AssCompact suche
Home
Zukunftssichere Beratung
9. März 2018
Die wichtigsten Fragen zur DSGVO-Umsetzung im Maklerbüro

Die wichtigsten Fragen zur DSGVO-Umsetzung im Maklerbüro

Ab dem 25.05.2018 ist die Datenschutz-Grundverordnung anwendbar und Unternehmen müssen ihre Prozesse diesbezüglich anpassen. Wichtige praktische Fragen zur künftigen Datensicherung, Einwilligungserklärung, Haftung und Dokumentation beantwortet IGVM-Vorstand Wilfried E. Simon im Interview.

Herr Simon, was sind die wichtigsten Vorkehrungen, die Makler im Hinblick auf die neue Datenschutz-Grundverordnung (DSGVO) treffen müssen?

Der Umgang mit der Einwilligung der Mandanten in die Datenerhebung und Verarbeitung durch Versicherungsmakler ist gegenwärtig noch gespalten. Die einen verwenden eine Einwilligung ihrer Mandantschaft innerhalb der Versicherungsmaklervollmacht, die anderen halten dafür eine separate Information mit Einwilligungserklärung bereit. Die wohl wichtigste Frage für Versicherungsmakler dürfte wohl die nach der unveränderten Weiternutzung alter Einwilligungserklärungen sein. Bisher erteilte Einwilligungen gelten fort, sofern sie ihrer Art nach den Bedingungen der DSGVO entsprechen. Bisher rechtswirksam erteilte Einwilligungen erfüllen grundsätzlich diese Bedingungen.

Die Einwilligungserklärungen von Verbrauchern müssen danach zwei wichtige Bedingungen erfüllen. Erstens muss die Einwilligungserklärung freiwillig erteilt worden sein („Kopplungsverbot“, gemäß Art. 7 Abs. 4 in Verbinung mit Erwägungsgrund 43 DSGVO). Und zweitens muss zum Schutze des „Kindeswohls“ die Altersgrenze „16 Jahre“ beachtet werden. Letzteres bedeutet, dass Jugendliche ab 16 Jahren ihre Zustimmung selbst erteilen müssen. Sind diese beiden Voraussetzungen nicht erfüllt, dürfen die alten Einwilligungserklärungen nicht mehr verwendet werden und müssen neu eingeholt werden.

Wie müssen Makler die Daten ihrer Kunden gemäß der DSGVO in Zukunft sichern und wie verändert sich der Umgang mit digitalen Daten?

Die Daten sind so zu sichern, dass sie vor unbefugtem Zugriff geschützt sind. Das gilt für Personen innerhalb des Unternehmens und insbesondere für außenstehende Dritte. Den Cyberschutz wird man künftig noch sehr viel ernster nehmen müssen als bisher schon. Den Betroffenen steht ein sehr umfassendes Auskunftsrecht über die gespeicherten Daten zu. Das in Maklerbetrieben eingesetzte Kunden- und Vertragsverwaltungsprogramm sollte die verpflichtende Auskunftserteilung der Daten „per Knopfdruck“ ermöglichen.

Welche Daten darf man überhaupt erfassen und für welche braucht man ein gesondertes Einverständnis?

Auch in der neuen DSGVO gilt der Zweckbindungsgrundsatz unverändert fort. Nach Art. 5 Abs. 1b DSGVO dürfen personenbezogene Daten grundsätzlich nur für festgelegte, eindeutige und legitime Zwecke erhoben und weiterverarbeitet werden. In Ausnahmefällen bleiben allerdings Zweckänderungen erlaubt. Zu berücksichtigen ist jede Verbindung zwischen dem ursprünglichen und dem neuen Zweck, der Erhebungskontext sowie das Verhältnis zwischen dem Verantwortlichen und den betroffenen Personen sowie deren Erwartungen, die auf ihrer Beziehung zum Verantwortlichen beruhen. Auch die Art der Daten und die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen sowie das Vorhandensein geeigneter Garantien, also Schutzmaßnahmen, sind einzubeziehen. Hier nennt die DSGVO beispielhaft die Verschlüsselung und Pseudonymisierung.

