29.04.2014 · Fachbeitrag · Datenschutz

So setzen Sie den Datenschutz in Ihrem Maklerunternehmen um

| Das Bundesdatenschutzgesetz verlangt von allen Unternehmen die Sicherung der erhaltenen Daten. Durch den GDV-Verhaltenskodex für den Vertrieb von Versicherungsprodukten ist der Datenschutz aktuell Thema für alle Vermittler. Erfahren Sie, was das für Sie als Makler heißt und wie Sie den Datenschutz in Ihrem Unternehmensalltag umsetzen können. |

Verhaltenskodex gilt mittelbar auch für Makler

Der Kodex, dem alle relevanten Versicherer beigetreten sind, fordert, dass die Versicherer „klare Regelungen zum Umgang mit persönlichen und vertraulichen Daten und zur Einhaltung der datenschutzrechtlichen und wettbewerbsrechtlichen Vorschriften“ definieren. Er gilt nicht direkt für Sie als Versicherungsmakler noch können Ihnen die Regelungen einseitig aufoktroyiert werden. Dennoch hat der Kodex Auswirkungen für Makler, weil die Versicherer nur noch mit Vertriebspartnern zusammenarbeiten, die die Grundsätze des Kodex als Mindeststandard umsetzen. Das zwingt Sie, den GDV- oder einen vergleichbaren Kodex der großen Berufsverbände zu akzeptieren. Ein Lippenbekenntnis allein reicht nicht mehr. Die Versicherer werden regelmäßig geprüft, wie sie die Einhaltung bei sich und ihren Partnern sicherstellen. Entsprechend werden sie bei allen Partnern rückfragen.

Datenschutz im Verhaltenskodex verankert

Der Kodex führt die Einhaltung des Datenschutzes auf, der im Bundesdatenschutzgesetz (BDSG) geregelt ist. Eigene konkrete Verhaltensregeln enthält er nicht. Somit ist der Vermittler für die individuelle Umsetzung des Datenschutzes im Vermittlerbetrieb verantwortlich. Er muss den Datenschutz bereits im Büroalltag verankern, etwa bei der Datenerfassung, -speicherung, bei den Zugriffsmöglichkeiten im Büro, bei der Aktenablage, der Datenübermittlung, beim E-Mail-Verkehr, bei Telefonauskünften, bei der Schadenbearbeitung oder bei Einwilligungserklärungen. Es reicht nicht, erst bei der Datenvernichtung damit anzufangen.

Schutz personenbezogener Daten

Das BDSG will den Einzelnen vor Missbrauch seiner personenbezogenen Daten (§ 1 Abs. 1 BDSG) schützen. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Geschützt werden also nur die Daten natürlicher Personen, nicht die Daten von Unternehmen.

Beispiele für personenbezogene Daten

Name, Geburtsdatum, Kfz-Kennzeichen, Beruf, Erkrankungen, Angaben über Altersversorgung.

Es reicht bereits, dass durch die Daten eine einzelne Person bestimmt werden kann, damit die Datensammlung in den Anwendungsbereich des BDSG fällt. Denn sogar ohne einen Namen kann oft aus einer Kombination von Daten auf eine konkrete Person geschlossen werden.

Wichtig | In den Maklerunternehmen werden die Daten der Versicherungsnehmer regelmäßig sowohl in Akten (in Papierform) als auch elektronisch zusammengestellt. Es ist ein Irrglaube, dass nur die gespeicherten Daten vom BDSG erfasst sind. Beide Arten der Datenarchivierung fallen unter Datenspeicherung. Ein rechtlicher Unterschied besteht nicht.

Speichern der personenbezogenen Daten nur mit Einwilligung

Das BDSG verlangt, dass personenbezogene Daten nur mit Einwilligung der betroffenen Person gespeichert werden dürfen. Ebenfalls ist die Speicherung von Daten zur Erfüllung des Geschäftszwecks erlaubt. Die persönliche Datenschutzeinwilligung wird in der Praxis vom Versicherungsnehmer mit Vertragsabschluss abgegeben.

