Am 25.05.2018 wird die neue EU-Datenschutz-Grundverordnung verbindlich, die auch für Versicherungsmakler neue Pflichten vorsieht. Sie müssen noch sorgfältiger als bisher garantieren, dass sensible Daten der Kunden sicher bewahrt werden und auch im Austausch mit externen Dienstleistern nicht missbraucht werden können. In seinem gestrigen Beitrag empfahl AssekuranzDoc Dr. Peter Schmidt, dass Maklerbüros detailliert prüfen sollen, ob und wie sie die Anforderungen der neuen Verordnung erfüllen (hier nachzulesen). Das beinhaltet auch, die verwendete Technik und Arbeitsverträge zu überprüfen - ein Thema, dem sich der AssekuranzDoc heute widmet.
Wird die EU-Datenschutzverordnung wirksam, müssen auch die verwendete Technik im Maklerbüro sowie bestehende Arbeitsverträge geprüft werden. In einer Handlungsempfehlung und Checkliste der Rechtsanwaltskanzlei Jöhnke & Partner wird prononciert darauf aufmerksam gemacht, dass die interne IT und EDV nach dem aktuellen Stand der Technik zu überprüfen ist. Dazu gehören nach deren Meinung beispielsweise:
- Maklerverwaltungsprogramme
- Messenger - Systeme
- Buchhaltung
- CRM
- Digitale Dokumentenablage
- Server, Clients, VPN
- Passwörter und Zugangsdaten
- Zugangsberechtigungen
Die Hamburger Rechtsanwälte raten zu folgender Fragestellung: Hält die eigene IT und die EDV einer aktuellen Überprüfung auf Datenschutzkonformität nach der EU - DSGVO stand?
Besondere Aufmerksamkeit gilt auch den technischen und organisatorischen Maßnahmen, den sogenannten TOMs. Dabei handelt es sich um bereits jetzt im Bundesdatenschutzgesetz (BDSG) festgelegten Maßnahmen, um Sicherheits- und Schutzanforderungen zu erfüllen. Nehmen wir als Beispiel für eine TOM nach § 9 BDSG den Zutritt zum Maklerbüro. Als Ziel für diese TOM würde die Vermeidung des Zutritts unbefugter Personen in das Maklerbüro fixiert. Als Maßnahme könnte konkret die vorhandene Alarmanlage oder ein besonderer Schließmechanismus an der Bürotür mit PIN in der Liste der TOM festgehalten werden.
Der @AssekuranzDoc
Dr. Peter Schmidt ist Experte Personenversicherungen und Unternehmensberater im Bereich Versicherungen, Vertriebe und Makler mit langjähriger Erfahrung als Führungskraft und Vorstand bei deutschen Versicherern und twittert als @AssekuranzDoc.
Nach der Technik sind sämtliche Verträge in Ihrem Unternehmen unter die Lupe zu nehmen. Denken Sie nicht nur an die Arbeitsverträge Ihrer Mitarbeiter, sondern auch an Reinigungs- und Servicedienste, die in Ihrem Unternehmen direkt oder indirekt mit digitalen Daten zu tun haben. Sie werden auch Regelungen zu Arbeitsabläufen zum Feierabend prüfen und gegebenenfalls anpassen müssen.
Makler, die über Ihre Homepage auch direkt Versicherungen als Onlineshop verkaufen, sollten sich mit den speziellen Regelungen des Art. 12 Abs. 1 DSGVO befassen. Sie werden zur „Einrichtung geeigneter Maßnahmen“ aufgefordert, die eine gesetzeskonforme Informationserfassung und – vermittlung ermöglichen. Leider sind die umzusetzenden Maßnahmen sehr allgemein gehalten und der Betreiber wird mit seinem eigenen Sachverstand geeignete Maßnahmen einleiten und dokumentieren müssen.
