Wird die EU-Datenschutzverordnung wirksam, müssen auch die verwendete Technik im Maklerbüro sowie bestehende Arbeitsverträge geprüft werden. In einer Handlungsempfehlung und Checkliste der Rechtsanwaltskanzlei Jöhnke & Partner wird prononciert darauf aufmerksam gemacht, dass die interne IT und EDV nach dem aktuellen Stand der Technik zu überprüfen ist. Dazu gehören nach deren Meinung beispielsweise:

Anzeige

  • Maklerverwaltungsprogramme
  • Messenger - Systeme
  • Buchhaltung
  • CRM
  • Digitale Dokumentenablage
  • Server, Clients, VPN
  • Passwörter und Zugangsdaten
  • Zugangsberechtigungen

Die Hamburger Rechtsanwälte raten zu folgender Fragestellung: Hält die eigene IT und die EDV einer aktuellen Überprüfung auf Datenschutzkonformität nach der EU - DSGVO stand?

Besondere Aufmerksamkeit gilt auch den technischen und organisatorischen Maßnahmen, den sogenannten TOMs. Dabei handelt es sich um bereits jetzt im Bundesdatenschutzgesetz (BDSG) festgelegten Maßnahmen, um Sicherheits- und Schutzanforderungen zu erfüllen. Nehmen wir als Beispiel für eine TOM nach § 9 BDSG den Zutritt zum Maklerbüro. Als Ziel für diese TOM würde die Vermeidung des Zutritts unbefugter Personen in das Maklerbüro fixiert. Als Maßnahme könnte konkret die vorhandene Alarmanlage oder ein besonderer Schließmechanismus an der Bürotür mit PIN in der Liste der TOM festgehalten werden.

Der @AssekuranzDoc

Dr. Peter Schmidt ist Experte Personenversicherungen und Unternehmensberater im Bereich Versicherungen, Vertriebe und Makler mit langjähriger Erfahrung als Führungskraft und Vorstand bei deutschen Versicherern und twittert als @AssekuranzDoc.

Nach der Technik sind sämtliche Verträge in Ihrem Unternehmen unter die Lupe zu nehmen. Denken Sie nicht nur an die Arbeitsverträge Ihrer Mitarbeiter, sondern auch an Reinigungs- und Servicedienste, die in Ihrem Unternehmen direkt oder indirekt mit digitalen Daten zu tun haben. Sie werden auch Regelungen zu Arbeitsabläufen zum Feierabend prüfen und gegebenenfalls anpassen müssen.

Makler, die über Ihre Homepage auch direkt Versicherungen als Onlineshop verkaufen, sollten sich mit den speziellen Regelungen des Art. 12 Abs. 1 DSGVO befassen. Sie werden zur „Einrichtung geeigneter Maßnahmen“ aufgefordert, die eine gesetzeskonforme Informationserfassung und – vermittlung ermöglichen. Leider sind die umzusetzenden Maßnahmen sehr allgemein gehalten und der Betreiber wird mit seinem eigenen Sachverstand geeignete Maßnahmen einleiten und dokumentieren müssen.

Dokumentieren, wie Daten geschützt werden

In Verbindung von DSGVO und IDD werden Sie sich auch mit einer Matrix zum Beschwerdemanagement auseinandersetzen müssen. Gehen Sie beispielhaft vom Fall aus, eine Kunde beschwert sich, dass seine Daten missbräuchlich verwendet wurden. Sie müssen dann nachweisen, wie die Kundendaten im Unternehmen geschützt werden und wie bei Ihrem Unternehmen mit Beschwerden umgegangen wird. Allein der Satz „Das machen wir schon. Und wenn es klemmt, dann bekommt der Chef es auf den Tisch“ genügt dann nicht mehr. Sie müssen den definierten Regelprozess Beschwerde dokumentieren und vorweisen können.

Anzeige

Datenschutz und Datengeheimnis sind auf die Tagesordnung von Mitarbeiterschulungen zu setzen. Verpflichten Sie Ihre Mitarbeiter auf Datenschutz nach Art. 24 DSGVO – schriftlich. Es kann nicht mehr angehen, dass Kundendaten nur auf Basis von Treu und Glauben weitergegeben werden. Jeder von uns würde es auch nicht mögen, wenn persönliche Daten so mir nichts dir nichts durch die Welt geistern. Ein Muster für eine Unterrichtung und Verpflichtung der Mitarbeiter zu dem Thema hat das Landesamt für Datenschutz, Bayern, ins Web gestellt.