Die Nutzung der Daten ist selbst mit Einwilligung nicht unbegrenzt zulässig und darf sich nur im Rahmen der Zweckbestimmung mit dem Kunden bewegen (§ 28 Abs. 1 BDSG). Hieraus folgt, dass gespeicherte Daten sicher zu verwahren sind. Denn hätten Unbefugte Zugriff, würde sich diese Datenverarbeitung nicht mehr im Rahmen des Vertragsverhältnisses bewegen.

PRAXISHINWEIS | Firmendaten werden nicht vom BDSG erfasst. Dennoch sollte jeder Vermittler Informationen über Firmendaten genau so schützen wie Daten von natürlichen Personen.

Im Folgenden finden Sie Checklisten für die Praxis, wie Sie den Datenschutz in Ihrem Maklerunternehmen geschickt umsetzen, untergliedert nach

Datenschutz im Unternehmensalltag,

Technischer Datenschutz,

Datenschutz bei der Kommunikation und

Datenschutz bei der Datenvernichtung.

Checkliste / Datenschutz im Unternehmensalltag
?	Abgabe der Schweigepflichtserklärung bei Einstellung Verpflichten Sie jeden Mitarbeiter, auch den Auszubildenden und Praktikanten, bei der Aufnahme der Tätigkeit auf das Datengeheimnis (§ 5 BDSG). Stellen Sie in einem Gespräch die hohe Bedeutung von Datenschutz und Geschäftsgeheimnissen heraus. Nennen Sie Beispiele, etwa dass die Mitarbeiter im privaten Umfeld nicht erzählen dürfen, welche Person beim Maklerunternehmen versichert ist oder wie viel diese bezahlt.
?	Gelebte Arbeitsanweisungen erhöhen die tatsächliche Datensicherheit Machen Sie klare Vorgaben, um den Datenschutz zu gewährleisten, idealerweise in einer schriftlichen Dienstanweisung. Neue Mitarbeiter unterrichten Sie entsprechend. Rufen Sie die Anweisungen gelegentlich in internen Schulungen den Mitarbeitern in Erinnerung. In der Dienstanweisung können Sie beispielsweise fordern, den Schreibtisch nach Feierabend aufzuräumen und gegebenenfalls zu verschließen oder den PC bei Verlassen zu sperren. Auch ob das Internet und die E-Mail-Kommunikation privat oder nur dienstlich genutzt werden darf, sollten Sie in einer Dienstanweisung regeln. Wichtig ist, dass Sie sich als gutes Vorbild selbst an die eigenen Vorgaben halten und bei Verstößen die Mitarbeiter auf die Einhaltung hinweisen. Anweisungen, über die offensichtlich ohne Konsequenzen hinweggegangen werden kann, werden bald ignoriert.
?	Keine versehentliche Informationsweitergabe Vertraulichkeit bedeutet, dass nur die Personen Informationen erhalten, die das entsprechende Recht dazu besitzen. Können sich Dritte in einem unbeaufsichtigten Moment an den Computerarbeitsplatz begeben oder Daten einsehen, muss hier durch organisatorische Maßnahmen abgeholfen werden. Müssen Versicherungsnehmer oder Dritte warten, ist sicherzustellen, dass sich dort keine Akten, Unterlagen oder sonstigen Daten anderer Versicherungsnehmer befinden, wartende Versicherungsnehmer keine Möglichkeit haben, sich über andere Versicherungsnehmer oder deren Versicherungsschutz zu informieren, Schränke abgeschlossen sind, die Computerbildschirme nur von autorisiertem Personal eingesehen werden können; notfalls muss extra ein Sichtschutz installiert werden, oder beim Verlassen des Arbeitsplatzes der Bildschirm gesperrt wird. Organisatorisch ist ein Arbeitsablauf, bei dem keine längeren Wartezeiten entstehen, vorzuziehen.
?	Beratungsgespräche separieren Arbeiten mehrere Personen in einem Büro, muss das Beratungsgespräch in einem separaten Raum erfolgen, sodass Dritte (zum Beispiel wartende Versicherungsnehmer) nicht mithören können.
?	Kein unberechtigter Zugriff auf Akten und Dateien Befinden sich Akten der Versicherungsnehmer nicht in den Büroräumen (zum Beispiel auf dem Dachboden oder im Keller), so müssen Sie hier besonders sicherstellen, dass Unbefugte darauf nicht zugreifen können. Verwenden Sie elektronische Archivierungsprogramme, müssen Sie gewährleisten, dass Daten nicht von Fremden manipuliert werden können. Das gilt ganz besonders für das unbefugte Kopieren von Daten. Folglich sollten Rechner (auch ausgemusterte mit Festplatte), auf denen solche Daten gespeichert sind, nicht in Räumen aufgestellt werden, zu denen Unbefugte Zutritt haben oder sich diesen leicht verschaffen könnten.
?	Datenschutztonne beim Kopierer Auch fehlgeschlagene Kopien mit vertraulichem Inhalt gehören in die Spezialentsorgung. Die Aufstellung eines entsprechenden Entsorgungscontainers neben dem Kopierer ist folglich empfehlenswert.
?	Nutzung von privaten Datenträgern untersagen Das Mitbringen von privaten Datenträgern (zum Beispiel USB-Stick) sollte im Maklerunternehmen tabu sein. Hiermit könnten nicht nur Daten widerrechtlich kopiert (geklaut), sondern auch das EDV-System durch fremde Viren verseucht werden. Meist geschieht das unbeabsichtigt und wird erst bemerkt, wenn bereits alles zu spät ist.

