AgentNews Ausgabe 3/2017

Weitere Magazine

Empfehlungen

Info

DATENSCHUTZGRUNDVERORDNUNG WAS ÄNDER SICHT AB 25.05.2018 In den Medien ist es bereits umfassend präsent. Mit 25.05.2018 beginnt eine „neue Ära“ im Datenschutz. Das Datenverarbeitungsregister ist Geschichte und Datenschutzmanagement und –dokumentation im eigenen Unternehmen ist das Gebot der Stunde. Von Dr. Thomas Schweiger Versicherungsagenten haben tagtäglich mit natürlichen Personen zu tun, deren personenbezogene Daten – unter Umständen auch Gesundheitsdaten bei Lebens- oder Unfallversicherungen – für die Abwicklung ihrer Geschäfte notwendigerweise verarbeitet werden. Sie erheben personenbezogene Daten, speichern diese langfristig und übermitteln diese u.a. auch an die Versicherungsunternehmen im Rahmen der Vertragsanbahnung bzw. des Abschlusses. Die DSGVO bzw. das Datenschutzgesetz dokumentieren Verpflichtungen für nahezu jede Organisation, die personenbezogene Daten automatisiert verarbeitet. Diese Verpflichtungen bestehen, mit Ausnahme der Art und Weise der Erstellung einer Dokumentation (Datenschutz-Management), der Notwendigkeit der Bestellung eines Datenschutzbeauftragten und der Datenschutz-Folgenabschätzung, auch schon nach dem DSG 2000. Die Art und Weise der Verarbeitung der personenbezogenen Daten ändert sich nicht wesentlich, aber durch die wesentliche Erhöhung der potentiellen Geldbußen auf bis zu 20 Millionen Euro bzw. 4 % des Jahresumsatzes (je nachdem welcher Betrag höher ist als maximale Geldbuße) rückt der Datenschutz mehr in den Fokus der Unternehmen, Behörden und öffentlichen Stellen. Das Datenverarbeitungsregister ist ab 25.05.2018 Geschichte. Dies wird von einer Dokumentationsverpflichtung und der „accountability“ (Rechenschaftspflicht) abgelöst, die auch mit einer Nachweispflicht verbunden ist. „Compliance“ wird das Gebot im Datenschutz und „Risiko“ für Freiheiten und Rechte natürlicher Personen ist der Ausgangspunkt für viele Betrachtungen. Werden die Regelungen nicht eingehalten, dann drohen (siehe § 30 DSG) hohe Geldbußen (siehe insbes. Art. 83 DSGVO; bis zu 4 % des Gesamtumsatzes bzw. EUR 20 Mio als maximaler Rahmen), wobei die Geldbuße das Unternehmen (und nicht Geschäftsführung, Vorstand oder verantwortlich Beauftrage iSd § 9 VStG) treffen wird. Ein Rückgriff bei den Verantwortlichen (Vorstand / Geschäftsführung) ist jedoch denkbar. Was sind „personenbezogene Daten“? Die Bestimmungen der DSGVO gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen. Darunter sind all jene Angaben über Betroffene, auf deren Grundlage die Identität des Betroffenen bestimmt werden kann oder bestimmbar ist (z.B. Namen, Adressen, Geburtsdaten, Kontonummern, Gesundheitsdaten etc.) zu verstehen. Welche Maßnahmen können jetzt gesetzt werden? • Ein/e Verantwortliche/r sollte das Projekt „Datenschutzmanagement“ übernehmen, und • die Gesamtsituation in Bezug auf die personenbezogenen Daten natürlicher Personen analysieren (lassen), sowie ein Verzeichnis von Verarbeitungstätigkeiten erstellen (lassen), • sodann Abweichungen vom Standard, den das Gesetz vorschreibt, eruieren, und • die technischen, organisatorischen und rechtlichen Maßnahmen setzen, um die bestehenden Defizite aufzuarbeiten. Welche Grundprinzipien normiert die DSGVO? Rechtmäßigkeit Die Verarbeitung der Daten muss „rechtmäßig“ sein, dh es muss mindestens eine der in der DSGVO genannten Rechtsgrundlagen gegeben sein. Diese sind z.B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/ wird, eine rechtliche/gesetzliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein überwiegend berechtigtes Interesse an der Verarbeitung der Daten (siehe Infokasten) Transparenz & Information Die DSGVO bringt umfassende Informationspflichten für den Verantwortlichen und Rechte für die betroffenen Personen (z.B. Auskunft, Richtigstellung, Löschung etc.) Zweckbindung Die Verarbeitung der Daten muss einem eindeutig, festgelegten Zweck dienen, und die Daten dürfen nur für diesen konkreten Zweck verwendet und nicht für andere Zwecke genutzt werden. Datenminimierung Daten dürfen nur verarbeitet werden, wenn diese für den (definierten) Zweck notwendig sind. Richtigkeit Die Daten müssen sachlich richtig sein. Speicherbegrenzung Personenbezogene Daten dürfen nur so lange gespeichert werden, als dies für den Zweck erforderlich ist und