Pfefferminzia: Was ist der Hintergrund der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat?

Kai Grunwitz: Neue Trends der Digitalisierung wie Cloud Computing oder Blockchain erhöhen die Bedeutung der Datenschutz-Compliance in nahezu allen Industrie- und Geschäftsbereichen. Die neuen Technologien sowie die geänderten Kundenansprüche müssen umfassend berücksichtigt werden, dabei wird gleichzeitig das Volumen der gesammelten Daten exponentiell vergrößert. Hintergrund ist sicherlich auch, dass die EU der unkontrollierten Nutzung von personenbezogenen Daten durch Unternehmen wie Facebook und Google Einhalt gebieten will. Aus diesem Grund sind auch die angedrohten Strafen so hoch.

Was müssen Versicherungsvermittler nun zwingend beachten?

Die Regelungen der DSGVO gelten für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Für Vermittler bedeutet das vor allem eins: Sie können nicht mehr wie gewohnt mit Kundendaten umgehen und diese für alle erdenklichen Zwecke nutzen. Hier ist ein Umdenken bei Vermittlern erforderlich. Einfach Kunden zu neuen Produkten anzumailen, ohne die vorherige Einwilligung zu haben, ist nicht DSGVO-konform. Auch muss das Löschen von Daten künftig konsequent umgesetzt werden. Der Vertrieb von Versicherungen und der Umgang mit Kundendaten wird sich hier grundlegend ändern müssen.

Was muss noch beachtet werden?

Dies bedeutet auch, interne Abläufe wie Datenfluss und den Datenlebenszyklus zu identifizieren, die interne IT nach dem Stand der Technik zu prüfen, Verarbeitungstätigkeiten zu dokumentieren, Auftragsdatenverarbeitungsverträge und Datenschutzerklärungen anzupassen, Mitarbeiter zu schulen und eventuell auch Cyber-Risiken versichern zu lassen. Diese Aufzählung ist nur ein Auszug – selbstverständlich gibt es viele weitere Anforderungen, die zu beachten sind.

Was haben Privatpersonen von der DSGVO?

Sie müssen künftig ausführlich darüber informiert werden, was mit ihren Daten geschieht. Die größte Änderung ist dabei, dass die Person, deren Daten erfasst sind, Eigner der Daten bleibt und nicht das Unternehmen, das die jeweiligen Daten erfasst hat. Daraus resultieren dann auch die Betroffenenrechte, die in vielen Bereichen zur Anwendung kommen können. Hierzu zählen unter anderem das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder das Recht auf Datenübertragbarkeit, (Art. 20 DSGVO). In der Praxis bedeutet das zum Beispiel: Wechselt man seinen Arzt, muss die alte Praxis die Daten auf Wunsch sicher an die neue Praxis weiterleiten. Im Bereich E-Commerce, englisch für elektronischer Geschäftsverkehr, heißt das etwa, dass internationale Online-Verkäufer ebenfalls nur noch die nötigsten Informationen erheben dürfen – Stichwort: Datensparsamkeit.