AgentNews Ausgabe 3/2017
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Was kann der erste Schritt sein?<br />
Nach Art 30 DSGVO ist ein sog. Verzeichnis<br />
von Verarbeitungstätigkeiten (VV) zu<br />
erstellen. Diese Verpflichtung wird nahezu<br />
jedes Unternehmen treffen, denn nur Organisationen,<br />
die personenbezogene Daten nur<br />
gelegentlich verarbeiten, sind ausgenommen.<br />
Das Verzeichnis von Verarbeitungstätigkeiten<br />
enthält zumindest Folgendes:<br />
• der Name und die Kontaktdaten des<br />
Verantwortlichen sowie eines etwaigen<br />
Datenschutzbeauftragten<br />
• die Zwecke der Verarbeitung<br />
• die Kategorien der Betroffenen und der<br />
personenbezogenen Daten<br />
• die Kategorien von Empfängern,<br />
• gegebenenfalls Drittlandübermittlungen<br />
sowie Garantien;<br />
• die Löschungsfristen;<br />
• eine allgemeine Beschreibung der technischen<br />
und organisatorischen Maßnahmen<br />
(TOMs)<br />
Informationspflichten nach der DSGVO<br />
Die betroffene Person ist zu informieren, welche<br />
konkreten Daten (Kontaktdaten, inhaltliche<br />
Daten) zu welchem Zweck (Erfüllung<br />
des Vermittlungsvertrages) und aufgrund<br />
welcher Rechtsgrundlage (Vertrag/Vertragsanbahnung)<br />
diese erhoben werden, sowie an<br />
welche Empfänger die Daten weitergegeben<br />
(Versicherungsunternehmen) werden und<br />
wie lange bestimmte Daten (sieben Jahre<br />
gem. § 132 BAO / drei Jahre) aufbewahrt<br />
werden. Auch über die Rechte als Betroffener<br />
(z.B. Auskunftsrecht, Recht auf Löschung<br />
oder Berichtigung, Beschwerderecht…) ist<br />
zu informieren. Die Datenschutz-Information<br />
sollte offline oder online bereitgestellt<br />
werden. Der Versicherungsagent, der einen<br />
Newsletter versendet, benötigt für diese „Verarbeitungstätigkeit“<br />
einen eigenen Eintrag<br />
im Verzeichnis von Verarbeitungstätigkeiten<br />
sowie die (nachweisbare) Einwilligung.<br />
Ist ein Datenschutzbeauftragter (DSB) zu bestellen?<br />
Die DSGVO schreibt einen DSB vor, wenn<br />
die Kerntätigkeit des Unternehmens die umfangreiche<br />
Verarbeitung besonderer Datenkategorien<br />
(z.B. sensible Daten) umfasst oder<br />
umfangreiche regelmäßige und systematische<br />
Überwachung von betroffenen Personen<br />
erforderlich macht. Wenn daher Gesundheitsdaten<br />
im Rahmen der Vermittlung von<br />
Lebens- oder Unfallversicherung verarbeitet<br />
werden, dann wird das uU eine Kerntätigkeit<br />
des Versicherungsagenten sein. Wenn dies<br />
„umfangreich“ erfolgt, dann besteht auch die<br />
Verpflichtung einen DSB zu bestellen. Der<br />
Terminus „umfangreich“ wird noch durch<br />
die Entscheidungen der Aufsichtsbehörden<br />
konkretisiert werden, aber es wird vermutlich<br />
auf die Anzahl der Datensätze bzw. Kundenbeziehungen<br />
ankommen. Auch, wenn diese<br />
Voraussetzung nicht erfüllt ist, ist es sinnvoll,<br />
dass jede Organisation jemanden benennt,<br />
der sich um die Angelegenheiten des Datenschutzes<br />
als „Daten-Koordinator“ kümmert.<br />
Wann ist eine Datenschutz-Folgenabschätzung<br />
notwendig?<br />
Eine DSFA (oder englisch: DPIA oder PIA)<br />
ist dann erforderlich, wenn mit der Verarbeitung<br />
der Daten ein hohes Risiko für<br />
die Rechte und Freiheiten natürlicher Personen<br />
verbunden ist. Dies wird bei der überwiegenden<br />
Zahl von Verarbeitungsvorgängen<br />
bei Versicherungsagenten (Kundeninformationssystem,<br />
Auftraggeberdatenverwaltung,<br />
Newslettertool, Bewerberverwaltung, Personalverwaltung)<br />
nicht der Fall sein.<br />
Werden Gesundheitsdaten verarbeitet, dann<br />
könnte dies ein hohes Risiko iSd Art 35<br />
DSGVO darstellen, und die Notwendigkeit<br />
einer Datenschutz-Folgenabschätzung auslösen.<br />
Es sollte in jedem Fall dokumentiert werden,<br />
wie das Risiko der Verarbeitung (in Bezug auf<br />
die betroffenen Personen) eingeschätzt wird,<br />
und wie das Unternehmen mit technischen<br />
