DSGVO 2018: Was Vermittler jetzt noch tun können

DSGVO
DSGVO

DSGVO, Datenschutzrichtlinie, Datenschutzgrundverordnung, Datenschutz, Datenschutzbeauftragter

Nur noch knapp ein Monat, dann ist sie da: Die Datenschutzgrundverordnung (DSGVO) ist mit Siebenmeilenstiefeln im Anmarsch. In einem ersten Beitrag haben wir erklärt, was es mit dem Kürzel eigentlich auf sich hat und was sich genau verändert. In diesem Beitrag zeigen wir die wichtigsten Schritte, die Makler laut Rechtsanwalt André Molter vom Bundesverband Deutscher Versicherungsmakler (BDVM) vor dem 25. Mai 2018 erledigt haben müssen.

DSGVO: Häuptling Datenschutz

Achtung Chefs: Ihr seid jetzt explizit verantwortlich für die Umsetzung des Datenschutzes in Eurer Firma. Ihr müsst nicht nur die Einhaltung des Datenschutzes kontrollieren – ihr müsst diese Kontrolle sogar nachweisen können. Das sieht die DSGVO im Art. 5 Abs. 2 vor. Das bedeutet aber nicht, dass Ihr alles alleine machen müsst. Aber die Verantwortung tragt Ihr.

Brauche ich einen Datenschutzbeauftragten?

Eure Firma braucht nur einen Datenschutzbeauftragten (DSB), wenn sie mindestens zehn Angestellte hat, die mit personenbezogenen Daten arbeiten. Darunter fallen auch: Werkstudenten, Azubis, Teilzeitkräfte oder freie Mitarbeiter. Bei weniger Mitarbeitern wird auch kein DSB nötig – außer die Arbeit mit sensiblen Daten ist Euer Kerngeschäft.

„Es bleibt Ihnen jedoch unbenommen, einen betrieblichen Datenschutzbeauftragten (intern oder extern) freiwillig zu bestellen. Dies wird von uns empfohlen, damit Sie einen Experten an der Seite haben, um die Umsetzung der komplexen Aufgaben bewältigen zu können.” Rechtsanwalt André Molter,  BDVM

Brauche ich ein Verfahrensverzeichnis und was ist das überhaupt?

Eigentlich benötigen nur Unternehmen mit mehr als 250 Mitarbeitern solch ein Verzeichnis. „Allerdings sind die weiteren Anforderungen so eng gefasst, dass letztlich doch alle Unternehmen wieder verpflichtet sind“, so André Molter. Als ersten Schritt müsst Ihr Euch dazu folgende Frage stellen: Bei welchen Abläufen in meinem Geschäft werden personenbezogene Daten verarbeitet?

Dann bekommt Ihr eine ungefähre Idee, was in diesem Verzeichnis alles auftauchen sollte. Antragsprozesse, Schadensbegleitung oder E-Mailverkehr gehören dazu. Wie das im Detail funktioniert, könnt Ihr bei Bitkom nachlesen. Nach diesem Schema werden auch Datenschutzbehörden Euer Unternehmen prüfen.

Bringt Eure Datenschutzerklärung auf Vordermann!

Durch die neue Verordnung wird eine Überarbeitung Eurer Datenschutzerklärung nötig. Eine gute Hilfestellung findet Ihr online, etwa bei e-recht24. Dabei wichtig: Eure Datenschutzerklärung muss auch zu dem passen, was Ihr auf Eurer Webseite nutzt. Das verbessert die Transparenz Eurer Datenschutzerklärung. Kein Facebook Plugin auf Eurer Homepage? Dann braucht Ihr dazu auch keine Passage in der Datenschutzerklärung.

Denkt an Eure Partner!

Nicht nur Ihr arbeitet mit den Daten Eurer Kunden, sondern häufig auch Eure Partner. Dazu gehören unter anderem:

  • Externe Callcenter oder Rechenzentren
  • Google Analytics
  • Vergleichsportale
  • Cloud-Services
  • Akten-/Datenentsorger
  • Outgesourctes Backoffice

Die Zusammenarbeit mit diesen Partnern musste auch bisher mit einer Auftragsverarbeitungsvereinbarung vertraglich geregelt sein (§ 11 BDSG). Da die DSGVO hier aber noch tiefer geht, solltet Ihr Vereinbarungen, die bereits fixiert sind, prüfen. Habt Ihr mit einem Partner noch keine solche Vereinbarung getroffen? Dann holt das lieber schnell nach. Denn auch für die Datenschutz-konforme Behandlung der Kundendaten durch Dritte seid Ihr verantwortlich.

