Interview des Monats

Die VersicherungsPraxis24 im Gespräch mit:

Thomas Ewering, Geschäftsführer der Faulhaber & Ewering GmbH

Fallstricke beim Datenschutz nicht unterschätzen

Autorin: Susanne Görsdorf-Kegel

Am 25.05.2018 tritt nach einer zweijährigen Übergangsfrist EU-weit die Datenschutzgrundverordnung (DSGVO) in Kraft. In Deutschland löst sie das Bundesdatenschutzgesetz (BDSG) ab, auf europäischer Ebene eine EU-Richtlinie aus dem Jahr 1995. Seitdem hat sich durch die rasante Entwicklung des Internets – die heutige Bedeutung von Google und Facebook war damals noch unvorstellbar – so viel verändert, dass eine international gültige Regelung zwingend erschien. Die DSGVO wirkt sich auf praktisch alle Bereiche des Lebens aus. Auch ein Versicherungsvermittler kann sich ihren Anforderungen nicht entziehen. Wie die konkrete Umsetzung aussieht und welche Fallstricke es dabei gibt, erläuterte Thomas Ewering, Geschäftsführer der Faulhaber & Ewering GmbH, im Interview des Monats.

Herr Ewering, das bevorstehende Inkrafttreten der DSGVO geistert seit einigen Wochen und Monaten wie ein Schreckgespenst durch die Versicherungsbranche – empfinden Sie dieses Inkrafttreten auch so?

Ewering: Zum 25.05.2018 läuft die zweijährige Umsetzungsfrist für die DSGVO ab und eine Neufassung des BDSG tritt in Kraft. Für Unternehmen, und das gilt natürlich auch für die Vermittlerbetriebe, gibt es nun erhöhten Handlungsbedarf, um die geforderten Bedingungen zu schaffen.

Was ändert sich für den Vermittler konkret?

Ewering: Vieles ist ja gar nicht so neu. Datenschutz hatte in Deutschland auch in der Vergangenheit schon einen hohen Stellenwert. Die DSGVO bringt allerdings eine erhebliche Erweiterung der Informationspflichten bei der Erhebung personenbezogener Daten mit sich. Auch die Informations- und Auskunftsrechte des Betroffenen werden deutlich erweitert. Vermittlerbetriebe müssen zukünftig, aufgrund der Verarbeitung besonderer personenbezogener Daten, z.B. Gesundheitsdaten, ein Verzeichnis von Verarbeitungstätigkeiten führen, denn nach der DSGVO muss der Vermittlerbetrieb beweisen, dass er die Datenschutzvorschriften einhält, Stichwort Beweislastumkehr. Besondere Brisanz bringen die zukünftig hohen Bußgelder und Strafen in die Angelegenheit. Bisher waren diese viel zu niedrig und motivierten die großen Player wie Google, Facebook, u.a. aus betriebswirtschaftlicher Sicht gar nicht, sie wirklich ernst zu nehmen. Das ändert sich nun ab dem 25.05.2018. Die Behörden und Gerichte haben zukünftig auch wenig Spielraum, da die Verordnung ausdrücklich davon spricht, dass die Ordnungsgelder „verhängt werden“, nicht „verhängt werden können“. Mit bis zu 20 Mio. EUR oder 4 % vom weltweiten Jahresumsatz steigen die Bußgelder auf ein Niveau, das auch Großkonzernen richtig weh tut. Bei Vermittlerbetrieben wird es sicherlich nicht zu diesen Größenordnungen kommen. Gemäß Art 84 DSGVO müssen die Sanktionen allerdings wirksam, verhältnismäßig und auch abschreckend sein, sodass auch Versicherungsvermittler mit schmerzhaften Konsequenzen bei Verstößen gegen den Datenschutz zu rechnen haben.

Wo liegen bei diesen Verstößen die größten Fallstricke?

Ewering: Schwierig ist, dass viele Fragen durch die DSGVO offen bleiben und hier sicherlich die Gerichte in den kommenden Jahren für Klarheit sorgen werden. Die DSGVO enthält leider keinen Maßnahmenkatalog, den der Vermittlerbetrieb einfach abarbeiten kann. Wichtig ist, dass Datenschutzverstöße innerhalb von 72 Stunden nach Bekanntwerden der entsprechenden Aufsichtsbehörde zu melden sind. Ahndungswürdige Sachverhalte können natürlich auch von außerhalb des Unternehmens ans Licht kommen. So können beispielsweise Kunden, die das Gefühl haben, ihre Daten werden nicht den Vorschriften entsprechend behandelt, jederzeit eine Meldung bei der Landesdatenschutzbehörde machen. Nicht zu unterschätzen ist auch die Gefahr, dass ein unzufrieden aus dem Betrieb ausgeschiedener Mitarbeiter sich bei der Aufsichtsbehörde beschwert. Entweder weil er den Umgang mit seinen eigenen Daten kritisieren möchte, oder aber, um seinen ehemaligen Arbeitgeber wegen vermeintlich falschem Umgang mit Kundendaten, anzuschwärzen.