Dokumentieren, wie Daten geschützt werden
In Verbindung von DSGVO und IDD werden Sie sich auch mit einer Matrix zum Beschwerdemanagement auseinandersetzen müssen. Gehen Sie beispielhaft vom Fall aus, eine Kunde beschwert sich, dass seine Daten missbräuchlich verwendet wurden. Sie müssen dann nachweisen, wie die Kundendaten im Unternehmen geschützt werden und wie bei Ihrem Unternehmen mit Beschwerden umgegangen wird. Allein der Satz „Das machen wir schon. Und wenn es klemmt, dann bekommt der Chef es auf den Tisch“ genügt dann nicht mehr. Sie müssen den definierten Regelprozess Beschwerde dokumentieren und vorweisen können.
Datenschutz und Datengeheimnis sind auf die Tagesordnung von Mitarbeiterschulungen zu setzen. Verpflichten Sie Ihre Mitarbeiter auf Datenschutz nach Art. 24 DSGVO – schriftlich. Es kann nicht mehr angehen, dass Kundendaten nur auf Basis von Treu und Glauben weitergegeben werden. Jeder von uns würde es auch nicht mögen, wenn persönliche Daten so mir nichts dir nichts durch die Welt geistern. Ein Muster für eine Unterrichtung und Verpflichtung der Mitarbeiter zu dem Thema hat das Landesamt für Datenschutz, Bayern, ins Web gestellt.
Schutz vor kriminellem Datenklau
Auch das Thema Datenklau gehört auf die Agenda von Versicherungsmaklern, wenn sie die Anforderungen der neuen Datenschutz-Grundverordnung erfüllen wollen. Vor einigen Wochen habe ich an dieser Stelle auf verschiedene Formen des Daten- und Kundenklaus bei Maklerunternehmen aufmerksam gemacht. Mehr als jeder zehnte Unternehmer muss für seine Firma kritisch feststellen, dass man nicht in der Lage sei, personenbezogene Daten effektiv zu suchen oder zu analysieren.
Nicht vorhandene moderne Maklerverwaltungsprogramme, mangelhafte externe Datensicherung, fehlender Datenschutz und „handgestrickte“ Homepages und Onlinerechner sind in der Vermittlerbranche keine Seltenheit. Nutzen Sie deshalb den zusätzlichen Antrieb aus der EU-DSGVO dazu, sich professionell aufzustellen und endlich auch eine Versicherung gegen die finanziellen Folgen von Cyberrisiken abzuschließen.
Mehrkosten durch einen Datenschutz-Beauftragten
Die Frage der Notwendigkeit der Bestellung eines Datenschutzbeauftragten wird viele Makler bewegen. Zunächst ist die Unternehmensgröße sowie die Anzahl der Mitarbeiter, die regelmäßig mit der Datenbe- und Datenverarbeitung befasst sind, zu ermitteln. Werden besonders schützenswerte Daten ermittelt und digital verarbeitet, was bei den meisten Maklern der Fall ist, ist ebenfalls von der Bestellpflicht unabhängig von der Anzahl der Mitarbeiter auszugehen.
Interne Datenschutzbeauftragte können durch die Geschäftsleitung berufen werden, wenn diese die fachliche Eignung und Kenntnis zu den Datenprozessen im Unternehmen haben. In größeren Unternehmen sind die Datenschutzbeauftragten weisungsmäßig nicht der Geschäftsleitung unterstellt. Ebenfalls ist eine Personalunion von Geschäftsführer und Datenschutzbeauftragten zu vermeiden. Deshalb werden viele Makler auf externe Datenschutzbeauftragte zurückgreifen müssen. Mehrkosten ab 150,00 EUR pro Monat sind dafür einzukalkulieren.
Zahlreiche Hinweise zur Umsetzung der EU-DSGVO können Sie ab 13. März 2018 auch auf der bereits benannten Vermittlerfortbildung in Berlin, Leipzig und Dresden sowie in Karlsruhe und Regensburg persönlich erhalten und mit den Referenten diskutieren. Nutzen Sie die Chance.
Abschließend noch der Hinweis: Eine nicht rechtskonform aufgestellte Maklerfirma wird sich im Fall der Fälle auch schlechter einer erfolgreichen Nachfolge zuführen lassen. Tun Sie nicht nur für den Gesetzgeber, was er will. Tun Sie sich mit einer erfolgreichen Umsetzung der EU-DSGVO etwas Gutes – Ihr AssekuranzDoc.