Stuttgarter BeratungsMagazin

| 17.12.2018 | 1-2019 | von der Redaktion

Was sich mit der DSGVO geändert hat.

Bildnachweis: © Andrii Yalanskyi | istockphoto

Im Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Verpflichtend geworden sind die Inhalte ab dem 25. Mai 2018. Es können empfindliche Sanktionen und Bußgelder folgen, wenn Vermittler und Versicherer die Vorgaben nicht oder nicht ausreichend umsetzen. Ein Gespräch mit Marc Schlüter, Konzerndatenschutzbeauftragter der Stuttgarter Versicherungsgruppe, über die Herausforderungen für die Versicherungsbranche.

Marc Schlüter

Alter: 42 Jahre
Familie: verheiratet, Tochter Carlotta 6 Jahre
Bei der Stuttgarter seit: 2005

Funktion: Stv. Hauptabteilungsleiter Interne Revision, Konzerndatenschutzbeauftragter
Das mag ich an der Stuttgarter: Familiäres Miteinander und kurze Entscheidungswege
Beruflicher Werdegang: Studium der Rechtswissenschaften, Rechtsanwalt, Rechtsabteilung, Außendienst, Revision und Datenschutz
Hobbies: Reisen und Ausflüge mit der Familie, Kochen, meine Musiksammlung

Herr Schlüter, Sie sind seit 10 Jahren im Bereich Datenschutz tätig. Wie hat sich in den letzten Jahren das Bewusstsein für Datenschutz in der Versicherungswirtschaft verändert?
Die Skandale der Jahre 2009 und 2010 (u.a. Lidl, Deutsche Bahn) haben die Bevölkerung in puncto Datenschutz sensibilisiert. Die Versicherungsbranche hat sich in den letzten Jahren intensiv mit dem Thema auseinandergesetzt. Das Vertrauen der Kunden in den ordnungsgemäßen Umgang mit den Versichertendaten ist ein hohes Gut. Bei der Stuttgarter ist in diesem Jahrzehnt kein Jahr ohne ein Großprojekt zum Datenschutz vergangen. Das fängt an mit der neuen Einwilligungs- und Schweigepflichtentbindungserklärung 2013, geht über unseren Beitritt zu den „Verhaltensregeln zum Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft“ (Code of Conduct) und mündet aktuell in die Umsetzung der neuen DSGVO und des neuen Bundesdatenschutzgesetzes.

„Wichtig ist, dass jedes Unternehmen verpflichtet ist, die datenschutzrechtlichen Vorgaben einzuhalten, egal ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.“

Wie umfangreich sind die Änderungen? Ist jetzt alles neu oder sind die Anforderungen überschaubar?
Wer heute ein Datenschutzmanagement betreibt, das dem geltenden Bundesdatenschutzgesetz genügt, hat keine großen Anpassungsprobleme. Nichtsdestotrotz müssen die Verfahren, in denen personenbezogene Daten verarbeitet werden, überprüft und vielleicht angepasst werden. Diese Verfahren sind in einem internen Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren, das der Datenschutzaufsichtsbehörde vorzulegen ist, wenn sie es verlangt. Die Verarbeitung der Daten muss wie bereits heute auf der Grundlage einer Erlaubnis geschehen. Das kann zum einen eine gesetzliche Erlaubnis sein, zum Beispiel die Datenverarbeitung zur Anbahnung oder Durchführung eines Vertrags. Es kann aber auch eine Einwilligung des Kunden vorliegen, wie sie etwa für die Verarbeitung von Gesundheitsdaten erforderlich ist. Nachteil der Einwilligung ist, dass sie vom Kunden für die Zukunft widerrufen werden kann.

Bisher konnten die Datenschutzaufsichtsbehörden Verstöße gegen datenschutzrechtliche Vorschriften mit Bußgeldern bis zu 300.000 Euro ahnden. Was hat sich hier geändert?
Zum einen ist der Rahmen für Bußgelder immens erhöht worden. Seit dem 25. Mai können Bußgelder bis zu 20 Mio. Euro oder bei Unternehmen bis zu 4 % des gesamten weltweit erzielten (Konzern-)Vorjahresumsatzes verhängt werden. Je nachdem, welcher der Beträge höher ist. Zum anderen werden nun mehr Bestimmungen als bisher mit Geldbußen verbunden. Sie sollen nach der DSGVO wirksam, verhältnismäßig und abschreckend sein. Auch für die Datenschutzaufsichtsbehörden stellen diese neuen Größenordnungen einen Paradigmenwechsel dar. Bislang wurden nur wenige Geldbußen verhängt und wenn, bewegten sie sich bei Einzelverstößen eher im niedrigen vierstelligen Bereich.

