Was also sollten Sie tun? Gehen Sie die Umsetzung der EU-DSGVO als Projekt an und nehmen Sie sich dazu die notwendige Zeit. Im Projektplan sollten die Ausgangslage analysiert, der Ist-Stand erfasst und dann alle notwendigen Maßnahmen beschrieben werden. Denken Sie daran, dass alle betroffenen Unternehmensbereiche, Arbeitsprozesse und Kommunikationswege geprüft werden. Dokumentieren Sie diese Erkenntnisse beispielsweise in Excel-Listen oder in übersichtlichen Workflow-Diagrammen.
Als nächster Punkt sind alle externen Dienstleister an der Reihe, mit denen Sie direkt oder indirekt Daten austauschen, wo Daten verarbeitet, gespeichert und in allen Möglichkeiten der Weiterverarbeitung Anwendung finden. Vordergründig ist an Produktanbieter, Pools, Maklergenossenschaften, MVP-Hersteller und weitere zu denken. Vergessen sie aber auch nicht Ihren Anbieter für Homepage, App, Newsletter oder genutzte Backoffice-Dienste.
Aus der Praxis als Unternehmensberater empfehle ich Ihnen immer, den einzelnen logischen Abläufen zu folgen. Ich denke da an den kompletten Beratungsprozess mit Datenaufnahme, Angebotserstellung, Empfehlung, Abschluss, Dokumentation und Nachbearbeitung. Wann werden wo und wie welche Daten erfasst und verarbeitet?Dann nehmen Sie sich den nächsten Basisprozess wie z.B. die Datenweiterleitung an Versicherer oder Pool vor. Dann folgen jeweils weitere Grundprozesse.
Dokumentation der digitalen Datenverarbeitung und Update Datenschutzerklärung
Kennzeichnen Sie selbst erkannte Risiken bei der Datenaufnahme,- verarbeitung und -sicherung und stellen Sie diese ab bzw. leiten die Verbesserung ein. Nun gilt es, eine Dokumentation zur digitalen (!) Datenverarbeitung zu erstellen. Genau diese Darstellung, den sogenannten digitalen Workflows, werden Sie den Aufsichtsbehörden und auch bei Kundenwunsch vorlegen müssen. Halten Sie sich immer Ihren kritischsten Kunden vor Augen, der Sie eines Tages auffordert: „Zeigen Sie mir mal, was Sie überhaupt mit meinen Daten machen“.
Als besonders schützenswert werden in der EU-DSGVO personenbezogene Daten herausgestellt, aus denen die Herkunft, Religion und Weltanschauung, Mitgliedschaft in Parteien und Gewerkschaften, Genetik und Biometrie, der Gesundheitszustand oder sexuelle Orientierungen hervorgehen. Sofern diese Daten beispielsweise für BU-Versicherungen digital erfasst werden, müssen diese besonders geschützt werden. Datenschutzexperten empfehlen deshalb nicht nur, den Verarbeitungsweg dieser Daten zu analysieren, sondern diese Daten und Prozesse auch nach Schutzklassen (SK) „Normale SK“, „Hohe SK“ oder „sehr hohe SK“ zu bewerten.
Die Rechenschaftspflicht, die Accountability, ist eine zentrale Neuerung der EU-DSGVO und macht die genaue Dokumentation der Datenverarbeitung, der Risikoprävention sowie der sogenannten Datenschutzfolgeabschätzung notwendig. Denken Sie deshalb daran, dass Sie auch externe Datenverarbeitungen in Ihrem Auftrag, also beispielsweise über den Pool, mit in die Dokumentation einbeziehen.
Kooperationsverträge zur „Auftragsdatenverarbeitung“ (ADV) sind zu überarbeiten und anzupassen. Nur ein lückenloser Nachweis zur ADV und das Einverständnis des Kunden dazu bringt Ihnen die größtmögliche Enthaftung. Daraus resultiert, dass Sie die bestehenden Datenschutzerklärungen überarbeiten und vom Kunden das Einverständnis einholen müssen. Ein Update der klassischen Datenschutzerklärungen wird also ebenso dringend notwendig wie die der Online-Erklärungen beispielsweise für Homepage oder Online-Rechner.
Muster für alle Datenschutzunterlagen finden sich bei diversen Anbietern. Es empfiehlt sich, auf deren ISO27001–Zertifizierung zu achten. So arbeiten beispielsweise bei der activeMind AG, einem Anbieter für externe Datenschatzbeauftragte, meist Volljuristen mit langjähriger Berufserfahrung im Datenschutz und mit umfassenden IT-Kenntnissen und Lehrerfahrung. Auf der Homepage dieses Anbieters sind zahlreiche Vorlagen und Muster für den Datenschutz erhältlich.
Doch diese Maßnahmen reichen noch nicht aus. Auch die Technik und die Arbeitsverträge müssen überarbeitet werden, um das eigene Maklerbüro sattelfest zu machen für die neue Datenschutzverordnung. Was es hierbei zu beachten gilt, lesen Sie morgen beim Versicherungsboten.