Was hat Ihr Unternehmen getan, um sich dagegen abzusichern?

Ewering: Wir haben einen externen Datenschutzbeauftragten bestellt. Auch ein Punkt, bei dem noch keine Klarheit herrscht. Auf der einen Seite steht fest, dass jeder Betrieb mit mindestens zehn Personen, sowohl selbstständige als auch Angestellte, die sich ständig mit der automatisierten Datenverarbeitung beschäftigen, einen eigenen Datenschutzbeauftragten benennen müssen. Andererseits gilt diese Pflicht auch dann, wenn die „Kerntätigkeit“ in der umfangreichen Verarbeitung besonderer Kategorien von Daten, u.a. Gesundheitsdaten, besteht. Eine einheitliche Aussage der Landesdatenschutzbehörden zu der Frage, ob dadurch auch Vermittlerbetriebe mit weniger als zehn Personen einen Datenschutzbeauftragten zu bestellen haben, gibt es aktuell nicht. Jedem Vermittler muss bei seiner Entscheidung klar sein; Sollte die Datenschutzbehörde im Nachhinein zu dem Ergebnis kommen, dass die Bestellpflicht gegeben ist, kann die Behörde die Nichtbestellung mit bis zu zehn Mio. Euro sanktionieren. Im Zweifel sollte jeder über die freiwillige Bestellung für sein Unternehmen nachdenken.

Sie leiten ja ein Vermittlerunternehmen, das sich auf die betriebliche Altersversorgung spezialisiert hat und eine Signal-Iduna-Betriebsdirektion ist – benötigen Sie überhaupt einen eigenen Datenschutzbeauftragten?

Ewering: Speziell in der Belegschaftsversorgung ergeben sich zum Thema Datenschutz immer wieder besondere Fragestellungen: Unter welchen Voraussetzungen darf uns der Arbeitgeber Gehaltsdaten seiner Mitarbeiter zur Verfügung stellen? Dürfen personenbezogene Daten von Mitarbeitern der durch uns beratenen Betriebe bei uns gespeichert und verarbeitet werden? Hier hilft der externe Datenschutzbeauftragte sehr und gibt uns und unseren Kunden die nötige Sicherheit das Richtige zu tun. Da wir exklusiv für die Signal Iduna tätig sind, könnte man meinen, dass das Thema Datenschutz ja über den Vertragspartner bereits geregelt ist. Vor dieser Einstellung möchte ich die Kolleginnen und Kollegen im Exklusivvertrieb eindringlich warnen. Ich kenne keinen Vermittlerbetrieb in dem es keine eigene Datenspeicherung gibt. Hierzu zählen nicht nur digital gespeicherte Daten, auch Papierakten in der klassischen Hängeregistratur, handschriftliche Notizen und nicht zuletzt Personalakten mit entsprechenden personenbezogenen Daten fallen unter die Regelungen des Datenschutzes. In der Praxis gibt es also keinen Unterschied in den Datenschutzanforderungen an einen Makler- oder Ausschließlichkeitsbetrieb.

Wie und wie lange hat sich Ihr Unternehmen konkret auf das Inkrafttreten der DSGVO vorbereitet? Es gab ja eine zweijährige Übergangsfrist – konnten Sie die nutzen?

Ewering: Die Überlegung, einen externen Datenschutzbeauftragten zu bestellen, gab es schon seit einigen Jahren. Doch wie so oft gibt man dem Tagesgeschäft häufig den Vorrang bei seinen Entscheidungen. Wie vermutlich bei vielen Unternehmen hat auch bei uns der Fristablauf der Übergangsphase zum 25.05.2018 jetzt nochmal richtig Schwung in die Angelegenheit gebracht. Allerdings sind wir nicht völlig unvorbereitet, haben wir doch in den vergangenen Jahren das Thema Datenschutz immer wieder auf der Agenda gehabt und vieles von dem, was unser Datenschutzbeauftragter nun fordert, bereits umgesetzt.

Können Sie uns Beispiele nennen, worauf Sie der externe Datenschutzbeauftragte insbesondere hingewiesen hat?

