmittelbar in allen Ländern der Europäischen Union. Das derzeit noch gültige Bundesdatenschutzgesetz (BDSG) tritt dann außer Kraft.

Ergänzend zur DSGVO wird mit dem 25.05.2018 ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten. Dabei werden die wesentlichen Grundsätze zum Umgang mit personenbezogenen Daten aber durch die DSGVO bestimmt.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Das sind z.B. Angaben über den Kunden selbst, wie Name, Anschrift, Kontaktdaten, Geburtsdatum, Einkommen, Gesundheitszustand, Ziele und Wünsche des Kunden, Hobbies, Angaben über Grund-/Immobilienbesitz, Kraftfahrzeuge, bestehende Versicherungen oder Haustierhaltung und vieles mehr.

Dabei kann es sich aber auch um bloße Nummern oder Kennziffern handeln, mit denen eine Person ggf. über die Einholung von Zusatzinformationen identifiziert werden kann, wie z.B. Schadennummer, Kunden-Nr. oder auch IP-Adressen im Rahmen der Nutzung des Internets.

Die DSGVO regelt außerdem besonders sensible Daten gesondert, deren Verarbeitung nur in besonderen aufgeführten Fällen zulässig ist. Zu den besonderen Kategorien personenbezogener Daten gehören solche über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Daten zum Sexualleben oder der sexuellen Orientierung, genetische und biometrische Daten sowie Gesundheitsdaten und Daten zur Gewerkschaftszugehörigkeit.

Die allermeisten Daten, die Sie als Versicherungsmakler bearbeiten, werden daher personenbezogen sein.

Verarbeitung von personenbezogenen Daten

Die DSGVO schützt die Rechte natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Die Verarbeitung ist ein zentraler Begriff im Umgang mit personenbezogenen Daten. Gemeint sind damit sämtliche Stadien der Verarbeitung, wie

  • das Erheben
  • das Erfassen
  • die Organisation
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • den Abgleich oder die Verknüpfung,
  • die Einschränkung oder
  • das Löschen oder die Vernichtung.

Gilt die DSGVO auch für Akten?

Die DSGVO betrifft nicht nur die automatisierte Datenverarbeitung mittels EDV, sondern gilt auch für Akten bzw. nichtautomatisierte Dateisysteme.

Wann ist die Datenverarbeitung rechtmäßig?

Die Datenschutzgrundverordnung erlaubt, wie auch zuvor das BDSG, die Verarbeitung von personenbezogenen Daten für Ihren Bereich, aber vor allem dann, wenn:

  • die Verarbeitung für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist.
  • die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten gegeben hat.

Wird der Versicherungsmakler im Rahmen einer Beauftragung durch den Kunden für diesen tätig, wird die Verarbeitung von personenbezogenen Daten regelmäßig zur „Erfüllung eines Vertrages“ erforderlich sein und ist damit durch die DSGVO gedeckt.

Die DSGVO verlangt außerdem, dass personenbezogene Daten nur für die mit der Erhebung verbundenen Zwecke, z.B. Vertragserfüllung, genutzt werden dürfen („Prinzip der Zweckbindung“) und die Erhebung von personenbezogenen Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt ist („Prinzip der Datenminimierung“).

Bei der Verarbeitung von besonderen Kategorien personenbezogener Daten, die bei Ihnen insbesondere Gesundheitsdaten oder Daten zur Gewerkschaftszugehörigkeit betreffen, bedarf es einer gesonderten Einwilligung, mit den dazu gehörigen Datenschutzinformationen.

Die Einwilligungserklärung ist nicht mit der Kommunikationserklärung zu verwechseln, die für werbliche Ansprache zusätzlich erforderlich ist. Eine Kommunikationserklärung finden Sie auf unseren Download-Seiten (diese Erklärung wird im Moment von unserer „Expertengruppe Recht“ überarbeitet).

Welche Pflichten haben Sie bei der Umsetzung der DSGVO?

Verantwortlicher für die Umsetzung der DSGVO ist die Geschäftsleitung.

