Datenschutzrecht

Datenschutz-Grundverordnung (DSGVO) – Ein Leitfaden

von Rechtsanwalt Sebastian Karch, Kanzlei Michaelis Rechtsanwälte

Jeder Unternehmer in Deutschland sollte bis zum 25. Mai 2018 das Thema Datenschutz im Griff haben. Denn an diesem Tag endet die zweijährige Übergangsfrist, die den Unternehmern in der EU gewährt wurde, um sich an die neuen Datenschutz-Standards, welche der EU-Gesetzgeber mit der DSGVO aufstellt, anzupassen.

Das neue Datenschutz-Niveau ist aus deutscher Sicht zwar gar nicht viel höher, als das bisher im deutschen Bundesdatenschutzgesetz (BDSG) und diversen weiteren Einzelgesetzen (Telemediengesetz (TMG), Telekommunikationsgesetz (TKG) usw.) verankerte Datenschutzrecht. Aber die deutschen Datenschutzbehörden haben in der Vergangenheit nicht alles sanktioniert/sanktionieren müssen. In der Praxis muss man wohl sagen, dass die kleinen und mittleren Unternehmen (KMU) den Datenschutz im Durchschnitt nicht ernst genommen haben und auch keinen großen Druck seitens der Datenschutzbehörden erfahren haben. Aber auch KMU verarbeiten personenbezogene Daten wie beispielsweise Name, Kontaktdaten, ggf. Gesundheitsdaten. Der Begriff der Verarbeitung beinhaltet sämtliche Arbeitsschritte wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Hierbei ist natürlich der sachliche Anwendungsbereich der DSGVO gemäß Art. 2 DSGVO zu berücksichtigen, der nur Verarbeitungen erfasst, die „ganz oder teilweise automatisiert“ stattfinden. Dies bedeutet aber auch, dass manuell erhobene Daten, die einer automatisierten Verarbeitung zugeführt werden sollen, bereits unter den Schutz der DSGVO fallen.

Ab 25. Mai 2018 werden die Behörden den KMU mehr Aufmerksamkeit widmen, da sie dann verpflichtet sind zu sanktionieren. Die Frage ist dann nur noch, in welcher Höhe der einzelne Verstoß geahndet wird.

Es bedarf daher einer guten Compliance-Strategie, um das neue Datenschutz-Niveau erfolgreich im Unternehmen zu integrieren. Dabei darf dies nicht als einmalige Anstrengung verstanden werden, sondern sollte als fortlaufende, jeden Unternehmensprozess durchziehende Anforderung verstanden werden.

Dringende Empfehlung! – bis 25. Mai 2018 wenigstens Kernthemen angehen

Das neue Datenschutz-Niveau bis zum Stichtag zu erreichen, wird vielen Unternehmern nicht gelingen. Umso wichtiger ist es, bis dahin unbedingt die Kernthemen angegangen zu haben. Denn das schlimmste was dem Unternehmer passieren kann, ist, wenn er am 25. Mai 2018 gar nichts vorweisen kann und damit nachweislich den Datenschutz nicht ernst nimmt. Die folgenden Punkte stellen die wichtigsten Kernthemen dar, mit denen sich bis dahin und natürlich darüber hinaus unbedingt beschäftigt werden sollte. Denn der Datenschutz ist keine einmalige Anstrengung, sondern ein Prozess!

I. 15 Punkte für eine gute Compliance-Strategie

Damit es nicht zum Bußgeld kommt, und jeder Unternehmer zum 25. Mai 2018 die Basics im Unternehmen etabliert hat, hier nun eine „Checkliste“, die dem Leser als Unterstützung bei dieser Aufgabe dienen soll.

1. Datenschutzbeauftragter (Art. 37 DSGVO)

Eine der ersten Fragen, die Sie sich als Versicherungsmakler stellen sollten, ist die, ob Sie einen Datenschutzbeauftragten (DSB) bestellen müssen bzw. freiwillig bestellen wollen.

a) Mitarbeiterzahl (Art. 37 Abs. 4 DSGVO i.V.m. § 38 Abs. 1 BDSG-neu)

Die Bestellpflicht wird zum einen ausgelöst, wenn im Unternehmen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Welche Personen dies sind, ist irrelevant. Es zählt jeder Kopf, also auch jeder Praktikant und jede Teilzeitkraft, Azubi, Aushilfe, Schwangerschaftsvertretung etc.

b) „Kerntätigkeit“

Unabhängig von der Mitarbeiterzahl ist für den Versicherungsmakler aber die Bestellpflicht nach Art. 37 Abs. 1 Buchstabe c) DSGVO. Diese wird nämlich (unabhängig von der Mitarbeiterzahl!) ausgelöst, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten (u.a. Gesundheitsdaten und biometrische Daten, vgl. Begriffe in Art. 4 DSGVO) besteht.

Das bedeutet, dass es nicht auf die Mitarbeiterzahl ankommt, wenn z.B. Gesundheitsdaten „umfangreich“ in der „Kerntätigkeit“ verarbeitet werden!
Die Begriffe „Kerntätigkeit“ und „umfangreich“ sind sehr weit gefasst und lösen somit Unklarheiten aus. Aus dem Erwägungsgrund 97 zur DSGVO ergibt sich die Hilfestellung, dass sich die „Kerntätigkeit eines Verantwortlichen“ auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Eine klare Abgrenzung, wann die Bestellpflicht noch nicht ausgelöst wird, ist derzeit allerdings nicht möglich.

Zur Klärung der Frage, ob eine umfangreiche Verarbeitungstätigkeit vorliegt, ist am Ende jeder Einzelfall für sich zu betrachten. Entscheidungserhebliche Parameter, wie etwa die Kundenzahl sowie Art und Umfang der Verarbeitung von besonderen personenbezogenen Daten, dürfte von Versicherungsmakler zu Versicherungsmakler unterschiedlich ausfallen. Je kleiner das Unternehmen, umso mehr Argumente sollten für den Versicherungsmakler sprechen, dass keine Bestellpflicht ausgelöst wird. Je umfangreicher die Verarbeitung von „sensiblen“ Daten der Versicherungsnehmer, umso mehr Argumente sprechen für eine „umfangreiche“ Verarbeitung besonderer personenbezogener Daten.

