Datenschutz im Vermittlerbüro: Die größten rechtlichen Stolpersteine
Aus der Haufe Redaktion
Zum Thema Datenschutz gibt es viele Schauergeschichten mit drohenden Millionenstrafen bei Verstößen. Wie Versicherungsvermittler davon betroffen sind, worauf sie besonders achten sollten und was im Ernstfall zu tun ist, erläutert Ann-Kathrin Birker im Interview. Sie ist als Consultant für die CompCor Compliance Solutions GmbH & Co. KG aus Remchingen tätig.
Frau Birker, was ist dran am Schreckgespenst Datenschutz-Grundverordnung (DSGVO)?
Tatsächlich können die Strafen mit bis zu 20 Millionen Euro oder mit bis zu vier Prozent des weltweit erwirtschafteten Jahresumsatzes des Vorjahres sehr hoch ausfallen. Nur aus diesem Grund sollte aber niemand das Thema Datenschutz pauschal verteufeln oder als eine Art Feindbild ansehen.
Denn das grundsätzliche Ziel von Datenschutz ist zu begrüßen: nämlich jedem das Recht auf Kenntnis zu garantieren, welche Daten, wo, wie und warum verarbeitet werden.
Um dieses Ziel zu erreichen, müssen wir – unter anderem durch den Fortschritt im Bereich der Digitalisierung – steigende Anforderungen erfüllen. Neben der Einführung und Erweiterung DSGVO-konformer Verfahren und Abläufe bedeutet das auch die Implementierung bzw. Anpassung einer entsprechenden IT-Infrastruktur.
Ab wann brauchen Vermittlerbüros einen Datenschutzbeauftragten?
Gemäß Art. 37 DSGVO i.V.m. § 38 BDSG muss ein Datenschutzbeauftragter bestellt werden, sobald ein Unternehmen mindestens 20 Personen beschäftigt, zu deren Tätigkeitsfeld auch die Verarbeitung personenbezogener Daten zählt.
Es gibt jedoch auch Ausnahmen, in denen bereits bei geringerer Personalstärke ein Datenschutzbeauftragter bestellt werden muss. Dies ist z. B. dann der Fall, wenn es sich um eine „umfangreiche Verarbeitung besonderer Kategorien“ personenbezogener Daten handelt (Art. 35 Abs. 3 lit. b DSGVO). In diese Kategorie fallen unter anderem biometrische oder Gesundheitsdaten.
Auch in den Fällen, bei denen eine Datenschutz-Folgenabschätzung (im Folgenden: DSFA) vorzunehmen ist (§ 38 BDSG), müssen Sie in jedem Fall einen Datenschutzbeauftragten benennen.
Diese DSFA ist gem. Art. 35 DSGVO durchzuführen, wenn beispielsweise die Art und Weise oder der Umfang der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte einer betroffenen Person haben könnte. Exemplarisch seien an dieser Stelle der automatisierte Abgleich von Kundendaten (bspw. Einkommen) mit Datenbanken oder die Nutzung biometrischer Daten für Zugangsberechtigungen genannt.
Die Beurteilung, ob eine DSFA vorzunehmen ist, entpuppt sich in der Praxis häufig als sehr komplex. Deshalb hat die Datenschutzkonferenz (DSK) eine sogenannte „Muss-Liste“ veröffentlicht. Diese gibt Auskunft darüber, in welchen Fällen bzw. für welche Verarbeitungstätigkeiten eine DSFA verpflichtend ist. Diese Liste wird regelmäßig aktualisiert und enthält typische Einsatzfelder und Beispiele.
Zusätzlich unterstützen die Aufsichtsbehörden der Länder mit „Black-Lists“ (Muss-Listen, wie zum Beispiel die des LfDI Baden-Württemberg) und „White-Lists“ (Braucht-Nicht-Listen, wie zum Beispiel die der LDA Bayern).
Bei welchen geschäftlichen Aktivitäten muss das Thema Datenschutz besonders beachtet werden?