Checkliste / Technischer Datenschutz
?	Laufwerke und externe Zugriffsmöglichkeiten sperren Scheiden Mitarbeiter aus dem Maklerunternehmen aus, kommt es immer wieder zur Mitnahme von Daten. Einen wirksamen Schutz gibt es nur, indem Sie den Mitarbeitern nur Computer ohne externe Laufwerke wie CD-Laufwerk oder USB-Anschluss zur Verfügung stellen oder diese technisch sperren. Hingegen können Sie Gefahren durch E-Mail-Anhänge nicht gänzlich verhindern. Hier sollten Sie aber die Größe der Anhänge begrenzen.
?	Keine Download-Funktion für Mitarbeiter Ihre Mitarbeiter sollten Dateien und Programme aus dem Internet nicht herunterladen können. Die Download-Funktion am PC sollte vom Systemadministrator am besten deaktiviert werden; Gleiches gilt für Seiten mit aktiven Inhalten. Zusätzlich sollten durch einen „Webseitenblocker“ alle Internetseiten, die keinen dienstlichen Bezug haben, blockiert werden.
?	Aktualität von Firewall und Virenschutzprogrammen Achten Sie darauf, dass die eingesetzte Software für die Firewall und die Virenschutzprogramme aktuell sind.
?	Serverraum sichern Stellen Sie sicher, dass nur eigene Mitarbeiter des Maklerunternehmens Zutritt zu sensiblen Bereichen mit Daten der Versicherungsnehmer haben. Gibt es eigene Serverräume, muss auch hierfür eine Zutrittsregelung gefunden werden. Nicht zu vergessen sind auch externe Mitarbeiter von Wartungs- oder Reinigungsfirmen.
?	Alarmsicherung Schützen Sie das Maklerunternehmen außerhalb der Geschäftszeiten (insbesondere bei Urlaubsschließung, am Wochenende und auch über Nacht) durch die Installation eines Alarmsystems. Hier kommt sowohl ein stiller als auch ein direkter Alarm in Betracht. Besonders wichtig ist jedoch, dass die Alarmanlage entweder direkt mit der Polizei oder der Wache einer privaten Sicherheitsfirma verbunden ist.
?	Sichere Passwörter im Vermittlerbüro Generell ist die EDV mit Passwörtern zu schützen. Dabei sollten Sie gewisse Grundregeln beachten, sodass das Ziel der Sicherheit erreicht wird: So sollte jeder Mitarbeiter über ein eigenes individuelles Passwort verfügen und nicht über ein allgemeingültiges. Passwörter sollten generell nicht weitergegeben werden dürfen, auch nicht an Kollegen. Jeder einzelne Benutzer hat die Verantwortung für die Bildung und Verwendung seines individuellen Passwortes (nicht der Administrator!). Passwörter sollten nicht als Gedankenstütze aufgeschrieben und womöglich auch noch unverschlossen herumliegen gelassen werden. Das Speichern von Passwörtern in einer Datei oder auf programmierbaren Funktionstasten sollte ebenfalls unterbleiben. Mindestregeln für Passwörter: Passwörter dürfen nur einer Person bekannt sein. Passwörter dürfen niemals weitergegeben werden. Passwörter dürfen nicht gestreut werden. Beim Verlassen muss der Computerarbeitsplatz gesperrt werden. Passwörter sind regelmäßig (mindestens alle sechs Monate) zu ändern. Ein Passwort muss aus mindestens sechs Zeichen bestehen.
?	Gestuftes Vollmachtensystem erstellen Arbeiten mehrere Mitarbeiter im Maklerunternehmen, so werden Sie um die Vergabe von individuellen Zugangsberechtigungen nicht herumkommen. Nicht jeder Mitarbeiter muss alle Daten einsehen, verändern und speichern können. Aus diesem Grund sollte jeweils eine Autorisierung für das Lesen, Löschen, das Ändern und das Ausdrucken von Daten vorhanden sein. Sollten Sie externe Dienstleister für die PC-Administration (Fernadministration) einsetzen, besteht die Möglichkeit, dass von einem Administrationscomputer auf alle eingeschalteten Computer im Netzwerk zugegriffen werden kann. Sie sollten sich folglich sehr gut überlegen, ob Sie dieses Risiko tatsächlich eingehen möchten und gegebenenfalls die Auswahl bei der Fernadministration sehr sorgfältig treffen.
?	Datenverschlüsselung bei Notebooks und Co. sind erforderlich Werden im Maklerunternehmen Notebooks, Tablet-PC, Smart-Phones oder andere mobile Geräte eingesetzt, sollten diese immer mit Passwörtern gesperrt werden. Ein Passwort alleine genügt den Anforderungen des Datenschutzes nicht mehr. Besonders die mobilen Geräte sind Quellen des Datenverlusts, werden sie doch oft und gerne gestohlen. Die gespeicherten personenbezogenen Daten müssen daher zudem mit Hilfe von verschlüsselten Festplatten oder durch ein installiertes Verschlüsselungsprogramm geschützt werden.
?	Nur verschlüsselte Daten können nicht einfach mitgelesen werden Müssen Daten elektronisch übertragen werden, muss dies verschlüsselt geschehen. Es gibt verschiedene Möglichkeiten der Verschlüsselung, häufig wird die Methode durch den Versicherer vorgegeben.

