DSGVO Datenschutzgrundverordnung
Seit 25.5.2018 ist die Datenschutzgrundverordnung in Kraft. Wir hatten in Deutschland bereits ein strenges Datenschutzgesetz. Die neue Rechtslage stellt unseren Berufsstand aber vor zusätzliche Aufgaben und Pflichten, die nicht vernachlässigt werden können. Im folgenden Artikel finden Sie Informationen und Handlungsempfehlungen zum Thema.
Grundsätze der DSGVO
Verbot mit Erlaubnisvorbehalt
Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur wenn sie auf gesetzlicher Grundlage oder mit Einwilligung der betroffenen Person erfolgt, ist sie erlaubt.
Rechtmäßigkeit
Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zweck der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
Transparenz
Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht)
Zweckbindung
Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
Datenminimierung
Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
Richtigkeit
Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
Speicherbegrenzung
Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden müssen. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
Integrität und Vertraulichkeit
Die DS-GVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
Rechenschaftspflicht
Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig, natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten die verarbeitet werden und der Menge sowie der Qualität der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich.
Handlungsbedarf für Ihre Agentur
Arbeiten Sie folgende Punkte ab:
- brauche ich einen Datenschutzbeauftragen?
- legen Sie ein Verzeichnis der Verarbeitungstätigkeiten an
- beschreiben Sie Ihre Prozesse und erstellen Sie Arbeitsanweisungen mit Löschfristen
- Beschreiben Sie die Prozesse so, dass sie auch ohne Einwilligungserklärung zur Datenspeicherung (DEwE) funktionieren. Ein flächendeckendes Einholen von Erklärungen ist illusorisch
- vermeiden Sie das Risiko eine Datenschutzfolgeeinschätzung durchführen zu müssen und speichern Sie deshalb keine Gesundheitsdaten dauerhaft
Dokumentieren Sie Ihre Datenschutzanstrengungen - unterweisen Sie Ihre Mitarbeiter regelmäßig und verpflichten Sie sie zur Einhaltung der DSGVO und zur Verschwiegenheit
- verwenden Sie eine DSGVO-konforme Einwilligungserklärung zur Speicherung von Kundendaten
- Prüfen Sie, ob Auftragsdatenverarbeitung in ihrem Betrieb erfolgt (Telefondienstleister, Bürogemeinschaft usw.) und schließen Sie Verträge zur Auftragsdatenverarbeitung
- holen Sie möglichst bei jedem Kontakt eine Einwilligungserklärung zur Datenspeicherung einEinwilligung zur Datenspeicherung (DEwE)
Die genutzte Einwilligungserklärung sollte dem Bedarf der Agentur gerecht werden alle Geschäftszwecke abdecken. Achten Sie darauf, dass dort die Weitergabe an alle Ihre Auftragsverarbeiter (z.B. Partner der Bürogemeinschaft, Telefondienstleister) geregelt ist und alle Zecke und Daten genannt werden die für die Speicherung in Frage kommen
Welche Unterlagen erhalten Sie von der ISV zur Unterstützung
Im internen Bereich unserer Seite stehen unseren Mitgliedern unterstützende Unterlagen zur Verfügung. Sie finden dort
- Ein umfassendes Skript zum Thema DSGVO
- Das Muster eines Datenschutzkonzeptes für Ihren Betrieb, das Sie nur noch auf Ihre Belange anpassen brauchen
- Das Muster einer Einwilligungserklärung zur Datenspeicherung (DEwE)
- Das Muster einer Einwilligungserklärung zur Datenspeicherung kombiniert mit Werbeeinwilligung (WEwE) und Auskunftsvollmacht
- Vertrag zur Auftragsdatenverarbeitung für Bürogemeinschaften
- Verpflichtungserklärung für Mitarbeiter zur Wahrung von Datenschutz und Betriebsgeheimnissen
Wer braucht einen Datenschutzbeauftragen
Wenn mehr als 19 Personen im Betrieb Zugang zu Daten haben, muss ein Datenschutzbeauftragter bestellt werden. Diese Rolle darf der Inhaber nicht übernehmen. Es kann also ein eigener Mitarbeiter ausgebildet und bestellt, oder ein externer Dienstleister beauftragt werden. Interne Weiterbildung kostet und interne Datenschutzbeauftrage genießen Kündigungsschutz. Deshalb empfehlen wir unseren Rahmenvertragsparnter
Wer zählt zu den 19 Personen?
