Header Image
Unternehmen, Energie & Umwelt
DOKUMENTNUMMER: NLS000512

Wie setze ich als Vermittler die neue EU-DSGVO sicher um? | Nachlese vom 2. Juli 2018

UEU - Heilbronner Vermittlertag - AKTUELLES | TERMINE

IHK und BVK Bezirksverband Heilbronn luden am 2. Juli zu einem 4-stündigen Workshop ein, um Antworten auf diese zentrale Frage und alle wichtigen Themen im Zusammenhang mit der seit 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) für Vermittler aus den Bereichen Versicherung, Finanzanlagen, Finanzierung und Immobilien zu geben. Mehr als 80 Teilnehmer folgten der Einladung und den Ausführungen des Referenten, Arndt Halbach, TÜV-zertifizierter Datenschutzauditor und Geschäftsführer der GINDAT GmbH aus Remscheid.

Nach einer kurzen Einführung zum Datenschutzthema erläuterte Halbach die zentralen Begriffe zur Datenschutzgrundverordnung (DSGVO), die zum Verständnis der Regelungen und zum Umgang mit diesem Thema erforderlich sind. Zur Umsetzung der neuen Vorgaben rät Datenschutzexperte Halbach Folgendes:
Zunächst sollte der „Ist-Zustand“ im Unternehmen festgestellt werden. Hierzu werden die bestehenden Verarbeitungstätigkeiten erfasst, bei denen eine Verarbeitung personenbezogener Daten erfolgt. Auf dieser Grundlage wird eine Dokumentation der notwendigen Informationen (Verarbeitete Daten, Rechtsgrundlagen, Zweckbestimmung, Einschaltung von Dienstleistern,  Speicherfristen, Prüfung Datenschutzfolgeabschätzung, getroffene Maßnahmen zur IT-Sicherheit) vorgenommen und der Handlungsbedarf („Soll-Zustand“) ermittelt. Erforderliche Rechtsgrundlagen müssen vorhanden sein. Erforderliche Einwilligungen sind ggf. zu erneuern oder neu einzuholen. Betroffenenrechte auf Information, Auskunft, Berichtigung, Löschung Widerspruch, Einschränkung der Verarbeitung und Datenübertragbarkeit müssen gewährleistet werden. Die Einschaltung von Dienstleistern ist vertraglich abzusichern, Verträge zur Auftragsdatenverarbeitung sind ggf. zu aktualisieren oder neu abzuschließen. Hinsichtlich der zu beachtenden Speicher- oder Löschfristen ist daran zu denken, dass entsprechende Löschkonzepte etabliert sind/werden. Zu klären ist auch, ob eine Datenschutzfolgeabschätzung für bestimmte Verarbeitungen erforderlich ist. Dies gilt auch für Maßnahmen zur Daten - (IT) Sicherheit nebst Verfahren zur Überprüfung der Wirksamkeit. Last but not least sind auch die Meldepflichten gegenüber der Datenschutzbehörde im Unternehmen zu etablieren.

Ein besonderes Augenmerk legte Datenschutzexperte Halbach auf das Thema „IT-Sicherheit und  Compliance“. Die DSGVO verpflichtet Unternehmer, personenbezogene Daten mit hoher Schutzbedürftigkeit gegen Missbrauch zu schützen. Gesundheitsdaten oder auch Daten über Einkommens- und Vermögensverhältnisse unterliegen einer hohen Schutzstufe. Halbach gab zu Bedenken, dass rund die Hälfte aller Unternehmen in Deutschland in den letzten beiden Jahren Opfer von digitalen Angriffen wurde. Der dadurch entstandene Schaden beläuft sich Schätzungen zufolge auf 51 Milliarden Euro jährlich.

Halbach führt zur Problematik der gebundenen Versicherungsvertreter (§ 84 HGB) aus, dass der Vertreter im Auftrag „seines“ Versicherers eine Einwilligungserklärung vom Kunden einholt. Der Vertreter benötigt aber zusätzlich eine eigene, ihm gegenüber vom Kunden erklärte Einwilligung zur Datenverarbeitung. Hiermit dürfen Kundendaten vom Vertreter 2 Jahre gespeichert werden, der Versicherer hingegen muss die Kundendaten bereits nach 6 Monaten wieder löschen.

