DSGVO Checkliste: Wo besteht für Versicherungsmakler noch Handlungsbedarf?

Der Ablauf der Übergangsregelung der Datenschutz-Grundverordnung (DSGVO)  am 25.05.2018 rückt immer näher, sodass wir für Versicherungsvermittler eine DSGVO Checkliste erstellt haben, welche aufzeigt, in welchem Bereich ggf. noch Handlungsbedarf besteht.

Umsetzung der Datenschutzgrundverordnung in die Praxis

Vorab möchten wir darauf hinweisen, dass die aktuelle Aufstellung auf der Grundlage des derzeitigen Standes des Gesetzgebungsverfahrens basiert. Leider hat der Gesetzgeber mit der DSGVO noch viele Fragen offen gelassen, nämlich gerade diejenigen Fragen nach der praktischen Umsetzung der DSGVO, gerade im Unternehmen. Die Erwägungsgründe des Gesetzgebers sind nicht abschließend. Vor diesem Hintergrund können lediglich und ausschließlich Versuche unternommen werden, die DSGVO bestmöglich im Unternehmen umzusetzen um eine größtmögliche Konformität herzustellen.

E-Privacy-Verordnung trifft ebenfalls Unternehmer als „Diensteanbieter“

Des Weiteren wird auch die E-Privacy-Verordnung für Unternehmer eine wichtige Rolle spielen. Ursprünglich sollte die E-Privacy-Verordnung, die die Datenschutzrichtlinie für elektronische Kommunikation (RL 2002/58/EG) einschließlich der sogenannten Cookie-Richtlinie (2009/136/EU) ablösen wird, zeitgleich mit der DSGVO am 25.05.2018 anwendbar werden. Es ist fraglich, ob dieses Datum gehalten wird. Auch wird gemutmaßt, dass die Verordnung erst 2019 in Kraft treten wird (hier finden Sie einen Artikel dazu).

Die E-Privacy-Verordnung soll die allgemeinen und abstrakten Vorgaben der DSGVO bereichs- und risikospezifisch konkretisieren. Die Verordnung beinhaltet eine Vielzahl von rechtlichen Neuerungen, die aktuell weder vollumfänglich bekannt, noch überhaupt feststehen.

Wir möchten uns gleichwohl erlauben, aktuelle Handlungsempfehlungen zu geben. Die Umsetzung wird sicherlich eine gewisse Zeit in Anspruch nehmen.

