DSGVO, Datenschutzrichtlinie, Datenschutzgrundverordnung, Datenschutz, Datenschutzbeauftragter
Nur noch knapp ein Monat, dann ist sie da: Die Datenschutzgrundverordnung (DSGVO) ist mit Siebenmeilenstiefeln im Anmarsch. In einem ersten Beitrag haben wir erklärt, was es mit dem Kürzel eigentlich auf sich hat und was sich genau verändert. In diesem Beitrag zeigen wir die wichtigsten Schritte, die Makler laut Rechtsanwalt André Molter vom Bundesverband Deutscher Versicherungsmakler (BDVM) vor dem 25. Mai 2018 erledigt haben müssen.
DSGVO: Häuptling Datenschutz
Achtung Chefs: Ihr seid jetzt explizit verantwortlich für die Umsetzung des Datenschutzes in Eurer Firma. Ihr müsst nicht nur die Einhaltung des Datenschutzes kontrollieren – ihr müsst diese Kontrolle sogar nachweisen können. Das sieht die DSGVO im Art. 5 Abs. 2 vor. Das bedeutet aber nicht, dass Ihr alles alleine machen müsst. Aber die Verantwortung tragt Ihr.
Brauche ich einen Datenschutzbeauftragten?
Eure Firma braucht nur einen Datenschutzbeauftragten (DSB), wenn sie mindestens zehn Angestellte hat, die mit personenbezogenen Daten arbeiten. Darunter fallen auch: Werkstudenten, Azubis, Teilzeitkräfte oder freie Mitarbeiter. Bei weniger Mitarbeitern wird auch kein DSB nötig – außer die Arbeit mit sensiblen Daten ist Euer Kerngeschäft.
„Es bleibt Ihnen jedoch unbenommen, einen betrieblichen Datenschutzbeauftragten (intern oder extern) freiwillig zu bestellen. Dies wird von uns empfohlen, damit Sie einen Experten an der Seite haben, um die Umsetzung der komplexen Aufgaben bewältigen zu können.” Rechtsanwalt André Molter, BDVM
Brauche ich ein Verfahrensverzeichnis und was ist das überhaupt?
Eigentlich benötigen nur Unternehmen mit mehr als 250 Mitarbeitern solch ein Verzeichnis. „Allerdings sind die weiteren Anforderungen so eng gefasst, dass letztlich doch alle Unternehmen wieder verpflichtet sind“, so André Molter. Als ersten Schritt müsst Ihr Euch dazu folgende Frage stellen: Bei welchen Abläufen in meinem Geschäft werden personenbezogene Daten verarbeitet?
Dann bekommt Ihr eine ungefähre Idee, was in diesem Verzeichnis alles auftauchen sollte. Antragsprozesse, Schadensbegleitung oder E-Mailverkehr gehören dazu. Wie das im Detail funktioniert, könnt Ihr bei Bitkom nachlesen. Nach diesem Schema werden auch Datenschutzbehörden Euer Unternehmen prüfen.
Bringt Eure Datenschutzerklärung auf Vordermann!
Durch die neue Verordnung wird eine Überarbeitung Eurer Datenschutzerklärung nötig. Eine gute Hilfestellung findet Ihr online, etwa bei e-recht24. Dabei wichtig: Eure Datenschutzerklärung muss auch zu dem passen, was Ihr auf Eurer Webseite nutzt. Das verbessert die Transparenz Eurer Datenschutzerklärung. Kein Facebook Plugin auf Eurer Homepage? Dann braucht Ihr dazu auch keine Passage in der Datenschutzerklärung.
Denkt an Eure Partner!
Nicht nur Ihr arbeitet mit den Daten Eurer Kunden, sondern häufig auch Eure Partner. Dazu gehören unter anderem:
- Externe Callcenter oder Rechenzentren
- Google Analytics
- Vergleichsportale
- Cloud-Services
- Akten-/Datenentsorger
- Outgesourctes Backoffice
Die Zusammenarbeit mit diesen Partnern musste auch bisher mit einer Auftragsverarbeitungsvereinbarung vertraglich geregelt sein (§ 11 BDSG). Da die DSGVO hier aber noch tiefer geht, solltet Ihr Vereinbarungen, die bereits fixiert sind, prüfen. Habt Ihr mit einem Partner noch keine solche Vereinbarung getroffen? Dann holt das lieber schnell nach. Denn auch für die Datenschutz-konforme Behandlung der Kundendaten durch Dritte seid Ihr verantwortlich.
Bei Technik-Fragen…
Neu in der DSGVO geregelt ist ebenfalls, dass auch Auftragsverarbeiter, also Eure Partner, so genannte technische und organisatorische Maßnahmen (TOMs) treffen müssen, um Datenschutzverletzungen zu verhindern. Bisher musstet nur Ihr das. Eine entsprechende Liste der Maßnahmen findet ihr im Datenschutz-Wiki.
