Die DSGVO gilt ab dem 25.5.2018 ohne Übergangsfristen und enthält einige Neuerungen. Auch einen Bußgeldkatalog, der Verstöße mit bis zu 20 Millionen Euro bzw. 4% des Jahresumsatzes sanktioniert. Wer sich bis jetzt also noch gar nicht mit der DSGVO beschäftigt hat, muss sich sofort an die Arbeit machen. Denn Aussitzen kann sehr teuer werden. Aber mit was fängt man an? bAVheute gibt ein paar (nicht abschließende) Anregungen.
1. Erstellen eines Verfahrensverzeichnisses
Ein solches ist nach Art. 30 der Verordnung grundsätzlich Pflicht und muss folgende Punkte enthalten:
- Name und Kontaktdaten des Verantwortlichen
- Zu welchem Zweck werden die Daten verarbeitet?
- Welche Kategorien von Daten werden verarbeitet (reguläre Daten oder besonders schützenswerte Daten wie z.B. Gesundheitsdaten)?
- Wer erhält die Daten?
- Wann werden die Daten gelöscht?
Im Grunde ist das eine Prozessbeschreibung der Datenverarbeitung, und diese muss der zuständigen Behörde (Landesdatenschutzbehörde) auf Verlangen vorgelegt werden.
Tipp: Da das Verzeichnis eine Art interne Prozessbeschreibung ist, sollte darin zur eigenen Übersicht noch wie folgt aufgenommen werden:
- Auf welchen Rechtsgrundlagen werden die Daten verarbeitet (z.B. aufgrund einer Einwilligung)?
- Wie konkret werden die Daten verarbeitet? (Wie werden die Daten gespeichert? Wo werden die Daten gespeichert? Wie werden diese abgefragt? Wer kann die Daten bearbeiten?)
Hier gilt: Mehr hilft auch mehr. Denn je detaillierter der Aufsichtsbehörde Auskunft erteilt werden kann, desto besser.
2. IT Sicherheit im eigenen Unternehmen
Ein weiteres großes Augenmerk legt die DSGVO auf das Thema Datensicherheit. Die Themen Zugriffsrechte, Schutzmaßnahmen gegen Hackerangriffe und Verschlüsselung stechen hier hervor. Die DSGVO formuliert das in Art. 32 unter den Begriffen “Vertraulichkeit”, “Integrität”, und “Verfügbarkeit der IT-Systeme”.
Tipp: Wer hier auf den Computern noch mit Betriebssystemen arbeitet, die keinen Support mehr bekommen (z. B. Windows XP), der sollte dringend nachjustieren und auf neuere Versionen umrüsten.
Nebenbei bemerkt: Das Thema Vertraulichkeit ist nicht auf die IT beschränkt. Dazu gehören auch die sehr aufschlussreichen Gespräche in öffentlichen Verkehrsmitteln über die Kundschaft. Das wird zukünftig als (sehr teurer) Bumerang zurückkommen.
3. Überarbeitung der Datenschutzerklärungen
Die DSGVO hat Transparenz als eines ihrer übergeordneten Ziele definiert. Dazu gehört es, dass der Betroffene, dessen Daten verarbeitet werden, in klarer, leicht zugänglicher und verständlicher Weise erfährt, welche seiner Daten für welche Zwecke verarbeitet werden. Und ob und wann diese Daten gelöscht werden. Eine solche Erklärung muss folgende Punkte enthalten:
- Kontaktdaten des Verantwortlichen – also desjenigen, der die Daten verarbeitet
- Name und Kontaktdaten des Datenschutzbeauftragten (falls ein solcher benannt ist)
- Nennung der Kategorien von Daten (also reguläre Daten oder besonders schützenswerte Daten wie z. B. Gesundheitsdaten)
- Für welche Zwecke werden diese Daten verarbeitet (z.B. Erstellung eines Angebots für Versicherungsschutz)?
- Wer bekommt diese Daten (interne und externe Empfänger)?
- Hinweise auf die Rechte desjenigen, dessen Daten verarbeitet werden (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerrufsrecht bei Einwilligungen, Beschwerderecht bei Aufsichtsbehörden)
- Auf welcher Rechtsgrundlage werden die Daten verarbeitet (z. B. Einwilligung)?
- Wann werden die Daten gelöscht?
4. Braucht man als Makler einen Datenschutzbeauftragten?
Die Frage beschäftigt Makler zurzeit enorm. Und das zu Recht. Denn das kostet nicht nur Geld, die externen Datenschutzbeauftragten (DSB) sind momentan auch mehr aus ausgelastet. Wie so oft lautet die Antwort “es kommt darauf an.”
4.1. Unterscheidung nach Mitarbeiterzahl, die ständig mit der Datenverarbeitung beschäftigt sind:
§ 38 BDSG (neu) bestimmt, dass ein Datenschutzbeauftragter bestellt werden muss, wenn regelmäßig mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Wichtiger Hinweis: Das kann aber nicht der Inhaber des Unternehmens sein, da dann ein Interessenkonflikt anzunehmen ist.
4.2 Wird die Mitarbeiteranzahl von 10 Personen unterschritten, ist die Antwort nicht mehr eindeutig.
Jetzt kommt es darauf an, ob zur Kerntätigkeit die umfangreiche Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten) gehört. Dabei stolpert man schon über den Begriff “Kerntätigkeit”. Hier meint der Verordnungsgeber, dass Kerntätigkeit die Vorgänge umfasst, die ein fester Bestandteil der Haupttätigkeit ist. Das ist für Makler zu bejahen, wenn regelmäßig Krankenversicherungen oder BU-Verträge vermittelt werden. Hier ist ein bestellter Datenschutzbeauftragter ratsam. Als Gegenbeispiel wäre die Vermittlung reiner Sachversicherung (z.B. Hausrat oder Haftpflichtverträge) denkbar. Letztlich kommt es auf den jeweiligen Einzelfall an.
Fazit
Die DSGVO war eigentlich einmal für die “ganz Großen” gedacht, also insbesondere die bekannten Social-Media-Unternehmen. Nur leider gilt die DSGVO auch für den Mittelstand, für sehr kleine Firmen und Vereine gleichermaßen. Und man braucht nicht viel Phantasie um sich vorzustellen, dass pünktlich ab Freitag Verstöße von spezialisierten Anwälten sofort abgemahnt werden. Es hilft alles nichts – den Anforderungen muss entsprochen werden. Wer sich also bisher noch nicht damit beschäftigt hat, wird in den nächsten Tagen mit Hochdruck an der Umsetzung der DSGVO-Regeln arbeiten müssen.