In der derzeitigen Umbruchphase scheint es bezüglich der konkreten Fragstellung, ob der Versicherungsmakler unter die Bestellpflicht fällt oder nicht, überdies noch regionale Unterschiede je nach zuständige datenschutzrechtlichen Aufsichtsbehörden zu geben. Deshalb ist unbedingt darauf zu achten, was von der für Sie zuständigen Landesdatenschutzbehörde zu diesem Thema veröffentlicht wird.

Für einzelne Makler mag es hier daher einen gewissen Argumentationsspielraum geben, wenn kein DSB genommen wird. Diese Entscheidung, keinen DSB zu bestellen, sollte aber in jedem Fall mit Argumenten dokumentiert werden. Das unternehmerische Risiko besteht darin, dass die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen könnte, dass die Bestellpflicht gegeben ist. Entsprechend könnte dann die Nichtbestellung von der Behörde mit einem empfindlichen Bußgeld sanktioniert werden.

Bei Zweifeln über die Bestellpflicht, ist der sicherste Weg also die Bestellung eines Datenschutzbeauftragten. Wenn Sie sich zur Bestellung eines DSB entscheiden, so muss dieser bis zum Ablauf des Stichtags, den 25.05.2018, dem für Sie zuständigen Landesamt für Datenschutzaufsicht gemeldet werden.

c) Interner oder externer Datenschutzbeauftragter

Die Folgefrage ist, ob man einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen soll oder sich lieber einen externen Datenschutzbeauftragten nimmt.
Ein interner Datenschutzbeauftragter wird im Rahmen seines Anstellungsverhältnisses für das Unternehmen tätig, ein externer Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages. Der externe Datenschutzbeauftragte ist also einfach auszutauschen, der interne Datenschutzbeauftragte nicht. Für die Qualifikation eines externen Datenschutzbeauftragten muss auch der Geschäftsführer nicht sorgen. Ein interner Datenschutzbeauftragter muss regelmäßig zu Fortbildungsmaßnahmen geschickt und somit von der Arbeit freigestellt werden. Der externe Datenschutzbeauftragte kostet das, was Sie mit ihm vereinbaren.

d) Verantwortlicher bleibt der Unternehmer

Nur um es einmal klar gesagt zu haben. Die Datenschutzpflichten des Unternehmers können nicht auf einen Datenschutzbeauftragten abgewälzt werden. Der Verantwortliche bleibt der Unternehmer. Der Datenschutzbeauftragte muss ihn „lediglich“ darauf hinweisen, was im Unternehmen in Sachen Datenschutz gemacht werden sollte. Die Umsetzung verbleibt Sache des Unternehmers.

2. Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt der Datenschutz-Compliance und es ist Pflicht ein solches anzulegen und vorzuhalten! Mit dem Verzeichnis ist nachzuweisen, wie in Ihrem Unternehmen der Datenschutz beachtet wird. Es dient als Nachweis einer DSGVO-konformen Datenverarbeitung und der Vermeidung von Haftungsfällen. Die Pflicht zum Vorhalten eines Verarbeitungsverzeichnisses resultiert aus dem Grundsatz der Rechenschaftspflicht (Art. 5 DSGVO).

Einzelheiten

Das Verarbeitungsverzeichnis kann in schriftlicher oder elektronischer Form angelegt werden und muss folgende Pflichtangaben enthalten:

Name und Kontaktdaten des Verantwortlichen und ggfs. dem Datenschutzbeauftragten, Zwecke der Verarbeitung, Beschreibung der Kategorien betroffener und personenbezogener Daten, Auskunft, ob die Daten in ein Drittland übermittelt werden, Löschfristen sowie eine Beschreibung der getroffenen TOMs.

Vorlagen für Verarbeitungsverzeichnisse gibt es dieser Tage viele, da es keine formelle Vorgabe gibt. Zu empfehlen sind z.B. die vom BDVM (Bundesverband Deutscher Versicherungsmakler e.V.). Auf einem Vorblatt sind folgende Pflichtangaben auszufüllen:

– Angabe zum Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zu ggf. einem weiteren gemeinsamen Verantwortlichen bzw. Auftragsverarbeiter;
– Angaben zum Vertreter des Verantwortlichen bzw. des Auftragsverarbeiter
– Angaben zur Person des Datenschutzbeauftragten
und auf dem Hauptblatt, was am einfachsten per Excel-Tabelle erstellt wird, werden zu jedem einzelnen Verarbeitungsvorgang die Pflichtangaben des Art. 30 DSGVO abgearbeitet:

– Benennung des Verarbeitungsvorgangs;
– Datum der Einführung und Datum der letzten Änderung;
– Benennung der verantwortlichen Fachabteilung im Unternehmen;
– Angabe des Zwecks der Verarbeitung, z.B. Terminabsprache, Beratungsgespräch;
– Rechtsgrundlage: regelmäßig der Maklervertrag: Art. 6 Abs. 1 Buchst. b) DSGVO oder eine Einwilligungserklärung des betroffenen: Art. 6 Abs. 1 Buchst. a) DSGVO;
– Beschreibung der Kategorien betroffener Personen: z.B. Interessenten, Kunden;
– Beschreibung der Kategorien von personenbezogenen Daten
– Beschreibung der Kategorien von Empfängern, ggü. denen die personenbezogenen Daten offen gelegt werden: intern und extern
– Mitteilung, ob personenbezogene Daten in ein Drittland oder an eine internationale Organisation weitergegeben werden: Wenn ja, dann konkrete Benennung
– Fristen für die Löschung der Daten benennen
– Benennung der technisch- organisatorischen Schutzmaßnahmen (TOMs), die jeweils getroffen werden

Wenn im Unternehmen bereits ein Verfahrensverzeichnis nach BDSG existiert, so kann dies wunderbar als Vorlage genommen werden und ist lediglich um die o.g. neuen Anforderungen zu ergänzen.