Eine Einwilligungserklärung muss nicht eingeholt werden, soweit es sich um Daten handelt, die für die Bearbeitung eines Auftrags im Vorfeld eines Vertrages und beim Vertragsschluss durch Vermittlung erforderlich sind, zum Beispiel alle relevanten Daten für die Erstellung von Vorschlägen und später für die Deckungsaufgabe zu einer Wohngebäudeversicherung.

Gibt es Besonderes zu beachten, wenn der Makler Telematik- oder Domotic-Tarife abschließt?

Die Einhaltung der Datenschutzvorschriften und deren Überwachung liegt hier im Verantwortungsbereich des Versicherers. Datenschützer hegen jedoch ernsthafte Bedenken bei der Datenerhebung und deren späteren Auswertungen, weil dem Missbrauch Tür und Tor geöffnet sind. Versicherungsmakler sollten prüfen, ob die Datenschutzerklärungen der in Betracht kommenden Versicherer den Vorschriften entsprechen oder ob sich einzelne Versicherer eine darüber hinausgehende Einwilligungserklärung erteilen lassen wollen.

Was ist bei der Durchleitung von Daten an Versicherer, Pools, Servicegesellschaften, Dienstleister der Versicherer zu beachten?

Die Daten sind durch den Verantwortlichen vor deren Übertragung mit angemessenem Aufwand auf Richtigkeit hin zu überprüfen. Unrichtige, nicht mehr aktuelle Daten dürfen nicht übermittelt werden. Die Daten müssen bei der Übertragung so verschlüsselt werden, dass sie durch Dritte nicht abgefangen und gelesen werden können. Verantwortliche müssen dabei ein Höchstmaß an Sicherheit herstellen.

Wie müssen Makler die Datenschutzeinwilligung präsentieren, damit sie rechtssicher ist?

Zurzeit führen unzureichende Einwilligungserklärungen innerhalb von Maklervollmachten dazu, dass die Versicherer Auskünfte verweigern. § 3 Abs. 9 BDSG benennt die besonderen Arten der personenbezogenen Daten (darunter Gesundheitsangaben) und in § 4a des noch geltenden BDSG ist bestimmt, wie diese Einwilligungserklärungen gefasst sein müssen, damit sie rechtswirksam sind. Sie müssen drucktechnisch hervorgehoben sein, wenn sie in einer Maklervollmacht erteilt werden. Wenn es um die Übertragung von sensiblen personenbezogenen Daten von Versicherern auf Pools geht, verlangen viele, dass die Pools, die durch den Makler konsultiert werden, den Versicherern namentlich benannt werden, damit diese die Vertragsdaten auch dorthin übermitteln.

Erfolgt die Verarbeitung mit Einwilligung der betroffenen Person, sollte der Verantwortliche diese Einwilligung nachweisen können. Insbesondere bei Abgabe einer schriftlichen Erklärung in anderer Sache sollten Garantien sicherstellen, dass die betroffene Person weiß, dass und in welchem Umfang sie ihre Einwilligung erteilt. Vom Verantwortlichen sollte die vorformulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer einfachen Sprache zur Verfügung gestellt werden und sie sollte keine missbräuchlichen Klauseln beinhalten. Die betroffene Person sollte wissen, wer der Verantwortliche ist und für welche Zwecke ihre personenbezogenen Daten verarbeitet werden sollen.

Inwiefern deckt die Vermögensschadenhaftpflichtversicherung Kosten, die durch Datenschutzverstöße entstehen?

