Betroffenenrechte

Bei der Neudefinition dieser Prozesse sollten Makler allerdings berücksichtigen, inwieweit sich die Betroffenenrechte auf Basis des verwendeten Maklerverwaltungsprogramms umsetzen lassen. So sollte das verwendete Maklerverwaltungsprogramm Auskunft über sämtliche gespeicherte personenbezogene Daten liefern können sowie die Möglichkeit bieten, personenbezogene Daten zu korrigieren, zu sperren und zu löschen. Des Weiteren sollte das Maklerverwaltungsprogramm in der Lage sein, personenbezogene Daten in ein maschinell lesbares Format zu exportieren, um dem Recht auf Datenübertragbarkeit genügen zu können (Vgl. Art. 6 (1) b) DSGVO).

Anzeige

Gibt es hinsichtlich der Betroffenenrechte keinen großen Auslegungsspielraum, bietet das Widerspruchsrecht derzeit noch Diskussionsbedarf. Anders als bei Versicherungsunternehmen, welche die Möglichkeit haben, Widersprüchen unter Berufung der Vertragserfüllung entgehen zu können (Vgl. Art. 6 (1) b) DSGVO), ist bei Maklern eine gesetzeskonforme Argumentation diesbezüglich nur schwer darstellbar. Dies kann zur Folge haben, dass dem Makler die Verarbeitung der erhobenen personenbezogenen Daten untersagt und dieser zur Löschung aufgefordert werden kann, während hingegen den Versicherungsunternehmen die Verarbeitung der Daten weiterhin gestattet bleibt. Daraus resultiert, dass der Makler keinerlei Informationen mehr über den Versicherungskunden besitzt und daher auch keine Möglichkeit der Ansprache besteht.

An dieser Stelle ist noch einmal explizit hervorzuheben, dass es sich bei den Betroffenenrechten nicht nur um die an den Versicherer übermittelten Vertragsdaten handelt, sondern insbesondere auch um Akquisedaten, welche sich im Besitz des Maklers befinden. Dies bedeutet, dass der Makler in Bezug auf die Vertragsdaten zwar Unterstützung seitens des Versicherers erwarten kann, er allerdings im Hinblick auf die Akquisedaten selbstständig entsprechende Datenschutzmaßnahmen einrichten muss. Daher ist es sinnvoll, sämtliche Datenschutzanforderungen sowohl auf Vertrags- als auch auf Akquisedaten anzuwenden. Daher sollten Makler unverzüglich klären, inwieweit ihr eingesetztes Maklerverwaltungsprogramm die Erfüllung der Datenschatzanforderungen gewährleisten kann.

Datenschutzorganisation

Neben den bereits angeführten und beschriebenen Informationspflichten und Betroffenenrechten sind auch eine angemessene Datenschutzorganisation und technisch-organisatorischen Maßnahmen zentrale Anforderungen der DSGVO (Vgl. Art. 24, Art. 32 DSGVO). Im Hinblick auf die technisch-organisatorischen Maßnahmen bedeutet dies, dass Makler neben der bloßen Umsetzung der Maßnahmen durch die Rechenschaftspflicht auch eine umfangreiche Dokumentation vorhalten müssen (Vgl. Art. 5 (2)). Durch die Umkehrung der Beweislast sind Makler somit zukünftig in der Pflicht, jederzeit den Nachweis erbringen zu können, dass keine fehlerhafte Verarbeitung stattgefunden hat. Ein erster Schritt in diese Richtung kann durch Nutzung aktueller Technik unternommen werden. So sollten sich Makler immer mit dem neuesten Stand der Technik arbeiten, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Daher sind in regelmäßigen Abständen Software-Updates sowie eine tägliche, mindestens jedoch wöchentliche Feuer- und Diebstahlsicherung vorzunehmen.