3. Datenschutz-Folgenabschätzung (DSFA), Art. 35 DSGVO

Die Datenschutz-Folgenabschätzung steigert das Niveau noch einmal. Dies entspricht der alten „Vorab-Analyse“. Es gilt also bei neuen automatisierten Prozessen vorab zu prüfen, ob der eigene Umgang mit den Daten des Betroffenen voraussichtlich ein hohes Risiko für dessen persönliche Rechte und Freiheiten darstellt. Als Konsequenz der Feststellung eines hohen Risikos ist dieses vor der Datenverarbeitung durch Maßnahmen zu minimieren oder die zuständige Aufsichtsbehörde zu konsultieren und mit dieser abzustimmen, wie Sie sich zu verhalten haben.

Als Anhaltspunkte, wann Sie von einer Pflicht zur DSFA ausgehen sollen, hat die „Artikel 29-Datenschutzgruppe“ (Gremium auf EU-Ebene) u.a. folgende Fälle benannt:

– Verarbeitung sensibler Daten (z.B. Gesundheitsdaten)
– umfangreiche Verarbeitungsvorgänge
– Verwendung neuer Technologien
– zusammengeführte oder kombinierte Datensätze
– Datentransfers außerhalb der Europäischen Union

Für gleichgelagerte Fälle reicht es aus, wenn nur einmal eine DSFA getroffen wird.
Als weitere Hilfestellung sollte eigentlich eine sogenannten „Black-List“ von Behördenseite zur Verfügung gestellt und in dieser die Prozesse bewertet werden, bei welchen eine Datenschutzfolgeabschätzung durchgeführt werden muss. Diese liegt aktuell jedoch noch nicht vor, sodass noch unklar ist, wann die Pflicht definitiv greift.

4. Technisch-organisatorische Maßnahmen (TOM)

Die Technisch-Organisatorischen Maßnahmen beschreiben, wie in Ihrem Unternehmen die Sicherheit Ihrer Daten gewährleistet ist. Sie sind Grundlage für das Sicherheitsniveau beim Beschreiben Ihrer Verarbeitungstätigkeiten.
Denn der Unternehmer hat Schutzmaßnahmen zu treffen, damit die personenbezogenen Daten seines Kunden nicht verloren gehen oder unbefugten Dritten in die Hände fallen. Dafür ist es ausreichend, dass ein „angemessenes“ Schutzniveau eingerichtet wird, welches an den Risiken im Falle des Datenschutzverstoßes festzumachen ist. Damit wird dem DSGVO-Grundsatz der „Integrität und Vertraulichkeit“ (vgl. Art. 5 Abs. 1 Buchst. f DSGVO) entsprochen.

Mit „angemessenes Schutzniveau“ hat man es allerdings wieder mit einem sogenannten unbestimmten Rechtsbegriff zu tun, der interpretationsfähig ist. Auch an dieser Stelle wird aber an den gesunden Menschenverstand appelliert. Wer beispielsweise sensible Kundendaten über WhatsApp versendet, hat offensichtlich keine Schutzmaßnahme getroffen. Stellen Sie sich also immer die Frage, ob Sie die Integrität, Vertraulichkeit, Verfügbarkeit und Belastbarkeit der Datenverarbeitung beim einzelnen Verarbeitungsvorgang durch entsprechende Schutzmaßnahmen beachten. Es gilt für jeden einzelnen Verarbeitungsvorgang zu prüfen, ob dazu eine „angemessene“ TOM getroffen wurde.
Die Verschlüsselung ist neben der Pseudonymisierung, die für Versicherungsmakler eher keine Option ist, eine gute Schutzmaßnahme. Dem Kunden sollte immer die Wahl gelassen werden, ob er die verschlüsselte Kommunikation wünscht oder in die unverschlüsselte Kommunikation einwilligt.

Überdies soll gewährleistet werden, dass die Daten auch nach eventuellen Zwischenfällen wieder rasch verfügbar sind. Dies Alles soll stets auf dem aktuellen Stand der Technik erfolgen. Was unter „Stand der Technik“ genau zu verstehen sein soll, ist zwar nicht klar definiert, aber so zu verstehen, dass keine stark veraltete Software oder Software mit bekannten Sicherheitslücken verwendet werden soll. Tagesaktuelle Software hingegen muss nicht vorgehalten werden. Es gilt auch hier das sogenannte „Augenmaßprinzip“ von Behördenseite einzuhalten.

Behalten Sie diese Begrifflichkeit bitte im Blick, um eventuelle Verschärfungen bei der Auslegung zeitnah mitzubekommen. Informieren können Sie sich z.B. beim Bundesministerium des Inneren (BSI), welches zu den Mindeststandards für den Einsatz von Verschlüsselungsprotokollen regelmäßig Veröffentlichungen publiziert.

5. Einwilligungserklärungen überprüfen und ggfs. neu einholen

Neben dem Versicherungsmaklervertrag als solchem empfiehlt sich immer auch die Einholung von Einwilligungen der Kunden in die Datenverarbeitungsvorgänge. Die Einwilligung stellt dann eine eigene Rechtsgrundlage dar. Beispielsweise sollte für die Zusendung von Werbung immer eine separate Einwilligung eingeholt werden, um nicht Gefahr zu laufen unter das „Kopplungsverbot“ zu fallen. Das heißt es sollen keine Sachen miteinander gekoppelt werden, die miteinander nichts zu tun haben. Ihr Kunde muss also die Möglichkeit eingeräumt bekommen, den Versicherungsmaklervertrag mit Ihnen zu schließen, ohne dass er in die Zusendung von Werbung einwilligen muss.

Alt-Einwilligungen sind nicht per se veraltet. Sie sind auch über den 25. Mai hinaus noch wirksam. Allerdings nur, wenn Sie den DSGVO-Standard erfüllen. Dies erfüllen sie regelmäßig nicht, wenn z.B. kein Hinweis auf das Widerrufsrecht enthalten ist. Im Einzelfall empfiehlt sich also immer die diesbezügliche juristische Prüfung von Alt-Einwilligungen.

