Aufrufe
vor 1 Jahr

AssCompact 05/2020

  • Text
  • Versicherer
  • Unternehmen
  • Makler
  • Vermittler
  • Zudem
  • Mitarbeiter
  • Thema
  • Digitale
  • Produkte
  • Digitalisierung

RECHTSFRAGEN IM

RECHTSFRAGEN IM VERMITTLERBÜRO „Datenschutzbehörden gehen 2020 schärfer gegen Verstöße vor“ Interview mit Dr. Thomas Schwenke, Dr. Schwenke Rechtsanwaltskanzlei Es ist noch nicht genug getan worden bei der Umsetzung der DSGVO. Datenschutzbehörden haben deshalb 2019 einen neuen Bußgeldkatalog erlassen und werden in diesem Jahr Unternehmen bei Verstößen gegen den Datenschutz strenger zur Rechenschaft ziehen. Kleinere Betriebe trifft dies ebenso wie große. Doch wer Schritt für Schritt seine Maßnahmen prüft, ist auf der sicheren Seite. Deutsche Datenschutzbehörden haben angekündigt, dieses Jahr ihre zurückhaltende Position aufzugeben und Verstöße gegen die DSGVO in vollem Ausmaß zu ahnden. Was bedeutet das konkret? Es ist in der Tat eine Entwicklung dahingehend zu beobachten, dass die Datenschutzbehörde den Datenschutz in Unternehmen jetzt schärfer durchsetzt. Ich hatte jetzt innerhalb eines Jahres mehr Datenschutzfälle mit Behörden als in den letzten 13 Jahren zusammen. Die Datenschutzbehörde geht Meldungen und Hinweisen öfter nach und verhängt Strafen, weil sie merkt, dass noch nicht genug passiert ist. Die deutschen Behörden haben erst 2019 einen neuen Bußgeldkatalog erlassen, um hier entsprechende Strukturen zu schaffen. Seit der DSGVO können bis zu 4% des Jahresumsatzes eines Unternehmens als Bußgeld bei Datenschutzverstößen erhoben werden. Das ist relativ viel und seither horchen die Unter - nehmen auf. Es „Geahndet werden nach meiner Erfahrung häufig nicht beachtete Widerspruchsäußerungen, mangelhafte Löschkonzepte sowie ein nicht nachvollzieh - bares Verzeichnis von Verarbeitungstätigkeiten.“ gibt jedoch unterschiedliche Stufen je nach Unternehmensgröße. Die meisten werden in die Kleinstkategorie fallen, also mit einem Jahresumsatz von 750.000 Euro. Mindestens wird ein Tagessatz von rund 1.000 Euro fällig. Je nachdem, wie schwer der Verstoß war, wie kooperativ das Unternehmen war, welche Art von Verstoß es ist, kann dieser Wert vervielfacht werden. Geahndet werden nach meiner Erfahrung häufig nicht beachtete Widerspruchsäußerungen, zum Beispiel bei Werbemails, mangelhafte Löschkonzepte im Unternehmen sowie ein nicht nachvollziehbares Verzeichnis von Verarbeitungstätigkeiten. Zu beachten ist auch, dass die Datenschutzbehörden sicher weitere Nachforschungen anstellen, wenn einmal ein Fehler bei einem Unternehmen aufgedeckt wurde. Was sind die wichtigsten Stellschrauben, an denen gerade kleine und mittlere Unternehmen nochmal drehen können, um ihre DSGVO-Konformität zu prüfen und zu optimieren? Was beachtet werden muss, sind Widersprüche, Auskunftsansprüche und Löschansprüche. Wenn diese eingehen, müssen sie unverzüglich, spätestens aber nach einer Frist von einem Monat, umgesetzt werden. Außerdem sollte man auf jeden Fall ein Verzeichnis von Verarbeitungstätigkeiten haben. Darin wird festgehalten, woher die Daten kommen, auf welcher Rechtsgrundlage sie verarbeitet wurden, um welche Art von Daten es sich handelt, welche Personen betroffen sind und wann sie gelöscht werden müssen. Wichtig ist auch die Belehrung der Mitarbeiter. Jeder Mitarbeiter sollte eine Verpflichtung auf den Datenschutz abschließen. Wenn Mitarbeiter im Home-Office arbeiten, müssen die Verarbeitung im Home-Office sowie die Verarbeitung über private Geräte geregelt werden. Es geht bei der DSGVO auch darum, nachzuweisen, dass man sich über den Datenschutz Gedanken gemacht hat. Das Bemühen allein reicht zwar nicht, aber bei der Beurteilung eines Bußgeldes macht es durchaus einen Unterschied. Man sollte jedenfalls nicht so wirken, als hätte man sich keine Gedanken dazu gemacht, damit die Datenschutzbehörde gar nicht erst auf einen aufmerksam wird. Wir Rechtsanwälte sind da pragmatisch. Versicherungsvermittler „sammeln“ im Grunde ja Daten. Wem gehören diese und was darf der Vermittler davon für seine eigene Vertriebsstrategie, zum Beispiel für personalisierte Werbung, einsetzen? Der Begriff Dateneigentum ist etwas irreführend. Es geht hier um das Recht, über die Daten zu verfügen. Verfügungsrechte bedeuten, dass ich aufgrund eines Vertrages etwas mit 108 Mai 2020

