Einloggen nicht vergessen oder Gratistest nutzen!

Sie können nur als eingeloggter User auf die Inhalte des Wissenspools zugreifen. Bitte loggen Sie sich deshalb mit Ihren Zugangsdaten ein oder bestellen Sie die VersicherungsPraxis24 über unser Registrierungsformular - selbstverständlich mit der Möglichkeit zum 4-Wochen-Gratistest!

August 2016: Datenschutz-Grundverordnung - Spannende Herausforderung

Im Mai 2016 wurde die Datenschutz-Grundverordnung der Europäischen Union verabschiedet. Im Gegensatz zu einer EU-Richtlinie, die erst in nationales Recht umgesetzt werden muss, gilt sie zwar ab sofort, tritt aber erst am 25.05.2018 in Kraft. VersicherungsPraxis24 sprach mit Rainer Schrödel, Leiter Recht und Datenschutzbeauftragter der VPV Lebensversicherungs-Aktiengesellschaft, darüber, wie ihre Auswirkungen auf die Versicherungswirtschaft und die Makler sein werden.

Herr Schrödel, die Datenschutz-Grundverordnung der Europäischen Union löst ja das Bundesdatenschutzgesetz ab. Ist das aus Ihrer Sicht eine Verbesserung oder eine Verwässerung der Datenschutzbestimmungen für den Verbraucher?

Schrödel: Aus Sicht des Verbrauchers ist das ganz klar eine Verbesserung. Seine Rechte werden gestärkt, vieles wird präzisiert. Es ist also keine Verwässerung, sondern ein höheres Datenschutzniveau.

Was bedeutet es eigentlich, dass die Verordnung im Mai 2016 verabschiedet wurde, aber erst im Mai 2018 in Kraft tritt?

Schrödel: Die Verordnung ist schon seit 25.05.2018 in Kraft. Dies hat aber nur Auswirkung für die Mitgliedsstaaten und die Institutionen. Unmittelbar geltendes Recht wird sie erst am 25.05.2018. Dies beruht darauf, dass man sich nur auf 85 % bis 90 % der Datenschutzinhalte einigen konnte. So gab es keine Einigung beim Arbeitnehmerdatenschutz. Bei den verbleibenden 10 % bis15 % haben die Mitgliedsstaaten einen Gestaltungsfreiraum für eigene Regelungen.

Ist diese lange Übergangszeit nicht auch ein Problem für Ihre Arbeit?

Schrödel: Wir hoffen alle darauf, dass es noch in dieser Legislaturperiode einen Gesetzentwurf geben wird, sodass wir wissen, was kommt und wie die nationalen Regelungen aussehen werden. Wir sind aber jetzt schon dabei, die Schulungsunterlagen und alle Dokumente, die langfristig gelten, zu überarbeiten, damit sie auch in Zukunft rechtskonform sind.

Der GDV hat die Vereinheitlichung des Datenschutzes innerhalb der Europäischen Union aus Sicht der Versicherungsunternehmen grundsätzlich begrüßt. Was kommt dabei auf die Versicherer zu?

Schrödel: Der GDV hat im Juni 2016 eine erste Informationsveranstaltung zu dem Thema abgehalten und will Ende des Jahres Hinweise zur Umsetzung geben. Grundsätzlich wird die Verordnung von den meisten Beteiligten begrüßt. Vereinzelt wird kritisiert, dass insbesondere  bei der Verarbeitung von Gesundheitsdaten immer eine Einwilligung des Kunden notwendig ist. Daran wird sich wohl auch nichts ändern, denn in § 9 der Verordnung steht ausdrücklich, dass es untersagt ist, besondere Kategorien personenbezogener Daten zu verarbeiten. Das galt bisher schon z.B. für die Gewerkschaftszugehörigkeit, neu dazugekommen sind jetzt die biometrischen Daten, was natürlich insbesondere die Versicherer betrifft. Aber die Versicherungswirtschaft hat ja in ihrem „Code of Conduct“ schon festgelegt, dass die Verarbeitung der Gesundheitsdaten nur mit Einwilligung der Versicherten geschehen darf, insofern hat sie das vorweggenommen.

Generell kommen aber sowohl auf die Versicherer als auch auf die Makler verschärfte Informationspflichten zu. Sie müssen nach § 13 der Verordnung grundsätzlich immer die Kunden informieren, wenn Daten gespeichert werden. Bisher galt das zwar im Prinzip auch schon, in der Praxis wurde aber in vielen Fällen angenommen, dass der Kunde mit dem Erhalt eines Werbebriefs oder einer Information davon ausgeht, dass die Daten gespeichert sind und dass eine ausdrückliche Information entfallen kann.

Gilt das auch für die Vermittler?

Schrödel: In den §§ 12 bis14 der Verordnung werden die neuen Pflichten definiert. Danach muss der Makler den Kunden gleich zu Beginn über die Verarbeitung und vieles, was damit zusammenhängt, informieren. Das ist aber keine Hexerei, es reicht, wenn er dafür ein Merkblatt mit allen wichtigen Informationen entwickelt, das er dem Kunden überreicht. Wir sind gerade dabei, ein Muster zu entwickeln, das wir demnächst auf unserer Makler-Homepage (www.vpv-makler.de) veröffentlichen werden, um unseren angebundenen Maklern eine Hilfestellung zu geben.

Wie wird die Arbeit der Makler konkret von der neuen Verordnung Ihrer Einschätzung nach verändert werden?