6. Auftragsdatenverarbeitungsvereinbarungen abschließen, Art. 28 DSGVO

Sie können und sollten als Verantwortlicher mit Ihren diversen Dienstleistern (Auftragsverarbeiter) sogenannte Auftragsdatenverarbeitungsvereinbarungen/-verträge (abgekürzt „AVV“ oder „ADV“) abschließen bzw. bereits bestehende Verhältnisse überprüfen (lassen).
Ob eine Auftragsdatenverarbeitung vorliegt oder nur eine Funktionsübertragung (Verarbeitung der Daten als eigene verantwortliche Stelle), die keine ADV rechtfertigt, muss für jeden Einzelfall geprüft werden. Als Faustregel sollte hierzu überlegt werden, ob Ihr Unternehmen personenbezogene Daten an einen Dienstleister weisungsgebunden weitergibt, damit dieser eine bestimmte Aufgabe für Sie erfüllt. Wenn der Dienstleister hingegen auch ein Eigeninteresse an der Datenverarbeitung hat und auch eigenverantwortlich agiert, wie bspw. oftmals ein Maklerpool, so spricht dies gegen eine Auftragsdatenverarbeitung. Natürlich ist hier die Prüfung des Einzelfalles notwendig, da es auch Maklerpools gibt, die als Auftragsdatenverarbeiter tätig werden und selbst mit eigenen IT-Töchtern im Auftragsdatenverhältnis zusammenarbeiten. Im Zweifel müssen Sie den Maklerpool konsultieren.

Der Klassiker einer Funktionsübertragung liegt in der Beauftragung von Rechtsanwälten oder Steuerberatern. Hier kann ebenfalls keine Auftragsdatenverarbeitung vorliegen.
Klassische Anwendungsfälle für eine ADV sind somit Verträge mit IT-Servicefirmen.

7. Rechte der Betroffenen (Kapitel 3 DSGVO)

Sämtliche Betroffenenrechte müssen vollumfänglich beachtet werden. Nicht, oder verspätet zu reagieren, kann zu ernsthaften Konsequenzen führen.

a) Informationsrecht

Die betroffenen Personen müssen vom Unternehmer über deren Rechte transparent informiert werden. Die Informationsrechte sind umfangreicher als früher, weshalb gerade Datenschutzbestimmungen auf Webseiten überarbeitet werden sollten. Zu informieren ist u.a. über:

– Name/Kontaktdaten des Verantwortlichen
– Name/ Kontaktdaten des Datenschutzbeauftragten
– Art der verarbeiteten Daten
– Zweck der Datenverarbeitung
– Art der Personen, deren Daten verarbeitet werden
– Information darüber, ob Daten an Dritte weitergegeben werden
– Information darüber, ob Daten in ein Drittland übermittelt werden
– Angabe von Löschfristen
– Informationen über die Rechte des Betroffenen in leicht verständlicher Form
– Aufklärung über das Recht auf Widerruf der Einwilligung
– Aufklärung des Betroffenen, dass er sich bei Datenschutzbehörde beschweren kann

b) Auskunftsrecht (Art. 15 DSGVO)

Etwaigen Auskunftsansprüchen ist „unverzüglich“ nachzukommen. Die Daten müssen also so im Unternehmen vorgehalten werden, dass sie sofort dem einzelnen Betroffenen zuordenbar sind.

c) Berichtigungsrecht (Art. 16 DSGVO)

Sollte nach Auskunftserteilung der Betroffene Sie darauf hinweisen, dass Fehler in seinen personenbezogenen Daten sind, müssen diese berichtigt werden.

d) Recht auf Löschung (Art. 17 DSGVO)

Sollte der Betroffene die Löschung seiner personenbezogenen Daten verlangen, empfiehlt es sich immer zwei Dinge zu prüfen.
Ist derjenige, der den Löschungsanspruch stellt auch wirklich die betroffene Person. Wenn nicht, würden Sie gerade durch die Löschung einen Datenschutzverstoß begehen.
Weiterhin ist zu prüfen, ob die Daten, statt zu löschen, gesperrt werden können. Denn nur dann können Sie sich später noch gegen etwaige Ansprüche, z.B. wegen Falschberatung, effektiv wehren. Die ehemalige „Sperrung“ heißt jetzt übrigens „Recht auf Einschränkung der Datenverarbeitung“ und ist in Art. 18 DSGVO geregelt.

e) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Gänzlich neu ist, dass der Unternehmer die personenbezogenen Daten derart vorhalten muss, dass sie in einem gängigen Datenformat (z.B. pdf, Excel, csv-Datei) übertragen werden können. Hintergrund dieser Regelung ist der, dass der Betroffene die Kontrolle über seine Daten behalten soll. Wenn er beispielsweise von einem Sozialen Netzwerk oder Cloud-Anbieter zu einem anderen wechseln will, so soll er seine Daten schnell und unkompliziert beim ersten Anbieter abziehen und dem neuen zur Verfügung stellen können.

f) Widerspruchsrecht (Art. 21 DSGVO)

Für Direktwerbung besitzt der Betroffene ebenfalls ein eigenes Widerspruchsrecht. Macht er davon Gebrauch, sollte er tunlichst auch keine Werbung mehr erhalten.

8. Internes Datenschutzkonzept erstellen

Dies ist eigentlich ein Selbstläufer. Wenn man sich als Unternehmer die Mühe macht, sich intensiv mit dem Datenschutzrecht zu befassen, müssen natürlich zwangsläufig dabei Entscheidungen getroffen werden, bspw. Welche Daten erhebe ich bei der Neu-Kundenakquise, um nicht zu viele Daten zu erheben („Datenminimierungsgrundsatz“) oder wann werden welche Daten gelöscht/gesperrt oder welche Mitarbeiter haben auf welche Daten wann Zugriff (TOMs) usw. Diese ganzen Entscheidungen zu durchdenken und zu dokumentieren kann dann „Datenschutzkonzept“ betitelt werden. Wichtig ist eigentlich nur, dass es auch gemacht wird.

