EU-Datenschutz-Grundverordnung - der Aufreger des Jahres?
Empörung. Hilflosigkeit. Verdrängung. Das scheinen die Grundreaktionen von vielen freien Vermittlern zur nahenden Umsetzung der EU-Datenschutz-Grundverordnung zu sein. Ist das Thema wirklich so kompliziert? AssekuranzDoc Dr. Peter Schmidt versucht eine Antwort.
- EU-Datenschutz-Grundverordnung - der Aufreger des Jahres?
- Gehen Sie die Umsetzung der DSGVO als Projekt an!
Derzeit wird auf zahlreichen Veranstaltungen für Makler über die EU-Datenschutz-Grundverordnung (EU-DSGVO) informiert. Das Interesse an dem Thema bei Maklerkongressen und laufenden Vermittlerfortbildungen wie von den Hamburger Haftpflichtexperten ist enorm. Die Fragen zur Umsetzung in den Maklerunternehmen nicht minder.
Anzeige
Worum geht es im Kern? Die EU-DSGVO ist bereits 2016 in Kraft getreten und wird nun am 25.05.2018 in Deutschland mit 99 Artikeln verbindlich. In Ergänzung der bundesdeutschen Datenschutz-Gesetze wird die EU-Verordnung die Grundlagen für Datenschutz und Datentransfer für alle EU- Bürger vereinheitlichen. Alle Unternehmen auf der Welt, die mit EU- Bürgern zu tun haben, müssen diese umsetzen. Der Schutz der Daten des Kunden soll damit deutlich besser geregelt und abgesichert werden.
Das Grundanliegen, mehr Schutz für Kunden zu bieten, ist in Zeiten oft ungewünschter Werbung unter Nutzung von Kundendaten und Verhaltensmustern im Internet leicht nachvollziehbar. Dies ist besonders in Anbetracht der Datensammler von Übersee mehr als verständlich. Google, Facebook, Apple oder andere überseeische Giganten werden sich ebenso auf die EU-DSGVO einstellen müssen wie die deutsche Wirtschaft, darunter auch Versicherungsmakler.
Die Grundverordnung wird Erschwernisse bringen
Der @AssekuranzDoc
Der @AssekuranzDoc
Dr. Peter Schmidt ist Experte Personenversicherungen und Unternehmensberater im Bereich Versicherungen, Vertriebe und Makler mit langjähriger Erfahrung als Führungskraft und Vorstand bei deutschen Versicherern und twittert als @AssekuranzDoc.
Ja, die EU-DSGVO wird auch Erschwernisse mit sich bringen. Wir werden als Kunden öfter als früher nach Einverständnis und Einwilligungen gefragt werden. Als Unternehmer müssen wir diese Einwilligungen einholen. Auch Datenportabilität und Auskunftspflichten zur Datenverarbeitung im Unternehmen werden mehr Aufwand mit sich bringen. Dennoch ist es gut, dass beispielsweise die IP-Adressen von Kunden, Mitarbeitern und Inhabern zukünftig zu den schützenswerten personenbezogenen Daten gehören werden.
Deshalb ist Skepsis gegenüber der EU-DSGVO, wonach die Verarbeitung personenbezogener Daten nur rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, nicht angemessen. Jeder Kunde, jeder Makler und seine Mitarbeiter haben ein Recht auf Schutz personenbezogener Daten. Deshalb sollte die Umsetzung der neuen Verordnung konstruktiv angegangen werden.
Maßnahmen zur Umsetzung der EU-DSGVO in Maklerunternehmen
Nach Erkenntnissen einer Studie des Zentrums für Europäische Wirtschaftsforschung haben sich bisher nur knapp die Hälfte der befragten Unternehmen mit den neuen Anforderungen der DSGVO in irgendeiner Form auseinandergesetzt. 52,5 Prozent haben zwar Kenntnis von der anstehenden Verordnung, haben sich aber noch nicht damit beschäftigt bzw. die EU- DSGVO ist gar nicht bekannt. Dieser Eindruck vermittelt sich aktuell auch auf zahlreichen Maklerveranstaltungen.