Gibt es Änderungen bei der Bestellung eines Datenschutzbeauftragten?
Wie bislang auch müssen Unternehmen nach dem neuen Bundesdatenschutzgesetz einen Datenschutzbeauftragten bestellen. Zumindest soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Neu ist, dass auch schon bei einer geringeren Mitarbeiterzahl ein Datenschutzbeauftragter zu bestellen ist, wenn die Kerntätigkeit des Unternehmens in der Verarbeitung besonderer Kategorien von Daten, wie z. B. Gesundheitsdaten, liegt. Das kann auch bei einem Versicherungsvermittler der Fall sein. Wichtig ist, dass jedes Unternehmen verpflichtet ist, die datenschutzrechtlichen Vorgaben einzuhalten, egal ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.

Was müssen Unternehmen grundsätzlich gegenüber Interessenten und Versicherten beachten?
Das Wichtigste den Kunden gegenüber sind zunächst einmal die Informationspflichten aus der DSGVO. Werden Daten von Kunden erhoben, sind diesen gegenüber Informationspflichten zu erfüllen, wie z. B. Name und Kontaktdaten des Datenverarbeitenden; Zwecke und Rechtsgrundlagen der Datenverarbeitung; Empfänger oder Kategorien von Empfängern, an die Daten übermittelt werden; Dauer der Speicherung; Hinweise auf die datenschutzrechtlichen Rechte des Kunden; usw. Sie sehen, da kommt schnell eine ganze Reihe von Pflichtinformationen zusammen, die dem Kunden zum Zeitpunkt der Datenerhebung mitgeteilt werden müssen. Das gilt übrigens für Versicherer wie für Vermittler gleichermaßen.

Welche Rechte hat der Kunde konkret?
Zu den bereits bekannten Rechten auf Auskunft und Berichtigung gesellt sich nun das Recht auf Löschung, Einschränkung der Verarbeitung und auf Datenübertragbarkeit. Das letztgenannte Recht bereitet viel Kopfzerbrechen. Vom EU-Gesetzgeber war es ursprünglich für die Übertragbarkeit von Daten bei sozialen Medien im Internet angedacht. Leider wurde es nun in einer unausgereiften Form auf alle Branchen übertragen. Dem Kunden müssen auf dessen Anforderung die Daten, die er einmal dem Unternehmen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden. Dies nützt im Versicherungsbereich aktuell weder dem Kunden, noch den Vermittlern, weil die Versicherungsbranche keinen verbindlichen Datenstandard besitzt und die beim Versicherer generierten Vertragsdaten nicht umfasst sind.

Trifft die neue Verordnung auch Aussagen zur Datensicherheit?
Ja. Von Unternehmen müssen unter Berücksichtigung des Stands der Technik und weiterer Faktoren geeignete technische und organisatorische Maßnahmen getroffen und überwacht werden, um ein angemessenes Datenschutzniveau zu gewährleisten. Darunter fallen etwa die sogenannte Pseudonymisierung und die Verschlüsselung von Daten; die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der datenverarbeitenden Systeme sowie ein IT-Notfallplan.

Werden Datenverarbeitungsverfahren neu erstellt oder bestehende überarbeitet, ist bei hohen Risiken für die Kunden eine Datenschutzfolgenabschätzung durchzuführen und zu dokumentieren. Das kann z. B. bei der Einführung eines neuen, cloudbasierten Maklerverwaltungsprogramms erforderlich werden.

Kommt es zu einer Verletzung des Datenschutzes, umgangssprachlich Datenpanne, muss dies unter Umständen gemeldet werden: der Datenschutzaufsichtsbehörde und den betroffenen Kunden. Wird etwa Post an den falschen Empfänger verschickt oder ziehen Kriminelle Kundendaten vom Unternehmens- Server ab, muss das Unternehmen das Risiko der betroffenen Kunden einschätzen und über die Notwendigkeit einer Meldung entscheiden. Ist eine Meldung gegenüber der Behörde erforderlich, muss das innerhalb von 72 Stunden passieren. Auf Wochenenden oder eingeschaltete Dienstleister nimmt die Behörde keine Rücksicht.

Nicht zu unterschätzen sind auch die Aufwände für die Umsetzung eines umfassenden Löschkonzepts. Ist der Zweck der Datenverarbeitung weggefallen, sind steuer- und handelsrechtliche Aufbewahrungsverpflichtungen abgelaufen und Verjährungsfristen verstrichen, muss das Unternehmen personenbezogene Daten löschen.