Dazu gehört auch, dass „Privacy-by-Design“ und „Privacy-by-Default“ im Unternehmen etabliert werden. Das bedeutet nichts anderes als „Datenschutz durch Technikgestaltung“ bzw. „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die technischen Voreinstellungen sollen also immer zu Gunsten des Kunden, d.h. zum Schutz seiner Daten, eingestellt sein.

9. Rechenschaftspflicht nachkommen

Nicht nur gegenüber den betroffenen Personen hat der Unternehmer Rechenschaft über die Datenverarbeitung abzugeben. Vor allem die Rechenschaftspflicht gegenüber den zuständigen Behörden ist nachzukommen, um Bußgelder zu vermeiden.

An dieser Stelle seien noch einmal die Maximalstrafen genannt. Wo vorher Bußgelder in Höhe von „nur“ bis zu EUR 300.000,- verhängt werden durften, dürfen Behörden nun theoretisch bis zu 20 Mio. Euro bzw. 4% des Jahresumsatzes bei „schweren“ Verstößen und bis zu 10 Mio. Euro bzw. bis zu 2% des Jahresumsatzes bei „leichten“ Verstößen verhängen.

Als leichter Verstoß gilt z.B. die Nichtbestellung eines Datenschutzbeauftragten, obwohl eine Pflicht zur Bestellung besteht. Als schwerer Verstoß kann eigentlich jede Verletzung der Grundsätze der DSGVO gewertet werden, also z.B. wenn der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nicht nachgekommen wird oder eine Datenverarbeitung ohne Rechtsgrundlage stattfindet. In Art. 5 DSGVO sind übrigens alle Grundsätze abschließend aufgezählt, die ausnahmslos und jederzeit zu beachten sind.
Bei der Verhängung von Bußgeldern, haben die Behörden natürlich weiterhin mit Augenmaß zu agieren. Werden Geldbußen Personen auferlegt, bei denen es sich nicht um Unternehmen handelt, so sollte die Aufsichtsbehörde bei der Erwägung des angemessenen Betrags für die Geldbuße dem allgemeinen Einkommensniveau in dem betreffenden Mitgliedsstaat und der wirtschaftlichen Lage der Person Rechnung tragen (Erwägungsgrund 150 zur EU DSGVO). Dem Willen des EU-Gesetzgebers folgend, sind sie aber dazu angehalten abschreckend und empfindlich zu ahnden.

10. Cyber-Risk-Versicherung abschließen?

Man kann sich zwar nicht generell dagegen versichern lassen, dass eigene Datenschutzverstöße von einer Versicherung getragen werden. Aber immerhin gibt es Cyber-Risk-Versicherungen, um sich gegen Datenschutzverstöße aufgrund von Cyberattacken auf das eigene Unternehmen, versichern zu lassen. In der Regel ist der jährliche Versicherungsbeitrag ein verhältnismäßig kleiner Aufwand, um sich gegen ein großes Risiko im Unternehmen zu versichern.

11. Mitarbeiterschulungen

Es besteht die Pflicht zur Mitarbeiterschulung. Einmal im Jahr ist ausreichend. Es empfiehlt sich aber solche Schulungen regelmäßig durch qualifizierte Referenten durchführen zu lassen. Denn letztlich sind es die Mitarbeiter, die die häufigsten Datenschutzverstöße verursachen, nicht unbedingt die Cyber-Angriffe von außen. Der Klassiker ist hierbei das Versenden einer E-Mail mit personenbezogenen Daten Ihres Kunden an einen falschen Empfänger. Schon ist ein Datenschutzverstoß begangen. Da hilft auch kein Standard-Disclaimer unter der E-Mail-Signatur. Umso wichtiger ist es, dass für solch einen vorhersehbaren Datenschutzverstoß den Mitarbeitern Regelungen an die Hand gegeben werden, wie sie sich in diesem Fall zu verhalten haben. Wer muss intern darüber informiert werden? Wer ist dessen Vertretung? Wer informiert den betroffenen Kunden? Wer entscheidet, ob der Vorfall so schwer wiegt, dass die Datenschutzbehörde informiert werden muss?; Stichwort: 72 Stunden Meldepflicht!

Natürlich empfehlen sich auch externe Schulungen von Dienstleistern zu diesem Thema. Am Ende muss im Unternehmen das Datenschutzniveau auf DSGVO-Standard gebracht werden. Dies ist keine einmalige Anstrengung, sondern ein dauerhafter Prozess.

12. IT / EDV auf „aktuellen Stand der Technik“ bringen

Art. 25 DSGVO schreibt es ausdrücklich vor. Der Datenschutz ist durch Technikgestaltung und datenschutzfreundliche Voreinstellungen auf dem Stand der Technik zu gewährleisten. Einzig eine Definition, was denn der Gesetzgeber mit „Stand der Technik“ genau meint, fehlt leider.

Versetzen Sie sich auch hier in die Lage eines Prüfers bei der Behörde, der Ihr Unternehmen als Fall auf seinen Tisch bekommt und sich die Frage stellen muss, ob Ihr Unternehmen auf dem Stand der Technik Datenverarbeitung durchführt. So können Sie selbstkritisch selbst einschätzen, ob Sie an dieser Stelle DSGVO-konform sind oder nicht.

13. Fortentwicklung des Datenschutzrechts / Meldungen der Aufsichtsbehörden verfolgen

Es sollte gerade in den ersten Monaten nach Wirksamwerden der DSGVO in Deutschland verfolgt werden, wie sich zu einzelnen Fragen seitens der Behörden geäußert wird. Das neue Gesetz muss sich erst „einschleifen“ und konkrete Einzelfragen werden naturgemäß erst im Laufe der Zeit geklärt werden.
Nicht zu vergessen ist in diesem Zusammenhang, dass der EU-Gesetzgeber in der DSGVO für alle EU-Mitgliedstaaten bewusst Öffnungsklauseln im Gesetzeswerk gelassen hat, welche durch die nationalen Gesetzgeber eigenständig im Detail zu regeln sind. In Deutschland hat sich der Gesetzgeber diese Chance nicht nehmen lassen und ein neues Bundesdatenschutzgesetz erarbeitet, dass ebenfalls am 25.05.2018 in Kraft treten wird. Interessanterweise ist dieses neue BDSG, welches nur Lücken der DSGVO schließen sollte, umfangreicher geworden, als das alte BDSG, welches bis dahin das datenschutzrechtliche Grundwerk in Deutschland gewesen ist.

