für Versicherungsmakler und generell für Firmen, die personenbezogene Daten verarbeiten. Da wir alle mit dem Tagesgeschäft mehr als gut ausgelastet sind, ist die Versuchung groß, dieses Thema zu verdrängen, zumal bis zum in Kraft treten der Verordnung am 25. Mai 2018 vermeintlich noch genügend Zeit ist.

Die Vorgaben in der Datenschutz-Grundverordnung (EU-Recht) sind aber derart umfangreich, und die Geldbußen bei Nichteinhaltung können mehr als empfindlich ausfallen, so dass Abwarten nicht zu empfehlen ist. Das Strafmaß kann bis zu € 20 Mio. bzw. 4% des Jahresumsatzes betragen.

In diesem Artikel kann ich nur einige Punkte anreißen, die Auswirkung auf Ihren Arbeitsalltag haben.

Einwilligungserklärung

Ohne diese ist eine Weiterverarbeitung der Daten nicht zulässig. Es empfiehlt sich, die Maklervollmacht dahingehend zu erweitern. Bei der Verarbeitung von sensiblen Daten (z.B. Gesundheitsfragen, Krankengeschichte) ist eine zusätzliche Zustimmungserklärung des Kunden erforderlich und vorformulierte Erklärungen mit Kästchen zum Ankreuzen haben keine Gültigkeit mehr.

Dokumentationspflicht

Es sind genormte Verzeichnisse über die Verarbeitung von Daten zu führen. Diese beinhalten:

Name und Kontaktdaten des Vertreters des Verantwortlichen; Zweck der Datenverarbeitung; Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten; Kategorien der Empfänger denen die personenbezogenen Daten offengelegt worden sind bzw. noch offengelegt werden; ggf. Übermittlung von personenbezogenen Daten an ein Drittland  (z.B. USA); nach Möglichkeit die vorgesehenen Fristen für die Löschung der div. Datenkategorien; nach Möglichkeit allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen; Diese Verzeichnisse können jederzeit von der Aufsichtsbehörde verlangt werden. Für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, besteht diese Dokumentationspflicht nur dann, wenn sensible Daten verarbeitet werden (z.B.Lebensversicherung, Unfallversicherung).

Meldung von Datenschutzverletzungen

Das gilt neben Hackerangriffen auch für den Verlust von Datenträgern. In diesen Fällen muss innerhalb von 72 Stunden eine Meldung an die Aufsichtsbehörde und die Personen deren Daten gehackt bzw. abhandengekommen sind erfolgen. Die Benachrichtigungen unterliegen wiederum bestimmten Kriterien.

Betroffenenrechte

Darunter fallen Informationspflicht, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und das Widerspruchsrecht.

Eine große Hilfe am Weg zu DSGVO-Ready ist eine Broschüre herausgeben von der WKO. In dieser finden Sie nicht nur genaue Erklärungen zur DSGVO sondern auch Checklisten anhand der Sie Ihr Unternehmen auf den 25. Mai 2018 vorbereiten können.

Eine Online-Hilfe und die Möglichkeit die Broschüre zu bestellen, finden Sie unter diesem Link: www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html