Das kommt auf die Bedingungen an, die dem Vertrag zugrunde liegen. Aber auch ohne dass Verstöße gegen die Datenschutzvorschriften in den Ausschlussnormen besonders erwähnt sind, können die Versicherer bei Verstößen gegen Datenschutzvorschriften „wissentliche Pflichtverletzung“ einwenden. Denn die Kenntnis und Einhaltung der Gesetze und Verordnungen, die für die Ausübung der versicherten Tätigkeit einschlägig sind, darf der Versicherer erwarten.

Mit welchen Bußgeldern ist zu rechnen?

Aufsichtsbehörden müssen sicherstellen, dass die Verhängung von Geldbußen für Verstöße gegen diese Verordnung in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können verhängt werden, je nachdem, welcher der Beträge höher ist.

Wer braucht einen eigenen Datenschutzbeauftragten?

Anders als das bisherige BDSG kennt die DSGVO keine Personenzahl mehr, ab der ein betrieblicher Datenschutzbeauftragter bestellt werden muss. Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht für Maklerbetriebe dann, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Es spielt keine Rolle, dass das Unternehmen Datenschutzfolgenabschätzungen (ähnlich der derzeitigen Vorabkontrolle) durchführen muss. Schließlich trifft diese Durchführungspflicht das Unternehmen und ist nicht Kern­auf­gabe des Datenschutzbeauftragten.

Es gibt Rechtsanwälte, die Leistungen als Datenschutzbeauftragter neben ihren anwaltlichen Tätigkeiten anbieten. In solchen Fällen sollten Makler darauf achten, dass für diese Nebentätigkeiten auch Versicherungsschutz für Vermögensschäden besteht. Denn in der normalen Anwalts-VSH ist dies meist nicht einbezogen.

Was tut ein Makler, wenn der Kunde Daten gelöscht haben will, der Makler aber seinen Dokumentationspflichten nachkommen muss?

Der Verantwortliche muss personenbezogene Daten sofort löschen, wenn ihre Verarbeitung unzulässig ist, sie zur Erfüllung einer rechtlichen Verpflichtung gelöscht werden müssen oder ihre Kenntnis für die Erfüllung seiner Aufgaben nicht mehr erforderlich ist. Bei vielen Kunden- und Vertragsverwaltungsprogrammen ist die endgültige Löschung von Daten gegenwärtig noch gar nicht vorgesehen. Anstatt die personenbezogenen Daten zu löschen, kann der Verantwortliche dann deren Verarbeitung einschränken, wenn Grund zu der Annahme besteht, dass eine Löschung schutzwürdige Interessen einer Person beeinträchtigen würde, die Daten zu Beweiszwecken in Verfahren weiter aufbewahrt werden müssen oder eine Löschung wegen der besonderen Art der Speicherung nur mit unverhältnismäßigem Aufwand möglich ist. Dies muss der Verantwortliche dem Betroffenen jedoch mitteilen.

Das Interview lesen Sie auch in AssCompact 03/2018, Seite 106 ff.

 
Ein Artikel von
Wilfried E. Simon

Leserkommentare

Comments

Gespeichert von Peter Brandmann am 09. März 2018 - 11:38

Fragen zur DSGVO AssCompact Newsletter vom 09.03.2018

Die Aussage von Herrn Simon zum Thema Datenschutzbeauftragten ist teilweise nicht richtig.

Die DSGVO sieht explizit keine Anzahl von Beschäftigten mehr vor (wie bisher im geltenden BDSG). Jedoch sind in der DSGVO sog. Öffnungsklauseln vorgesehen. Hier greift dann das Bundesdatenschutzgesetz-BDSG(neu) welches ebenfalls am 25. Mai 2018 in Kraft tritt.

Zutreffend ist zum Thema Datenschutzbeauftragter dann der § 38 BDSG(neu). Hier ist vorgesehen, dass neben den Verpflichtungen aus der Datenschutzgrundverordnung-DSGVO ein Datenschutzbeauftragter bestellt werden muss, wenn eine automatisierte Datenverarbeitung durch mindestens zehn Beschäftige erfolgt. Somit gilt die bisherige Regelung nach BDSG weiter.