14. Meldefrist

Bereits unter Punkt 11 erwähnt, aber aufgrund der Wichtigkeit auch noch einmal gesondert aufgeführt, ist die Pflicht gemäß Art. 33 DSGVO, einen Datenschutzverstoß gegenüber der gemäß Art. 55 DSGVO zuständigen Datenschutzbehörde innerhalb von 72 Stunden ab Kenntniserlangung zu melden. Die Meldepflicht gilt allerdings nicht, wenn Sie nach Prüfung des Vorfalls zu dem Schluss kommen, dass die Verletzung beim Betroffenen voraussichtlich nicht zu einem Risiko für dessen Rechte und Freiheiten führt. Jeder einzelne Verstoß ist also dahingehend zu prüfen, ob dieser zu melden ist. In jedem Fall ist er zu dokumentieren zusammen mit den ergriffenen Maßnahmen, um zukünftige Verstöße dieser Art zu unterbinden.
Bei Datenschutzverstößen laufen sehr kurze Meldefristen. Deshalb ist unbedingt zu empfehlen, den Ablauf im Unternehmen vorher zu durchdenken. Es ist festzulegen, welche Abläufe wann in Gang gesetzt werden sollen. Vor allem den Verantwortlichen im Unternehmen zu benennen, dem der einzelne Vorfall zur Prüfung vorzulegen ist. Schon allein die nicht rechtzeitige Meldung des Verstoßes kann ein Bußgeld nach sich ziehen.
Beim Vorliegen eines Datenschutzverstoßes trifft Sie daneben unter Umständen auch die Pflicht zur Information des Betroffenen, dessen Rechte ja verletzt wurden.
Es empfiehlt sich die Verwendung eines Mustervordrucks „Meldung Datenpanne“, der bereits vorgehalten werden sollte und dann nur noch abgearbeitet werden muss. In dem Meldeformular müssen die in Art. 33 Abs. 3 DSGVO genannten Informationen enthalten sein.

15. Dokumentation

Die Rechenschaftspflicht ist ein Grundsatz der DSGVO, dem unbedingt Folge zu leisten ist. Daher ist es in keinem Fall schädlich Datenverarbeitungsprozesse, wie auch immer, im Unternehmen zu dokumentieren. Gerne kann dann im Verarbeitungsverzeichnis auf diese Dokumentation, wie auch immer sie aussehen mag, verwiesen werden. Somit kommen Sie der Verpflichtung nach, die Maßnahmen der Datensicherheit im Verarbeitungsverzeichnis zu beschreiben.

Fazit

Auch der Versicherungsmakler, wie alle Unternehmer in Deutschland, steht in der Pflicht zur Einhaltung des Datenschutzes. Dabei stellt der Versicherungsmaklervertrag stets die Rechtsgrundlage für die Verarbeitung dar (Art. 6 Abs. 1 Buchst. b) DSGVO). Zudem sollten Einwilligungen in die Verarbeitung der Daten von den Kunden eingeholt werden und geprüft werden, ob mit Dienstleistern ein Auftragsdatenverarbeitungsvertrag (ADV/AVV) abzuschließen ist. Die Dokumentation aller datenschutzrechtlichen Anstrengungen ist zu empfehlen. Ein Verarbeitungsverzeichnis muss unbedingt erstellt werden!

Um den Nachweispflichten nachzukommen müssen also diverse Dokumente erstellt werden. Wir empfehlen Ihnen dazu die Nutzung des von uns vertriebenen „Care-Pakets“ von „HMDATA“. Dieses ist für einen geringen Endpreis über folgenden Online-Shop direkt zu erwerben und enthält neben Erläuterungen vor allem Muster für alle relevanten Standard-Datenschutzprozesse.

https://hmdata.shop.epages.de/p/care-paket-dsgvo-fuer-mandanten-der-kanzlei-michaelis-download

Der Anspruch des Kunden auf Datenlöschung

von RAe Michaelis / Conradt, Kanzlei Michaelis Rechtsanwälte, August 2017

Stephan Michaelis

Stephan Michaelis

Die gestiegenen Anforderungen bei der Umsetzung des bundes- und EU-rechtlichen Datenschutzes stellen Versicherungsmakler regelmäßig vor Probleme, wenn Kunden nach Beendigung der Geschäftsbeziehung mit dem Wunsch an sie herantreten, bitte alle vorhandenen personenbezogenen Daten zu löschen. Dieser Anspruch ist sowohl im Bundesdatenschutzgesetz (BDSG) als auch in der EU-Datenschutzgrundverordnung (EU-DSGV) verbrieft. Zu Recht stellt sich dann die Frage, wie sich Makler ohne entsprechende Unterlagen überhaupt gegen einen späteren, möglichen Schadensersatzanspruch zur Wehr setzen können?

Problematik der Beweislastumkehr

Um diese Problematik zu erörtern, muss etwas weiter ausgeholt werden. Zwar ist die Dokumentation einer Beratung im Zuge der Versicherungsvermittlung gesetzlich vorgeschrieben, jedoch muss stets mit der Besonderheit der Beweislastumkehr im § 63 VVG umgegangen werden. Diese besagt im Groben, dass im Fall der Maklerhaftung nicht der Anspruchsteller (der Versicherungsnehmer) die Pflichtverletzung beweisen muss und der Anspruch überhaupt begründet ist, sondern zunächst allein die plausible Behauptung dessen ausreichen kann. Kann der Versicherungsmakler nicht durch Vorlage einer Beratungsdokumentation diese Behauptung entkräften, bleibt er seiner sekundären Beweislast schuldig und der Versicherungsnehmer hat gute Chancen, Schadensersatz zugesprochen zu bekommen.