Checkliste / Datenschutz bei der Kommunikation

Datenschutz bei Telefonaten

Am Telefon sollten Ihre Mitarbeiter den Anrufer nicht nach sensiblen Daten fragen. Dies gilt ganz besonders, wenn umstehende Personen aus der Namensnennung oder aus sonstigen Identifizierungsmerkmalen eine bestimmte natürliche Person ableiten könnten. Vertrauliche Telefonate sind nur zu führen, wenn sichergestellt ist, dass keine fremden Ohren mithören, auch nicht die von unbeteiligten Mitarbeitern. Ein großes Büro, in dem alle Mitarbeiter und Vermittler ihren Arbeitsplatz haben und in dem die Kundengespräche geführt werden, ist folglich ungeeignet.

Telefonisch dürfen Ihre Mitarbeiter über personenbezogene Daten, wozu auch das Bestehen einer Kranken- oder Lebensversicherung gerechnet wird, nur Auskünfte erteilen, wenn sie die Identität oder die Berechtigung des Anrufers eindeutig festgestellt haben. Dies ist in der Regel nur beim Versicherungsnehmer möglich. Ihre Mitarbeiter sollten nach Geburtsdatum und/oder Geburtsort fragen und bei ungewöhnlichen Fragen weitere Identifikationsmerkmale abfragen oder am Telefon keine weiteren Auskünfte mehr geben.

Ihre Mitarbeiter dürfen Bevollmächtigten nur nach Vorlage einer schriftlichen Vollmacht Auskunft erteilen, also generell erst einmal nicht am Telefon.

