Blog

03.04.2018 | Von: Rechtsanwältin Sabine Sobola

Datenschutz für Versicherungsvermittler

Datenschutz für Versicherungsvermittler

Warum sollte sich ein Versicherungsvermittler oder Tippgeber für Datenschutz interessieren? Ganz einfach: Wer bis 25.05.2018 die nötigen Maßnahmen nicht ergreift, läuft Gefahr dass er bis zu 4 % seines Umsatzes bzw. bis zu 20 Millionen Euro als Strafzahlung erleiden muss. Das Thema ist also sehr ernst zu nehmen!

1. Ab wann gilt die Datenschutzgrundverordnung (DSGVO)?

Ab dem 25.05.2018 gilt in Deutschland und allen anderen EU-Staaten die EU-Datenschutzgrundverordnung (DSGVO). Diese löst dann das bisherige Bundesdatenschutzgesetz (BDSG) ab.

Die DSGVO führt zu diversen datenschutzrechtlichen Änderungen, die Unternehmen ab dem 25.05.2018 berücksichtigen müssen. Die Nichteinhaltung der Vorgaben kann zu einem Bußgeld von bis zu 20 Mio. Euro führen.

Gleichzeitig tritt das sogenannte Datenschutzanpassungs- und Umsetzungsgesetz in Kraft (BDSG-neu), das einige Regelungen in der DSGVO konkretisiert.

2. Warum sind Versicherungsvermittler betroffen?

Die DSGVO gilt für jedes Unternehmen (egal ob Einzelunternehmen, Personen- oder Kapitalgesellschaft), das personenbezogene Daten verarbeitet. Hierzu gehört auch ein Versicherungsvermittler, da er in jedem Falle Kundendaten hat und damit deren personenbezogene Daten erhebt.

Des Weiteren fällt auch ein Tippgeber unter die DSGVO, wenn er mit einem Dritten zusammenarbeitet (Versicherungsvermittler, Finanzanlagenvermittler etc.), dem er Unterlagen per E-Mail zukommen lässt: die Mailadresse des potenziellen Kunden kann bereits ein personenbezogenes Datum sein. Es damit fast kein Unternehmen mehr in Deutschland, das nicht von der DSGVO betroffen wäre.

3. Was sind personenbezogene Daten?

Nach der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Solche Informationen sind beispielsweise:

• Name, Alter, Familienstand, Geburtsdatum
• Anschrift, Telefonnummer, E-Mail Adresse, IP-Adresse
• Konto-, Kreditkartennummer oder Geheimzahl
• Kraftfahrzeugnummer, Kfz-Kennzeichen
• Personalausweisnummer, Sozialversicherungsnummer
• Umsätze bei Einzelunternehmen

Kundendaten gehören ebenso zu den personenbezogenen Daten wie die Personaldaten von Beschäftigten oder Ansprechpartner von Dienstleistern. Personenbezogene Kundendaten sind beispielsweise die Vor- und Nachnamen von Ansprechpartnern oder E-Mail-Kontaktdaten.

Das konkrete technische Format dieser Angaben ist dabei nicht von Bedeutung. Auch Fotos, Videoaufnahmen, Excel-Dateien, Websites oder Röntgenbilder können personenbezogene Daten enthalten.

Um Angaben über eine identifizierte Person handelt es sich, wenn die Daten mit dem Namen der betroffenen Person verbunden sind oder sich aus dem Inhalt bzw. dem Zusammenhang der Bezug unmittelbar herstellen lässt. Identifizierbar ist eine Person, wenn ihre Identität unmittelbar oder mittels Zusatzwissen festgestellt werden kann.

Damit man von personenbezogenen Daten sprechen kann, müssen sich die Angaben auf einen lebenden Menschen beziehen. Einzelangaben über juristische Personen, wie zum Beispiel Kapitalgesellschaften oder eingetragene Vereine, sind keine personenbezogenen Daten. Etwas anderes gilt nur, wenn sich die Angaben auch auf die hinter der juristischen Person stehenden Personen beziehen, das heißt auf sie „durchschlagen“. Dies kann beispielsweise bei der GmbH einer Einzelperson oder bei einer Einzelfirma der Fall sein, wenn enge finanzielle, persönliche oder wirtschaftliche Verflechtungen zwischen der natürlichen und der juristischen Person bestehen.

