Versicherungsmakler sind von DSGVO unmittelbar betroffen
Die neue EU-Datenschutzgrundverordnung DSGVO betrifft auch Versicherungsmakler direkt. Nachdem die Wirtschaftsprüfer und Unternehmensberater Jana-Sophie Daub und Michael Kötting in einem ersten Artikel erläutert haben, welche Ziele die DSGVO allgemein verfolgt, erklären sie jetzt, wie sich Versicherungsmakler konkret darauf einstellen müssen. Der erste Teil ihres Artikel kann hier gelesen werden.
- Versicherungsmakler sind von DSGVO unmittelbar betroffen
- Betroffenenrechte und Datenschutzorganisation
Rechtmäßige Verarbeitung und Informationspflichten
Die Anforderungen der DSGVO gelten für öffentliche und private Organisationen mit Sitz in der Europäischen Union. Somit können sich auch Makler einer Auseinandersetzung mit der DSGVO nicht entziehen. Im Rahmen der rechtmäßigen Verarbeitung müssen Makler unter anderem zukünftig dafür Sorge tragen, dass bei jeder Form der Verarbeitung personenbezogener Daten eine Einwilligungserklärung zur Datenerhebung und -verarbeitung dokumentiert vorliegt. Hierbei ist darauf zu achten, dass die Einwilligungsklauseln und die Belehrung hinsichtlich der Betroffenenrechte verständlich und transparent kommuniziert werden. So sehen es Art. 7 und 12 der DSGVO vor.
Anzeige
Die Textabschnitte sollten daher klar hervorgehoben werden und sich von übrigen Klauseln abheben. Darüber hinaus müssen Kunden in Zukunft wesentlich detaillierter über die Nutzung und Verarbeitung ihrer Daten informiert werden. Dies hat zur Folge, dass bestehende Einwilligungserklärungen nicht nur inhaltlich angepasst, sondern auch schriftlich dokumentiert und aufbewahrt werden müssen, um der Nachweispflicht nach Art. 5 (2) DSGVO zu genügen.
Die vorzunehmenden Anpassungen beschränken sich jedoch nicht auf Anpassungen der Einwilligungserklärung. Betroffene Unternehmen sind darüber hinaus verpflichtet, ihre Versicherungskunden über deren Rechte bei der Erhebung von personenbezogenen Daten zu informieren (Vgl. Art. 13, Art. 14 DSGVO). Dies ist ebenso wie bei der Einwilligungserklärung schriftlich zu dokumentieren und aufzubewahren.
In der Praxis stellt dies vor allem eine Herausforderung in Zusammenhang mit Telefonaten und Kurzmitteilungen zwischen Kunden und Maklern dar. Zum einen ist es daher wichtig, bei der Datenerhebung per Telefon bzw. Kurznachrichtendienst den Kunden über seine Rechte zu informieren. Zum anderen sollten sich Makler im Nachgang relevante Gesprächsinhalte und Kommunikationsverläufe vom Kunden schriftlich bestätigen lassen. Durch dieses Vorgehen wird nicht nur die Nachweispflicht gewährleistet, sondern es ergibt sich auch für den Kunden die Möglichkeit, im Rahmen der schriftlichen Bestätigung der Datenverarbeitung zu widersprechen, sollte etwas nicht korrekt erfasst worden sein (Vgl. Art. 21 DSGVO).
Entschließt sich ein Makler für die Weitergabe von personenbezogenen Kundendaten an Dritte, sind betroffene Personen über die Weitergabe zu informieren. Dies gilt nicht nur für die Datenübermittlung an Versicherungsunternehmen, sondern zum Beispiel auch für die Übermittlung an Untervermittler, Maklerpools, Kooperationspartner oder Dienstleister (Vgl. Art. 28 DSGVO). Zusätzlich ist der Kunde über die Weitergabe seiner Daten zu informieren und auch über sein Widerspruchsrecht diesbezüglich aufzuklären (Vgl. Art. 13, Art. 14 DSGVO). Diese Pflichten gelten ebenfalls bei der Bestandsübertragung an einen neuen Makler. Eine Ausnahme besteht lediglich, wenn die Bestandsübertragung im berechtigten Interesse des Kunden erfolgt (Vgl. Art. 6 (1) f) DSGVO). Eine gesetzeskonforme Argumentation auf dieser Basis fällt jedoch äußerst schwer, weshalb dringend empfohlen wird, eine erneute Einwilligung des Kunden einzuholen.