Zusätzlich sollten auch technische Maßnahmen zur Sicherstellung einer angemessenen IT-Sicherheit ergriffen werden (Vgl. Art. 24, Art. 32 DSGVO), welche zum Beispiel die Verwendung personalisierter Benutzerkonten, die Absicherung von Computern mit sicheren Passwörtern, die Verschlüsselung von E-Mails, aber auch die Nutzung aktueller Virenprogramme und Firewalls beinhalten. Auch wenn solche Maßnahmen zum heutigen Zeitpunkt von vielen Maklerbüros vernachlässigt werden, sollte diesen in Zukunft unter Berücksichtigung der signifikant höheren Sanktionen mehr Beachtung geschenkt werden. Daher ist den Maklern zu raten, frühzeitig auf die Anbieter der Maklerverwaltungsprogramme zuzugehen, um sich über den aktuellen Sicherheitsstand der Lösung zu informieren. Darüber hinaus sollten auch die Anbieter von Smartphone-Apps kontaktiert werden. Denn letztendlich liegt die Verantwortung der Datensicherheit nicht bei den Anbietern von Programmen und Apps, sondern bei den Maklern selbst (Vgl. Art. 4 (7) DSGVO).

Jedoch müssen Makler nicht nur auf technischer Ebene aktiv werden. Ebenso sind zahlreiche organisatorische und prozessuale Maßnahmen umzusetzen. Im ersten Schritt bedeutet dies, dass sich alle an der Verarbeitung personenbezogener Daten beteiligten Personen dem Datengeheimnis verpflichten müssen. Darüber hinaus müssen Maklerbüros ab einer Unternehmensgröße von zehn Personen ein Datenschutzbeauftragten bestellen (Vgl. § 38 BDSG-neu). Hierbei sollte darauf geachtet werden, dass es sich um einen fachlich qualifizierten Mitarbeiter handelt, welcher in seiner Funktion als Datenschutzbeauftragter der Unternehmensführung unterstellt ist, in seiner Rolle als Datenschutzbeauftragter jedoch weisungsfrei handeln kann (Vgl. Art. 38 (3) DSGVO). Hierbei kann der Datenschutzbeauftragte in seiner Funktion als Beschäftigter des Maklers auftreten oder aber seinen Aufgaben auf Basis eines Dienstleistungsvertrages nachkommen (Vgl. Art. 37 (6) DSGVO).

Für kleinere Maklerbüros mit einer Mitarbeiterzahl unter zehn Personen besteht hingegen keine Pflicht, einen Datenschutzbeauftragten zu bestellen. Stattdessen können sich die Makler in diesem Fall an ihren zuständigen Berufsverband wenden, um einen verbandsweiten Datenschutzbeauftragten zu beantragen (Vgl. Art. 37 (4) DSGVO).

Zu guter Letzt sollte auch die Meldepflicht bei Datenschutzverstößen erwähnt werden (Vgl. Art. 33, Art. 34 DSGVO). Grundsätzlich besteht diese Verpflichtung auch schon im BDSG-alt. Unter der DSGVO wurde auf diese Verpflichtung jedoch eine Beweislastumkehr angewendet. Während in der bisherigen Gesetzgebung Datenschutzverstöße nur bei dem Auftreten eines Risikos gemeldet werden mussten, sind nach der DSGVO alle Datenschutzverstöße zu melden, sofern ein Risiko nicht explizit ausgeschlossen werden kann (Vgl. Art. 33 (1) DSGVO). Ein Datenschutzverstoß umfasst hierbei alle Aktivitäten, welche eine Verletzung der zuvor genannten Grundsätze herbeiführt. Eine weitere Neuerung besteht auch in der zeitlichen Frist, in der ein Datenschutzverstoß gemeldet werden muss. Die Meldung hat nach den Anforderungen der DSGVO innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu erfolgen.

Michael Kötting: Michael Kötting ist als Berater für eine der führenden europäischen Unternehmensberatungen im Bereich Financial Services tätig. Im Rahmen seiner Tätigkeit befasst er sich insbesondere mit Fragestellungen des Datenschutzes und der Informationssicherheit innerhalb der Versicherungswirtschaft.

Anzeige

Jana-Sophie Daub: Jana-Sophie Daub ist für eine der weltweit führenden Wirtschaftsprüfungs- und Beratungsgesellschaften im Bereich Versicherungen tätig. Ihr Fokus umfasst verschiedene Themenfelder der IT-Compliance mit einem Schwerpunkt auf datenschutzrechtlichen Fragestellungen.