Pfefferminzia: Warum sollten sich Vermittler und Makler jetzt mit dem Thema Datenschutz befassen?

Norman Wirth: Die Datenschutzgrundverordnung, kurz DSGVO, die ab 25. Mai 2018 gilt, umfasst 99 Artikel und 173 Erwägungsgründe. Selbst wenn ein Vermittler und Makler bereits heute datenschutzkonform nach dem derzeit gültigen Bundesdatenschutzgesetz – BDSG – arbeitet, ist alleine eine Bestandsaufnahme, welche Umsetzungen noch zu erfolgen haben, ein erheblicher zeitlicher und administrativer Aufwand. Allein aus diesem Umstand wird deutlich, dass eine Befassung mit der DSGVO und der aus dieser für den einzelnen Makler folgenden Verpflichtungen zur Umsetzung bestimmter datenschutzrechtlicher Vorgaben, allmählich erfolgen sollte.

Ferner ist es mit der Umsetzung der DSGVO nicht getan. Die DSGVO beinhaltet an vielen Stellen sogenannte Öffnungsklauseln, die den nationalen Gesetzgeber ermächtigen, abweichende, im Ergebnis auch „schärfere“ Regelungen zu treffen. Dies hat der deutsche Gesetzgeber zum Anlass genommen und das Datenschutz-Anpassungs- und Umsetzungsgesetz EU, kurz BDSG-neu, geschaffen. In diesem sind weitere Regelungen enthalten, die mit Inkrafttreten umgesetzt werden müssen.

Welche Änderungen müssen Maklerfirmen nun umsetzen?

Das derzeit geltende BDSG ist den neuen Regelungen der DSGVO sehr ähnlich. Der deutsche Gesetzgeber hat insofern bereits einen gehobenen Datenschutzstandard geschaffen. Nichtsdestotrotz ergeben sich verschiedene Änderungen, insbesondere bei den Informations- und Dokumentationspflichten. Im Rahmen der bereits angesprochenen Bestandsaufnahme wäre zunächst zu prüfen, in welchem Umfang eine Anpassung der bereits existierenden Datenschutzdokumente erfolgen muss.

Eine der wohl gravierendsten Änderungen, die voraussichtlich jeden Makler trifft, der im Rahmen der Vermittlung und/oder Betreuung der Versicherungsverträge Gesundheitsdaten von Kunden erhebt, findet sich in Artikel 30 DSGVO. Jedes Unternehmen, hat mit Inkrafttreten der DSGVO ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen, sofern bestimmte Voraussetzungen vorliegen. Eine dieser Voraussetzungen ist die Verarbeitung besondere Datenkategorien, zu denen unter anderem die Gesundheitsdaten zählen.

Unabhängig davon, lässt sich jedoch keine pauschale Aussage treffen, welche Änderungen jeder Makler vornehmen muss, da dies von dem jeweils vorliegenden Datenschutzniveau des Maklers abhängt.

Entsteht eine weitere Dokumentationspflicht für Makler?

Oliver Kadler: Mit Artikel 5 Absatz 2 DSGVO wird eine grundsätzliche Rechenschaftspflicht eingeführt. Diese führt dazu, dass der Unternehmer – also auch der Makler – jederzeit die Einhaltung der gesetzlichen Regelungen nachweisen können muss. Dies beginnt bei der Dokumentation von erteilten Einwilligungen und setzt sich fort bei den Informationspflichten sowie den zu ergreifenden technischen Maßnahmen zur Einhaltung der DSGVO-Vorgaben. Bei Nichtbeachtung allein der Dokumentationspflichten – der Nachweis der Einhaltung der gesetzlichen Regelungen ist dann nicht möglich – können empfindliche Bußgelder verhängt werden.

Unabhängig der grundsätzlichen Pflichten, trifft den Makler, soweit er Gesundheitsdaten seiner Kunden verarbeitet, die Pflicht ein Verzeichnis über die Verarbeitungstätigkeit zu führen.

Ferner ist es für jede verantwortliche Stelle erforderlich, als auch für einen Makler, eine Risikoanalyse für die eigene Datenverarbeitung vorzunehmen. Anhand dieser „Schwellwertanalyse“ ist zu entscheiden, ob eine Datenschutz-Folgeabschätzung gemäß Artikel 35 DSGVO vorzunehmen ist. Es handelt sich hierbei um eine Bewertung, mit welchem Risiko die vom Makler verarbeiten Daten unberechtigt Dritten in die Hände gelangen könnten.

Sowohl die Schwellwertanalyse, als auch eine mögliche Datenschutz-Folgeabschätzung sind entsprechend zu dokumentieren. Unabhängig einer positiven Schwellwertanalyse ist eine Datenschutz-Folgeabschätzung dann vorzunehmen, wenn eine „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1“ erfolgt. In Artikel 9 Absatz 1 DSGVO sind unter anderem Gesundheitsdaten genannt.

Für einen Makler ergibt sich die Pflicht zur Datenschutz-Folgeabschätzung daher voraussichtlich ohnehin aus Artikel 35 DSGVO. Abschließend klar ist dies jedoch nicht, da Artikel 35 DSGVO von „umfangreicher“ Verarbeitung spricht. Wann eine Verarbeitung umfangreich im Sinne der DSGVO ist, wird wohl zunächst Auslegungssache bleiben.

Müssen Webseiten und Apps angepasst werden?

Wirth: Die entsprechenden Datenschutzerklärungen für Webseiten und/oder Apps werden wohl angepasst werden müssen. Die DSGVO fordert in Artikel 13 Absatz 1 einen Katalog an Pflichtinformationen. Diese Pflichtangaben decken sich zwar überwiegend mit den bereits heute erforderlichen Angaben, allerdings fordert die DSGVO an einigen Stellen weitere oder aber detailliertere  Informationen, wie die Nennung einer Rechtsgrundlage für die Datenverarbeitung oder eine Angabe zur Dauer der Speicherung der Daten. Der konkret erforderliche Anpassungsbedarf lässt sich daher nur anhand des Einzelfalls ermitteln.

Was droht Maklern, wenn sie gegen die DSGVO verstoßen?

Kadler: Die DSGVO sieht für Datenschutzverstöße Bußgelder vor, die eine maximale Höhe von 20 Millionen Euro oder 4 Prozent des Jahresumsatzes betragen können, je nachdem welcher Betrag höher ist. Die tatsächliche Höhe wird anhand von Bemessungskriterien ermittelt, die sich – wie die Bußgeldtatbestände auch – in Artikel 83 DSGVO finden. Weitere mögliche Sanktionen sind Gewinnabschöpfung oder Anordnungen gemäß Artikel 58 Absatz 2 DSGVO, so zum Beispiel ein zeitlich begrenztes oder endgültiges Verbot der Datenverarbeitung.

Da es auch bezüglich der Sanktionen eine Öffnungsklausel gibt, durfte der nationale Gesetzgeber eigene, weitergehende Sanktionen ergänzen. Das BDSG-neu sieht als weitere Sanktionen eine Schadensersatz- und Entschädigungsregelung vor, die dem Betroffenen der Datenschutzverstöße Ansprüche finanzieller Natur einräumt.