Ewering: Zunächst einmal geht es um die grundsätzliche Strukturierung z.B. durch Erstellung eines Verarbeitungsverzeichnisses. Sämtliche Abläufe, Hardware- und Softwarekomponenten, Sicherheitsmaßnahmen, einfach alles, was im Bereich Datenschutz eine Rolle spielt, wird hinterfragt, aufgelistet und mit entsprechenden Zuständigkeiten versehen. So haben wir jetzt beispielweise einen IT-Koordinator, einen Datenschutz-Koordinator, eine Social-Media-Koordinatorin usw., die ab sofort für die jeweiligen Bereiche verantwortlich zeichnen und als Ansprechpartner für den Datenschutzbeauftragten fungieren. Der Datenschutzbeauftragte nimmt auch die Räumlichkeiten genau unter die Lupe. Hier geht es nicht nur um Brand- und Einbruchschutz, vor allem sensibilisiert er die Mitarbeiter auch im täglichen Umgang mit Kundendaten. Diese sollten vor dem Zugriff Dritter jederzeit geschützt sein. Entsprechende Empfehlungen, wie das zu erreichen ist, gibt er natürlich auch. Und sind im Rahmen des „Clean-Desk-Verfahrens“ (es liegen bei Verlassen des Büroraumes keine Kundenunterlagen mehr offen auf dem Tisch, o.Ä.) nicht sämtliche Sideboards, in denen Kundenunterlagen gelagert werden, abschließbar, dann gibt es auch schon mal eine klare Fristsetzung, bis wann das zu ändern ist.

Wird sich durch die DSGVO Ihr Verhältnis zu Ihren Kunden verändern oder komplizierter machen?

Ewering: Im Grunde verändert sich in unserem Verhältnis zu den Kunden nicht viel. Das meiste wurde bereits in den vergangenen Jahren den heutigen Voraussetzungen angepasst. Im Vergleich zu früher ist jedoch vieles komplizierter geworden. Statt Bürokratie abzubauen, sorgen die neuen Regelungen der DSGVO, aber auch des Geldwäschegesetzes, des Code of Conduct, der IDD und all den anderen regulatorischen Neuerungen der vergangenen Jahre eher für eine Überregulierung in den Vermittlerbetrieben. Meine Kunden begegnen all den Formularen, die auszufüllen und gegenzuzeichnen sind, inzwischen eher mit einem mitleidigen Stirnrunzeln, als dass in ihren Augen echte Freude über die neue Transparenz zu erkennen wäre.

Können Sie überhaupt noch werbliche Aktivitäten auf der Basis Ihrer Kundendaten starten?

Ewering: In der Tat wird das immer schwieriger. Aktuell nutzen wir für gezielte Werbeaktivitäten tatsächlich nur den Postweg. Das Internet bietet sicherlich auch viele Möglichkeiten, vertrieblich aktiv zu sein. Warten wir einmal ab, welche neuen Regelungen bzw. Konkretisierungen die E-Privacy-Verordnung und die Cookie-Richtlinien im nächsten Jahr hierzu mit sich bringen werden.

Wie werden die sich nach Ihrer Erwartung auswirken?

Ewering: Wenn ein Makler einen eigenen Internetauftritt hat, muss er viele kleine Fallstricke beachten. Er sollte sich dringend auch heute schon mit seinem Internetanbieter besprechen und die Anpassung der Homepage an die DSGVO-Vorgaben vornehmen. Die Anpassung des Impressums und der Cookie-Einstellungen, erforderliche Änderungen bei der IP-Erkennung, wenn mit Google-Analytics gearbeitet wird, oder auch die Notwendigkeit der TLS-Verschlüsselung der eigenen Homepage, wenn es auf dieser Kontaktformulare u.Ä. auszufüllen gibt, sind nur einige Beispiele für das, was spätestens mit Inkrafttreten der DSGVO bereits gilt. Die E-Privacy-Verordnung wird voraussichtlich ab dem kommenden Jahr die DSGVO-Vorgaben bereichs- und risikospezifisch nochmals konkretisieren.

Wie beurteilen Sie insgesamt die DSGVO und die EU-Verordnung in deutsches Recht – halten Sie sie für verständlich und sinnvoll?

Ewering:  Wie bei vielen Verordnungen und Gesetzen bleiben auch bei der DSGVO Fragen offen. Erst Interpretationen der Datenschutzbehörden sowie die laufende Rechtsprechung werden Klarheit schaffen, wie bestimmte Passagen der DSGVO auszulegen und in der Praxis anzuwenden sind. Grundsätzlich ist eine stärkere Sensibilisierung für den Datenschutz wichtig. Auch der Ansatz, mit drakonischen Strafen Großkonzernen beizukommen, ist sicherlich richtig. Es bleibt zu hoffen, dass in der Praxis stark zwischen großen sowie kleinen und mittelständischen Unternehmen differenziert wird. Vielleicht sollte der Gesetzgeber auch über eine Maximierung von Abmahngebühren nachdenken, um nicht Gefahr zu laufen, dass hier ein paar findige Rechtsanwälte ein neues, lohnendes Geschäftsfeld für sich entdecken.