Ihr Partner für IT-Sicherheit und Datenschutz
28th Jan 2015 | by: Matthias Mühlhaus

Diesen Monat haben wir die Agenturen der Versicherungskammer Bayern über die hohe Bedeutung von Datenschutz in der Versicherungsbranche informiert. Der Vortrag „Datenschutz für Versicherungsagenturen“ fand an drei Tagen statt: Am 14.01.2015 in Nürnberg, am 15.01.2015 in Ansbach und am 16.01.15 in Himmelkron. Für das große Interesse der Teilnehmer möchte ich mich herzlich bedanken.

Datenschutz-in-der-Versicherungsagentur-VortragGerade beim Verkauf und Umgang mit Versicherungen ist das Vertrauen des Kunden besonders wichtig. Der Kunde verlässt sich nicht nur darauf eine hilfreiche Leistung zu erwerben, er verlässt sich ebenso darauf, dass seine personenbezogenen Daten in guten Händen sind. Versicherungsagenturen sollten das Thema Datenschutz daher besonders ernst nehmen. Im Rahmen dieses Blogbeitrags möchte ich Ihnen in Form von Fragen und Antworten (FAQs) die wichtigsten Inhalte meiner Präsentation zur Verfügung stellen.

Datenschutz FAQs für Versicherungsagenturen

Was sind personenbezogene Daten?

Personenbezogene Daten sind in §3 Bundesdatenschutzgesetz (BDSG) als „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ definiert.

Versicherungen haben immer mit personenbezogenen Daten zu tun. Ohne die Kontaktdaten (Name, Adresse, Telefonnummer, E-Mail) und Bankdaten kann kein Vertrag abgeschlossen werden. Dazu kommen je nach Versicherung und Fall hoch sensible schützenswerte Daten. Bei der Vermittlung und Administration von Krankenversicherungen beispielsweise haben Versicherungen und Versicherungsagenturen mit medizinischen Daten wie Gutachten und Arztbefunden zu tun. Gesundheitsdaten gehören zu den besonderen Arten personenbezogener Daten, die besonders sensitiv behandelt werden müssen. Ein weiteres Beispiel für personenbezogene Daten sind die Fahrzeugart und das KFZ-Kennzeichen beim Abschluss einer KFZ-Versicherung.

Wer ist für den Datenschutz zuständig?
Grundsätzlich haftet die Geschäftsführung mit ihrem Privatvermögen bei Datenschutz-Verstößen. (Bei  grob fahrlässigem Handeln).

Es gibt eine verantwortliche Rolle: den Datenschutzbeauftragten.

Wer muss einen Datenschutzbeauftragten bestellen?
1. Alle privatwirtschaftlichen Unternehmen, bei denen sich mehr als neun Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigen, sind verpflichtet einen Datenschutzbeauftragten zu bestellen (vgl.: § 4f Absatz 1 BDSG )