Bei Technik-Fragen…

Neu in der DSGVO geregelt ist ebenfalls, dass auch Auftragsverarbeiter, also Eure Partner, so genannte technische und organisatorische Maßnahmen (TOMs) treffen müssen, um Datenschutzverletzungen zu verhindern. Bisher musstet nur Ihr das. Eine entsprechende Liste der Maßnahmen findet ihr im Datenschutz-Wiki.

Neue Einwilligungserklärung

Zwar entsprechen die neuen Vorgaben in diesem Bereich weitestgehend der alten Gesetzeslage, aber einige Änderungen machen eine Überarbeitung nötig. Der Arbeitskreis Beratungsprozesse hat eine Mustererklärung für Makler formuliert, die Ihr hier herunterladen könnt.

Eine weitere Neuerung ist die Informationspflicht. Erhebt Ihr Kundendaten direkt, dann müsst Ihr Euren Kunden nach Art. 13 DSGVO eine Reihe an Daten zur Verfügung stellen. Welche das genau sind, lest Ihr hier. Dabei kann der Kunde entscheiden, ob die Informationen elektronisch, schriftlich oder sogar mündlich mitgeteilt werden. Für diese könnt ihr den ersten Abschnitt der Muster Einwilligungserklärung nutzen.

Mehr Rechte für Kunden – mehr Pflichten für Euch

Eure Kunden erhalten durch die DSGVO eine Reihe neuer und erweiterter Rechte:

Das bedeutet für Euch: Ihr müsst Prozesse für den Fall festlegen, in dem ein Kunde von diesen Rechten gebrauch macht. Dafür empfiehlt es sich, feste Verantwortliche im Unternehmen zu benennen – und diese Prozesse jeweils zu dokumentieren.

Wenn der Datenspeicher leckt

Datenschutzverletzungen, die Ihr feststellt sind nach Art. 33. Abs. 1 DSGVO innerhalb von 72 Stunden der entsprechenden Aufsichtsbehörde zu melden. Was genau zu melden ist, das könnt ihr hier nachlesen. Entsteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Betroffenen, dann müsst ihr nach Art. 34 DSGVO auch diesen benachrichtigen. Ihr müsst die Verletzung nicht melden, wenn ein solches Risiko nicht absehbar ist.

Geht beispielsweise ein USB-Stick mit Kundendaten verloren, der aber nach dem Stand der Technik verschlüsselt ist, wäre wohl keine Meldung an die Aufsichtsbehörde erforderlich.“ Rechtsanwalt André Molter, BDVM

Und wenn ich das alles nicht mache?

Dann kann es unangenehm werden. Denn Gefahr droht Euch gleich von mehreren Seiten. Die Aufsichtsbehörden können drakonische Strafen verhängen. Bis zu 20 Millionen Euro oder vier Prozent des erzielten Jahresumsatzes, abhängig von diversen Kriterien, können fällig werden. Erlangt Ihr durch vorsätzliche Verletzungen des Datenschutzes einen Wettbewerbsvorteil, dann droht Euch eine Gewinnabschöpfung nach § 10 UWG. Diese Ansprüche können aber nur Wettbewerbs- und Verbraucherverbände geltend machen. Die kann schmerzhaft sein, denn im Gegensatz zu Bußgeldern ist eine Gewinnabschöpfung nicht gedeckelt.

Ruhig Blut

Kaum jemand wird die neue Rechtslage zu 100 Prozent zum Stichtag des Inkrafttretens umsetzen können. Erst mit der Praxis der nationalen Datenschutzbehörden, der e-Privacy Richtlinie und der Klärung einiger bisher undeutlicher Regelungen wird sich herauskristallisieren, wie genau die Umsetzung aussehen wird. Aber: Es ist besser, die Umsetzung teilweise anzugehen, als sie überhaupt nicht anzugehen.

Weiterführende Links:

Arbeitskreis Beratungsprozesse

Bundesdatenschutzbeauftragte

Gesellschaft für Datenschutz und Datensicherheit

Gesetzestext DSGVO

Titelbild: © mrmohock/Fotolia

Quellen: Rechtsanwalt André Molter, BDVM; Arbeitskreis Beratungsprozesse; LEAD, Bundesministerium für Justiz und für Vebraucherschutz; DSGVO Gesetzestext

4 Kommentare

Kommentarfunktion ist geschlossen.