Datenschutz im Finanz- /Versicherungsbereich - Datenschutz in Finanzen und Versicherungen - Hilfestellung und Lösungen

Datenschutz
im Finanz- und Versicherungsbereich
Title
Direkt zum Seiteninhalt
Datenschutz – was ist umzusetzen?
 
Viele fragen sich, ob mit der Datenschutz Grundverordnung (DSGVO) eigentlich im Datenschutz sich etwas geändert hat? Wir hatten doch bisher in Deutschland auch das Bundesdatenschutzgesetz (BDSG-alt)?

Ja - es haben sich schon einige Punkte geändert! Die Betroffenen-Rechte sind erheblich gestärkt worden und auch die Anforderungen des Datenschutzes hat ein höheres Niveau bekommen. Eine ganz gravierende Änderung ist die Beweisumkehrlast. Das bedeutet für jeden Verantwortlichen (Unternehmen), dass es jederzeit einer Aufsichtsbehörde nachweisen können muss, dass der Datenschutz umgesetzt ist und wirksam ist! Dafür sind ab 25. Mai 2018 entsprechende Nachweis vorzuhalten - man nennt das Rechenschaftspflicht des Verantwortlichen.

Für Betriebe im Finanz- und Versicherungsbereich ergibt sich eine besondere Brisanz, da in den Tätigkeiten sehr viele Daten von Mandanten bearbeitet werden. Hier werden Gesundheits-, Einkommensdaten wie auch Daten zu den allgemeine Verhältnissen des Mandaten erfasst, gespeichert und versendet.  
  
Beispiele hierfür sind

  • Einwilligung von Kunden, wo keine Rechtsgrundlage besteht
  • Absicherung der EDV
  • Kundenverwaltung
  • Notwendiges IT Sicherheitskonzept
  • Abschlüsse über Portale/Internet
  • Internetauftritt
  • Entsorgung von Datenträgern usw.
  • Lohnbuchhaltung (über Steuerberater)
  • Personalverwaltung
  • Vertriebsprozesse
  • Werbung
  • Archivierung
 
Eine vollkommen falsche Aussage ist, dass kleine Unternehmen kein Datenschutz umsetzen müssen!
  
Vor  kurzem waren wir auf einer Veranstaltung. Die Referentin - eine externe  DSB (Rechtsanwältin) erzählte, dass sie eine Anfrage von einem Optiker bekommen hätte (ein 3-Personen-Unternehmen). Da dieses noch keine EDV  eingesetzten würde, so hätte Sie diesen empfohlen, dass der Datenschutz für das Kleinstunternehmen gar nicht relevant sei! Sie müssten nichts unternehmen!

Dies  ist natürlich eine vollkommene falsche Aussage, bzw. schon eine Falschberatung.  Nach der DSGVO in Verbindung mit dem BDSG-neu hat auch ein Unternehmen  in Deutschland mit weniger als neun Personen, welche sich mit der  Verarbeitung von personenbezogenen Daten beschäftigen - egal mit oder ohne EDV - natürlich die Anforderungen der DSGVO und BDSG-neu zu erfüllen. Dazu gehört die Anfertigung von Verarbeitungsverzeichnis oder die Absicherung der IT. Auch die Rechte der Betroffenen müssen natürlich gesichert sein.
Die brennendste Frage ist - was muss man erfüllen?
 
Fangen wir zuerst einmal mit den wichtigsten Sofortmaßnahmen an:

  • es muss eine Datenschutzerklärung auf Basis der DSGVO/BDSG-neu erstellt werden
  • da  Cookies auch personenbezogene Daten darstellen, muss auch hier eine  Richtlinie erstellt werden oder dies in die Datenschutzerklärung  aufgenommen werden
  • nach Art. 37 DSGVO hat eine Meldung des Datenschutzbeauftragten (DSB) an die Aufsichtsbehörde zu erfolgen
  • auf der Webseite muss die Nennung des DSB ebenfalls erfolgen
  
Die Erfüllung dieser Sofortmaßnahmen  ist sehr wichtig, weil hier das Risiko von Abmahnungen besteht. Außerdem sind das Verstöße gegen die DSGVO, was Bußgelder kosten kann.
 
Damit aber ist nur der erste Schritt getan - das Unternehmen (ob Kleinst- oder Großunternehmen) muss alle Anforderungen  der DSGVO erfüllen. Hierzu gehören u.a. (keine vollständige Aufzählung):

  • Analyse der Verfahren, welche personenbezogene Daten verarbeiten. Dies ist die Grundlage für die nachfolgenden Schritte:
  • Erstellung Verzeichnis der Verarbeitungstätigkeiten
  • Ggf. Durchführung von Datenschutz-Folgeabschätzungen
  • Erarbeitung von technischen und organisatorischen Maßnahmen (TOM)
  • Erstellung Datensicherheitskonzept, Löschkonzept usw.
  • Umsetzung der Betroffenenrechte
  • Umsetzung von Meldepflichten
  • Umsetzung der Einwilligungsregeln
  • Umsetzung von Wirksamkeitsprüfungen (dies ist implizit in der DSGVO verlangt)
  • Regelung der Auftragsverarbeitungen
  • Erstellung von Datenschutzrichtlinien
  • Durchführung von Schulungen und Awareness
  • Dokumentation des Datenschutzes/Rechenschaftspflichten Aufbau von DS Prozesse wie zum Beispiel Meldeprozess für Datenschutzvorfälle an Aufsichtsbehörden

Hierzu eine wichtige Anmerkung, alles dies gehört zu den Aufgaben des Verantwortlichen - ein DSB erledigt diese Aufgaben grundsätzlich nicht.
Deshalb ist man gut beraten in Bezug auf die Marktangebote genau zu erfragen, was man denn für eine Leistung von dem externen DSB erhält.

WICHTIG: Das muss alles nachweisbar gemacht und vorhanden sein, da der Verantwortliche im Rahmen der Rechenschaftspflicht dies nachzuweisen hat!
Hier fallen einem dann die oftmals im Internet angebotenen Fragebogenaktionen zum Datenschutz auf, welche sich nur auf die Aufnahme der Datenstrukturen beziehen. Diese umfassen aber keine jährliche Überprüfung (Audit) von der EDV, keine  Wirksamkeitsprüfungen etc.

Und auch die Rückmeldung über vorgeschlagene Maßnahmen durch solche Dienstleister helfen den  Unternehmen meist wenig, denn diese wissen oft nicht wie dies denn nun umgesetzt werden muss!
 
Dann kommen Anforderungen für die Dienstleister hinzu - wie die Umsetzung der Anforderungen für Auftragsverarbeiter - zum Beispiel dem Dienstleister für die EDV.
Auch hier lauern Tücken - manche EDV Dienstleister bieten sich jetzt auch als externer Datenschutzbeauftragter an? Hier ist aber die Unabhängigkeit des DSB zu wahren und dies ist oftmals in solchen Konstellationen nicht mehr gewährleistet. Denn der EDV-Dienstleister überprüft ja dann seine eigene Leistung.

Letztendlich  wird der (hoffentlich schon bestellte) DSB spätestens am 25. Mai  2018 auf den Verantwortlichen zukommen sein und diesem mittgeteilt haben, dass sein Unternehmen die DSGVO erfüllt oder eben nicht. Das muss er tun, denn  sonst befindet sich der DSB in der Haftungsfalle. Egal ob interner oder externer DSB!

Denn der DSB ist nicht verantwortlich für die Umsetzung der Anforderungen, sondern nur, dass er den Verantwortlichen über die Missstände  unterrichtet!

Im schlimmsten Fall, wenn gar nichts passiert und der Datenschutz eine große Gefahr  darstellt, müsste er die Aufsichtsbehörde davon unterrichten.
..
Diese Seite wird betrieben von CONSUVATION GmbH

Zurück zum Seiteninhalt