Auf zum Endspurt: So meistern Sie die DSGVO

26.04.2018, Autor: Philipp von Wartburg

Es stehen noch rund 30 Tage zur Verfügung, sich mit dem Thema Datenschutz zu beschäftigen. Am 25. Mai 2018 entfaltet dann die DSGVO ihre volle Wirkung. Einige Punkte können allerdings auch bis zu diesem Datum nicht eindeutig ausgelegt bzw. umgesetzt werden, da schlichtweg die entsprechende Rechtsauslegung fehlt.

Ich befasse mich seit längerer Zeit mit der DSGVO und dessen Umsetzung und möchte auf mit diesem Artikel versuchen, ein bisschen Klarheit in das Thema zu bringen.

Muss ich mich als Makler mit der DSGVO beschäftigen?
Definitiv ja. Die DSGVO gilt unbestritten für alle Gewerbetreibende in Europa.

Und wenn ich einfach nichts mache?
Das ist eine ganz schlechte Idee. Europäisches Recht (DSGVO) und deutsches Recht (BDSG) einfach zu ignorieren, hat für Sie unabsehbare Folgen. Dafür wird weder die Aufsichtsbehörde noch ein Richter Verständnis haben.

Was ist, wenn ich mein Gewerbe einfach aufgebe?
Bei Geschäftsaufgabe sind Sie trotzdem an die gesetzlichen Aufbewahrungsfristen gebunden. Aufbewahrt werden müssen nebst Belegen für das Finanzamt auch sogenannte Geschäfts- und Handelsbriefe, also E-Mails, Briefe, Telegramme, Faxe, etc. Spätestens hier sind Sie wieder von der DSGVO betroffen. Übrigens unterliegen auch geordnete Papier-/Aktenarchive der DSGVO (Erwägungsgrund 015 der EU-DSGVO), wobei dieser Punkt nicht eindeutig aus der Verordnung hervorgeht.

Kann ich mit dem Kunden vereinbaren, dass wir weiterhin mit offener E-Mail kommunizieren?
Sowohl Datenschutz-Beauftragte als auch spezialisierte Rechtsanwälte sehen eine solche Vereinbarung höchst kritisch. Der Grund ist einfach: Man kann nicht mit einem Formular ein Gesetz außer Kraft setzen, an das man als Unternehmer gebunden ist. Einerseits wäre eine solche Vereinbarung vor dem Richter ungültig (weil der Gewerbetreibende gegen die DSGVO verstößt), andererseits kann der Kunde jederzeit behaupten, er hätte nicht sämtliche weitreichenden Konsequenzen verstanden, die sich aus der Vereinbarung ergeben.
Mein Tipp: Versuchen Sie nicht, kurzfristig Lösungen zur Umgehung der DSGVO zu finden. Setzen Sie besser die DSGVO langfristig um.

Brauche ich von jedem Kunden eine Einwilligung zur Datenverarbeitung?
Meiner Meinung nach benötigt ein Unternehmer für die Rechtmäßigkeit der Verarbeitung keine explizite Einwilligung. Die Verarbeitung ist bereits rechtmäßig, weil die Verarbeitung für die Erfüllung eines Vertrags erfolgt. Die Rechtmäßigkeit ergibt sich aus Art. 6 Abs. 1 der DSGVO. Dies ist übrigens einer der wichtigsten Artikel in der Verordnung. Solange Sie mit dem Kunden eine bestehende Geschäftsbeziehung haben, und auch mindestens 10 Jahre danach (wegen der Aufbewahrungsfrist), dürfen Sie seine Daten verarbeiten. Beachten Sie bitte, dass dies nur für diejenigen Daten gilt, die für die Vertragserfüllung bzw. rechtliche Erfüllung notwendig sind. Beispielsweise dürfen Sie nicht die Religionszugehörigkeit verarbeiten, wenn der Interessent nur eine Privathaftpflicht abschließen möchte. Außer er willigt ein.
In der Praxis wird es so aussehen, dass Sie trotzdem, beispielsweise zusammen mit dem Maklerauftrag, dem Versicherungsantrag, etc. die explizite Einwilligung zur Datenverarbeitung und vor allem Datenweitergabe mittels Formular einholen. In diesem Formular wird u.a. beschrieben, dass die Daten an sorgfältig ausgewählte, zur Erfüllung notwendige Dritte weitergegeben werden (z.B. Versicherer, DGFRP, Wirtschaftsprüfer, etc.) und Sie können die Betroffenenrechte aufführen.

