AssCompact suche
Home
Steuern & Recht
22. Mai 2020
„Datenschutz unterscheidet nicht, ob es ein großes Unternehmen oder ein kleines ist“

„Datenschutz unterscheidet nicht, ob es ein großes Unternehmen oder ein kleines ist“

Beim Datenschutz gelten für alle die gleichen Pflichten – aber für kleinere Unternehmen ist die Last der Umsetzung größer. Im zweiten Teil des Interviews (der erste Teil erschien am 20.05.2020) erklärt Rechtsanwalt Dr. Schwenke, wann eine Auftragsverarbeitung nötig ist und was bei Risikoprüfungstools, Onlineberatung und beim „Stand der Technik“ zu beachten ist.

Herr Dr. Schwenke, ein großes Thema der DSGVO ist die Auftragsbearbeitung. Auch für Versicherungsvermittler ist es immer wieder nicht ganz einfach, zu definieren, wann eine Auftragsverarbeitung vorliegt. Was ist hierbei zu beachten?

Eine Auftragsverarbeitung liegt immer dann vor, wenn Dienstleister beauftragt werden und zum Kern ihrer Aufgaben die Verarbeitung von personenbezogenen Daten gehört. Das ist zum Beispiel bei einem Webhoster der Fall, der Daten speichert, aber nicht bei einem IT-Dienstleister, der lediglich die Technik wartet und mit Daten allenfalls beiläufig in Verbindung kommt. Bei dem Ersteren muss ein Auftragsverarbeitungsvertrag geschlossen werden, beim Zweiten reicht eine Verpflichtung auf den Datenschutz.

Der Verarbeitende darf mit den Daten nur genau das machen, was im Auftragsverarbeitungsvertrag festgehalten wird. Wenn ich einem Dritten Daten übermittle und ihm erlaube, die Daten zu eigenen geschäftlichen Zwecken zu nutzen, dann handelt es sich um eine sogenannte „gemeinsame Verantwortlichkeit“. Zum Beispiel, wenn zwei sonst selbstständige Versicherungsvermittler einen gemeinsamen Datenbestand unterhalten sollten und jeder der Vermittler das Recht hätte, die Kunden zu Werbezwecken anzuschreiben. Diese „gemeinsame Verantwortlichkeit“ muss aber ebenfalls vereinbart sein und ist komplizierter.

Muss ein Unternehmer mit seinem Steuerberater einen Vertrag abschließen, der den Vorgaben an eine Auftragsverarbeitung entspricht?

Bei Rechtsanwälten und Steuerberatern handelt es sich um Sonderfälle. Sie handeln weisungsfrei. Im Falle des Steuerberaters wurde diese Regelung erst im Januar 2020 angepasst. Verantwortlich für die Daten ist in einem Unternehmen immer der Arbeitgeber. Angestellte sind nicht selbstständig verantwortlich dafür, weshalb es genügt, diese auf sie Datenschutz zu verpflichten. Bei Freiberuflern müsste man Auftragsverarbeitungsverträge oder die gemeinsame Verantwortlichkeit abschließen.

Versicherungsvermittler nutzen auf ihren Webseiten immer öfter auch Vergleichsrechner oder Abschluss- und Risikoprüfungstools. Was gibt es hierbei mit Blick auf den Datenschutz zu beachten?

Es kommt auf das Tool an. Vermutlich ist hier häufig auch ein Auftragsverarbeitungsvertrag nötig, wenn der Anbieter der Tools die Daten für den Versicherungsvermittler weiterverarbeitet. Aber auch hier: nur für die Zwecke, die er angewiesen hat. Keine Auftragsverarbeitung liegt vor, wenn die Verarbeitung der personenbezogenen Daten nicht den Kernbereich der Tätigkeit umfasst, für die jemand beauftragt wurde, also wenn die Person nur zufällig in Kontakt mit den Daten kommt. Dann muss man sie aber natürlich trotzdem auf den Datenschutz verpflichten. Man muss also immer im Einzelfall eine Abgrenzung vornehmen, wann eine Auftragsdatenverarbeitung vorliegt und wann nicht. Risikoprüfungstools sind per se erst mal kein Problem.

Problematisch kann es im Leadhandel werden. Wenn man zum Beispiel ein Berechnungstool auf der Website einbindet und jemand gibt dort seine Daten ein. Wenn er nur eine Berechnung erhält, ist das kein Problem. Aber wenn die Daten an einen Dritten übermittelt werden, der die Daten dazu benutzt, um bei demjenigen anzurufen und bestimmte Angebote zu unterbreiten, dann nutzt der Dritte nicht die Daten nach meiner Weisung, sondern im eigenen Interesse.

Das ist dann keine Auftragsverarbeitung mehr?

Nein. Das geht in den Bereich der gemeinsamen Verantwortlichkeit. Wenn ich also einem Dritten die Möglichkeit verschaffe, an die Daten meiner Website-Besucher zu kommen und ich dafür eine Provision erhalte und beide Vorteile dadurch haben, dann arbeiten wir arbeitsteilig zum Zwecke des Profits. Das ist beim Versicherungsmakler nur der Fall, wenn er selbst Leads sammeln möchte. Die Kunden müssen bereits bei der Eingabe der Daten wissen, dass eine Weitergabe erfolgt. Es gibt die eigene Verantwortlichkeit, es gibt die gemeinsame Verantwortlichkeit, es gibt die Auftragsverarbeitung und dann gibt es auch noch die Beauftragung von Dritten, mit denen man nicht verbunden ist. Das ist zum Beispiel der Fall, wenn ich einen Dritten beauftrage, E-Mails in seinem Namen mit Werbung von mir zu versenden.