Es spielt keine Rolle ob es sich um Vollzeit- Teilzeitkräft oder Praktikanten handelt, jede Person wird gezählt. Es zählen aber nur Personen die tatsächlich im Betrieb tätig sind und diesem zuzuordnen sind. Kundenbetreuer, egal ob von der Agentur oder dem Versicherer vergütet, werden mitgerechnet. Spezialisten des Versicherers, die sich Daten als "Gast" ansehen zählen nicht dazu. Vereinfacht gesagt, wer in der Agentur einen eigenen Zugang zur EDV hat, muss berücksichtigt werden.
Bürogemeinschaften
Bei einer Bürogemeinschaft handelt es sich im Allgemeinen um zwei oder mehr wirtschaftlich selbständige Einheiten. Sie gewähren sich in vielen Fällen gegenseitigen Datenzugriff für Vertretungsfälle. Hier werden die relevanten Personen pro Einheit separat gezählt. Bürogemeinschaft sollten für den Vertretungsfall eine Vereinbarung zur Auftragsdatenverarbeitung treffen. Diese "Weitergabe" von Daten sollte sich auch in der Kundeninformation zur Datenverarbeitung und in den Einwilligungserklärungen wiederfinden.
Rahmenvertrag der ISV
Die ISV hat mit dem Unternehmen Projekt29 einen Rahmenvertrag geschlossen über den Sie kostengünstig einen Datenschutzbeauftragten buchen können. Mehr Informationen finden Sie unter "Agentur>Rahmenverträge"
Darf ich als Vermittler eigene Einwilligungserklärungen nutzen?
Einige Kollegen sind verunsichert, da Ihr Vertragspartner Einwilligungen zur Datenspeicherung bereitstellt und vor der Nutzung eigener Erklärungen warnt. Auch die ISV kann sich den prinzipiellen Hinweisen nur anschließen. Schließlich kann sich Selbstgestricktes als rechtlich nicht haltbar erweisen. Wir haben das von uns bereitgestellte Muster einer Einwilligungserklärung von einem Anwalt prüfen lassen. Der Text sollte also ein hohes Maß an Rechtssicherheit aufweisen.
Warum haben wir überhaupt eine eigene Erklärung bereitgestellt?
Nicht alle Kollegen haben Zugang zu praktikablen Erklärungen und zudem legt die ISV DEwE (Dateneinwilligungserklärung) großen Wert auf die unternehmerische Unabhängigkeit der Agenturbetriebe. So ist hier die Datenspeicherung nicht auf die Zusammenarbeit mit bestimmten Versicherern oder Geschäftsvorfälle beschränkt. Die ISV Dewe erlaubt auch das Speichern von Kundenunterlagen über die Antrags-und Vertragsabwicklung hinaus und deckt damit den Bedarf der Agenturen umfassender ab als manche Erklärung von Versicherern.
Darf ich eigene Erklärungen verwenden
Ja, die Verantwortung für das Thema Datenschutz liegt ausschließlich beim Agenturinhaber. Der Versicherer, der Agentursysteme zur Verfügung stellt, hat die Verpflichtung den technischen und organisatorischen Datenschutzaspekt zu gewährleisten. Für die Inhalte haftet allein der Vermittler. Daher liegt es auch ausschließlich in seiner Verantwortung welche Einwilligung er verwendet.
Darf ich meine Kunden ohne DEwE noch beraten?