Handlungsempfehlungen für Unternehmer: „DSGVO Checkliste“

  • Einen Projektplan zur Umsetzung der DGSVO im eigenen Unternehmen erstellen: ob Klein(st)unternehmer oder Großkonzern, ein strikter Umsetzungsplan wird notwendig sein um die wichtigsten -nachfolgenden- Punkte umzusetzen.
  • Büroabläufe und Organisation in Bezug auf „Dateneingang und -ausgang“ prüfen, denn es muss klar sein wie digitale Daten im eigenen Unternehmen gespeichert, verarbeitet, genutzt werden. Auch die Weitergabe von Daten an Dritte muss geprüft werden. Dieses ist bereits bei Onlinerechner der Falle, so wie bis hin zum outgesourcten Backoffice.
  • Workflows in Bezug auf „Daten“ analysieren, denn vom ersten Kundentermin bis hin zum Auftragsabschluss ist ein langer Weg, bei welchem die Daten unter anderem verändert werden könnten, bzw. zwischendurch auf Speicherzwecke entstehen oder wegfallen könnten.
  • Datenschutz-Risiken auffinden, bewerten, abstellen: wo bestehen die Datenschutzlücken im Unternehmen? Könnten dadurch sensible Kundendaten gefährdet werden? Wie können derartige Lücken abgestellt werden?
  • Digitale Verarbeitungstätigkeiten dokumentieren (Verzeichnisse): nunmehr sollten die digitalen Verarbeitungswege der Daten im Unternehmen bekannt sein, so dass die „digitalen Workflows“ dokumentiert werden können. Dieses wird wichtig sein, sofern die Aufsichtsbehörde diese „Dokumentation“ einfordern sollte.
  • Die interne IT und EDV nach dem aktuellen Stand der Technik überprüfen, dabei z.B. Maklerverwaltungsprogramme, Messengersysteme, Buchhaltung, CRM, digitale Dokumentenablage, Server, Clients, VPN etc.; hält die eigene IT und die EDV einer aktuellen Überprüfung auf Datenschutzkonformität nach der DSGVO stand? Verwendete Passwörter sowie eine Zugangsberechtigung zu den Daten sind wichtig zu überprüfen.
  • Auftragsdatenverarbeitungs – Verträge überarbeiten und anpassen, denn auch diese Verträge sollten umfassende angepasst werden, da eine größtmögliche Enthaftung des Unternehmers nur erfolgen kann, sofern die Datenschutzkette lückenlos besteht und nachvollzogen werden kann. Auch für den Auftragsverarbeiter ist ein konformer ADV-Vertrag wichtig.
  • Datenschutzerklärungen überarbeiten, und zwar online sowie offline, denn die aktuell verwendeten Erklärungen dürften sich aufgrund der weitergehenden Informationspflichten des Unternehmers überholt haben. Je nachdem in welchem Moment – im Vertrag oder als gesonderte Mitteilung – der Unternehmer Datenschutzerklärungen verwendet, sollten diese entsprechend angepasst werden.
  • Einwilligungen in Verträgen überarbeiten und zwar online sowie offline, denn die aktuell verwendeten Einwilligungen dürften sich aufgrund der weitergehenden Informationspflichten des Unternehmers überholt haben. Je nachdem in welchem Moment – im Vertrag oder als gesonderte Mitteilung – der Unternehmer Einwilligungen vom Kunden einholt, sollten diese entsprechend angepasst werden.
  • Arbeitsverträge überarbeiten und gegebenenfalls Nachträge durchsetzen, denn bereits mit dem Arbeitsvertrag können Arbeitnehmer angewiesen werden, beispielsweise keine unternehmensfremden USB-Sticks – Virengefahr! – zu verwenden.
  • Verpflichtungen auf das Datengeheimnis durchsetzen, und zwar lückenlos im gesamten Unternehmen, denn der Unternehmer haftet für alle „Datenlecks“. Von der Reinigungskraft bis hin zur studentischen Aushilfe: alle Personen, die Kontakt mit digitalen Daten des Kunden haben könnten, sollten auf den Datenschutz verpflichtet werden.
  • Mitarbeiter schulen und Beschwerdemanagement festlegen, denn die Mitarbeiter sollten für das Thema Datenschutz sensibilisiert werden und dem Kunden entsprechende Auskünfte geben können. Entgegensetzt sollten Mitarbeiter auch keine Daten an Dritte herausgeben, weder „nur mal so“ oder „weil Sie es sind“ oder weil man „sich gut kennt“.
  • Ebenfalls sollte darüber nachgedacht werden Datenschutzbeauftragte einzusetzen und diese entsprechend zu benennen. Versicherungsmakler haben nämlich u.a. mit sensiblen Kundendaten zu tun. Werden diese automatisiert verarbeitet, so dürfte ein Datenschutzbeauftragter zu bestellen sein. Dieses kann der Unternehmer intern sowie extern machen.
  • Cyberrisiken sind bereits immanent geworden. Ein Cyberrisiko ist unter anderem auch der „Datenklau“. Um beiden diesen Risiken unterstützt zu werden, dabei auch in finanzieller Hinsicht, sollte darüber nachgedacht dieses Risiko zu versichern. Dieses unabhängig davon, wie die Auseinandersetzung mit einer Aufsichtsbehörde ausgeht.
  • Die Umsetzungsfrist der DSGVO zum 25.05.2018 hin sollte unbedingt beachtet werden!

„Checkliste“ gibt Hilfestellung für Unternehmer

Die vorliegende DSGVO „Checkliste“ ersetzt jedoch keine individuelle anwaltliche Beratung. Die Checkliste soll lediglich eine Hilfestellung für Unternehmer zur Umsetzung der DSGVO im eigenen Unternehmen sein. Eine Haftung dafür wird nicht übernommen. Die Checkliste ist nicht abschließend und wird stetig aktualisiert.

Hilfestellungen für Unternehmer zur Umsetzung der DSGVO

In einem weiteren Beitrag haben wir Handlungsempfehlungen für Unternehmer zusammengefasst. In diesem Beitrag stellen wir dem Unternehmer auch Auslegungshilfen zur Datenschutz-Grundverordnung (DS-GVO) zur Seite mit aktuellen Kurzpapieren der Datenschutzkonferenz (DSK). Folgen Sie dazu einfach diesem Link.

Im Einzelfall stehen Ihnen die Rechtsanwälte der Kanzlei Jöhnke & Reichow selbstverständlich gern im Rahmen der Umsetzung der DGSVO bei Ihnen im Unternehmen zur Verfügung.

Rechtsanwalt Björn Thorben M. Jöhnke
Fachanwalt für Versicherungsrecht

Ihre Kanzlei Jöhnke & Reichow Rechtsanwälte in Partnerschaft mbB

Bleiben Sie informiert – unser Newsletter!

Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handels- und Gesellschaftsrecht, Wettbewerbsrecht und Arbeitsrecht. Wir freuen uns auf Ihre Anmeldung.

Wir nutzen Newsletter2Go als Dienstleister für die Versendung unserer Newsletter. Im Rahmen dieser Anmeldung erklären Sie sich einverstanden, dass Ihre eingegebenen Daten an Newsletter2Go übermittelt werden. Bitte beachten Sie die Datenschutzbestimmungen und Allgemeinen Geschäftsbedingungen von Newsletter2Go.