Untätigkeit ist aber für Makler der falsche Weg. Es gibt zahlreiche Hinweise und Checklisten dazu, was Makler jetzt tun sollten. Noch ist Zeit bis Mai 2018. Ernst wird die Lage für Maklerbüros erst dann, wenn durch Nichtumsetzung der Verordnung Konsequenzen in Form von Bußgeldern oder gar Schadensersatzprozesse drohen. Zum Umfang möglicher Bußgelder äußerte sich vor Kurzem Prof. Caspar, des Landesbeauftragte für Datenschutz Hamburg, der mit Faktor von ca. 67 rechnet. Aus 1.000 EUR für einen Verstoß würden dann 67.000 EUR Bußgeld. Auch deshalb sollten sich Makler damit befassen, was nun konkret zu tun ist.
Mehr Transparenz gefordert
In erster Linie wird von Maklern und allen beteiligten Serviceunternehmen viel Fleiß, Transparenz und mehr Dokumentation zur Datenverarbeitung gefordert. Zu allen Prozessen im Unternehmen mit Kundendaten wird Rechenschaft erwartet und gefordert. Der Gesetzgeber will, dass alle Beteiligten sich mehr Gedanken um Dateneingang, Verarbeitung, Weiterleitung, Speicherung und Weiternutzung machen und setzt das in gewohnter Weise um: mehr Dokumentation als Nachweis.
Wer sich bereits in der Vergangenheit Gedanken um diese Fragen gemacht hat und diese in Prozessbeschreibungen aufs Papier gebracht hat, der wird sich jetzt leichter tun. Vielfach geht es also um schriftliche Belege, wie Datenverarbeitungsprozesse geführt, wie und auf welche Weise Risiken aus Datenmissbrauch und -verlust minimiert werden und wie die Kontrolle der Zuverlässigkeit der eingesteuerten Maßnahmen erfolgt.
Anzeige
Dennoch: „Selbst wenn Vermittler und Makler bereits heute datenschutzkonform nach dem derzeit gültigen BDSG arbeiten, ist allein eine Bestandsaufnahme, welche Umsetzungen noch zu erfolgen haben, ein erheblicher Aufwand“, bewertet Rechtsanwalt Norman Wirth, Berlin, die Situation in einem Interview mit dem Maklermagazin Pfefferminzia.
Gehen Sie die Umsetzung der DSGVO als Projekt an!
Was also sollten Sie tun? Gehen Sie die Umsetzung der EU-DSGVO als Projekt an und nehmen Sie sich dazu die notwendige Zeit. Im Projektplan sollten die Ausgangslage analysiert, der Ist-Stand erfasst und dann alle notwendigen Maßnahmen beschrieben werden. Denken Sie daran, dass alle betroffenen Unternehmensbereiche, Arbeitsprozesse und Kommunikationswege geprüft werden. Dokumentieren Sie diese Erkenntnisse beispielsweise in Excel-Listen oder in übersichtlichen Workflow-Diagrammen.
Als nächster Punkt sind alle externen Dienstleister an der Reihe, mit denen Sie direkt oder indirekt Daten austauschen, wo Daten verarbeitet, gespeichert und in allen Möglichkeiten der Weiterverarbeitung Anwendung finden. Vordergründig ist an Produktanbieter, Pools, Maklergenossenschaften, MVP-Hersteller und weitere zu denken. Vergessen sie aber auch nicht Ihren Anbieter für Homepage, App, Newsletter oder genutzte Backoffice-Dienste.