Die DSGVO sieht drei wesentliche Grundlagen für die Datenverarbeitung zu:
- Die Einwilligung des Betroffenen
- Die Verarbeitung im Rahmen einer Vertragserfüllung
- Das berechtigte Interesse des Verantwortlichen
Wenn wir unsere Kunden nur bei der Abwicklung seiner (Sach-)Verträge unterstützen, so bedarf es dazu keiner expliziten Zustimmung. Auch die Speicherung die im Berechtigten Interesse der Agentur liegt, ist zulässig. Dazu zählen alle Dokumente für die es kaufmännischen, steuerliche, oder haftungsrechtliche Aufbewahrungsfristen gibt. Eine Zustimmung brauchen wir immer dann, wenn wir vorvertraglich sensible Personendaten aufnehmen, über den Vertragszweck hinausgehende Aquisedaten vorhalten wollen, oder Daten eines Interessenten etwas länger speichern wollen. Die Qualität unserer Beratung hängt von unserer Informationsbasis ab. Deshalb sollten Einwilligungserklärungen zur Datenspeicherung systematisch eingeholt werden. Bitte erwecken Sie aber nicht den Eindruck, ohne Zustimmung könnten wir unsere Kunden nicht mehr betreuen.
Deckung für Datenschutzverstöße in der VH-Deckung der ISV
Sofern gesetzliche Haftpflichtansprüche privatrechtlichen Inhalts gegen eine versichertes Mitglied geltend gemacht werden, welche auf fehlerhafter Datenverarbeitung beruhen, sind diesbezügliche Vermögensschäden bedingungsgemäß im Versicherungsschutz eingeschlossen, da die Datenverarbeitung Bestandteil der satzungsgemäßen Tätigkeit des versicherten Vermittler ist. Ordnungsgelder, Bußen und Strafen sind vom Versicherungsschutz nicht umfasst.
Nutzung von WhatsApp
Die DSGVO untersagt die Weitergabe von Daten an Drittstaaten. Wenn Sie also WhatsApp oder Facebook nutzen und gleichzeitig Kunden(kontakt)daten auf Ihrem Smartphone speichern, haben Sie ein Problem. Die Daten dürfen anhand der Nutzungsvereinbarungen ausgelesen werden und gehen verbotswidrig in Drittstaaten. Vorsicht – hier helfen auch keine Einwilligungserklärungen! Die Weitergabe an Drittstaaten ist generell untersagt. Wenn Sie den Punkt in einer Einwilligung erwähnen dokumentieren Sie selbst den Verstoß.
Dem Kunden steht es frei selbst Nachrichten per WhatsApp zu schicken. Bis also Business-Versionen ohne Datenweitergabe zur Verfügung stehen empfiehlt es sich ein Gerät im Büro nur zum WhatsApp Empfang bereit zu stellen, darauf keine Daten zu halten und keine Nachrichten an Kunden zu verschicken.
Wie ein Smartphone für den Empfang von WhatsApp mit der normalen Festnetznummer installiert werden kann finden Sie in dieser Beschreibung
Was tun mit Arztrechnungen meiner Kunden?
Gesundheitsdaten sollten nicht dauerhaft gespeichert werden. Dennoch kommt es immer wieder mal zu Rückfragen bei Rechnungen, die Sie im Kundenauftrag per Mail einreichen. Für die Reklamationen hilft es ungemein, wenn man auf diese Mails zurückgreifen kann.
Der Vorschlag: Richten Sie sich einfach einen Archivordner “Löschvorgänge” in Outlook ein. Alle versandten Mails mit sensiblen Daten werden dorthin verschoben und nicht mehr im Agentursystem gespeichert. Damit haben Sie die Gelegenheit die Unterlagen regelmäßig von hinten her enbloc zu löschen. Ggf können auch mehrere Ordner bei unterschiedlich gewünschten Löschfristen eingerichtet werden. Das Verfahren hat auch den Vorteil die Datenbank des Agentursystems übersichtlicher zu halten und es nicht aufzublähen.
Nutzung von OneNote und anderen Cloud-Anwendungen
Bei der Nutzung von OneNote werden keine Daten an Dritte weitergegeben, hier handelt es sich um einen Cloud-Speicher. Ausschlaggebend ist bei Cloud-Lösungen allein, dass sich der Server in Deutschland oder zumindest im Europäischen Geltungsbereich der DSGVO befindet. Office 365 erfüllt diese Voraussetzung und kann daher auch genutzt werden. Kunden müssen dem weder zustimmen noch darüber informiert werden, da es hier nur um die interne Datenorganisation geht. Die Nutzung von OneNote oder anderen Cloudanwendungen sollte aber im Datenschutzkonzept der Agentur genannt werden und natürlich sollte mit Zugangsdaten und Unterweisung des Personals verantwortungsvoll umgegangen werden.