Seit Mai 2018 gilt die DSGVO. Sie definiert sowohl die neuen datenschutzrechtlichen Pflichten als auch deren Sanktionen bei Nichteinhaltung dieser gesetzlichen Vorschriften. Insbesondere für Sachverständige und Gutachter ergeben sich daraus neue datenschutzrechtliche Konsequenzen.

BIG DATA und Datenschutz

Versicherungsanbieter gehören zu den datenintensivsten Wirtschaftsbereichen – somit agieren sämtliche Anbieter von Versicherungen im lukrativen Geschäft mit Kundendaten.

BIG DATA lautet die Zauberformel – besser der Marketingcode. Wer die wachsenden Datenberge richtig analysiert und interpretiert, kann gutes Geld damit verdienen. Mit jedem Datensatz, der u. a. von  Sachverständigen und Gutachtern zur Schadensregulierung übermittelt wird, erweitert sich zugleich das Marketingportfolio der Versicherer. Insbesondere personenbezogene Adress-, Konto-, Email-, Telefondaten, etc. lassen sich zur Werbung potenzieller Neukunden gut verwerten und werden demnach ausgiebig genutzt.

Seit Inkrafttreten der neuen DSGVO ist dieser Umgang mit Daten nicht mehr  - d. h. nur unter strikter Einhaltung bestimmter datenschutzrechtlicher Kriterien - mit dem Datenschutz vereinbar!

Code of Conduct = Datenschutz?

Versicherer begegnen der neuen DSGVO mit ihrem Code of Conduct = Verhaltenskodex. Bei diesem handelt es sich jedoch nur um eine freiwillige Selbstverpflichtung der Versicherungsbranche.

Grundsätzlich sieht die neue DSGVO die Benennung solche Regelwerke vor. Die in Artikel 40 definierten Verhaltensregeln sind dafür stringent formuliert und vollumfänglich einzuhalten. Genau hier ergeben sich jedoch datenschutzrechtliche Probleme. Sowohl die freiwillige Selbstverpflichtung als auch das Fehlen verpflichtender unabhängiger Audits, können schnell zur datenschutzrechtlichen Achillesferse von Sachverständigen und Gutachtern werden, denn: Bei etwaigen Datenpannen konstatiert der Gesetzgeber eine „Gemeinsame Verantwortlichkeit“.

Sachverständige und Gutachter zwischen den Stühlen...

Gemeinsam Verantwortliche

Artikel 26 regelt die gemeinsame Verantwortlichkeit. Legen mehrere Verantwortliche gemeinsam Zweck und Mittel zur Verarbeitung personenbezogener Daten fest, dann handeln sie in gemeinsamer Verantwortung. Sie müssen diese gemeinsame Verantwortung in einer vertraglichen Vereinbarung transparent darlegen. Es muss festgelegt werden, wer welche Pflichten erfüllt und wer welchen Informationspflichten nachkommt, denn:
Betroffene Personen können ihre Rechte jederzeit und in jedem Fall gegenüber jedem der gemeinsamen Verantwortlichen geltend machen.

Informationspflicht

Werden personenbezogene Daten erhoben, sind Betroffene gemäß Artikel 13 darüber zu informieren. Ob Kontaktdaten, Zweck, Vertragsgestaltung, Profiling, Löschung sowie Beschwerderecht und Kontaktdaten des Datenschutzbeauftragten, etc. - sämtliche Inhalte sind im Rahmen der gemeinsamen Verantwortlichkeit, transparent und barrierefrei zur Verfügung zu stellen.

Rechenschaftspflicht

Personendaten müssen nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden. Artikel 5 verpflichtet zur Rechenschaft bei Daten, die nicht direkt bei den betroffenen Personen erhoben wurden. Datenquellen, deren öffentliche Zugänglichkeit, etc. müssen den Betroffenen mitgeteilt werden.

Auftragsverarbeitung

Sofern eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt, so darf diese nur mit vertraglichen Auftragsverarbeitern erfolgen, welche Garantien in Bezug auf Datenschutz gemäß Artikel 28 gewährleisten. Hier wird deutlich, dass diese Gewährleistung mittels "Code of Conduct" an ihre Grenzen stößt. Sowohl das Einholen eines AV-Vertrages als auch die Einhaltung der Verarbeitungstätigeiten  gemäß Artikel 30, stellen einen erheblichen Arbeitsaufwand dar.

...oder fest im Sattel des Datenschutzes?

Das neue datenschutzrechtliche Instrumentarium ist nicht zu unterschätzen. Unternehmen die weiterhin mit Verträgen operieren, die nicht mindestens über zuvor beschriebene gesetzliche Datenschutzpflichten informieren, riskieren hohe Bußgelder und Schadensersatzansprüche von betroffenen Peronen.

Sachverständige und Gutachter agieren als Unternehmer und müssen in einem Markt bestehen, in dem sich aktuell und zukünftig sehr viel ändert bzw. ändern wird. Das erfordert einen Datenschutz, der auf transparenten und gesetzlichen Verpflichtungen beruht und nicht auf freiwillige - ergo - unkontrollierbare Selbstverpflichtungen fußt.

Verbindlicher Datenschutz gemäß DSGVO schafft gleichwohl Vertrauen bei den Kunden und Rechtssicherheit für Sachverständige sowie Gutachter.

Datenschutz für Sachverständige und Gutachter

eDSB = »externe Datenschutzbeauftragte Deutschland« ist ein inhabergeführtes und bundesweit tätiges Unternehmen, mit Sitz in Berlin. Neben Datenschutz gleichzeitig Ansprechpartner für sämtliche Fragen zum Datenschutzmanagement. Sachverständigen und Gutachtern kann somit ein vollumfänglicher, externer und deshalb arbeits- und kostensparender Datenschutz gemäß DSGVO, angeboten werden:

• Erstberatung und Datenschutz-Grundcheck
• Evaluierung des IST-Zustandes
• Erarbeitung notwendiger Datenschutzmaßnahmen
• Führung von Datenschutzakten
• Auftragsverarbeitung / Organisation, Kontrolle der AV-Verträge
• Beschwerdemanagement
• Monitoring und Controlling des Datenschutzes
• Datenschutz-Gütesiegel / Zertifikat
• Support / Mobiler Notfallsupport
• Schulungs- und Weiterbildungsmaßnahmen

Aufsichtsbehörde:
Berliner Beauftragte für Datenschutz und Informationsfreiheit