und organisatorischen Maßnahmen (z.B. Verschlüsselung)<br />
sicherstellt, dass sich das Risiko<br />
nicht verwirklicht.<br />
Betroffenenrechte<br />
Ein wesentlicher Punkt sind auch die Rechte<br />
der Betroffenen nach der DSGVO, z.B. das<br />
Recht auf Auskunft, Berichtigung, Löschung,<br />
Einschränkung der Verarbeitung oder auch das<br />
Recht auf Datenübertragbarkeit.<br />
Um Anfragen von Betroffenen in diesem Zusammenhang<br />
fristgerecht, dh binnen 1 Monat<br />
erfüllen zu können, ist es notwendig zu wissen,<br />
welche konkreten Daten wo gespeichert<br />
und wie verwendet, insbesondere an wen<br />
übermittelt werden, und insbes. auch wie<br />
die Daten erhoben wurden (wenn dies nicht<br />
beim Betroffenen selbst erfolgte).<br />
Die Informationen sind auf Anfrage – nach<br />
Prüfung der Identität - unentgeltlich zu erteilen,<br />
außer die Anfrage erfolgte unbegründet<br />
oder ist exzessiv.<br />
Datenschutzverletzung – was ist zu tun?<br />
Eine Datenschutzverletzung liegt zB vor,<br />
wenn personenbezogene Daten an unbefugte<br />
Personen zu gelangen drohen, so z.B. wenn<br />
ein USB-Stick mit Daten über Kunden verloren<br />
geht, oder bei einem Hacker-Angriff<br />
oder der Versendung eines Newsletters ohne<br />
Verwendung der bcc-Funktion im Email.<br />
Datenschutzverletzungen sind binnen 72<br />
Stunden der Datenschutzbehörde (außer es<br />
ist kein Risiko für die Rechte und Freiheiten<br />
natürlicher Personen gegeben) und auch den<br />
betroffenen Personen (bei hohem Risiko) zu<br />
melden. Professionelle Unterstützung ist in diesem<br />
Zusammenhang immer empfehlenswert.<br />
Die Geldbußen – sind sie wirklich so hoch?<br />
Geht man von den derzeitigen verhängten<br />
Geldstrafen (z.B. EUR 700,-- für eine nicht<br />
registrierte Videoüberwachung) aus, dann<br />
sind die potentiellen Geldbußen, die Unternehmern<br />
nach dem 25.05.2018 drohen wesentlich<br />
höher.<br />
In der DSGVO werden die Strafzumessungsgründe<br />
umfassend beschrieben und z.B. der<br />
Grad des Verschuldens oder auch die Tatsache,<br />
dass mit der Aufsichtsbehörde zusammengearbeitet<br />
wird und auch die Auswirkungen<br />
der Datenschutzverletzung spielen bei<br />
der Strafbemessung eine Rolle.<br />
Die Geldbußen sollen in jedem Einzelfall<br />
wirksam, verhältnismäßig und abschreckend<br />
sein, und die DSGVO kennt eine Vielzahl<br />
von Strafzumessungsgründen. Die DSGVO<br />
geht davon aus, dass sich die Unternehmen<br />
an die Bestimmungen halten, dies auch dokumentieren<br />
und dann gegenüber der Behörde<br />
im Rahmen der Nachweisverpflichtung auch<br />
Rechenschaft ablegen. In anderen EU-Staaten<br />
sind die verhängten Geldbußen bereits jetzt –<br />
vor Geltung der DSGVO – wesentlich höher<br />
als in Österreich.<br />
Wie verhindert man die Geldbußen?<br />
Die Geldbußen drohen denjenigen Organisationen,<br />
die sich nicht um die Bestimmungen<br />
der DSGVO kümmern. Ein Unternehmen<br />
sollte daher jedenfalls<br />
• ein Verzeichnis von Verarbeitungstätigkeiten<br />
(VV) erstellen,<br />
• sich darum kümmern, dass die personenbezogen<br />
Daten auf „need-to-know-<br />
Basis“ verarbeitet werden, dh nur diejenigen<br />
Personen Zugriff haben, die diese<br />
Daten auch im Rahmen ihrer Tätigkeit<br />
bearbeiten müssen,<br />
• die technischen und organisatorischen<br />
Maßnahmen (TOMs) dokumentieren<br />
und auch deren Einhaltung kontrollieren,<br />
• sicherstellen, dass die Informationsverpflichtungen<br />
nach der DSGVO insbes.<br />
bei der Erhebung der Daten eingehalten<br />
werden können,<br />
• sowie einen Leitfaden erstellen, wie die<br />
Rechte der betroffenen Personen (Auskunft,<br />
Löschung etc…) erfüllt werden<br />
können<br />
• und überdies dokumentieren, wie im Fall<br />
einer Datenschutzverletzung rechtzeitig<br />
reagiert werden und die Verpflichtung<br />
zur Meldung erfüllt werden kann.<br />
WWW.S-M-P.AT<br />
AGENT NEWS | <strong>2017</strong> | <strong>Ausgabe</strong> 3 | 5