Kommunikation über das Internet

Täglich wird Korrespondenz zwischen Maklerunternehmen und Versicherer über das Internet geführt. Unverschlüsselter Dateninformationsaustausch bedeutet nichts anderes als öffentliche Datentransfers ohne tatsächlichen Zugriffsschutz. Nach dem BDSG ist bei dieser Art der Kommunikation eine Verschlüsselung gefordert und unabhängig vom Gesetz auch dringend zu empfehlen. Auch Anhänge sollten vor den Zugriffen Dritter mindestens mit einem Passwort geschützt werden, noch besser ist es jedoch, Dateianhänge grundsätzlich nur verschlüsselt zu versenden.

Checkliste / Datenschutz bei Löschung und Vernichtung
?	Keine Rückgängigmachung von Löschungen Zum Datenschutz gehört die Löschung/Vernichtung von Daten, weil diese nicht beliebig lange gespeichert werden dürfen. Elektronisch oder auf Papier archivierte Daten müssen so vernichtet werden, dass die Löschung/Vernichtung weder beabsichtigt noch unbeabsichtigt rückgängig gemacht werden kann.
?	Unverzügliche Löschung/Vernichtung Grundsätzlich müssen personenbezogene Daten, die nicht mehr benötigt werden oder für deren Speicherung es keinen Grund mehr gibt, unverzüglich gelöscht werden. Berechtigt können Daten behalten werden, solange es das Gesetz verlangt oder ein wichtiger Zweck für den Vermittler besteht und der Versicherungsnehmer dadurch nicht benachteiligt wird. Daten, die für ein Vertragsverhältnis benötigt werden, dürfen während seines Bestehens immer gespeichert werden. Aber auch nach Vertragsbeendigung müssen nicht alle Daten sofort gelöscht werden. So müssen sie zum Beispiel innerhalb der steuerlichen Aufbewahrungsfristen vorgehalten werden. Ein berechtigter Zweck kann auch bestehen, wenn die Daten die Beratungsleistung und den Umfang dokumentieren, die zum Beispiel benötigt werden, um ein Beratungsverschulden abwehren zu können. Nach Beendigung des Vertrags müssen daher die Daten entsprechend selektiert werden.
?	Angebote und Kundenakten nach Gebrauch nicht in den Papierkorb Im Maklerunternehmen sollte es für alle Mitarbeiter eine Regelung geben, wie mit „Datenmüll“ umzugehen ist. Personenbezogene Daten dürfen nicht einfach weggeworfen, sondern müssen datenschutzrechtlich vernichtet werden. Eine Möglichkeit sind Entsorgungscontainer eines zertifizierten Datenvernichters. Eine andere Möglichkeit ist die eigene Schredderung von Datenträgern. Ein einfacher Aktenvernichter ist hier in der Regel nicht ausreichend, da eine Aktenvernichtung in Deutschland nach DIN-Standard erfolgen muss und den Änderungen der aktuellen Anforderungen des Datenschutzes unterliegt. Der Aktenvernichter, der für wenig Geld im Schreibwarenhandel erhältlich ist, erfüllt diese Normen nicht.
?	Festplatten müssen gesondert behandelt werden Alte Computer enthalten Festplatten, die gegebenenfalls gesondert zu vernichten sind. Um wirklich sicherzustellen, dass die ehemals enthaltenen Daten nicht von Dritten wiederhergestellt werden können, sollten Datenspeicher (insbesondere Festplatten) vor der Entsorgung eines alten PCs ausgebaut und physisch vernichtet werden. Diese Methode muss bei allen Speichermedien angewandt werden, auch bei alten oder defekten CD-ROMs oder Disketten. Am sichersten im Sinne des Datenschutzes ist die Verwendung einer Bohrmaschine (von oben mehrere Löcher in die ausrangierte Festplatte bohren) oder notfalls auch eines Trennschneiders, jedoch besteht dann für den Ausführenden eine Verletzungsgefahr. Eine weitere kostenpflichtige Möglichkeit ist die Entsorgung über zertifizierte Spezialfirmen. Handelt es sich um verschlüsselte Festplatten, sind diese nach dem aktuellen Stand der Technik eigentlich ausreichend vor dem Zugriff Dritter geschützt, jedoch schreitet auch hier die Entschlüsselungstechnik laufend voran.