Was passiert, wenn ich bis 25.05.2018 nicht alles umgesetzt habe?
Sehr wahrscheinlich nichts. Wichtig ist, dass Sie sich bis zum 25.05.2018 mit dem Thema zumindest beschäftigt haben. Sie sollten ein Dokument anlegen, in welchem Sie laufend protokollieren, was Sie bezüglich DSGVO alles tun bzw. planen. Das Lesen dieser Fragen und Antworten können Sie bereits in dem Dokument notieren, da Sie sich ja gerade mit der DSGVO beschäftigen. Bedenken Sie: Nichts tun ist schlecht, da Sie dann vorsätzlich handeln würden.

Was sollte ich konkret bis zum 25.05.2018 tun?
Hier 5 einfache Punkte, die Sie erledigen sollten:

1. Legen Sie ein Dokument an, in welchem Sie alles aufschreiben, was Sie als Unternehmer in Bezug auf Datenschutz. Beispielsweise: Besuch einer entsprechenden Veranstaltung, Lesen von Fachinformationen, Mitarbeiter informieren, DSGVO-Dokumente erstellen, IT überprüfen, Updates einspielen, etc.

2. Klären Sie ab, ob Sie einen Datenschutz-Beauftragten benötigen. Bei Maklerbüros mit weniger als 10 Mitarbeitern in der Datenverarbeitung ist das meist nicht der Fall. Außer Sie verarbeiten ständig und als Kerntätigkeit sensible Daten.

3. Erstellen Sie das „Verzeichnis von Verarbeitungstätigkeiten“. Muster und Infos dazu finden Sie auf unserer Webseite.

4. Prüfen Sie, ob bei allen gespeicherten Daten eine Rechtmäßigkeit vorliegt. Wichtig ist das insbesondere bei Daten, von denen Sie nicht mehr wissen, woher sie stammen. Beispiel: Sie haben einen Datensatz von „Max Muster“, der bei Ihnen aber nicht Kunde ist und Sie auch keinerlei Unterlagen besitzen. Empfehlung: Löschen.

5.  Verschaffen Sie sich einen Überblick über die technischen und organisatorischen Maßnahmen (TOM). Stellen Sie sich diese und weitere Fragen: Sind PCs mit einem Kennwortschutz versehen? Werden Akten bei Nichtgebrauch eingesperrt? Werden Daten vor einer Übertragung verschlüsselt? Wer hat alles Zugriff auf Ihre Kundendaten? Schreiben Sie alles in ein kleines Datenschutzkonzept.

Hinweis: Die weiteren zu erledigenden Punkte werden in Kürze vorgestellt.
 

Gibt es einfache Lösungen für technische Maßnahmen?
Ja, die gibt es! Die DGFRP stellt mit der Plattform Quixx eine Lösung bereit, die alle Anforderungen in Bezug auf Datenschutz erfüllt. Alle Daten werden automatisiert verschlüsselt und gesichert. So werden beispielsweise die von Maklern hochgeladenen Anträge automatisch über eine sichere Verbindung, an die jeweilige Gesellschaft übermittelt. Auch die Kommunikation zwischen Ihnen und Ihren Kunden ist sicher, egal ob Sie chatten oder Dokumente zur Verfügung stellen. Das Ganze besitzt, neben der Datenschutzkonformität, einen weiteren großen Vorteil: Sie können Ihr Business auf einen Schlag digitalisieren, modernisieren und gesetzeskonform bezüglich IDD, MiFID, etc. gestalten. Und das erst noch kostenlos!

Fazit
Die DSGVO wird am 25.05.2018 in Europa eingeführt – ob wir es wollen oder nicht. Ein Makler lebt davon, Daten an Dritte weiterzugeben (z.B. Antrag an Versicherung), daher erscheint uns die DSGVO streng und aufwändig. Ein kleiner Friseur dagegen gibt Kundendaten selten aus der Hand. Trotz allem beschränkt sich der Aufwand insbesondere zur Einführung lediglich auf die Erstellung einiger Dokumente (Verarbeitungsverzeichnis, Datenschutzkonzept, etc.). Ist das erledigt, gibt es keinen Mehraufwand. Die technische Lösung, sprich Quixx, ist da und steht zur Verfügung. Am Anfang ist es eine Umstellung, aber dann wird alles viel einfacher.

Nutzen wir die Chance und machen unsere Maklerbetriebe zukunftssicher!

Beste Grüße aus Altötting
Philipp von Wartburg