die Speicherdauer ist festzulegen. Integrität & Vertraulichkeit Die Integrität der Daten und die Vertraulichkeit sind zu schützen. Die Einwilligung (Zustimmung) Die Einwilligung sollte nur dann als Grundlage für die rechtmäßige Verarbeitung verwendet werden, wenn andere Möglichkeiten (Vertrag, gesetzliche Verpflichtung) nicht möglich sind. Die Einwilligung ist jederzeit widerrufbar, und die Person ist auch vor der Einwilligung auf diese Widerrufsmöglichkeit hinzuweisen. Ein Beispiel für die Datenverarbeitung aufgrund Einwilligung ein „Newsletter-Abo“. „Hauptvertrag“ (z.B. Versicherungsvermittlung) reicht nicht aus, denn das sog. Kopplungsverbot ist zu beachten, dh die Einwilligung für Marketingmaßnahmen darf nicht im Hauptvertrag selbst (versteckt) enthalten sein, sondern der Kunde muss die Möglichkeit haben, den Hauptvertrag auch ohne den Zusatz „Marketingmaßnahmen“ abzuschließen. Die Einwilligung ist nachzuweisen, und der Kunde muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich in die Verarbeitung seiner Daten einwilligen. 4 | Ausgabe 3 | 2017 | AGENT NEWS
Was kann der erste Schritt sein? Nach Art 30 DSGVO ist ein sog. Verzeichnis von Verarbeitungstätigkeiten (VV) zu erstellen. Diese Verpflichtung wird nahezu jedes Unternehmen treffen, denn nur Organisationen, die personenbezogene Daten nur gelegentlich verarbeiten, sind ausgenommen. Das Verzeichnis von Verarbeitungstätigkeiten enthält zumindest Folgendes: • der Name und die Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten • die Zwecke der Verarbeitung • die Kategorien der Betroffenen und der personenbezogenen Daten • die Kategorien von Empfängern, • gegebenenfalls Drittlandübermittlungen sowie Garantien; • die Löschungsfristen; • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) Informationspflichten nach der DSGVO Die betroffene Person ist zu informieren, welche konkreten Daten (Kontaktdaten, inhaltliche Daten) zu welchem Zweck (Erfüllung des Vermittlungsvertrages) und aufgrund welcher Rechtsgrundlage (Vertrag/Vertragsanbahnung) diese erhoben werden, sowie an welche Empfänger die Daten weitergegeben (Versicherungsunternehmen) werden und wie lange bestimmte Daten (sieben Jahre gem. § 132 BAO / drei Jahre) aufbewahrt werden. Auch über die Rechte als Betroffener (z.B. Auskunftsrecht, Recht auf Löschung oder Berichtigung, Beschwerderecht…) ist zu informieren. Die Datenschutz-Information sollte offline oder online bereitgestellt werden. Der Versicherungsagent, der einen Newsletter versendet, benötigt für diese „Verarbeitungstätigkeit“ einen eigenen Eintrag im Verzeichnis von Verarbeitungstätigkeiten sowie die (nachweisbare) Einwilligung. Ist ein Datenschutzbeauftragter (DSB) zu bestellen? Die DSGVO schreibt einen DSB vor, wenn die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung besonderer Datenkategorien (z.B. sensible Daten) umfasst oder umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht. Wenn daher Gesundheitsdaten im Rahmen der Vermittlung von Lebens- oder Unfallversicherung verarbeitet werden, dann wird das uU eine Kerntätigkeit des Versicherungsagenten sein. Wenn dies „umfangreich“ erfolgt, dann besteht auch die Verpflichtung einen DSB zu bestellen. Der Terminus „umfangreich“ wird noch durch die Entscheidungen der Aufsichtsbehörden konkretisiert werden, aber es wird vermutlich auf die Anzahl der Datensätze bzw. Kundenbeziehungen ankommen. Auch, wenn diese Voraussetzung nicht erfüllt ist, ist es sinnvoll, dass jede Organisation jemanden benennt, der sich um die Angelegenheiten des Datenschutzes als „Daten-Koordinator“ kümmert. Wann ist eine Datenschutz-Folgenabschätzung notwendig? Eine DSFA (oder englisch: DPIA oder PIA) ist dann erforderlich, wenn mit der Verarbeitung der Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen verbunden ist. Dies wird bei der überwiegenden Zahl von Verarbeitungsvorgängen bei Versicherungsagenten (Kundeninformationssystem, Auftraggeberdatenverwaltung, Newslettertool, Bewerberverwaltung, Personalverwaltung) nicht der Fall sein. Werden Gesundheitsdaten verarbeitet, dann könnte dies ein hohes Risiko iSd Art 35 DSGVO darstellen, und die Notwendigkeit einer Datenschutz-Folgenabschätzung auslösen. Es sollte in jedem Fall dokumentiert werden, wie das Risiko der Verarbeitung (in Bezug auf die betroffenen Personen) eingeschätzt