Es ist nach aber auch davon auszugehen, dass ein Versicherungsvermittler nach DSGVO einen Datenschutzbeauftragten zu bestellen hat (mit weniger als 10 Mitarbeitern in der Verarbeitung von personenbezogenen Daten), wenn er in umfangreichem Maße Gesundheitsdaten verarbeitet. Siehe Artikel 37 Absatz 1 Buchstabe b und c (Wenn die Kernaktivität des Unternehmens die umfangreiche, regelmäßige und systematische Überwachung von Betroffenen oder umfangreiche Verarbeitung von sensiblen Daten ist).

Datenschutzbeauftragte können dann intern (durch Mitarbeiter) oder extern, mit entsprechendem Nachweis der Fachkunde, bestellt werden.

Peter Brandmann - pb beratung & training
Datenschutzbeauftragter § 4f BDSG
Zertifizierte Fachkraft DSGVO

Sehr geehrter Herr Brandmann,

vielen Dank für Ihre ergänzenden Hinweise, die aber nicht unwidersprochen im Raume stehen bleiben können.
Vorab ist zunächst festzustellen, dass die Zeichen der niederzuschreibenden Antworten in einem solchen Interview stets begrenzt sind und der Autor somit manches, was durchaus Erwähnenswert wäre, nicht abdrucken lassen kann. Deshalb sind mir solche Gelegenheiten der Erwiderung immer sehr willkommen.

Sowohl die DSGVO, als das BDSG (neu) enthalten einige unbestimmte Rechtsbegriffe, die einen weiten grammatischen und teleologischen Auslegungsspielraum zulassen. Prof. Dr. Gola, Herausgeber des Kommentars zum BDSG (Gola/Schomerus) weist deshalb in seinem Aufsatz völlig zu Recht darauf hin, „dass zur Stunde trotz Leitlinien der Art-29-Datenschutzgruppe (WP29) - hier die vom 13.12.2016 zu Art. 37 DSGVO, die bekanntlich Auslegungshilfen darstellen sollen, noch vieles unklar ist und künftig wohl die Gerichte im Wege der Auslegung der Vorschriften darüber entscheiden müssen, was Rechtens sein soll“. Dem ist uneingeschränkt zuzustimmen.

Formaljuristisch eindeutig ist nur die Antwort auf die Frage, wann Versicherungsmakler einen Datenschutzbeauftragten (DSB) benennen/bestellen müssen im Hinblick auf die Anzahl ab 10 Personen im Unternehmen, soweit diese alle ständig in die automatisierte Datenverarbeitung eingebunden sind. Der in § 38 BDSG enthaltene weitere Tatbestand, der VersM tangieren könnte, betrifft die „oder-Bestimmung“ der geschäftsmäßigen Verarbeitung zum Zwecke der Übermittlung... . Hier ist an die Erhebung von sensiblen (Gesundheits-)Daten zu denken, die in Anträgen an Versicherer übermittelt werden. Doch nach Art. 37 DSGVO muss dies die Kerntätigkeit betreffen (was bei VersM m.E. nicht zutrifft) und sie muss - wie Sie richtig ausführten - auch umfangreich ausgeführt werden. Die Leitlinien des o.g. Arbeitskreises zum Art. 37 DSGVO lassen deshalb den Schluss zu, dass VersM selbst dann keinen DSB benötigen, wenn der zweite Tatbestand verwirklicht ist, aber die 10-Personenvorschrift nicht greift.

So bestätigten uns bisher auch die Landesdatenschutzbeauftragten der Bundesländer Niedersachsen und Bayern auf Anfrage inzwischen, dass unsere Rechtsauffassung zutrifft, dass VersM selbst dann keinen DSB bestellen/benennen müssen, wenn sie ausschließlich Personenversicherungen mit Gesundheitsangaben vermitteln.