DSGVO - Was bedeutet die Datenschutz-Grundverordnung für Makler?
Welche Ziele und speziell Auswirkungen für Versicherungsmakler hat die neue Datenschutzgrundverordnung DSGVO? Das erläutern in einem zweiteiligen Gastbeitrag für den Versicherungsboten die Wirtschaftsprüfer und Unternehmensberater Jana-Sophie Daub sowie Michael Kötting. Im ersten Teil des Beitrages geht es um grundlegende Ziele der Verordnung und die Ausweitung der Datenschutzvorschriften. Konkrete Handlungsempfehlungen folgen dann in einem zweiten Artikel.
- DSGVO - Was bedeutet die Datenschutz-Grundverordnung für Makler?
- Die wesentlichen Grundsätze der DSGVO
1. Rechte von Dateneigentümern werden gestärkt
Am 25. Mai 2018 wird die Datenschutzgrundverordnung (DSGVO) verbindlich in Kraft treten. Damit einhergehend werden betroffene Unternehmen bisher geltende Datenschutzanforderungen ausweiten sowie ergänzend neue Anforderungen umsetzen müssen. Die mit den Anforderungen verbundene Zielsetzung wurde dabei im ersten Artikel der DSGVO manifestiert, indem es heißt, dass die Grundrechte und Grundfreiheiten natürlicher Personen im Hinblick auf Datenschutz gestärkt werden sollen (Vgl. Art. 1 (2) DSGVO).
Anzeige
Zur Gewährleistung dieses Ziels definiert die DSGVO umfassende Regelungen für die Verarbeitung personenbezogener Daten durch private und öffentliche Organisationen. Die Regeln besitzen dabei europaweit Gültigkeit. Ferner hat sich die Verordnung zum Ziel gesetzt, den freien Datenverkehr innerhalb des europäischen Binnenmarkts sicherzustellen (Vgl. Art. 1 (3) DSGVO).
Nach der Verabschiedung der DSGVO am 14. April 2016 durch das Europäische Parlament ist diese am 24. Mai 2016 in Kraft getreten. Aufgrund der europaweiten Gültigkeit der DSGVO bedarf es zudem keiner zusätzlichen Überführung der Verordnung in nationales Recht. Die Verordnung ist daher mit Stichtag 25. Mai 2018 in allen Mitgliedsstaaten der Europäischen Union von allen betroffenen Unternehmen verpflichtend anzuwenden.
Dennoch sind nationale Gesetzgebungen zum Datenschutz durch die jeweiligen Mitgliedsstaaten an die Anforderungen der DSGVO anzugleichen, um Widersprüchen zwischen nationalem Recht und Europarecht vorzubeugen. In Deutschland ist die Angleichung des bisherigen Bundesdatenschutzgesetzes (BDSG-alt) an die DSGVO bereits durch das Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUGEU) erfolgt. Das angepasste Bundesdatenschutzgesetz (BDSG-neu) wurde dazu am 05. Juli 2017 verkündet.
Werden die Anforderungen der DSGVO und des BDSG-neu von betroffenen Unternehmen nicht fristgerecht bis zum 25. Mai 2018 umgesetzt, müssen die Unternehmen mit umfangreichen Strafen rechnen. Während im BDSG-alt noch Strafen von bis zu 300.000 Euro vorgesehen waren, sieht die DSGVO Strafen von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweiten Jahresumsatzes vor (Vgl. Art. 83 (5) DSGVO).
Anzeige
2. bestehende Datenschutzvorschriften werden ausgeweitet
Die DSGVO definiert umfassende Datenschutzanforderungen an Unternehmen mit Sitz in der Europäischen Union. Für deutsche Unternehmen gilt jedoch, dass viele Aspekte der DSGVO nicht grundsätzlich neu sind, sondern in ähnlicher Art und Weise bereits im bisher geltenden BDSG-alt gefordert wurden. Trotz hoher Überschneidungen zwischen DSGVO und BDSG-alt lassen sich bei näherer Betrachtung dennoch vereinzelt Verschärfungen und Ausweitungen finden. Exemplarisch können genannt werden:
- die grundsätzliche Beweislastumkehr durch die Rechenschaftspflicht (Vgl. Art. 5 (2) DSGVO)
- die Verkürzung der Reaktionszeit bei Datenpannen (Vgl. Art. 33 (1) DSGVO)
- die Ausweitung von Informationspflichten bei Datenerhebung (Vgl. Art. 13 DSGVO) sowie
- eine Stärkung der Betroffenenrechte durch umfangreichere Auskunftspflichten (Vgl. Art. 15 DSGVO).
Die wesentlichen Grundsätze der DSGVO
Die wesentlichen Grundsätze der DSGVO sind im Art. 5 (1) festgehalten. Diese Grundsätze umfassen:
- (1) die Rechtmäßigkeit der Verarbeitung,
- (2) die Transparenz der Verarbeitung,
- (3) die zweckgebundene Verarbeitung,
- (4) die Minimierung und die Richtigkeit personenbezogener Daten,
- (5) die Speicherbegrenzung personenbezogener Daten sowie
- (6) die Integrität und Vertraulichkeit.
Darüber hinaus müssen Unternehmen nach Art. 5 (2) nachweisen können, dass die angeführten Grundsätze eingehalten werden. Im Vergleich zum bisherigen Recht stellt die sogenannte Rechenschaftspflicht eine Umkehr der Beweislast dar und fordert von den Unternehmen eine umfassende Dokumentation der eingerichteten und durchgeführten Datenschutzmaßnahmen.
Anzeige
Zur Erfüllung der angeführten Grundsätze definiert die DSGVO konkrete Anforderungen an betroffene Unternehmen. Bei den Anforderungen wird dabei grundsätzlich zwischen den Rechten der Betroffenen und den Pflichten der Unternehmen differenziert. Die Betroffenenrechte umfassen dabei:
- das Recht über Auskunft der Datenverarbeitung (Vgl. Art. 15 DSGVO),
- die umgehende Korrektur falscher Daten (Vgl. Art. 16 DSGVO)
- die Sperrung von Daten (Vgl. Art. 18 DSGVO),
- die Löschung personenbezogener Daten (Vgl. Art. 17 DSGVO) sowie
- die Bereitstellung aller personenbezogenen Daten in einem maschinenlesbaren Format (Vgl. Art. 20 DSGVO).
Das Gros der angeführten Rechte ist zwar schon im BDSG-alt grundsätzlich vorgesehen, die DSGVO legt jedoch die Betroffenenrechte breiter aus und gesteht den betroffenen Personen umfangreichere Rechte zu. Das Recht zur Datenportierbarkeit ist dabei im Vergleich zum bisherigen Recht neu und verlangt von den Unternehmen maximale Transparenz über die gespeicherten Daten.
Ein Mehraufwand für Unternehmen ist insbesondere bei der Informationspflicht zu erkennen, da zukünftig bei jeder Erhebung personenbezogener Daten inklusive Dritterhebung die betroffene Person über ihre Rechte informiert werden muss. Hierzu gehört auch, dass für jede Verarbeitung personenbezogener Daten eine explizite Einwilligung der betroffenen Person dokumentiert vorliegen muss. Neben der Ausweitung der Informationspflicht haben bisherige Pflichten wie die Einrichtung von technisch-organisatorischen Maßnahmen unverändert Gültigkeit und werden durch die Ausweitung der Meldepflichten bei Datenpannen und die Überprüfung von bestehenden Verträgen mit Auftragsdatenverarbeitern und Dienstleistern ergänzt.
Die Anforderungen der DSGVO sind zeitnah umzusetzen
Anders als Versicherungsunternehmen, welche sich bereits mit der Umsetzung der neuen Anforderungen der DSGVO auseinandersetzten, haben sich viele Makler noch nicht mit den konkreten Auswirkungen der DSGVO befasst. Im Hinblick auf den noch verbleibenden kurzen Umsetzungszeitraum sollten sich Makler daher kurzfristig mit der Umsetzung zentraler Datenschutzmaßnahmen der DSGVO auseinandersetzen. Insbesondere da einige der geforderten Aspekte mit einem höheren zeitlichen Aufwand verbunden sind, ist daher eine zügige Umsetzung ratsam. Angesichts der Tatsache, dass die Umsetzung bei Maklern eher verhalten ausfällt, ist damit zu rechnen, dass bis zum 25. Mai 2018 eine DSGVO-konforme Umsetzung vielerorts nicht gegeben ist. Da bereits schon heute Abmahnungen für Datenschutzverstöße gegenüber Makler an Häufigkeit gewonnen haben, ist eine zeitnahe Umsetzung daher ratsam.
Ein erster Schritt, die DSGVO umzusetzen, sollte darin bestehen, die bisher eingerichteten Datenschutzmaßnahmen mit den neuen Anforderungen aus der DSGVO abzugleichen. Da bereits durch die bisherige Gesetzgebung des BDSG-alt eine Basis datenschutzrechtlicher Anforderungen geschaffen wurde, können die Neuerungen der DSGVO darauf aufsetzen. Dadurch wird es möglich, Defizite zwischen dem aktuellen Datenschutzniveau und den Anforderungen der DSGVO zu identifizieren und diese zielgerichtet zu beheben. Auch wenn es sich bei der DSGVO-Umsetzung augenscheinlich nur um Kleinigkeiten handelt, sollten Makler weitere zeitliche Aufschübe vermeiden. Ein wichtiger Grund, der für eine zeitnahe Umsetzung spricht, sind die bereits erwähnten Haftungsregelungen, welche durch die DSGVO deutlich verschärft wurden. Aber auch das Klagerecht der Verbraucherschutzverbände sollte nicht unterschätzt werden und daher eine weitere Motivation darstellen, die neuen Anforderungen umzusetzen.
Die Auswirkungen der DSGVO sind hierbei insbesondere durch die Änderungen bei den Informationspflichten und der damit verbundenen Zunahme an Betroffenenanfragen nicht zu unterschätzen. Sollten bis zum 25. Mai 2018 die Betroffenenrechte nicht DSGVO-konform umgesetzt worden sein, wird dies mit einem hohen Aufwand für die Makler verbunden sein. Aufgrund der Tatsache, dass die Nichterfüllung der Betroffenenrechte ebenfalls zu einem Datenschutzverstoß führen kann, ist auch in dieser Hinsicht eine zügige Umsetzung zu empfehlen.
Anzeige
Wie bereits angeführt, wird die dargestellte Problematik durch das Klagerecht der Verbraucherschutzverbände deutlich verstärkt. Dadurch bietet sich den Verbänden die Möglichkeit, Unternehmen, aber auch Makler auf Unterlassung zu verklagen. Neben den Klagen von Verbrauchern drohen Maklern daher auch Klagen der Verbraucherschutzbände. In Verbindung mit den hohen Strafzahlungen, welche bis zu 20 Mio. EUR bzw. vier Prozent des Jahresumsatzes betragen können, haben erfolgreiche Klagen deutliche Auswirkungen auf die Geschäftstätigkeit.
- DSGVO - Was bedeutet die Datenschutz-Grundverordnung für Makler?
- Die wesentlichen Grundsätze der DSGVO