Anzeige
Über die bereits erwähnten Anpassungen hinaus sind auch die Internetauftritte von Maklern an die neuen Anforderungen der DSGVO anzupassen. Ganz konkret bedeutet dies beispielsweise, Kontaktformulare um notwendige Datenschutzhinweise zu ergänzen. Aber auch bei der Datenerhebung im Internet müssen Versicherungskunden in Zukunft über Art, Umfang und Zweck der Erhebung der personenbezogenen Daten sowie über ihre Rechte informiert werden. Auch im Internet muss eine explizite Einwilligung des Kunden eingeholt werden. In der Praxis wird die Einwilligung zumeist über das Aktiveren einer Auswahlbox umgesetzt, wodurch der Kunde sein Einverständnis zur Datenerhebung mitteilt. Sollten Datenschutzhinweistexte bereits durch das Telemediengesetz abgedeckt sein, sind diese im Rahmen der DSGVO nochmals visuell hervorzuheben. Ist das Fehlen einer Datenschutzerklärung auch heute noch ein häufiger Fehler, so sollte die Verschärfung der Haftungsregeln doch Motivation genug sein, diesen Mangel kurzfristig zu beheben.
Betroffenenrechte und Datenschutzorganisation
Betroffenenrechte
Ein weiteres wichtiges Merkmal der DSGVO stellen die Betroffenenrechte dar, welche auch von den Maklern berücksichtigt werden müssen. So müssen Makler dem Widerspruchsrecht ihrer Kunden, aber auch den Rechten zur Auskunft, Berichtigung, Sperrung, Löschung und der Mitteilung bei der Datenübermittlung an Dritte nachkommen können (Vgl. Art. 20 DSGVO). Waren die Betroffenenrechte zwar grundsätzlich bereits unter dem BDSG-alt gefordert, sind in der Praxis oftmals keine adäquaten Prozesse eingerichtet.
Bei der Neudefinition dieser Prozesse sollten Makler allerdings berücksichtigen, inwieweit sich die Betroffenenrechte auf Basis des verwendeten Maklerverwaltungsprogramms umsetzen lassen. So sollte das verwendete Maklerverwaltungsprogramm Auskunft über sämtliche gespeicherte personenbezogene Daten liefern können sowie die Möglichkeit bieten, personenbezogene Daten zu korrigieren, zu sperren und zu löschen. Des Weiteren sollte das Maklerverwaltungsprogramm in der Lage sein, personenbezogene Daten in ein maschinell lesbares Format zu exportieren, um dem Recht auf Datenübertragbarkeit genügen zu können (Vgl. Art. 6 (1) b) DSGVO).
Anzeige
Gibt es hinsichtlich der Betroffenenrechte keinen großen Auslegungsspielraum, bietet das Widerspruchsrecht derzeit noch Diskussionsbedarf. Anders als bei Versicherungsunternehmen, welche die Möglichkeit haben, Widersprüchen unter Berufung der Vertragserfüllung entgehen zu können (Vgl. Art. 6 (1) b) DSGVO), ist bei Maklern eine gesetzeskonforme Argumentation diesbezüglich nur schwer darstellbar. Dies kann zur Folge haben, dass dem Makler die Verarbeitung der erhobenen personenbezogenen Daten untersagt und dieser zur Löschung aufgefordert werden kann, während hingegen den Versicherungsunternehmen die Verarbeitung der Daten weiterhin gestattet bleibt. Daraus resultiert, dass der Makler keinerlei Informationen mehr über den Versicherungskunden besitzt und daher auch keine Möglichkeit der Ansprache besteht.
An dieser Stelle ist noch einmal explizit hervorzuheben, dass es sich bei den Betroffenenrechten nicht nur um die an den Versicherer übermittelten Vertragsdaten handelt, sondern insbesondere auch um Akquisedaten, welche sich im Besitz des Maklers befinden. Dies bedeutet, dass der Makler in Bezug auf die Vertragsdaten zwar Unterstützung seitens des Versicherers erwarten kann, er allerdings im Hinblick auf die Akquisedaten selbstständig entsprechende Datenschutzmaßnahmen einrichten muss. Daher ist es sinnvoll, sämtliche Datenschutzanforderungen sowohl auf Vertrags- als auch auf Akquisedaten anzuwenden. Daher sollten Makler unverzüglich klären, inwieweit ihr eingesetztes Maklerverwaltungsprogramm die Erfüllung der Datenschatzanforderungen gewährleisten kann.
Datenschutzorganisation
Neben den bereits angeführten und beschriebenen Informationspflichten und Betroffenenrechten sind auch eine angemessene Datenschutzorganisation und technisch-organisatorischen Maßnahmen zentrale Anforderungen der DSGVO (Vgl. Art. 24, Art. 32 DSGVO). Im Hinblick auf die technisch-organisatorischen Maßnahmen bedeutet dies, dass Makler neben der bloßen Umsetzung der Maßnahmen durch die Rechenschaftspflicht auch eine umfangreiche Dokumentation vorhalten müssen (Vgl. Art. 5 (2)). Durch die Umkehrung der Beweislast sind Makler somit zukünftig in der Pflicht, jederzeit den Nachweis erbringen zu können, dass keine fehlerhafte Verarbeitung stattgefunden hat. Ein erster Schritt in diese Richtung kann durch Nutzung aktueller Technik unternommen werden. So sollten sich Makler immer mit dem neuesten Stand der Technik arbeiten, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Daher sind in regelmäßigen Abständen Software-Updates sowie eine tägliche, mindestens jedoch wöchentliche Feuer- und Diebstahlsicherung vorzunehmen.