2. Unternehmen die Daten verarbeiten, welche einer Vorabkontrolle unterliegen. (Vgl.: § 4d Absatz 5 BDSG).

Welche gesetzlichen Vorgaben gibt es?
  • Bundesdatenschutzgesetz (BDSG)
  •  Strafgesetzbuch (StGB)
  • Betriebsverfassungsgesetz (BetrVG)
  • Telekommunikationsgesetz (TKG)
  • Europäische Datenschutzrichtlinie (Richtlinie 95/46/EG)
  • Safe Harbor – Abkommen (USA)
  • Landesdatenschutzgesetz (LDSG)
  • Allgemeines Gleichbehandlungsgesetz (AGG)
  • Code of Conduct (Übergreifende Richtlinie)
Welche Pflichten muss eine Versicherungsagentur erfüllen?
Alle Agenturen, welche personenbezogene Daten verarbeiten, müssen für diese verantwortlich gemacht werden können. Sie besitzen folgende Pflichten in Bezug auf den Datenschutz:
  •  Führen eines öffentlichen sowie eines internen Verfahrensverzeichnisses
  •  Durchführung von technischen und organisatorischen Maßnahmen zum Schutz der Daten (IT-Sicherheit)
  • Durchführung von technischen und organisatorischen Maßnahmen zum Schutz der Daten (IT-Sicherheit)
  • Schulung/ Sensibilisierung, Verpflichtung zum Datenschutz für Mitarbeiter
  • Auskunftspflicht gegenüber Betroffenen und Behörden
  • Kontrollen/ Sanktionen
Welche technischen und organisatorischen Maßnahmen zur Datensicherheit muss eine Agenur treffen?
Das Bundesdatenschutzgesetz (§ 9 BDSG) definiert die technischen und organisatorischen Maßnahmen zur Datensicherheit (Vertraulichkeit, Verfügbarkeit, Schutz vor Missbrauch, Schutz vor Manipulation, Verarbeitung nachvollziehbar)
  •  Zutrittskontrolle, z.B. Magnetkarte, Schlüssel, Alarmanlage, Pförtner
  •  Zugangskontrolle, z.B. Kennwortverfahren und -richtlinien
  • Zugriffskontrolle, z.B. Berechtigungskonzept und Kontrolle der Zugriffsrechte
  •  Weitergabekontrolle
  •  Eingabekontrolle
  •  Auftragskontrolle
  • Auftragskontrolle
  • Verfügbarkeitskontrolle
  • Trennungskontrolle
Wie ist die private E-Mail- und Internetnutzung im Unternehmen erlaubt?
Es steht dem Arbeitgeber frei, die private Nutzung der Einrichtungen und Dienste im Unternehmen zu erlauben oder zu verbieten. In einer Dienstanweisung sollte der Umfang der Nutzung klar geregelt werden. Zur E-Mail-Nutzung werden Informationen zu deren Speicherung und Löschung festgehalten. Sollten keine Regelungen im Unternehmen existieren und es ist davon auszugehen, dass der Arbeitgeber über die private Internetnutzung informiert ist und diese stillschweigend duldet. Damit von beiden Seiten Klarheit herrscht und keine Datenschutzfehler passieren, empfehlen wir in jedem Fall, eine Dienstanweisung zu verfassen.
Wer kontrolliert den Datenschutz in der Agentur?

Die Kontrolle des Datenschutzes bei den Unternehmen wird von den zuständigen Aufsichtsbehörden der Länder übernommen. In Bayern ist das Bayrische Landesamt für Datenschutzaufsicht dafür verantwortlich. Die Kontrolle erfolgt zukünftig voraussichtlich branchenbezogen. Die Versicherungsbranche liegt mit ziemlicher Sicherheit als eine der ersten Branchen im Fokus der Kontrolleure. Dies ist ein Grund, warum wir uns dieses Jahr verstärkt auf die Beratung von Versicherungsagenturen konzentrieren.

Was muss ich bei einem Datenschutzvorfall tun?
Nach §42a BDSG sind Sie dazu verpflichtet, die zuständige Aufsichtsbehörde sowie den Betroffenen zu informieren. Selbiges gilt aufgrund von § 93 (3) TKG und § 15 a TMG. Andernfalls riskieren Sie ein hohes Bußgeld, das nach § 43 Abs. 2 BDSG bis zu 300000 Euro ausfallen kann.

Zusätzlich müssen Sie den Datenschutzvorfall dokumentieren. Durch die Verbesserung der technischen und organisatorischen Maßnahmen sollten Sie zudem zukünftige Vorfälle vermeiden.

Was kann ich tun, um die Datensicherheit in meiner Agentur bzw. in meinem Unternehmen zu verbessern?

Vielleicht fragen Sie sich jetzt, ob Sie datenschutzrechtlich bisher alles richtig machen. Um dies festzustellen, bieten professionelle Dienstleister einen Datenschutz-Check an. eyeDsec hat sogar einen Datenschutz-Check speziell für Versicherungsagenturen im Leistungsportfolio. Mittels einer Status-quo-Analyse ermitteln wir für Sie, was Sie in Bezug auf Ihren Datenschutz noch verbessern können oder sogar müssen. Bei Interesse kontaktieren Sie uns bitte.

Was kostet Datenschutz?
Aus Erfahrung wissen wir, dass sich übliche Fallstricke oft schon mit einfachen Maßnahmen umgehen lassen. Datenschutz muss also nicht teuer sein. Unseren Datenschutzcheck bieten wir Versicherungsagenturen zurzeit für einen mittleren dreistelligen Betrag an.

Teurer als in Datenschutz zu investieren ist meist, es nicht zu tun. Ein Datenschutzvorfall hat aufgrund des Imageverlusts und der Bußgelder hohe Umsatzeinbußen zur Folge.

Wo finde ich weitere Informationen?

Nützliche Informationen finden Sie regelmäßig in unserem Datenschutzblog und auf folgenden Seiten:

Wer hilft mir bei Fragen zum Datenschutz weiter?
Kontaktieren Sie uns, wir helfen Ihnen gerne weiter. Schreiben Sie uns am besten eine E-Mail an m.muehlhaus@eyedsec.de. Wir antworten so schnell wie möglich oder rufen Sie gerne zurück.