Die Nutzung von elektronischer Kommunikation und Apps sowie Messengerdiensten findet ja heutzutage auch bei Versicherungsvermittlern immer breitere Anwendung in der Kommunikation mit dem Kunden. Wie kann man sich hier absichern?

Es kommt auf die App an. Wenn man Dienstleister einsetzt und die Datenspeicherung erfolgt über eine Art Cloud-Software, dann ist es durchaus zulässig, diese als Auftragsverarbeiter einzusetzen. Sie müssten also einen Auftragsverarbeitungsvertrag abschließen und darüber hinaus – je nach Funktion – entsprechende technische und organisatorische Maßnahmen ergreifen, um die Daten hinreichend zu schützen. Sie müssen sicherstellen, dass gegebenenfalls ein erforderlicher Datenschutzbeauftragter da ist. Wenn der App-Betreiber im EU-Ausland angesiedelt ist, braucht es spezielle Garantien, zum Beispiel ein Privacy Shield oder spezielle Vertragsklauseln. Man muss prüfen, ob die Vorgaben der Auftragsdatenverarbeitung eingehalten werden.

Das gleiche gilt im Prinzip für Messengerdienste. Man muss sich die Auftragsverarbeitung wie ein ausgelagertes Werkzeug vorstellen. Die Daten müssen dort so sicher sein wie bei mir. Darüber schließt man den Vertrag.

Schwierig für kleinere Unternehmen dürfte ja auch sein, den Stand der Technik datenschutzkonform zu berücksichtigen und die richtigen Löschkonzepte zu haben. Woran müssen sich kleinere Unternehmen, die mit sensiblen personenbezogenen Daten arbeiten, in dem Zusammenhang unbedingt halten?

Der Stand der Technik ist für den normalen Menschen kaum greifbar. Nehmen wir allein die Frage nach der Verschlüsselung von E-Mails. Was ist da der Stand der Technik? Dazu gibt es unterschiedliche Ansichten. Für die Datenschutzbehörden ist die Ende-zu-Ende-Verschlüsselung Stand der Technik. Allerdings werden E-Mails heutzutage bereits verschlüsselt versendet. Sie liegen nur auf dem Server unverschlüsselt. Wenn man mit den Serverbetreibern aber Auftragsverarbeitungsverträge abgeschlossen hat und die Kunden darauf hinweist, dass die Speicherung dort unverschlüsselt erfolgt, dann entspricht das nach meiner Ansicht derzeit noch dem Stand der Technik.

Ansonsten bedeutet Stand der Technik, immer aktuelle Updates und aktuelle Software zu haben. Dann gibt es die Clean-Desk-Policy, die besagt, dass Mitarbeiter alles wegräumen müssen. Es bedeutet, dass man Firewalls einsetzt, dass man entsprechende aktualisierte Virenscanner einsetzt – das sind die klassischen Maßnahmen zum Stand der Technik. Es geht darum, die übliche IT-Sicherheit im Unternehmen umzusetzen, die man in der Regel sowieso schon befolgt, um eigene Daten zu schützen.

Und wenn doch mal eine Panne passiert?

Wenn Daten verloren gehen, muss man das innerhalb von72 Stunden melden, außer man kann nachweisen, dass dadurch keine Risiken entstehen. Die Schwelle, wann etwas zu melden ist, ist hier sehr gering. Wenn ich einen USB-Stick verliere, auf dem eine Kundenliste gespeichert ist, muss ich das melden oder wenn ich eine Kundenliste an die falsche E-Mail-Adresse verschickt habe. Außer ich kenne den Empfänger der Kundenliste und kann nachweislich sichergehen, dass sie bei ihm gelöscht wurde. Oder ich finde den USB-Stick eine Stunde später in meiner Couchritze wieder.

Das Schwierige beim Datenschutz ist leider, dass er nicht unterscheidet, ob es ein großes Unternehmen oder ein kleines ist. Beide treffen die gleichen Pflichten. Allerdings kann man sagen, dass die Maßnahmen seitens der Datenschutzbehörde bei großen Unternehmen schon schärfer sind. Meinem Eindruck nach werden Verstöße überall verfolgt, bei kleinen Unternehmen aber mit mehr Nachsicht.

Das Interview in Gänze lesen Sie auch in AssCompact 05/2020 und in unserem ePaper.

Über den Interviewpartner

Dr. jur. Thomas Schwenke, LL.M. (Auckland), DiplFinWirt (FH), ist Rechtsanwalt in Berlin, berät international Unternehmen im Marketing- sowie Datenschutzrecht, ist zertifizierter Datenschutzauditor, podcastet unter Rechtsbelehrung.com und ist Betreiber der Plattform Datenschutz-Generator.de.

Bild: © bluedesign – stock.adobe.com

Lesen Sie auch den ersten Teil des Interviews: „Datenschutzbehörden gehen 2020 schärfer gegen Verstöße vor“