Prio 1 – Die Außensicht

Neben diesem Punkten gibt es weitere Aufgaben, die – falls noch nicht umgesetzt – mit hoher Priorität angegangen werden sollen. Diese betreffen die Außensicht, also das, was jeder, der das Unternehmen von außen betrachtet, ohne interne Unterlagen zu prüfen, beurteilen kann.

1. Benennung eines Datenschutzbeauftragten

Das Gesetz legt Kriterien fest, nach denen bei Erfüllung eines dieser Kriterien ein Datenschutzbeauftragter zu benennen ist. Diese sind im Wesentlichen:

1. Unternehmensgröße: Mindestens zehn Personen sind mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
2. Detailgrad der Daten: Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung besonderer Datenkategorien.
3. Geschäftsfeld: Kerntätigkeit des Unternehmens sind Verarbeitungsvorgänge, die wegen Art, Umfang oder Zweck besonders überwacht werden müssen.

Punkt 2 und 3 dürfte für Vermittler in aller Regel zu verneinen sein. Die Kerntätigkeit besteht nicht in der Verarbeitung von Daten sondern in der Beratung des Kunden und der Vermittlung von Produkten. Zwar verarbeitet der Vermittler insbesondere im Personenversicherungsgeschäft häufig auch Gesundheitsdaten (Vorerkrankungen, Risikoprüfung, Unterstützung bei Leistungsabrechnung), aber dies ist nicht die Kerntätigkeit. Umso wichtiger ist es, solche Daten zeitnah zu löschen, wenn sie nicht mehr benötigt werden.

Punkt 1 kann jedoch für größere Vermittler relevant werden. Entscheidend für die Personenzahl sind nicht Vollzeit-Stellen sondern Köpfe. Auch Aushilfen und Teilzeitkräfte werden dazugezählt. Sollten damit mehr als zehn Personen (die Zahl wird eventuell in den nächsten Monaten erhöht) tätig sein, ist ein Datenschutzbeauftragter zu benennen. Dieser muss aber nicht im Unternehmen angestellt sein, externe Datenschutzbeauftragte sind eine häufig genutzte und günstige Alternative.

2. Tracking / Cookies auf Webseiten

Noch nicht abschließend ist geklärt, unter welchen Umständen Vermittler auf ihrer Webseite technisch nicht notwendige Cookies einsetzen dürfen, um Besucher ihrer Webseite statistisch zu erfassen, ihre Aktivitäten zu verfolgen und sie besser informieren zu können. Allgemein wird aber davon ausgegangen, dass ein bloßes Abstellen auf ein „Berechtigtes Interesse“ (DSGVO Artikel 6. Absatz 1 Punkt f) nicht ausreichend ist und eine Einwilligung eingeholt werden muss.

Daher ist Vermittlern zu empfehlen, das Tracking möglichst zu vermeiden. Falls es doch durchgeführt werden soll, müssen die Betroffenen informiert und ihre Einwilligung eingeholt werden. Auch muss sinnvoll mit einer Verweigerung der Einwilligung umgegangen werden.

Hier ist in den nächsten Monaten und Jahren noch mit einiger Bewegung in der Auslegung zu rechnen. Insbesondere wird im nächsten Jahr von der EU die ePrivacy-Verordnung erwartet, die ein neues Regelwerk zu Cookies enthalten soll.[1]

3. Fortlaufende Aktualisierung der Informationen

Die DSGVO sieht umfangreiche Informationspflichten des Vermittlers über Verarbeitungen und Betroffenenrechte vor (DSGVO Art. 13 und 14). Diese betreffen sowohl Besucher der Webseite als auch Interessenten. Regelmäßig ist zu prüfen, ob diese Informationen auf dem neuesten Stand sind und noch den aktuellen Anforderungen entsprechen. Auch hier entwickelt sich die Auslegung weiter.

Warum Vermittler jetzt auch die Innensicht beachten sollten, lesen Sie auf Seite 5