Demzufolge ist es überaus wichtig, dass der Versicherungsmakler stets über Beweise für den Inhalt, den Zeitpunkt und gegebenenfalls für die Richtigkeit seiner Beratung verfügt. Denn sobald er ein Schriftstück als „Urkunde“ im zivilprozessualen Sinne vorlegt, gilt wiederum zunächst dessen Richtigkeit als vermutet, wenn der Versicherungsnehmer nicht das Gegenteil beweisen kann. Was ist nun aber, wenn der Versicherungsmakler dem Wunsch des Kunden nach Datenlöschung konsequent entsprochen hat und nun über keinerlei weitere Dokumentation seiner Beratung verfügt?

Geltendmachung von Schadensersatzansprüchen auch Jahre später denkbar

Denkbar ist z. B. der folgende Fall: Ein Kunde mit Vorerkrankungen wünscht die Beratung und gegebenenfalls die Vermittlung einer Berufsunfähigkeitsversicherung und der Versicherungsmakler findet keinen entsprechenden Versicherungsschutz, den der Kunde sich leisten will. 18 Jahre nach der Beratung und eventuell auch nach Beendigung des Maklermandates wird der Kunde berufsunfähig und findet heraus, dass entgegen der Aussage seines Versicherungsmaklers die Möglichkeit bestanden hätte, sich preisgünstig gegen Berufsunfähigkeit zu versichern. Den Anspruch auf Zahlung der Berufsunfähigkeitsrenten macht er nun im Wege des Schadensersatzes gegenüber dem Versicherungsmakler geltend. Dieser ist dann in der unangenehmen Situation, über keinerlei Beweismittel zur Entkräftung des Vortrages des ehemaligen Kunden zu verfügen. Die Wahrscheinlichkeit einer Verurteilung zur Zahlung eines entsprechenden Schadensersatzes ist nun wesentlich höher, als wenn der Makler durch Vorlage der entsprechenden Dokumentation beweisen könnte, dass damals tatsächlich kein gewünschter Versicherungsschutz am Markt verfügbar gewesen ist.

Um rechtssicher jegliche Beratungsdokumentation vernichten oder herausgeben zu können, bedürfte es schon einer gesetzlichen Regelung, nach wie vielen Jahren die Beweislastumkehr des § 63 S. 2 VVG erlischt. Eine solche gibt es nicht, allerdings haben die Gesetzgeber der entsprechenden datenschutzrechtlichen Vorschriften von BDSG und EU-DSGV an diese Problematik gedacht.

Datenschutzrechtliche Lösung

Gemäß § 35 BDSG müssen solche personenbezogenen Daten nicht vollständig herausgegeben oder gelöscht, sondern nur „gesperrt“ werden, wenn einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen (§ 35 Abs. 3 Nr. 1 BDSG) oder dies zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle liegenden Gründen unerlässlich ist (§ 35 Abs. 8 BDSG). Auch das in Art. 17 der EU-DSGV festgeschriebene „Recht auf Vergessenwerden“, dass insbesondere die Löschung aller personenbezogenen Daten durch ehemalige Auftragnehmer umfasst, ist insoweit beschränkt. Dies gilt nur dann, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen nicht doch erforderlich ist (Art. 17 Abs. 3b) und e) EU-DSGV).

Denn nicht nur die Inanspruchnahme durch ehemalige Kunden ist denkbar, sondern auch die öffentlich-rechtlichen Auskunftsinteressen durch behördliche Maßnahmen (Finanzamt, Zoll, Staatsanwaltschaft, BaFin etc.) müssen berücksichtigt werden. Gerade hinsichtlich der finanzbehördlichen Interessen können ja ohnehin die in der Abgabenordnung vorgegebenen Fristen zu beachten sein. Gemäß § 147 AO sind Bücher und Aufzeichnungen, Inventare, Jahresabschlüsse, Lageberichte, die Eröffnungsbilanz (sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen), Buchungsbelege und „Unterlagen nach Artikel 15 Absatz 1 und Artikel 163 des Zollkodex der Union“ zehn Jahre, übrige Unterlagen sechs Jahre aufzubewahren.

Was ist mit der Verjährung und wann können Unterlagen vernichtet werden?

Hinsichtlich des exemplarisch geschilderten Falls muss man stets bedenken, dass eine gesetzliche Verjährungsfrist von drei Jahren darüber hinaus erst dann zu laufen beginnt, wenn der Anspruchsteller Kenntnis aller Anspruch begründenden Tatsachen hat. Solange dieser insofern gar nichts von einem möglichen Schadensanspruch weiß bzw. von einem Beratungsfehler noch überhaupt keine Kenntnis hat, kann sich der Versicherungsmakler auch nicht seiner sicher sein. Ist ein möglicher Schadensersatzanspruch weder entstanden noch liegt Kenntnis oder grob fahrlässige Unkenntnis vor, dann verjährt er innerhalb von 30 Jahren ab Begehung der Handlung, der Pflichtwidrigkeit oder dem sonstigen, den Schaden auslösenden Ereignis an (§ 199 Abs. 3 Nr. 2 BGB).

Da die mögliche Haftungszeit die in § 147 AO vorgegebenen Fristen deutlich übersteigen kann, kann insofern nur davon abgeraten werden, vor dem Ablauf von 30 Jahren sämtliche Beweise einer Beratungsdokumentation zu vernichten oder auf Wunsch des Kunden zu löschen. Das Gesetz verlangt es nicht zwingend!

Sind schriftliche Datenschutzerklärungen für Makler erforderlich oder nicht?

von Rechtsanwälten Conradt / Michaelis, Kanzlei Michaelis Rechtsanwälte

Das Bundesdatenschutzgesetz, welches den einzelnen Kunden vor Missbrauch seiner personenbezogenen Daten schützen soll, stellt seit jeher in der Umsetzung des Versicherungsvertriebes eine lästige Herausforderung für den Versicherungsvermittler dar.