4. Sanktionen: sehr hohes Bußgeld! 

Hinsichtlich der Bußgelder, die von der DSGVO vorgegeben werden, können Aufsichtsbehörden Bußgelder von bis zu 20 Mio. Euro verhängen, vgl. Art. 83 DSGVO. Dabei spricht die Verordnung ausdrücklich davon, dass die Ordnungsgelder „verhängt werden“, nicht „verhängt werden sollen“. Aus diesem Grund sind die Vorgaben der DSGVO unbedingt umzusetzen.

Nach der DSGVO können Mitgliedsstaaten neben Geldbußen zudem strafrechtliche Sanktionen vorsehen. 

5. Was ist zu tun?

Unternehmen, die personenbezogene Daten verarbeiten, sollten sicherstellen, dass bis zum 25.05.2018 mindestens folgende Prozesse umgesetzt sind und rechtzeitig entsprechende Maßnahmen treffen:

• Erstellung eines Verfahrensverzeichnisses, einschließlich aller Vorgaben zur Einwilligung
• Dokumentation von Prozessen hinsichtlich der Einhaltung datenschutzrechtlicher Grundprinzipien nach Art. 5 Abs. 2 DSGVO. In der Regel geschieht dies durch die Erstellung eines Datenschutz- und Informationssicherheitskonzepts.
• Gestaltung der nach der DSGVO erforderlichen Prozesse betreffend

o   Festlegung der Abarbeitung von Meldepflichten bei Datenpannen nach Art. 33 f. DSGVO,

o   Betroffenenrechte und Informationspflichten nach Art. 12 ff. DSGVO,

o   Datenschutzerklärungen auf der Website,

o   etc.

6. Der Datenschutzbeauftragte

Ein betrieblicher Datenschutzbeauftragter ist gemäß DSGVO erst bei besonderen Risiken der Verarbeitung verpflichtend. Die Bestellung richtet sich also eigentlich nicht mehr nach der Anzahl der Personen, die in der Regel ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Allerdings ist nun im BDSG-neu für Deutschland eine Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach den bis dato geltenden Regelungen vorgesehen. Das bedeutet konkret, dass in Unternehmen, in denen mehr als 10 Personen dauernd mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ein Datenschutzbeauftragter benannt werden muss. 

7. So können wir Ihnen helfen!

Mit der anliegenden Checkliste können Sie Ihren Umsetzungsbedarf erstmal selbst einschätzen. Wenn Sie sie ausgefüllt an uns zurückschicken, können wir Ihnen gerne ein konkretes Angebot unterbreiten: In einfach gelagerten Fällen, wird man mit angepassten Standardformularen gut Zurecht kommen, in komplexeren Fällen muss ein auf das Unternehmen zugeschnittenes Konzept erstellt werden. Je nach Sachlage erhalten Sie dann ein konkretes Angebot, über das Sie dann selbstverständlich frei entscheiden können.

Und wenn danach noch Fragen bestehen, sprechen wir über die notwendigen Punkte zur Umsetzung und die damit verbundenen Kosten. 

8. Hier können Sie sich weiter informieren!

Wir haben in Zusammenarbeit mit dem Bayerischen IT-Sicherheitscluster e.V. drei Webinare konzipiert, die Ihnen dabei helfen, sich Schritt für Schritt die notwendigen Unterlagen selbst zu erstellen. Rechtsanwältin Sabine Sobola führt Sie in den Webinaren an dieses komplexe Themengebiet heran und zeigt zielorientiert wichtige Handlungsempfehlungen auf.

Inhalte der Webinare:

• Erläuterung der DSGVO anhand von Best-Practice-Fällen und anschaulichen Beispielen
• Vorlagen und konkrete Formulierungsbeispiele für Ihr Verfahrensverzeichnis und Ihr Datenschutzkonzept
• Erfahren Sie, ob Sie einen Datenschutzbeauftragten für Ihr Unternehmen benötigen oder nicht
• IT-Sicherheit: Das sind die technischen und organisatorischen Maßnahmen in Ihrem Unternehmen, die Sie prüfen und in ein Konzept aufnehmen müssten
• Achten Sie auf Besonderheiten in Ihrem Unternehmen (z.B. sensible Daten)

Jede Woche finden folgende Termine statt:

• dienstags, 10:00 Uhr
• mittwochs, 14:00 Uhr
• donnerstags, 19:00 Uhr
• samstags, 14:00 Uhr 

Melden Sie sich am besten gleich an! Bei Fragen sind wir selbstverständlich jederzeit gerne für Sie da!