Starttermin 25. Mai Checkliste: So können sich Vermittler auf die DSGVO vorbereiten

Computer-Tastatur. Am 25. Mai werden europaweit neue Datenschutzregeln wirksam. | © I-vista/Pixelio.de

Computer-Tastatur. Am 25. Mai werden europaweit neue Datenschutzregeln wirksam. Foto: I-vista/Pixelio.de

Am 25. Mai werden die Regeln der europäischen Datenschutzgrundverordnung (DSGVO) verbindlich. Die Verordnung ist bereits im Mai 2016 in Kraft getreten. Es gab allerdings eine zweijährige Übergangszeit, innerhalb derer die Regeln noch nicht zwingend anzuwenden waren. Diese Frist läuft Ende Mai aus. Die DSGVO bringt Veränderungen für Privatpersonen und Unternehmen mit sich. Sie beeinflusst auch den Arbeitsalltag von Finanz- und Versicherungsvermittlern.

Björn Thorben Jöhnke

Viele Fragen zur konkreten Ausgestaltung habe der Gesetzgeber bislang offengelassen, sagt Björn Thorben Jöhnke von der Kanzlei Jöhnke und Reichow. Vor allem zur praktischen Umsetzung der Regeln in Unternehmen fehlten noch Details, erklärt der Hamburger Vermittler-Fachanwalt.

Eigentlich sollte zusammen mit der DSGVO auch die E-Privacy-Verordnung in Kraft treten, erinnert Jöhnke. Diese werde als Ergänzung zu den allgemeinen und abstrakten Vorgaben der DSGVO neue Regeln für die elektronische Kommunikation aufstellen. Ursprünglich angesetzter Starttermin der E-Privacy-Verordnung war ebenfalls der 25. Mai. Gegenwärtig sei allerdings fraglich, ob der Termin gehalten werden könne, so Reichow.

Trotz noch fehlender Ausgestaltung empfiehlt Jöhnke, dass Vermittler sich spätestens jetzt auf die neuen Datenschutzregeln einstellen sollten. Denn die Umsetzung bedeute für Unternehmen einigen Zeitaufwand.

Die Kanzlei Jöhnke und Reichow hat eine Checkliste für Vermittler erstellt:

  • Einen Projektplan zur Umsetzung der DGSVO im eigenen Unternehmen erstellen: Ob Klein(st)unternehmer oder Großkonzern – ein strikter Umsetzungsplan wird notwendig sein, um die wichtigsten nachfolgenden Punkte umzusetzen.
  • Büroabläufe und Organisation in Bezug auf Dateneingang und -ausgang prüfen: Vermittler sollten klar wissen, wie digitale Daten im eigenen Unternehmen gespeichert, verarbeitet, genutzt werden. Auch die Weitergabe von Daten an Dritte muss geprüft werden – angefangen bei jedem mit dem Internet verbundenen Rechner bis hin zum möglicherweise extern beauftragten Backoffice.
  • Alle Arbeitsabläufe mit Hinblick auf Daten analysieren: Vom ersten Kundentermin bis hin zum Auftragsabschluss ist es ein langer Weg, auf dem Daten verändert werden können. Es könnten neue Daten zu Speicherzwecken entstehen und andere wegfallen.
  • Datenschutz-Risiken auffinden, bewerten und abstellen. Vermittler sollten sich fragen: Wo bestehen die Datenschutzlücken im Unternehmen? Könnten dadurch sensible Kundendaten gefährdet werden? Wie können Lücken abgestellt werden?
  • Digitale Verarbeitungstätigkeiten dokumentieren (Verzeichnisse): Die digitalen Verarbeitungswege der Daten im Unternehmen sollten bekannt sein und dokumentiert werden können. Die Aufsichtsbehörde könnte eine solche Dokumentation einfordern.
  • Die interne IT und EDV nach dem aktuellen Stand der Technik überprüfen: Vermittler sollten Maklerverwaltungsprogramme, Messenger-Systeme, Buchhaltung, CRM, digitale Dokumentenablage, Server, Clients, VPN und andere Daten sammelnde oder verarbeitende Systeme kritisch überprüfen. Sind die verwendeten Systeme gemäß DSGVO datenschutzkonform? Auch Passwörter und Zugangsberechtigungen zu Daten sollten überprüft werden.
  • Auftragsdatenverarbeitungsverträge überarbeiten und anpassen: Auch diese Verträge sollten umfassend angepasst werden. Denn nur eine lückenlose und nachvollziehbare Datenschutzkette gibt Unternehmern größtmögliche Sicherheit in Haftungsfragen. Auch für den Auftragsverarbeiter ist ein DSGVO-konformer ADV-Vertrag wichtig.
  • Datenschutzerklärungen überarbeiten, online und offline: Die aktuell verwendeten Erklärungen dürften sich aufgrund der weitergehenden Informationspflichten des Unternehmers überholt haben. Je nachdem in welchem Moment – im Vertrag oder als gesonderte Mitteilung – der Unternehmer Datenschutzerklärungen verwendet, sollten diese entsprechend angepasst werden.
  • Einwilligungen in Verträgen überarbeiten, online und offline: Die aktuell verwendeten Einwilligungen dürften sich aufgrund der weitergehenden Informationspflichten des Unternehmers überholt haben. Je nachdem in welchem Moment – im Vertrag oder als gesonderte Mitteilung – der Unternehmer Einwilligungen vom Kunden einholt, sollten diese entsprechend angepasst werden.
  • Arbeitsverträge überarbeiten und gegebenenfalls Nachträge durchsetzen: Bereits mit dem Arbeitsvertrag können Arbeitnehmer angewiesen werden, beispielsweise keine unternehmensfremden USB-Sticks – Virengefahr! – zu verwenden.
  • Verpflichtungen auf das Datengeheimnis durchsetzen, und zwar lückenlos im gesamten Unternehmen: Der Unternehmer haftet für alle Datenlecks. Von der Reinigungskraft bis hin zur studentischen Aushilfe – alle Personen, die Kontakt mit digitalen Daten des Kunden haben könnten, sollten auf den Datenschutz verpflichtet werden.
  • Mitarbeiter schulen und Beschwerdemanagement festlegen: Mitarbeiter sollten für das Thema Datenschutz sensibilisiert werden und dem Kunden entsprechende Auskünfte geben können. Entgegensetzt sollten Mitarbeiter auch keine Daten an Dritte herausgeben, weder „nur mal so“ oder „weil Sie es sind“ oder weil man „sich gut kennt“.
  • Ebenfalls sollte darüber nachgedacht werden Datenschutzbeauftragte einzusetzen und diese entsprechend zu benennen: Versicherungsmakler haben unter anderem mit sensiblen Kundendaten zu tun. Werden diese automatisiert verarbeitet, so dürfte ein Datenschutzbeauftragter zu bestellen sein. Dieses kann der Unternehmer intern sowie extern machen.
  • Cyberrisiken möglicherweise versichern: Ein Cyberrisiko ist unter anderem auch der „Datenklau“. Um sich finanziell abzusichern, sollte über eine Versicherung nachgedacht werden. Dieses unabhängig davon, wie die Auseinandersetzung mit einer Aufsichtsbehörde ausgeht.
  • Die Umsetzungsfrist der DSGVO zum 25. Mai 2018  unbedingt beachten!

Die Kanzlei Jöhnke und Reichow hat ihre >> Liste mit Handlungsemfpehlungen >> für Vermittler auf ihre Internetseite gestellt. Sie soll, sobald Neues bekannt wird, jeweils aktualisiert werden.