Insbesondere auch bei der Etablierung eines rechtlich einwandfreien Onlinevertriebs stellt sich häufig für die Versicherungsmakler die Frage, auf welche formelle Weise der Kunde seine Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten erteilen muss? § 4a des Bundesdatenschutzgesetzes sieht dabei zunächst die Schriftform vor, wenn nicht aufgrund besonderer Umstände davon abgewichen werden darf. Dies bedeutet, dass der Makler ein Original der Einwilligungserklärung benötigt – ein Fax, Scan oder eine Datei per Mail würde nicht ausreichen! Die Erklärung wäre schon formal unwirksam.

 Schriftformerfordernis auch im Onlinevertrieb?

Praxisnah stellt sich natürlich die Frage, ob nicht z.B. speziell der Onlinevertrieb einen solchen „besonderen Umstand“ darstellt. In ursprünglicher Form der Regelung war diese gesetzliche Regelung (§ 4a BDSG) noch nicht auf die neuen Herausforderungen des wachsenden E-Commerces eingestellt, sodass in den ursprünglichen Kommentierungen zum Gesetz unter die besonderen Umstände zunächst nur besondere Eilbedürftigkeit, langfristige Geschäftsbeziehungen und das eigene Interesse des Betroffenen als Ausnahme gefasst worden sind.

Jedoch ist insbesondere im Onlinevertrieb zu bedenken, dass gerade in den jüngeren Kommentierungen zum Datenschutzgesetz auch die Nutzung einer Einwilligungserklärung im E-Commerce unter die „besonderen Umstände“ gefasst worden ist, sofern nicht bereits die Vorschriften zur elektronischen Einwilligung bei Telemedien in § 13 Abs. 2 TMG die Anwendung findet. Diese Vorschrift kann als Vergleichsmaßstab herangezogen werden, was den Onlinevertrieb angeht. Dabei ist zu beachten, dass in diesem Fall bereits eine elektronische Einwilligung in die Datenverarbeitung möglich sein soll, wenn die Einwilligung durch eine“ eindeutige und bewusste Handlung des Nutzers“ erfolgt. Dies setzt aufgrund der Eigenart des Onlinevertriebs schon keine Schriftform (dies würde immer eine eigenhändige Unterschrift voraussetzen) voraus, sondern kann auch durch andere Wege gewährleistet werden: so kann die Einwilligung zum Beispiel per E-Mail an den Nutzer gesendet werden – mit der Aufforderung, diese durch Klicken eines „Links“ zu bestätigen.

Alternativ kann dem Nutzer die Einwilligungserklärung in einem gesonderten Bildschirmfenster zwingend angezeigt werden – und eine weitere Aktion vom Anklicken eines darauf gerichteten Auswahlfeldes abhängig machen.

Grundsätzlich handelt es sich bei diesen Möglichkeiten um die Umsetzung der EU-Datenschutz-Grundverordnung, nach der regelmäßig eine aktive Handlung des Nutzers durch Opt-In (z.B. Setzen eines Häkchens) ausreichen soll (Erwägungsgrund 25 zur Datenschutz-Grundverordnung). Von einem grundsätzlichen Schriftformerfordernis, wie es noch das „alte“ BDSG vorgesehen hat, kann insofern im Onlinevertrieb Abstand genommen werden können.

Einwilligung in Datenverarbeitung vom Gewerbekunden erforderlich?

Ein weiteres klassisches Problem für den Makler ist jedoch nicht nur die Umsetzbarkeit der Einwilligung eines Verbraucherkunden, sondern auch das grundsätzliche Einwilligungsbedürfnis bei einem Gewerbekunden – dies gilt nicht nur für den Onlinevertrieb, sondern auch für das alltägliche Geschäft.

Aus dem Gesetz ergibt sich aus § 3 BDSG (den Begriffsbestimmungen), dass personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) sind. Da insbesondere die Einwilligung aus § 4a sich nur auf den Umgang mit diesen personenbezogenen Daten (und besondere Arten personenbezogener Daten) bezieht, fallen nicht-natürliche Personen aus dem Anwendungsbereich „eigentlich“ raus.

Aber: der im Gesetz verankerte Grundsatz, dass nur die Daten natürlicher Personen betroffen sind, wird insbesondere durch die Rechtsprechung der Verwaltungsgerichte nicht nur aufgeweicht, sondern zunehmend ausgehebelt. Das BDSG soll insbesondere dann für Unternehmen Anwendung finden, wenn diese in den Schutzbereich des verfassungsrechtlich gewährleisteten „Recht auf informationelle Selbstbestimmung“ nach Art. 14 Grundgesetz fallen (VG Wiesbaden vom 18. Januar 2008, Az 6 E 1559/06, Oberverwaltungsgericht Niedersachsen in der Entscheidung zum Az. 10 ME 385/08, VG Wiesbaden, Entscheidung vom 27. Februar 2009, Az. 6 K 1045/08.WI).

Die diesbezüglich wesentlichen finanziellen und personalen Verbindungen treten häufig bei der so genannten „Ein-Mann-GmbH“ oder Einzelfirmen in Form von Einzelkaufleuten auf. Bei diesen sollte davon ausgegangen werden, dass zwischen der eigentlich handelnden juristischen Person und der dahinterstehenden natürlichen Personen ein besonders enger Zusammenhang besteht – und diese folglich in den Schutzbereich des BDSG fallen. Eine Einwilligung ist in diesem Falle zwingend einzuholen.

Unser Fazit:

Im Online-Versicherungsvertrieb dürften Sie die datenschutzrechtliche Einwilligungserklärung relativ einfach mit einem ausdrücklichen „Einwilligungsfeld“ durch aktives Anklicken des Kunden rechtssicher gewährleisten können und benötigen nicht die „eigentliche“ schriftliche Einwilligung des Kunden.

Diese technische Lösung sollte der Versicherungsmakler immer gleichermaßen für alle seine Kunden im Online-Vertrieb anbieten – egal, ob Verbraucher oder Unternehmer.