Das ist die Bilanz nach einem Jahr DSGVO
01.07.2019
Christian Nölke, Managing Consultant bei der adesso AG / Foto: © adesso AG
Prio 2 – Die Innensicht
Nach der Umsetzung der DSGVO in der Außensicht darf natürlich auch die Innensicht nicht vernachlässigt werden. Diese Dokumente und Verfahren werden oft erst relevant, wenn es zu einem Datenschutz-Vorfall oder zu einer Beschwerde gekommen ist. Sie stellen den ersten Ansatzpunkt für Prüfer dar.
1. Verzeichnis der Verarbeitungstätigkeiten
Das Gesetz sieht eine Pflicht zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten erst ab einer Unternehmensgröße von 250 Personen vor, die kaum ein Vermittler erreicht. Allerdings gibt es hierzu Ausnahmen, die Vermittler treffen. Zum einen kann man bei einem Vermittler davon ausgehen, dass die Verarbeitung von Daten nicht nur gelegentlich stattfindet, zum anderen verarbeiten insbesondere Vermittler von Personenversicherungen auch besondere Daten (Gesundheitsdaten, teils auch genetische Daten). Somit sollten Vermittler solch ein Verzeichnis führen. Der Aufwand ist sehr überschaubar und nur einmalig. Die Datenschutzkommission des Bundes und der Länder hat hierzu entsprechende Hinweise veröffentlicht.[2]
2. Auftragsverarbeitungen
In aller Regel verarbeiten Vermittler Daten nicht ausschließlich selbst mit eigenen Mitteln, sondern bedienen sich der Hilfe von Dienstleistern. Dies kann der Provider sein, der die Website hostet, oder ein Finanzdienstleister, der ein passendes Agentursystem anbietet. In allen Fällen, in denen ein Vermittler sich solcher Dienstleister bedient, die Daten in seinem Auftrage und unter seiner Kontrolle verarbeiten, muss hierzu ein Vertrag zur Auftragsverarbeitung geschlossen werden. Die Datenschutzkommission des Bundes und der Länder hat auch hierzu entsprechende Hinweise veröffentlicht.[3] Viele große Dienstleister wie Provider oder Cloud-Anbieter bieten hierzu fertige Zusatzvereinbarungen zu den Verträgen
Fazit
Der Rückblick zeigt, viele Befürchtungen insbesondere zur Anzahl und Höhe der Bußgelder sind ausgeblieben. Behörden gehen mit Augenmaß vor und beraten eher als zu strafen. Allerdings ist der Aufwand für Datenschutz und auch das Risiko bei Nichtbeachtung gestiegen.
Zur vollständigen Umsetzung bleibt bei Vermittlern noch einiges zu tun, und auch dann ist die Aufgabe nicht abgeschlossen: Datenschutz bleibt ein Dauer-Thema und entwickelt sich stetig weiter. Die ePrivacy-Verordnung ist in den Startlöchern und auch das BDSG soll in naher Zukunft angepasst werden.
Daher die klare Empfehlung an Vermittler: Bleiben Sie beim Datenschutz am Ball und führen Sie die begonnen Anstrengungen zum Ende. Verlieren Sie auch danach das Thema nicht aus den Augen, es bleibt relevant. Und schließlich, gehen Sie mit dem Thema Datenschutz aktiv auf Ihre Kunden zu. Die Beziehung zwischen Kunde und Vermittler ist geprägt von einem hohen Maß an Vertrauen. Ein proaktiver, offener und transparenter Umgang mit Fragen des Datenschutzes kann diese Vertrauensbeziehung stärken und die Kundenzufriedenheit weiter erhöhen.
Autor: Christian Nölke, Managing Consultant adesso AG
[1] https://www.datenschutzbeauftragter-info.de/eprivacy-verordnung-und-cookies-der-aktuelle-stand/
[2] https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf und https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_verantwortliche.pdf
[3] https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf