Wir machen Sie fit. in Sachen Datenschutz.

Größe: px

Ab Seite anzeigen:

Download "Wir machen Sie fit. in Sachen Datenschutz."

Reiner Feld
vor 5 Jahren
Abrufe

1 Wir machen Sie fit in Sachen Datenschutz.

2 Mit der richtigen Vorbereitung ist Datenschutz kein Hindernis. Am 25. Mai 2018 tritt die Europäische Datenschutzgrund verordnung, kurz DSGVO, in Kraft. Sie löst die bisher geltende EU-Datenschutzrichtlinie von 1995 ab und berücksichtigt dabei vor allem die Einflüsse der zunehmenden Digitalisierung. Wer Daten schützt, schützt sein tägliches Geschäft. Für Verbraucher ist die DSGVO eine gute Nachricht denn Gesetzeslücken werden geschlossen und Standards zum Schutz persönlicher Daten erhöht. Für Sie als Vermittler bringt die Datenschutzgrundverordnung vor allem neue Pflichten mit sich. Die Stuttgarter hat für Sie wichtige Eckpunkte der DSGVO zusammengestellt. Nutzen Sie unsere Hinweise und Tipps, um die größten Hürden der neuen Verordnung erfolgreich zu nehmen und im täglichen Vertriebsgeschäft auf Erfolgskurs zu bleiben.

Hier haken Sie die ersten Herausforderungen ab: Die Stuttgarter Checkliste zur DSGVO 1. Verzeichnis von Verarbeitungstätigkeiten 2. Rechtsgrundlagen inkl. Einwilligungen 3. Datenschutzbeauftragter 4.

Verzeichnis von Verarbeitungstätigkeiten Das müssen Sie wissen: Alle Geschäftsabläufe, in denen Sie personenbezogene Daten erfassen bzw.

3 Hier haken Sie die ersten Herausforderungen ab: Die Stuttgarter Checkliste zur DSGVO 1. Verzeichnis von Verarbeitungstätigkeiten 2. Rechtsgrundlagen inkl. Einwilligungen 3. Datenschutzbeauftragter 4. Informationspflichten 5. Betroffenenrechte 6. Datensicherheit 7. Datenschutzverträge Bei Nichterfüllung drohen Bußgelder. 1. Verzeichnis von Verarbeitungstätigkeiten Das müssen Sie wissen: Alle Geschäftsabläufe, in denen Sie personenbezogene Daten erfassen bzw. verarbeiten, müssen Sie in einem sogenannten Verzeichnis der Verarbeitungstätigkeiten dokumentieren. Das müssen Sie tun: Prüfen Sie Ihren Geschäftsalltag auf Prozesse, in denen Sie Interessenten-, Mitarbeiter- oder Kundendaten verarbeiten (z. B. Beratung, Antragserfassung, Bestandsbetreuung, Schadensfallmeldung, Werbemaßnahmen). Dokumentieren Sie jeden dieser Abläufe unter Berücksichtigung der gesetzlich geforderten Mindestangaben (vgl. Art. 30 DSGVO). Tipp: Das Verzeichnis der Verarbeitungstätigkeiten darf auch elektronisch geführt werden. Auf der Website der Gesellschaft für Datenschutz und Datensicherheit e. V. finden Sie ein Musterverzeichnis mit detaillierten Erläuterungen unter praxishilfen-ds-gvo

2. Rechtsgrundlagen zur Verarbeitung personenbezogener Daten Das müssen Sie wissen: Die Verarbeitung personenbe zogener Daten ist nur erlaubt, wenn auch eine soge nannte Erlaubnisgrundlage vorliegt.

4 2. Rechtsgrundlagen zur Verarbeitung personenbezogener Daten Das müssen Sie wissen: Die Verarbeitung personenbe zogener Daten ist nur erlaubt, wenn auch eine soge nannte Erlaubnisgrundlage vorliegt. Dies kann eine eindeutige Einwilligung Ihres Interessenten oder Kunden sein aber auch eine entsprechende gesetzliche Regelung. So ist beispielsweise die Verarbeitung von Daten normaler Kategorie zur Anbahnung und Durchführung von Verträgen grundsätzlich erlaubt (vgl. Art. 6 Abs. 1 b) DSGVO). Das müssen Sie tun: Überprüfen Sie, auf welcher Erlaubnisgrundlage Sie personenbezogene Daten in unterschiedlichen Geschäftsabläufen verarbeiten. Achten Sie darauf, dass Sie in bestimmten Zusammenhängen grundsätzlich eine Einwilligung Ihrer Interessenten und Kunden benötigen. Dazu zählt beispielsweise die Verarbeitung von Gesundheitsdaten. Prüfen Sie, ob alte Einwilligungen den neuen Vorgaben der DSGVO entsprechen. Eventuell müssen Sie Ihre bisherigen Vorlagen überarbeiten und in bestimmten Fällen neue Einwilligungen von Ihren Kunden einholen. Besonders der Hinweis auf das Recht, die erteilte Einwilligung widerrufen zu können, wurde in der Vergangenheit häufig vergessen. 3. Datenschutzbeauftragter Das müssen Sie wissen: Wenn in einem Unternehmen regelmäßig mindestens zehn Mitarbeiter personenbe zogene Daten verarbeiten, muss ein Datenschutzbeauftragter eingesetzt werden. Bei der hauptsächlichen Verarbeitung besonders kritischer Daten, wie z. B. Gesundheitsdaten, muss das Unternehmen auch bei weniger Mitarbeitern einen Datenschutzbeauftragten bestellen. Das müssen Sie tun: Setzen Sie einen Datenschutzbeauftragten ein, wenn Sie mehr als zehn Mitarbeiter beschäftigen oder Gesundheitsdaten verarbeiten. Die datenschutzrechtlichen Vorgaben müssen Sie selbstverständlich auch dann einhalten, wenn Sie nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet sind. Tipp: Sie können auch einen externen Dienstleister als Datenschutzbeauftragten bestellen. 4. Informationspflichten Das müssen Sie wissen: Wenn Sie Daten von Inter essenten oder Kunden erheben, unterliegen Sie zum Zeitpunkt der Erhebung einer gesetzlichen Informationspflicht. Die erforderlichen Angaben sind in Art. 13 DSGVO geregelt. Hierzu zählen u. a. Name und Kontaktdaten des Datenverarbeitenden, Zwecke und Rechtsgrundlagen der Datenverarbeitung, Dauer der Speicherung sowie Hinweise auf die Rechte des Kunden. Nicht zuletzt müssen Sie den Kunden darüber informieren, an welche Empfänger bzw. an welche Kategorien von Empfängern Sie die erhobenen Daten übermitteln. Werden die Daten über Dritte erhoben, gilt Art. 14 DSGVO. Dann können Sie zu einem späteren Zeitpunkt informieren. Das müssen Sie tun: Stellen Sie sich Ihre eigenen Datenschutzhinweise zusammen und berücksichtigen Sie dabei alle Pflichtinformationen aus Art. 13 bzw. 14 DSGVO. Händigen Sie die Hinweise jedem Interessenten oder Kunden aus, wenn Sie personenbezogene Daten erfassen. Aus Nachweisgründen kann überlegt werden, sich die Übergabe der Datenschutzhinweise bestätigen zu lassen. Erheben Sie Daten über einen Online-Auftritt, müssen Sie auch dort Ihre Datenschutzhinweise zur Verfügung stellen.

5 5. Betroffenenrechte Das müssen Sie wissen: Personen, deren Daten Sie verarbeiten, stehen konkrete Rechte zu. Hierzu zähl en das Recht auf Auskunft über erfasste bzw. gespeicherte Daten, das Recht auf Berichtigung oder sogar Lösch ung der Daten. Hinzu kommen das Recht auf Einschränkung der Verarbeitung sowie das Recht auf Mitnahme von Daten zu einem anderen Dienstleister ( Datenportabilität ). Das müssen Sie tun: Gestalten Sie Ihre Datenerfassung und -verarbeitung so, dass Sie den gesetzlichen Vorgaben schnell und bequem entsprechen können. Sorgen Sie dafür, dass Sie Auskünfte über gespeicherte Daten schnell erteilen können. Datensätze sollten Sie problemlos anpassen oder dauerhaft löschen können. Und Sie sollten Einschränkungen der Datenverarbeitung schnell erfassen und einhalten können. Wichtig: Mit Ihrer Software sollte auch eine systemunabhängige Exportfunktion für Datensätze möglich sein. 6. Datensicherheit Das müssen Sie wissen: Der Gesetzgeber verpflichtet Sie, ein angemessenes Datenschutzniveau zu gewähr leisten. Das heißt, Sie müssen geeignete tech nische und organisatorische Maßnahmen zur Sicherheit des Datenschutzes treffen und dauerhaft gewährleisten. Dabei sollten Sie stets den Stand der Technik und die aktuellen Standards berücksichtigen. Hierzu zählt beispielsweise, dass die Daten pseudonymisiert und verschlüsselt werden und dass die Vertraulichkeit sichergestellt ist. Ebenso wichtig sind die Integrität, Verfügbarkeit und Belastbarkeit der datenverarbeitenden Systeme sowie ein IT-Notfallplan. Das müssen Sie tun: Verschaffen Sie sich einen Überblick über Ihre interne und externe IT-Infrastruktur und deren Schnittstellen. Prüfen Sie, ob Ihre IT relevante Standards hinsichtlich des Datenschutzes sowie der allgemeinen Systemsicherheit erfüllt. Sorgen Sie für die Schließung sicherheitsrelevanter Lücken, führen Sie gegebenenfalls neue Verschlüsselungstechnologien oder sogar neue Software zur Datenverarbeitung und -speicherung ein. Tipp: Um zu analysieren, wie hoch Ihr Anpassungs bedarf ist, können Sie sich beispielsweise am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik ( oder an den Vorgaben der ISO orientieren. 7. Datenschutzverträge Das müssen Sie wissen: Wenn Sie Dritte mit der Verarbeitung von Interessenten- oder Kundendaten beauftragen, müssen Sie den Datenschutz mit diesen Dienstleistern vertraglich bindend regeln (vgl. Art. 28 DSGVO). Das müssen Sie tun: Passen Sie die Verträge mit externen Dienstleistern an, die in Ihrem Auftrag Daten verarbeiten. Fordern Sie außerdem regelmäßig Informationen zu deren Datensicherheitskonzepten an. Denn Sie sind auch verpflichtet, Ihre Dienstleister fortlaufend zu überprüfen. Tipp: Die Gesellschaft für Datenschutz und Datensicherheit e. V. hält einen Mustervertrag zur Auftragsverarbeitung zum Download bereit unter praxishilfen-ds-gvo

6 Überreicht von Ihrer/Ihrem persönlichen Maklerbetreuer/-in: Stand 4/2018 Stuttgarter Lebensversicherung a.g. Rotebühlstraße Stuttgart Telefon Fax

Ähnliche Dokumente

Rainer Faldey Datenschutzbeauftragter GDDcert. EU Rainer Faldey Dipl. Betriebswirt (FH) Datenschutzbeauftragter GDDcert. EU Datenschutzbeauftragter IHK Mitglied der Gesellschaft für Datenschutz und Datensicherheit