Datenschützer haben oft einen schlechten Ruf. Sie gelten häufig als Blockierer digitaler Entwicklung, die auch der Versicherungsbranche die Arbeit schwer machen. Was ein Datenschutzbeauftragter wirklich will, wann Vermittler einen brauchen, welche Aufgaben er übernimmt (und welche nicht), erklärt Datenschutzexperte Achim Barth.
Wer sich als Versicherungsbüro einen Datenschutzbeauftragten ins Haus holt, geht in doppeltem Sinne auf Nummer sicher. Der Vermittler produziert nicht etwa zusätzliche Kosten oder verschließt sich dem digitalen Fortschritt – im Gegenteil: Mit einem solchen Profi an der Seite sorgen Versicherungsexperten dafür, dass sie auch zukünftig wettbewerbsfähig bleiben. Denn wer sich jetzt nicht um das Thema kümmert und den Schutz der Kundendaten schleifen lässt, kommt irgendwann nicht mehr hinterher. Er schadet seinem Geschäft und versäumt den Sprung in die Zukunft – eine Welt, in der Daten Gold wert sind.
Viele Versicherungsbüros treibt als Erstes die Frage um, ob sie nach den gesetzlichen Vorgaben einen Datenschutzbeauftragten benennen müssen. Die Antwort lautet: ja, wenn der Inhaber mehr als 20 Mitarbeiter beschäftigt. In diesem Falle sind Unternehmen verpflichtet, einen Beauftragten vorweisen zu können. Wer als Selbstständiger unter dieser 20-Mann/Frau-Grenze bleibt, braucht niemanden zu ernennen – er darf es aber natürlich. Vorteile hat es allemal: Denn wenngleich der Betrieb klein ist, die Datenschutzpflichten bleiben dieselben. Ohne fachliche Hilfe müssen Vermittler, Makler oder Berater selbst dafür sorgen, dass in ihrem Unternehmen die DSGVO eingehalten wird.
Aufräumen mit Irrtümern
So oder so gilt es, mit zwei Denkfehlern aufzuräumen: Das Gros der Vermittler geht davon aus, der Datenschutzbeauftragte sei für den Datenschutz in der Firma verantwortlich – ein verbreitetes Missverständnis. Verantwortlich ist und bleibt die Geschäftsführung, der Vorstand oder Inhaber. Der Chef kann zwar einen Teil des Paketes an ihn delegieren, nicht aber die Verantwortung. Natürlich haftet der externe Datenschutzbeauftragte, sollte er ein Unternehmen falsch beraten und daraus Schaden entstehen. Schließlich muss der Versicherungsprofi sich auf die Expertise seiner zertifizierten Fachkraft verlassen können.
Der zweite Irrglaube, der in vielen Köpfen kursiert: dass der Beauftragte den Datenschutz im Unternehmen umsetzt. Dazu ist er weder berechtigt noch verpflichtet. Seine Aufgabe ist es, den Kopf der Mannschaft, die Crew und die Kunden des Betriebs bei Fragen zum Thema zu beraten. Die Fachkraft bewertet, ob Verarbeitungstätigkeiten rechtmäßig sind, und behält stets das Risiko der Kunden, Mitarbeiter oder Dienstleister im Blick. Weiter checkt er, ob Sicherheitsmaßnahmen und Prozesse zur Datensicherheit zuverlässig umgesetzt werden. Daher sollten Vermittler nur mit Fachkräften zusammenarbeiten, die die spezifischen Anforderungen des technischen Datenschutzes in der Versicherungsbranche bewerten können.
Beratung, Überwachung, Empfehlung
Ein kompetenter Ansprechpartner unterstützt den Versicherungsvermittler auf mehreren Ebenen: Er informiert über die aktuelle Gesetzeslage, hilft dabei, die IT-Infrastruktur zu optimieren, berät bei der Wahl der Technikpartner und spart dem Vermittler so jede Menge Fehlinvestitionen. Dabei hat der Datenschutzkenner immer den digitalen Fortschritt im Blick. Schließlich soll neue Software das Geschäft beschleunigen und nicht verlangsamen.
Alle Aufgaben des Datenschutzbeauftragten stehen auch in Artikel 39 der DSGVO: Der Beauftragte informiert demnach den Inhaber eines Versicherungsbüros und alle Akteure darin über die gesetzlichen Datenschutzpflichten. Er berät bei der Umsetzung und überwacht, ob der Betrieb alle Vorgaben erfüllt: Funktionieren die Schutzmaßnahmen? Weiß jeder Mitarbeiter, welche Vorkehrungen in welcher Situation einzuhalten ist? Hat der Chef alle Kollegen unterwiesen, bzw. eine Schulung ermöglicht? Gleichzeitig berät der Beauftragte bei der „Datenschutz-Folgenabschätzung“ und überwacht ihre Durchführung. Zu guter Letzt steht er als Anlaufstelle für die Aufsichtsbehörde bereit und arbeitet mit ihr zusammen, sollte es zu einer Datenpanne kommen.
Wer als Datenschützer professionell arbeitet, setzt bei seiner Arbeit auf einen ganzheitlichen Beratungsansatz und bearbeitet mögliche Baustellen praxis- und lösungsorientiert. Er prüft, welche Verarbeitungstätigkeiten der Vermittler umsetzt und ob diese DSGVO-konform ablaufen. Gibt es hier Mängel, schlägt der Experte stillen Alarm: Er unterstützt das Team dabei, Abläufe so anzupassen, dass sie die gesetzlichen Anforderungen erfüllen. Außerdem arbeitet der Datenschützer so zu, dass der Versicherungsprofi die vorgeschriebene Datenschutz-Dokumentation parallel zu seinem Tagesgeschäft erstellen kann. Somit kann der Inhaber den Behörden jederzeit beweisen, dass sein Betrieb top aufgestellt ist.
Und wie läuft die Umsetzung intern?
Damit Datenschutzbeauftragte ihre Aufgaben erfüllen können, müssen Vermittlerbüros bestimmte Voraussetzungen schaffen: Die Unternehmen brauchen zum Beispiel einen systematischen Prozess, der den Datenschutzprofi stetig über für ihn relevante Themen informiert. Zudem muss die Datenfachkraft weisungsfrei agieren und direkt an die oberste Leitung berichten können. So stehen sie Versicherungsbetrieben mit ihrem Know-how jederzeit zu Seite.
Da die Umsetzung seiner Empfehlungen inhouse gelöst werden muss, braucht es für realen Datenschutz die Mitarbeit der Menschen im Betrieb. Nur so greifen die Maßnahmen. Damit externe und interne Akteure reibungslos zusammenarbeiten, ist es klug, wenn sich einige Mitarbeiter in diesem Bereich weiterbilden. Anschließend können diese qualifizierte Kollegen Anfragen problemlos bearbeiten und Technik in Absprache mit dem Profi selbst in Schuss halten. Hier eignen sich Engagierte aus den betroffenen Fachabteilungen, aus der Verwaltung oder Beratung. In dieser Kombination ergänzen sich Expertise des Beauftragten und Umsetzungskraft der Mitarbeiter ideal – egal, ob großer, kleiner oder Ein-Mann-Betrieb.