Zusätzlich sollten auch technische Maßnahmen zur Sicherstellung einer angemessenen IT-Sicherheit ergriffen werden (Vgl. Art. 24, Art. 32 DSGVO), welche zum Beispiel die Verwendung personalisierter Benutzerkonten, die Absicherung von Computern mit sicheren Passwörtern, die Verschlüsselung von E-Mails, aber auch die Nutzung aktueller Virenprogramme und Firewalls beinhalten. Auch wenn solche Maßnahmen zum heutigen Zeitpunkt von vielen Maklerbüros vernachlässigt werden, sollte diesen in Zukunft unter Berücksichtigung der signifikant höheren Sanktionen mehr Beachtung geschenkt werden. Daher ist den Maklern zu raten, frühzeitig auf die Anbieter der Maklerverwaltungsprogramme zuzugehen, um sich über den aktuellen Sicherheitsstand der Lösung zu informieren. Darüber hinaus sollten auch die Anbieter von Smartphone-Apps kontaktiert werden. Denn letztendlich liegt die Verantwortung der Datensicherheit nicht bei den Anbietern von Programmen und Apps, sondern bei den Maklern selbst (Vgl. Art. 4 (7) DSGVO).
Jedoch müssen Makler nicht nur auf technischer Ebene aktiv werden. Ebenso sind zahlreiche organisatorische und prozessuale Maßnahmen umzusetzen. Im ersten Schritt bedeutet dies, dass sich alle an der Verarbeitung personenbezogener Daten beteiligten Personen dem Datengeheimnis verpflichten müssen. Darüber hinaus müssen Maklerbüros ab einer Unternehmensgröße von zehn Personen ein Datenschutzbeauftragten bestellen (Vgl. § 38 BDSG-neu). Hierbei sollte darauf geachtet werden, dass es sich um einen fachlich qualifizierten Mitarbeiter handelt, welcher in seiner Funktion als Datenschutzbeauftragter der Unternehmensführung unterstellt ist, in seiner Rolle als Datenschutzbeauftragter jedoch weisungsfrei handeln kann (Vgl. Art. 38 (3) DSGVO). Hierbei kann der Datenschutzbeauftragte in seiner Funktion als Beschäftigter des Maklers auftreten oder aber seinen Aufgaben auf Basis eines Dienstleistungsvertrages nachkommen (Vgl. Art. 37 (6) DSGVO).
Für kleinere Maklerbüros mit einer Mitarbeiterzahl unter zehn Personen besteht hingegen keine Pflicht, einen Datenschutzbeauftragten zu bestellen. Stattdessen können sich die Makler in diesem Fall an ihren zuständigen Berufsverband wenden, um einen verbandsweiten Datenschutzbeauftragten zu beantragen (Vgl. Art. 37 (4) DSGVO).
Zu guter Letzt sollte auch die Meldepflicht bei Datenschutzverstößen erwähnt werden (Vgl. Art. 33, Art. 34 DSGVO). Grundsätzlich besteht diese Verpflichtung auch schon im BDSG-alt. Unter der DSGVO wurde auf diese Verpflichtung jedoch eine Beweislastumkehr angewendet. Während in der bisherigen Gesetzgebung Datenschutzverstöße nur bei dem Auftreten eines Risikos gemeldet werden mussten, sind nach der DSGVO alle Datenschutzverstöße zu melden, sofern ein Risiko nicht explizit ausgeschlossen werden kann (Vgl. Art. 33 (1) DSGVO). Ein Datenschutzverstoß umfasst hierbei alle Aktivitäten, welche eine Verletzung der zuvor genannten Grundsätze herbeiführt. Eine weitere Neuerung besteht auch in der zeitlichen Frist, in der ein Datenschutzverstoß gemeldet werden muss. Die Meldung hat nach den Anforderungen der DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu erfolgen.
Michael Kötting: Michael Kötting ist als Berater für eine der führenden europäischen Unternehmensberatungen im Bereich Financial Services tätig. Im Rahmen seiner Tätigkeit befasst er sich insbesondere mit Fragestellungen des Datenschutzes und der Informationssicherheit innerhalb der Versicherungswirtschaft.
Anzeige
Jana-Sophie Daub: Jana-Sophie Daub ist für eine der weltweit führenden Wirtschaftsprüfungs- und Beratungsgesellschaften im Bereich Versicherungen tätig. Ihr Fokus umfasst verschiedene Themenfelder der IT-Compliance mit einem Schwerpunkt auf datenschutzrechtlichen Fragestellungen.
- Versicherungsmakler sind von DSGVO unmittelbar betroffen
- Betroffenenrechte und Datenschutzorganisation