den Daten machen kann; wenn der Vertrag erlischt, kann ich es nicht mehr. Man muss sich dabei an die Prüfungsvorgaben halten. Der Versicherungsvermittler muss diesen Prozess immer durchgehen, wenn er Daten verwenden möchte. Eine Prüfung beginnt so: Man hat eine bestimmte Art von Daten und man möchte mit ihnen einen bestimmten Zweck verfolgen. Der Zweck ist zulässig, sofern er nichts Böses will. Personalisierte Werbung ist kein verbotener Zweck. Man braucht aber eine Rechtsgrundlage, auf der man die Daten verarbeitet. Denn: Jede Datenverarbeitung ist erst mal per se verboten, es sei denn, sie ist erlaubt. Rechts- bzw. Erlaubnisgrundlagen stehen im Gesetz. Das ist zum Beispiel die Verarbeitung auf Grundlage einer Einwilligung oder zur Erfüllung eines Vertrages, die Verarbeitung zur Erfüllung gesetzlicher Pflichten – das haben wir zum Beispiel zur Corona-Zeit, wenn Gäste gemeldet werden müssen. Dann haben wir noch die Verarbeitung auf Grundlage von berechtigten Interessen. Bei besonderen Kategorien von Daten wie zum Beispiel Gesundheitsdaten ist die Verarbeitung zusätzlich eingeschränkt. Hier braucht man im Regelfall eine Einwilligung, außer sie werden dazu verwendet, für die Menschen gesundheitsförderlich zu sein. Bleiben wir bei den normalen personenbezogenen Daten. Wie geht es weiter? Wenn mein Zweck personalisierte Werbung ist, was ist die Rechtsgrundlage? Für die Erfüllung des Vertrages ist er nicht da. Berechtigtes Interesse greift nur, wenn die Schutzinteressen der Kunden nicht überwiegen. Der Gesetzgeber gibt hier Hinweise in den sogenannten Erwägungsgründen zur DSGVO. Darin steht: Ein berechtigtes Interesse übertrifft die Schutzinteressen, wenn die Verarbeitung zumutbar und vorhersehbar ist. Im Fall postalischer Werbung kann man davon ausgehen, dass sie für Kunden vorhersehbar und zumutbar ist – zumindest solange die Kunden über mögliche Werbung zum Beispiel in der Datenschutzerklärung belehrt wurden und Die Kontrolle zieht an: Thomas Schwenke hatte innerhalb eines Jahres mehr Datenschutzfälle mit Behörden als in den letzten 13 Jahren zusammen. dem Empfang nicht widersprochen haben. Bei E-Mail-Werbung ist dagegen grundsätzlich immer eine Einwilligung des Empfängers notwendig. Was ist, wenn diese Prüfung negativ ausfällt? Dann brauche ich eine Einwilligung. Meiner Erfahrung nach werden die allermeisten Fehler dadurch gemacht, dass sich Unternehmer gar keine Gedanken darüber machen. Wenn man sich keine Gedanken macht, hat man auch nichts dokumentiert und kann kein Bemühen nachweisen. Hält man sich aber daran, geht man die Schritte in Fleißarbeit durch, dann kann man schon mit der Hilfe von Informationen im Internet sehr weit kommen. Schwierig ist immer wieder auch zu definieren, wann eine Auftragsverarbeitung vorliegt. Was ist hierbei zu beachten? Eine Auftragsverarbeitung liegt immer dann vor, wenn Dienstleister beauftragt werden und zum Kern ihrer Aufgaben die Verarbeitung von personenbezogenen Daten gehört. Das ist zum Beispiel bei einem Webhoster der Fall, der Daten speichert, aber nicht bei einem IT-Dienstleister, der lediglich die Technik wartet und mit Daten allenfalls beiläufig in Verbindung kommt. Bei dem Ersteren muss ein Auftragsverarbeitungsvertrag geschlossen werden, beim Zweiten reicht eine Verpflichtung auf den Datenschutz. Der Verarbeitende darf mit den Daten nur genau das machen, was im Auftragsverarbeitungsvertrag festgehalten wird. Wenn ich einem Dritten Daten übermittle und ihm erlaube, die Daten zu eigenen geschäftlichen Zwecken zu nutzen, dann handelt es sich um eine sogenannte „gemeinsame Verantwortlichkeit“. Zum Beispiel, wenn zwei sonst selbstständige Versicherungsvermittler einen gemeinsamen Datenbestand unterhalten sollten und jeder der Vermittler das Recht hätte, die Kunden zu Werbezwecken O Mai 2020 109

AssCompact

Versicherer Unternehmen Makler Vermittler Zudem Mitarbeiter Thema Digitale Produkte Digitalisierung

Neues von AssCompact.de

Versicherer Unternehmen Makler Vermittler Zudem Mitarbeiter Thema Digitale Produkte Digitalisierung