Schrödel: Sie müssen sich mit den erweiterten Informationspflichten auseinandersetzen und überlegen, was dazugehört – beispielsweise, ob sie von Anfang an darüber informieren sollen, was im Falle eines Verkaufs des Maklerunternehmens mit den Daten geschieht, wenn der Bestand dabei übertragen wird. Der Makler dürfte sich bei allen Punkten die Frage stellen, wie man dies positiv darstellt. So könnte man den Kauf von Leads beispielsweise als „Kooperation mit einem anderen Unternehmen“ umschreiben, der dazu dient, die Versicherungsinteressenten über den Versicherungsschutz aufzuklären. Dabei kann man auch mehrgleisig fahren und auch die anderen Informationen auf der Homepage mit einbeziehen. Die Frage wird sein, ob man bei der Lebens- und der Kompositversicherung unterschiedlich vorgeht.

Grundsätzlich gab es das Recht auf Auskunft über alle gespeicherten Daten auch bisher schon. Neu ist, dass dieses Informationsrecht ausgeweitet wurde und der Kunde über alle über ihn gespeicherten Daten mittels einer Kopie der Daten informiert werden muss. Hier stellt sich die Frage, ob der Makler wirklich alle Daten, die er vom Versicherer über einen Kunden bekommt, weitergeben oder über jedes Telefonat informieren muss – das wäre ein unglaublicher Aufwand. Vielleicht reicht aber auch, wenn der Kunde wie bisher ggf. abgestuft informiert wird. Es wird spannend werden, wie weit die Informationspflichten in der Praxis gehen werden und ob die Behörden dabei zurückrudern und sich auf die Daten beschränken, die den Kunden besonders interessieren dürften. In der Verordnung heißt es, dass dem Kunden „eine Kopie der Daten“ auszuhändigen ist – eine Formulierung, die der deutsche Gesetzgeber so nie formuliert hätte.

Die Verordnung enthält insbesondere auch das Recht auf Vergessenwerden und das Recht auf Datenportabilität und richtet sich damit gegen außereuropäische Internetkonzerne. Was muss der Makler in Zukunft beachten, wenn er in sozialen Netzwerken unterwegs ist?

Schrödel: Faktisch erhebt er ja bei allen Aktionen in den sozialen Netzwerken Daten – darüber muss er informieren, denn kein Makler macht hier etwas zum Zeitvertreib. In Zukunft reicht es also nicht aus, wenn man jemanden, den man dort gefunden hat, anschreibt, sondern man muss auch ein Merkblatt mitschicken, z.B. als pdf. Die bisherigen Informationspflichten sind bei den meisten Kunden allerdings ins Leere gelaufen und haben nur die Aufsichtsbehörden interessiert. Die Frage ist hier, ob er nur über Daten, die er speichert, informieren muss und wie das in der Praxis aussieht, beispielsweise bei Kunden, die  uninteressant für ihn sind. Aber theoretisch ist jedes Datum, welches er sich beruflich ansieht, eine Datenerhebung, über die er informieren muss.

Berührt die neue Verordnung die Bewertung und Übertragung von Kundenbeständen bei einem Verkauf des Maklerunternehmens?

Schrödel: Bisher wurde schon diskutiert, ob man dazu die Einwilligung der Kunden braucht – jetzt ist eindeutig festgelegt, dass das so ist und ein bisschen schärfer als bisher formuliert.

Und wie wirkt sich die Verordnung aus, wenn ein Kunde den Vermittler wechselt?

Schrödel: Das Recht auf Portabilität der Daten nach § 20 der Verordnung sagt aus, dass alle Daten, die ihm überlassen werden, in einem maschinenlesbaren Format weitergegeben werden. Die Frage wird sein, ob sich die Maklerverbände hier auf ein einheitliches Format einigen, weil der abgebende Makler natürlich so wenig wie möglich an Daten weitergeben möchte, während der aufnehmende Vermittler gerne möglichst viele Informationen hätte. Auf jeden Fall wird der Makler die Daten weitergeben müssen, die er im Zusammenhang mit der Deckungszusage erhoben hat, gegebenenfalls aber auch die Daten, die der Versicherer hat.

Was bedeutet die neue Verordnung für Sie als Datenschutzbeauftragten – was kommt dadurch an Arbeit auf Sie zu?

Schrödel: Zunächst muss ich für umfassende Informationen im Unternehmen sorgen, damit alle wissen, wie wichtig die Verordnung ist. Zuerst habe ich die zweite Führungsebene informiert, jetzt steht die Information des Vorstands an. Der Aufwand an Aufklärung und Überwachung wird natürlich steigen und es wird deutlich mehr Dokumentation als bisher geben.

Die Zusatzaufgaben steigen, jedoch wird alles transparenter für den Kunden. Das sind neue Herausforderungen, die Zeit und Geld kosten, aber auch einen Mehrwert bringen. Als Datenschutzbeauftragter sehe ich in erster Linie den Mehrwert, wobei das Geld, das es kostet, auch ins Gewicht fällt  Dabei ist es so, dass die meisten Merkblätter und Informationen von den Kunden ja gar nicht gelesen werden dürften und mehr Aufsichtsbehörden und Verbraucherverbände interessieren. Es ist eine Herausforderung für Datenschutzbeauftragte hier einen vertretbaren Mittelweg zu finden, der die Darstellung für die Verbraucher wirklich transparent macht.

Schroedel_August.jpg

Rainer Schrödel ,
Mitglied des Vorstands der Ergo Lebensversicherung AG und verantwortlich für betriebliche Altersversorgung und Produktmanagement, DüsseldorfLeiter Recht und Datenschutzbeauftragter der VPV Lebensversicherungs-Aktiengesellschaft