Grundsätzlich ist das Thema Datenschutz bei allen Ihren Tätigkeiten zu beachten, aber natürlich ganz besonders, wenn Sie die bereits beschriebenen besonderen personenbezogenen Daten verarbeiten. Dabei müssen Sie besonders auf Folgendes achten:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Rechenschaftspflicht
Diese Grundsätze müssen Sie bei allen Tätigkeiten einhalten. Als Verantwortlicher (i.d.R. ist das die Geschäftsführung) haben Sie die Pflicht, Ihre Mitarbeitenden entsprechend zu schulen und zu sensibilisieren.
Sollten Sie Zweifel haben, kann die Anwendung der sogenannten „OBP-Regel“ helfen. Stellen Sie sich folgende Fragen: Können Sie es Ihrer Oma erklären? Was sagt Ihr Bauchgefühl dazu? Können Sie es vor der Presse vertreten? Lautet die Antwort auf mindestens eine der Fragen nein, so sollten Sie von der Verarbeitung dieser personenbezogenen Daten zunächst Abstand nehmen und Rücksprache mit den Verantwortlichen und/ oder dem Datenschutzbeauftragten halten.
Was sind die größten Fehler? Worauf müssen Firmen besonders achten?
Unserer Einschätzung nach gibt es drei große Fehler bzw. Punkte, an denen Achtsamkeit geboten ist:
- Das Thema Datenschutz wird auf die leichte Schulter genommen und „nebenbei“ abgehandelt. Datenschutz muss aber in alle Prozesse so implementiert werden, dass verschiedene Fragen und Zweifel gar nicht erst entstehen. Dafür bedarf es außerdem einer entsprechenden Sensibilisierung und Schulung der Mitarbeitenden.
- Mangelhafte IT-Infrastruktur: Die DSGVO schreibt zwar kein explizites IT-Sicherheitskonzept vor, sie verlangt jedoch beispielsweise ein Verzeichnis über die Verarbeitungstätigkeiten (Art. 30 DSGVO). In diesem müssen Sie alle technischen und organisatorischen Maßnahmen beschreiben und schriftlich dokumentieren. Zu diesen Maßnahmen zählen laut Art. 32 DSGVO beispielsweise die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit, oder auch die rasche Wiederherstellbarkeit der Daten. Dies alles verfolgt das Ziel, ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Das fehlende Bewusstsein, dass sensible Daten verarbeitet werden. Welche das sind, ist in Art. 9 DSGVO definiert. In der Praxis können darüber hinaus jedoch auch Daten wie Kreditkarteninformationen etc. zu den sensiblen Daten gezählt werden.
Je nach Ausrichtung und Spezialisierung Ihres Vermittlerbüros verarbeiten Sie daher möglicherweise eine Vielzahl an sensiblen Daten. Sie sollten identifizieren, welche Daten und welche Datenkategorien in Ihrem Unternehmen verarbeitet werden und Ihre weiteren Vorgehensweisen passgenau darauf ausrichten.
Was tun, wenn es zum Datenschutzverstoß gekommen ist?
Ruhe bewahren und gemäß dem (hoffentlich) vorher definierten Schema agieren! Sie sollten die sofort verfügbaren Fakten und Informationen sammeln und auf dieser Grundlage eine Einschätzung vornehmen, ob der Verstoß tatsächlich zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen geführt hat.
Falls ja, müssen Sie gemäß Art. 33 DSGVO innerhalb von 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erstatten. Im Fall eines hohen Risikos für die persönlichen Rechte und Freiheiten der Betroffenen müssen Sie diese unverzüglich selbst benachrichtigen.
Das Thema Datenschutz ist komplex. Sollten Sie sich als Versicherungsvermittler unsicher sein, ob Sie wirklich alle Anforderungen des Datenschutzes beherrschen, könnten Sie die Beauftragung eines externen Datenschutzbeauftragten (unabhängig von der gesetzlichen Verpflichtung) in Erwägung ziehen. Damit minimieren Sie für überschaubares Geld Ihre Risiken und schaffen mehr Kapazitäten für Ihr Kerngeschäft.