Das war es aber hoffentlich an Punkten, die umzusetzen sind?
Leider nicht ganz. Sind Dienstleister z. B. im Rahmen von Auftragsdatenverarbeitungsverhältnissen beauftragt, müssen diese Verträge in den meisten Fällen angepasst werden. Die DSGVO sieht nun eine eigenständige Haftung der Auftragsverarbeiter vor. Die Vertragsanpassungen können aber auch gut dazu genutzt werden, um von den Dienstleistern eine aktuelle Version ihres Datensicherheitskonzepts anzufordern.

Was sollte man tun, wenn man noch nicht tätig geworden ist?
Am besten sofort damit anfangen. Generell hilft die „Vogel-Strauß“-Taktik nicht. Die drohenden Bußgelder können existenzgefährdend sein. Und wenn ich nicht mit Umsetzungsarbeiten loslege, verringere ich dieses Risiko nicht. Die Daten unserer Kunden sind unser elementares Wirtschaftsgut.

Was ist die neue Datenschutz-Grundverordnung?

Die Europäische Datenschutz-Grundverordnung (DSGVO) ersetzt die aus dem Jahr 1995 stammende EU-Datenschutzrichtlinie und soll zeitgemäße Antworten auf die fortschreitende Digitalisierung von Wirtschaft und Gesellschaft geben. Mit einem modernen Datenschutz auf europäischer Ebene will die DSGVO Lösungen zu Fragen bieten, die sich durch „Big Data“ und neue Techniken oder Arten der Datenverarbeitung wie Profilbildung, Webtracking oder dem Cloud Computing für den Schutz der Privatsphäre stellen.“

Quelle: Website des Bundesministeriums für Wirtschaft und Energie – bmwi.de

Checkliste zur DSGVO

  • Verzeichnis von Verarbeitungstätigkeiten erstellen
    Verfahren dokumentieren, in denen personenbezogene Daten verarbeitet werden.
  • Rechtsgrundlagen inkl. Einwilligungen
    Überprüfen, auf welcher Rechtsgrundlage Daten zukünftig verarbeitet werden können, und ggf. Einwilligungen in Datenverarbeitungen an neue Vorgaben anpassen.
  • Datenschutzbeauftragter
    Überprüfen, ob Datenschutzbeauftragter offiziell bestellt werden muss (Faustregel: ab 10 Mitarbeitern).
  • Informationspflichten
    Datenschutzhinweise für Kunden erstellen.
  • Betroffenenrechte
    Prozesse einrichten, z. B. für Auskunfts- und Löschverlangen.
  • Datensicherheit
    Überprüfung der technischen und organisatorischen Maßnahmen / Erstellung Datensicherheitskonzept.
  • Datenschutzverträge
    Anpassung von Verträgen mit Datenschutzbezug, insbesondere Verträge zur Auftragsdatenverarbeitung.

Die Stuttgarter hat eine ausführliche DSGVO-Checkliste entwickelt. Sie erhalten Ihr persönliches Exemplar von Ihrem Maklerbetreuer oder als Download im Stuttgarter Extranet.

Aktuelle Produkt-Kampagnen

Vertriebstour 2019: Der neue GrundSchutz+ der Stuttgarter.

Aktivieren Sie Ihr Umsatzplus. Lernen Sie mithilfe ausgezeichneter Fachreferenten alle Vorteile der neuen Grundfähigkeitsversicherung der Stuttgarter kennen. Überzeugen Sie so Ihre Kunden mit handfesten Verkaufsargumenten.

Jetzt anmelden

Ihre Unabhängigkeit ist Ihre Stärke. Sorgen Sie dafür, dass es jeder erfährt.

Die Stuttgarter hat ein überzeugendes Infopaket geschnürt, mit dem Sie Ihre Unabhängigkeit erklären und Ihre Stärken herausstellen können. Die wichtigsten Informationen und Argumente geben wir Ihnen in einer Broschüre und einem Social-Media-Paket an die Hand.

Infopaket

Die neue Generation der Indexrente: Stuttgarter index-safe

2019 haben wir die Sicherheit und die Chancen von index-safe weiter gesteigert. Und bieten dazu wertvolle Argumente zum Bestellen und neue Vertriebshilfen zum Ansehen und Downloaden.

Filme und Beratungspaket

Für alle, die von nachhaltiger Vorsorge mehr erwarten als ein grünes Etikett.

Das nachhaltige Vorsorgekonzept und das passende Beratungspaket unterstützen Sie dabei, verantwortungsbewusste Kunden für die Stuttgarter GrüneRente zu gewinnen.

Film und Beratungspaket

Besser abgesichert: Stuttgarter Unfallschutz für Gruppen

Die Toolbox für Ihre Gespräche. Informieren und beraten Sie Firmenkunden, Verbände und Vereine ganzheitlich mit umfangreichen Vorlagen & Verkaufshilfen.

Website mit Toolbox