Anzeige
Aus der Praxis als Unternehmensberater empfehle ich Ihnen immer, den einzelnen logischen Abläufen zu folgen. Ich denke da an den kompletten Beratungsprozess mit Datenaufnahme, Angebotserstellung, Empfehlung, Abschluss, Dokumentation und Nachbearbeitung. Wann werden wo und wie welche Daten erfasst und verarbeitet?Dann nehmen Sie sich den nächsten Basisprozess wie z.B. die Datenweiterleitung an Versicherer oder Pool vor. Dann folgen jeweils weitere Grundprozesse.
Dokumentation der digitalen Datenverarbeitung und Update Datenschutzerklärung
Kennzeichnen Sie selbst erkannte Risiken bei der Datenaufnahme,- verarbeitung und -sicherung und stellen Sie diese ab bzw. leiten die Verbesserung ein. Nun gilt es, eine Dokumentation zur digitalen (!) Datenverarbeitung zu erstellen. Genau diese Darstellung, den sogenannten digitalen Workflows, werden Sie den Aufsichtsbehörden und auch bei Kundenwunsch vorlegen müssen. Halten Sie sich immer Ihren kritischsten Kunden vor Augen, der Sie eines Tages auffordert: „Zeigen Sie mir mal, was Sie überhaupt mit meinen Daten machen“.
Als besonders schützenswert werden in der EU-DSGVO personenbezogene Daten herausgestellt, aus denen die Herkunft, Religion und Weltanschauung, Mitgliedschaft in Parteien und Gewerkschaften, Genetik und Biometrie, der Gesundheitszustand oder sexuelle Orientierungen hervorgehen. Sofern diese Daten beispielsweise für BU-Versicherungen digital erfasst werden, müssen diese besonders geschützt werden. Datenschutzexperten empfehlen deshalb nicht nur, den Verarbeitungsweg dieser Daten zu analysieren, sondern diese Daten und Prozesse auch nach Schutzklassen (SK) „Normale SK“, „Hohe SK“ oder „sehr hohe SK“ zu bewerten.
Die Rechenschaftspflicht, die Accountability, ist eine zentrale Neuerung der EU-DSGVO und macht die genaue Dokumentation der Datenverarbeitung, der Risikoprävention sowie der sogenannten Datenschutzfolgeabschätzung notwendig. Denken Sie deshalb daran, dass Sie auch externe Datenverarbeitungen in Ihrem Auftrag, also beispielsweise über den Pool, mit in die Dokumentation einbeziehen.
Kooperationsverträge zur „Auftragsdatenverarbeitung“ (ADV) sind zu überarbeiten und anzupassen. Nur ein lückenloser Nachweis zur ADV und das Einverständnis des Kunden dazu bringt Ihnen die größtmögliche Enthaftung. Daraus resultiert, dass Sie die bestehenden Datenschutzerklärungen überarbeiten und vom Kunden das Einverständnis einholen müssen. Ein Update der klassischen Datenschutzerklärungen wird also ebenso dringend notwendig wie die der Online-Erklärungen beispielsweise für Homepage oder Online-Rechner.
Muster für alle Datenschutzunterlagen finden sich bei diversen Anbietern. Es empfiehlt sich, auf deren ISO27001–Zertifizierung zu achten. So arbeiten beispielsweise bei der activeMind AG, einem Anbieter für externe Datenschatzbeauftragte, meist Volljuristen mit langjähriger Berufserfahrung im Datenschutz und mit umfassenden IT-Kenntnissen und Lehrerfahrung. Auf der Homepage dieses Anbieters sind zahlreiche Vorlagen und Muster für den Datenschutz erhältlich.
Anzeige
Doch diese Maßnahmen reichen noch nicht aus. Auch die Technik und die Arbeitsverträge müssen überarbeitet werden, um das eigene Maklerbüro sattelfest zu machen für die neue Datenschutzverordnung. Was es hierbei zu beachten gilt, lesen Sie morgen beim Versicherungsboten.
- EU-Datenschutz-Grundverordnung - der Aufreger des Jahres?
- Gehen Sie die Umsetzung der DSGVO als Projekt an!