Neue Einwilligungserklärung
Zwar entsprechen die neuen Vorgaben in diesem Bereich weitestgehend der alten Gesetzeslage, aber einige Änderungen machen eine Überarbeitung nötig. Der Arbeitskreis Beratungsprozesse hat eine Mustererklärung für Makler formuliert, die Ihr hier herunterladen könnt.
Eine weitere Neuerung ist die Informationspflicht. Erhebt Ihr Kundendaten direkt, dann müsst Ihr Euren Kunden nach Art. 13 DSGVO eine Reihe an Daten zur Verfügung stellen. Welche das genau sind, lest Ihr hier. Dabei kann der Kunde entscheiden, ob die Informationen elektronisch, schriftlich oder sogar mündlich mitgeteilt werden. Für diese könnt ihr den ersten Abschnitt der Muster Einwilligungserklärung nutzen.
Mehr Rechte für Kunden – mehr Pflichten für Euch
Eure Kunden erhalten durch die DSGVO eine Reihe neuer und erweiterter Rechte:
- Auskunftsrecht der betroffenen Person (Art. 15 DSGVO) (Neues Recht)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung („Recht auf Vergessen werden“) (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) (vorher Bezeichnung „Sperrung“)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO) (Neues Recht)
- Widerspruchsrecht (Art. 21 DSGVO)
Das bedeutet für Euch: Ihr müsst Prozesse für den Fall festlegen, in dem ein Kunde von diesen Rechten gebrauch macht. Dafür empfiehlt es sich, feste Verantwortliche im Unternehmen zu benennen – und diese Prozesse jeweils zu dokumentieren.
Wenn der Datenspeicher leckt
Datenschutzverletzungen, die Ihr feststellt sind nach Art. 33. Abs. 1 DSGVO innerhalb von 72 Stunden der entsprechenden Aufsichtsbehörde zu melden. Was genau zu melden ist, das könnt ihr hier nachlesen. Entsteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Betroffenen, dann müsst ihr nach Art. 34 DSGVO auch diesen benachrichtigen. Ihr müsst die Verletzung nicht melden, wenn ein solches Risiko nicht absehbar ist.
„Geht beispielsweise ein USB-Stick mit Kundendaten verloren, der aber nach dem Stand der Technik verschlüsselt ist, wäre wohl keine Meldung an die Aufsichtsbehörde erforderlich.“ Rechtsanwalt André Molter, BDVM
Und wenn ich das alles nicht mache?
Dann kann es unangenehm werden. Denn Gefahr droht Euch gleich von mehreren Seiten. Die Aufsichtsbehörden können drakonische Strafen verhängen. Bis zu 20 Millionen Euro oder vier Prozent des erzielten Jahresumsatzes, abhängig von diversen Kriterien, können fällig werden. Erlangt Ihr durch vorsätzliche Verletzungen des Datenschutzes einen Wettbewerbsvorteil, dann droht Euch eine Gewinnabschöpfung nach § 10 UWG. Diese Ansprüche können aber nur Wettbewerbs- und Verbraucherverbände geltend machen. Die kann schmerzhaft sein, denn im Gegensatz zu Bußgeldern ist eine Gewinnabschöpfung nicht gedeckelt.
Ruhig Blut
Kaum jemand wird die neue Rechtslage zu 100 Prozent zum Stichtag des Inkrafttretens umsetzen können. Erst mit der Praxis der nationalen Datenschutzbehörden, der e-Privacy Richtlinie und der Klärung einiger bisher undeutlicher Regelungen wird sich herauskristallisieren, wie genau die Umsetzung aussehen wird. Aber: Es ist besser, die Umsetzung teilweise anzugehen, als sie überhaupt nicht anzugehen.
Weiterführende Links:
Arbeitskreis Beratungsprozesse
Gesellschaft für Datenschutz und Datensicherheit
Titelbild: © mrmohock/Fotolia
Quellen: Rechtsanwalt André Molter, BDVM; Arbeitskreis Beratungsprozesse; LEAD, Bundesministerium für Justiz und für Vebraucherschutz; DSGVO Gesetzestext
[…] besteht für Vermittler aber nicht. Folgendes solltet Ihr insbesondere vor dem Hintergrund der neuen Datenschutz-Grundverordnung jedoch […]
[…] drei Tagen ist Stichtag. Die zweijährige Übergangsfrist zur Umsetzung der EU-Datenschutzgrundverordnung endet am 25. Mai – und noch immer kämpfen Betriebe mit ihrer Umsetzung. Aus einer Studie des […]
[…] des Nutzers abgreifen und die Weitergabe der Daten nicht kontrollierbar ist. Spätestens seit der DSGVO ist jedem klar, mit welchen Risiken das verbunden […]
[…] Interessierte gibt es hier weitere Informationen zur DSGVO und zur datenschutzkonformen Nutzung von […]