Laut Halbach sind zudem bereits eine E-Mail-Adresse, eine betriebliche Adresse oder auch die Durchwahl einer Rufnummer personenbezogene Daten.

Kann eine Einwilligung über WhatsApp erfolgen? Halbach merkt zu dieser Frage an, dass eine Einwilligung auch elektronisch erfolgen kann. In der Praxis gibt es jedoch Beschränkungen: Versicherungsvertretern ist die Nutzung dieses Dienstes in der Regel vom jeweiligen Versicherer untersagt. Versicherungs- oder Immobilienmakler sollten vorab die AGB´s von WhatsApp prüfen. Laut Halbach ist darin die Nutzung des Dienstes ausschließlich für private Zwecke gestattet. Zuletzt verweist der Datenschutzexperte auf die Problematik, dass WhatsApp zwar mit einer entsprechenden Verschlüsselung arbeite, sämtliche Server dieses Anbieters jedoch in den USA betrieben werden. Wird dennoch vom Vermittler ein „unsicherer“ Kanal zur Kommunikation mit dem Kunden genutzt, muss der Kunde zumindest darauf hingewiesen werden. SMS-Dienste sind laut Halbach besser.

Kann ein Schaden mit dem Smartphone aufgenommen und zur Regulierung weitergeleitet werden? Halbach bejaht diese Vorgehensweise bei Sachschäden. Sämtliche Daten im Zusammenhang mit einem Personenschaden unterliegen jedoch einer höheren Schutzstufe, weshalb der Datenschutzexperte in diesen Fällen von einer Übermittlung via Smartphone abrät.

Wann handelt es sich um einen „sicheren“ Kanal? Unter der Adresse de.ssl-tools.net  kann laut Halbach jeder E-Mail-Surfer auf eine ausreichende Verschlüsselung überprüft werden.

Wann muss ein Datenschutzbeauftragter bestellt werden? Bei 10 oder mehr Beschäftigten im Unternehmen muss grundsätzlich immer ein Datenschutzbeauftragter benannt werden. Dies kann in bestimmten Fällen aber auch bereits bei Unternehmen mit weniger als 10 Mitarbeitern erforderlich sein. Eine Benennungspflicht besteht z. B. dann, wenn eine Datenverarbeitung durchgeführt wird, für die eine sog. Datenschutzfolgenabschätzung nötig ist. Dies ist unter anderem dann erforderlich, wenn eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten erfolgt. Dazu gehören unter anderem auch Gesundheitsdaten. Leider ist noch nicht bekannt, was die Aufsichtsbehörden unter “umfangreich” verstehen. Bei Versicherungsmaklern etwa, die sich auf die Themen Betriebliche Altersversorgung (bAV), Krankenversicherung oder Biometrie spezialisiert haben, dürfte von einer Benennungspflicht auszugehen sein, beim Sachmakler ist dies weniger wahrscheinlich. Um sicher zu gehen, sollte dies im Einzelfall von der zuständigen Landesdatenschutzbehörde geprüft werden. Eine unterlassene Benennung trotz Pflicht ist bußgeldbewehrt. Unabhängig hiervon kann jedes Unternehmen - freiwillig - einen externen Datenschutzbeauftragten bestellen.

BEACHTEN SIE BITTE: Um verlässliche Antworten auf die Frage der Benennungspflicht zu geben, sind wir derzeit noch im Austausch mit verschiedenen Datenschutzexperten und der Landesdatenschutzbehörde. Über neue Erkenntnisse zu diesem komplexen Thema werden wir sobald wie möglich informieren.

Weitere dazu passende Dokumente / Downloads1476266_linklisten.pdfÜbersicht mit hilfreichen Links (63 KB)
Social Bookmarks
  • Facebook
  • Twitter
  • XING
  • Google+
Facebook
Twitter
XING
YouTube