In Bezug auf die Umsetzung der DSGVO sind erhebliche organisatorische und auch daraus resultierende praktische Umsetzungsmaßnahmen erforderlich. Zum einen müssen bestehende Richtlinien, Formulare, Arbeitsanweisungen, etc., die auf das BDSG (alte Fassung) verweisen auf die Vorschriften der DSGVO und BDSG (neue Fassung) umgestellt werden.

Zum anderen kommt hinzu, dass die neue Datenschutzgrundverordnung einen erheblich größeren Dokumentationsaufwand erforderlich macht. So hat der Verantwortliche sämtliche relevanten Prozesse zu dokumentieren und nachzuweisen (Rechenschaftspflicht), die im Bereich Datenschutz nach dem Gesetz pflichtgemäß auszuführen sind (z.B. Verzeichnis von Verarbeitungstätigkeiten, Auskunfts- und Datenportabilitätsanspruch).

Achtung hohe Bußgelder möglich: Werden wesentliche Maßnahmen nicht umgesetzt oder sind nicht nachweisbar oder kommt es gar zu Datenschutzverstößen, können zukünftig erheblich höhere Bußgelder festgesetzt werden. Diese reichen bis zu 20 Millionen Euro oder bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes.

Konkrete Maßnahmen im Einzelnen

Mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten (z.B. IT-Dienstleister, Clouddienstleister, Vergleichsanbieter, Callcenter etc.) sind Verträge zur Auftragsverarbeitung zu schließen bzw. auf die neue Rechtslage umzustellen (entweder ist eine Zusatzvereinbarung oder ein Neuabschluss erforderlich).

Es ist ein Verzeichnis von Verarbeitungstätigkeiten nach den neuen Vorgaben zu erstellen, das auf Verlangen dem Landesdatenschutzbeauftragten vorzulegen ist (im BDSG noch als Verfahrensverzeichnis oder Verarbeitungsübersicht bezeichnet). Hierbei geht es um Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Der Arbeitskreis arbeitet derzeitig noch an einer Vorlage für dieses Verzeichnis und wird sie demnächst zur Verfügung stellen.

Ferner ist ein Prozess sicherzustellen, der den Grundsatz der datenschutzfreundlichen Technikgestaltung und datenschutzfreundlichen Voreinstellungen im Bereich des Einsatzes von Softwarelösungen berücksichtigt (Privacy by Design und Privacy by Default).

Beispiele:

  • Keine Vorbelegung eines Kästchens für Werbung
  • Double-Opt-In-Verfahren auf Formularen von Webseiten
  • Kundenfreundliche Darstellung von Widerruf- und Widerspruchsrecht.

Verantwortlichkeiten und Prozesse zur Wahrung von Betroffenenrechten sind im Unternehmen zu implementieren, damit Ansprüche auf Auskunft, Berichtigung und Einschränkung der Verarbeitung in der gebotenen Form zeitnah erfüllt werden können.

Wichtiger werden die Rechte auf Löschung, Berichtigung und Vergessenwerden. Personenbezogene Daten müssen vor allem dann gelöscht werden, wenn diese für den Zweck der Datenverarbeitung nicht mehr benötigt werden und auch keine Aufbewahrungspflichten mehr bestehen. Hier wird man ein entsprechendes Löschkonzept für Datenkategorien erarbeiten müssen. In diesem Zusammenhang sind weitere Rechte zu beachten, wie z.B. die Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten.

Das Recht auf Datenübertragbarkeit, aufgrund dessen personenbezogene Daten auf Antrag in einem gängigen maschinenlesbaren Format bereitgestellt werden müssen, ist zu erfüllen.

Die Informationspflichten im Rahmen der Erhebung von personenbezogenen Daten werden umfangreicher. Wenn der Kunde Ihnen seine Daten zur Verfügung stellt, ist er sofort zu informieren. Auch wenn der Makler Daten eines Betroffenen mittelbar erhält, wie etwa die Daten eines Geschädigten durch eine Schadenanzeige des Kunden, muss er den Geschädigten ebenso umfassend informieren . Somit hat dieses Auswirkung beispielsweise auf die Gestaltung von Erfassungsformularen. Mehr…

Ihre Mitarbeiter sind darüber zu informieren, welche Daten in Zusammenhang mit Ihrem Beschäftigungsverhältnis erhoben und verarbeitet werden. Hierfür haben wir für Sie eine Vorlage erstellt.

