Die wesentlichen Grundsätze der DSGVO sind im Art. 5 (1) festgehalten. Diese Grundsätze umfassen:
- (1) die Rechtmäßigkeit der Verarbeitung,
- (2) die Transparenz der Verarbeitung,
- (3) die zweckgebundene Verarbeitung,
- (4) die Minimierung und die Richtigkeit personenbezogener Daten,
- (5) die Speicherbegrenzung personenbezogener Daten sowie
- (6) die Integrität und Vertraulichkeit.
Darüber hinaus müssen Unternehmen nach Art. 5 (2) nachweisen können, dass die angeführten Grundsätze eingehalten werden. Im Vergleich zum bisherigen Recht stellt die sogenannte Rechenschaftspflicht eine Umkehr der Beweislast dar und fordert von den Unternehmen eine umfassende Dokumentation der eingerichteten und durchgeführten Datenschutzmaßnahmen.
Zur Erfüllung der angeführten Grundsätze definiert die DSGVO konkrete Anforderungen an betroffene Unternehmen. Bei den Anforderungen wird dabei grundsätzlich zwischen den Rechten der Betroffenen und den Pflichten der Unternehmen differenziert. Die Betroffenenrechte umfassen dabei:
- das Recht über Auskunft der Datenverarbeitung (Vgl. Art. 15 DSGVO),
- die umgehende Korrektur falscher Daten (Vgl. Art. 16 DSGVO)
- die Sperrung von Daten (Vgl. Art. 18 DSGVO),
- die Löschung personenbezogener Daten (Vgl. Art. 17 DSGVO) sowie
- die Bereitstellung aller personenbezogenen Daten in einem maschinenlesbaren Format (Vgl. Art. 20 DSGVO).
Das Gros der angeführten Rechte ist zwar schon im BDSG-alt grundsätzlich vorgesehen, die DSGVO legt jedoch die Betroffenenrechte breiter aus und gesteht den betroffenen Personen umfangreichere Rechte zu. Das Recht zur Datenportierbarkeit ist dabei im Vergleich zum bisherigen Recht neu und verlangt von den Unternehmen maximale Transparenz über die gespeicherten Daten.
Ein Mehraufwand für Unternehmen ist insbesondere bei der Informationspflicht zu erkennen, da zukünftig bei jeder Erhebung personenbezogener Daten inklusive Dritterhebung die betroffene Person über ihre Rechte informiert werden muss. Hierzu gehört auch, dass für jede Verarbeitung personenbezogener Daten eine explizite Einwilligung der betroffenen Person dokumentiert vorliegen muss. Neben der Ausweitung der Informationspflicht haben bisherige Pflichten wie die Einrichtung von technisch-organisatorischen Maßnahmen unverändert Gültigkeit und werden durch die Ausweitung der Meldepflichten bei Datenpannen und die Überprüfung von bestehenden Verträgen mit Auftragsdatenverarbeitern und Dienstleistern ergänzt.
Die Anforderungen der DSGVO sind zeitnah umzusetzen
Anders als Versicherungsunternehmen, welche sich bereits mit der Umsetzung der neuen Anforderungen der DSGVO auseinandersetzten, haben sich viele Makler noch nicht mit den konkreten Auswirkungen der DSGVO befasst. Im Hinblick auf den noch verbleibenden kurzen Umsetzungszeitraum sollten sich Makler daher kurzfristig mit der Umsetzung zentraler Datenschutzmaßnahmen der DSGVO auseinandersetzen. Insbesondere da einige der geforderten Aspekte mit einem höheren zeitlichen Aufwand verbunden sind, ist daher eine zügige Umsetzung ratsam. Angesichts der Tatsache, dass die Umsetzung bei Maklern eher verhalten ausfällt, ist damit zu rechnen, dass bis zum 25. Mai 2018 eine DSGVO-konforme Umsetzung vielerorts nicht gegeben ist. Da bereits schon heute Abmahnungen für Datenschutzverstöße gegenüber Makler an Häufigkeit gewonnen haben, ist eine zeitnahe Umsetzung daher ratsam.
Ein erster Schritt, die DSGVO umzusetzen, sollte darin bestehen, die bisher eingerichteten Datenschutzmaßnahmen mit den neuen Anforderungen aus der DSGVO abzugleichen. Da bereits durch die bisherige Gesetzgebung des BDSG-alt eine Basis datenschutzrechtlicher Anforderungen geschaffen wurde, können die Neuerungen der DSGVO darauf aufsetzen. Dadurch wird es möglich, Defizite zwischen dem aktuellen Datenschutzniveau und den Anforderungen der DSGVO zu identifizieren und diese zielgerichtet zu beheben. Auch wenn es sich bei der DSGVO-Umsetzung augenscheinlich nur um Kleinigkeiten handelt, sollten Makler weitere zeitliche Aufschübe vermeiden. Ein wichtiger Grund, der für eine zeitnahe Umsetzung spricht, sind die bereits erwähnten Haftungsregelungen, welche durch die DSGVO deutlich verschärft wurden. Aber auch das Klagerecht der Verbraucherschutzverbände sollte nicht unterschätzt werden und daher eine weitere Motivation darstellen, die neuen Anforderungen umzusetzen.
Die Auswirkungen der DSGVO sind hierbei insbesondere durch die Änderungen bei den Informationspflichten und der damit verbundenen Zunahme an Betroffenenanfragen nicht zu unterschätzen. Sollten bis zum 25. Mai 2018 die Betroffenenrechte nicht DSGVO-konform umgesetzt worden sein, wird dies mit einem hohen Aufwand für die Makler verbunden sein. Aufgrund der Tatsache, dass die Nichterfüllung der Betroffenenrechte ebenfalls zu einem Datenschutzverstoß führen kann, ist auch in dieser Hinsicht eine zügige Umsetzung zu empfehlen.
Wie bereits angeführt, wird die dargestellte Problematik durch das Klagerecht der Verbraucherschutzverbände deutlich verstärkt. Dadurch bietet sich den Verbänden die Möglichkeit, Unternehmen, aber auch Makler auf Unterlassung zu verklagen. Neben den Klagen von Verbrauchern drohen Maklern daher auch Klagen der Verbraucherschutzbände. In Verbindung mit den hohen Strafzahlungen, welche bis zu 20 Mio. EUR bzw. vier Prozent des Jahresumsatzes betragen können, haben erfolgreiche Klagen deutliche Auswirkungen auf die Geschäftstätigkeit.