wird, und wie das Unternehmen mit technischen und organisatorischen Maßnahmen (z.B. Verschlüsselung) sicherstellt, dass sich das Risiko nicht verwirklicht. Betroffenenrechte Ein wesentlicher Punkt sind auch die Rechte der Betroffenen nach der DSGVO, z.B. das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder auch das Recht auf Datenübertragbarkeit. Um Anfragen von Betroffenen in diesem Zusammenhang fristgerecht, dh binnen 1 Monat erfüllen zu können, ist es notwendig zu wissen, welche konkreten Daten wo gespeichert und wie verwendet, insbesondere an wen übermittelt werden, und insbes. auch wie die Daten erhoben wurden (wenn dies nicht beim Betroffenen selbst erfolgte). Die Informationen sind auf Anfrage – nach Prüfung der Identität - unentgeltlich zu erteilen, außer die Anfrage erfolgte unbegründet oder ist exzessiv. Datenschutzverletzung – was ist zu tun? Eine Datenschutzverletzung liegt zB vor, wenn personenbezogene Daten an unbefugte Personen zu gelangen drohen, so z.B. wenn ein USB-Stick mit Daten über Kunden verloren geht, oder bei einem Hacker-Angriff oder der Versendung eines Newsletters ohne Verwendung der bcc-Funktion im Email. Datenschutzverletzungen sind binnen 72 Stunden der Datenschutzbehörde (außer es ist kein Risiko für die Rechte und Freiheiten natürlicher Personen gegeben) und auch den betroffenen Personen (bei hohem Risiko) zu melden. Professionelle Unterstützung ist in diesem Zusammenhang immer empfehlenswert. Die Geldbußen – sind sie wirklich so hoch? Geht man von den derzeitigen verhängten Geldstrafen (z.B. EUR 700,-- für eine nicht registrierte Videoüberwachung) aus, dann sind die potentiellen Geldbußen, die Unternehmern nach dem 25.05.2018 drohen wesentlich höher. In der DSGVO werden die Strafzumessungsgründe umfassend beschrieben und z.B. der Grad des Verschuldens oder auch die Tatsache, dass mit der Aufsichtsbehörde zusammengearbeitet wird und auch die Auswirkungen der Datenschutzverletzung spielen bei der Strafbemessung eine Rolle. Die Geldbußen sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein, und die DSGVO kennt eine Vielzahl von Strafzumessungsgründen. Die DSGVO geht davon aus, dass sich die Unternehmen an die Bestimmungen halten, dies auch dokumentieren und dann gegenüber der Behörde im Rahmen der Nachweisverpflichtung auch Rechenschaft ablegen. In anderen EU-Staaten sind die verhängten Geldbußen bereits jetzt – vor Geltung der DSGVO – wesentlich höher als in Österreich. Wie verhindert man die Geldbußen? Die Geldbußen drohen denjenigen Organisationen, die sich nicht um die Bestimmungen der DSGVO kümmern. Ein Unternehmen sollte daher jedenfalls • ein Verzeichnis von Verarbeitungstätigkeiten (VV) erstellen, • sich darum kümmern, dass die personenbezogen Daten auf „need-to-know- Basis“ verarbeitet werden, dh nur diejenigen Personen Zugriff haben, die diese Daten auch im Rahmen ihrer Tätigkeit bearbeiten müssen, • die technischen und organisatorischen Maßnahmen (TOMs) dokumentieren und auch deren Einhaltung kontrollieren, • sicherstellen, dass die Informationsverpflichtungen nach der DSGVO insbes. bei der Erhebung der Daten eingehalten werden können, • sowie einen Leitfaden erstellen, wie die Rechte der betroffenen Personen (Auskunft, Löschung etc…) erfüllt werden können • und überdies dokumentieren, wie im Fall einer Datenschutzverletzung rechtzeitig reagiert werden und die Verpflichtung zur Meldung erfüllt werden kann. WWW.S-M-P.AT AGENT NEWS | 2017 | Ausgabe 3 | 5
Seite 1 und 2: AUSGABE 3 | 2017 DAS INFOMAGAZIN F
Seite 3: EDITORIAL S. 26 | EIN ERFOLGREICHES
Seite 7 und 8: PFLEGEVERSICHERUNG PFLEGE ORDENTLIC
Seite 9 und 10: AGENTEN VOR DEN VORHANG Die Auszeic
Seite 11 und 12: Thomas Mailer, 20 Jahre Mitglied Fr
Seite 13 und 14: Automatische Übermittlung von Sond
Seite 15 und 16: Der Versicherungsagent hat mehr Erf
Seite 17 und 18: Sicherheitsmaßnahmen: Das sinnlich
Seite 19 und 20: Es finden sich hierzu im § 24 Abs.
Seite 21 und 22: Ob kleiner Stadtflitzer oder geräu
Seite 23 und 24: AGENT NEWS | 2017 | Ausgabe 3 | 23
Seite 25 und 26: Was waren aus Ihrer Sicht in den ve
Seite 27 und 28: DAS GREMIUM SAGT DANKE FÜR EIN ERF
Seite 29 und 30: ROBERT FLETSCHBERGER • Jahrgang 1
Seite 31 und 32: DIE SMARTE LÖSUNG DAS LANDESGREMIU

AgentNews Ausgabe 3/2017

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?