Die eigene Webseite ist entsprechend zu gestalten. Neben den Impressumspflichten besteht auch die Pflicht zur Vorhaltung einer Datenschutzerklärung.

Die Einführung eines Prozesses für die fristgerechte Benachrichtigung bei Datenschutzverletzungen ist innerhalb von 72 Stunden zwingend vorzunehmen.

Falls erforderlich, ist bei sensiblen Datenverarbeitungen nach bestimmten Kriterien eine Datenschutzfolgenabschätzung durchzuführen, bei der die Risiken für die Rechte und Freiheiten betroffener Personen bei der Verarbeitung abgeschätzt werden müssen. Nähere Hinweise zur Durchführung dieser Datenschutzfolgenschutzabschätzung können Sie der „Kurzinformation Nr. 5“ der Datenschutzkonferenz und der entsprechenden GDD-Praxishilfe entnehmen.

Die DSGVO fordert den Aufbau eines Datenschutzmanagementsystems (ähnlich bereits bekannter Prozesse aus der IT-Sicherheit z.B. nach DIN 27001). Dazu gehört, geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen einzurichten, zu dokumentieren und regelmäßig zu überprüfen und zu bewerten.

Was wird noch verlangt?

Nach der DSGVO sowie dem BDSG (neu) besteht außerdem unter bestimmten Voraussetzungen eine Verpflichtung, einen Datenschutzbeauftragten in Ihrem Unternehmen zu bestellen. Weiteres hierzu entnehmen Sie bitte den Informationen zum Datenschutzbeauftragten.

Darüber hinaus müssen Sie Ihre Mitarbeiter im Datenschutz schulen.

Was bieten Ihnen diese Seiten?

Wir möchten Ihnen und Ihren Mitarbeitern mit unserem Informationen bei der Umsetzung der nach dem neuen Datenschutzrecht erforderlichen Maßnahmen erste Hilfestellungen geben.

Daher stellen wir Ihnen hier Informationen und in Teilen praktische Anleitungen und Unterlagen zur Verfügung, die die wesentlichen Umsetzungen nach dem neuen Datenschutzrecht betreffen.

Die hier eingestellten Informationen und Unterlagen sind unter maßgeblicher Beteiligung von Experten aus dem Arbeitskreis sowie externen Experten erstellt worden und können Ihnen daher eine wertvolle Hilfe bieten, um bei entsprechender Nutzung Risiken beim Umgang mit personenbezogenen Daten zu vermeiden.

 

Wichtige Hinweise zum Schluss

Unsere Ausführungen und Vorlagen sind wie ausgeführt eine Hilfestellung, ersetzen aber nicht Ihre Entscheidung über die im Einzelfall notwendige individuelle Maßnahme.

Wir sind bestrebt, die zur Verfügung gestellten Informationen und Unterlagen, falls erforderlich, von Zeit zu Zeit zu aktualisieren oder auch um weitere Unterlagen zu ergänzen. Eine Garantie können wir dafür allerdings nicht geben

Auch können wir trotz sorgfältiger Bearbeitung keine Haftung dahingehend übernehmen, dass die hier eingestellten Unterlagen bzw. unsere Umsetzungsvorschläge in sämtlichen Belangen vollständig und rechtskonform sind bzw. der Auffassung der für die Aufsicht zuständigen Landesdatenschutzbehörden entsprechen.

Wir weisen vorsorglich auch darauf hin, dass Sie zumindest bei entsprechender Größenordnung gesetzlich verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, der Ihr Maklerunternehmen entsprechend unterstützt. Ebenso kann es sinnvoll sein, generell oder im Einzelfall einen im Datenschutz qualifizierten Berater in datenschutzrechtlichen Belangen für Ihr Unternehmen zu beauftragen.

Falls Sie einen konkreten Klärungsbedarf haben, wenden Sie sich bitte an Ihren Verband / Verbund.

Wir bedanken uns bei der Firma Gindat GmbH , die uns bei der Erstellung der Unterlagen unterstütze. Das Unternehmen ist für einige der im Arbeitskreis beteiligten Verbände / Verbünde tätig.