Ihre Datenschutzpflichten als Vermittler
Was Sie mit Inkrafttreten der DSGVO beachten sollten
Am 25. Mai heißen wir die Datenschutz-Grundverordnung willkommen. Ab diesem Stichtag ist die Verordnung für Sie als Vermittler verbindlich und einzuhalten.
Die EU verfolgt damit das Ziel, alle EU-Mitgliedstaaten auf ein „gleiches“ Datenschutzniveau zu heben. Die Verordnung schafft neue Pflichten und bringt sehr hohe Bußgelder mit sich. Betroffen ist jeder Unternehmer bzw. jedes Unternehmen in Deutschland.
In dieser Beitragsreihe werfen wir gemeinsam einen Blick auf die Details der Verordnung.
[toc]
Verarbeitung personenbezogener Daten
Zunächst schauen wir uns die zwei Begriffe „personenbezogene Daten“ und „Verarbeitung“ näher an.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person (gem. Art. 4 Nr. 1 DSGVO) beziehen. Alle Daten die Sie in Ihrem Geschäftsbetrieb über Ihre Kunden erheben, kann man grundsätzlich als personenbezogene Daten zusammenfassen, außer Sie haben die Daten so weit anonymisiert, dass es keinem Menschen möglich wäre, die Daten zuzuordnen. Diese Anonymisierung ist für die meisten Vermittler in der Praxis allerdings auszuschließen.
Verarbeitung ist in diesem Zusammenhang ein Sammelbegriff für alle erdenklichen Verwendungen dieser Daten, wie z.B. „Erheben, Speichern, Übermitteln, Verändern, Löschen oder Sperren“.
Nachdem wir nun die Bezeichnungen definiert haben, kommen wir zu den Grundlagen der Systematik des Bundesdatenschutzgesetzes. Es ist prinzipiell relativ simpel aufgebaut: Sie dürfen keine Daten verarbeiten, außer ein Gesetz oder Ihr Kunde erlaubt es Ihnen. Aber wie sieht das in der Praxis aus?
1. Wie sieht es aus, wenn Sie eine Mail von einer Person bekommen, die (noch) nicht Ihr Kunde ist?
Unverändert bleibt, dass im Rahmen der Beantwortung von (vorvertraglichen) Anfragen gem. Art. 6 Abs. 1 lit. b. DSGVO, es keiner gesonderten Einwilligung des Anfragenden bedarf.
Sie können also problemlos dem Anfragenden antworten, wenn es sich z.B. um eine Terminvereinbarung handelt. Bitte begehen Sie nicht den Fehler, die Person bereits in Ihr Maklerverwaltungsprogramm oder sonstiges CRM einzufügen. Die Daten, welche Ihnen durch die Kontaktaufnahme bekannt geworden sind, dürfen Sie zunächst nicht weiter nutzen.
Wichtiger Hinweis: Beachten Sie Ihre Erstinformationspflicht. Wenn es nur eine Terminvereinbarung ist, sollte spätestens beim vereinbarten Termin dem Gegenüber eine Erstinformation vorliegen.
Außerdem wichtig: Der Kunde muss Sie in diesem Szenario anschreiben ohne ein Kontaktformular zu nutzen. Er öffnet also sein Mailprogramm und gibt Ihre Mailadresse als Empfänger ein. Das mag jetzt ein wenig banal klingen, jedoch ist es rechtlich ein großer Unterschied, wenn Sie Ihrem Kunden dabei „helfen“ sich mit Ihnen in Verbindung zu setzen (z.B. über ein Kontaktformular).
2. Was ändert sich, wenn Sie ein Kontaktformular auf Ihrer Website anbieten?
Im Falle eines Kontaktformulars auf Ihrer Website, bekommen Sie technisch betrachtet eine Mail von Ihrem System mit den vom Interessenten angegeben Daten. Bevor der Interessent das Kontaktformular versendet, ist er über die Verarbeitung seiner Daten zu informieren. Hier ein paar Stichpunkte, welche im Datenschutzhinweis enthalten sein sollten:
– Wer erhebt die Daten (Verantwortliche Stelle = Ihr Unternehmen)
– Zweck der Erhebung
– Wer hat auf die Daten Zugriff
– Werden die Daten an Dritte übermittelt
– Wie lange werden die Daten aufbewahrt
– Rechte des Betroffenen
Bevor der Interessent das Kontaktformular versenden kann, muss er eine „Klickbox“ auswählen, in welcher er bestätigt, die Datenschutzerklärung (speziell für das Kontaktformular) gelesen zu haben, und in die Verarbeitung seiner Daten einwilligt.
Wichtiger Hinweis: Vorauswahlen sind nicht erlaubt. Klickboxen zur Bestätigung dürfen nicht bereits angewählt sein. Der Interessent muss diese aktiv selbst auswählen.
3. Keine Kopplung von Einwilligungen (Kopplungsverbot)
Häufig sehe ich Klickboxen, in welchen der Interessent nicht nur in die Datenschutzerklärung einwilligt, sondern gleichzeitig in einen Newsletter.
Das ist nicht erlaubt. Der Interessent muss stets ein Wahlrecht haben, die Einwilligung separat abzugeben.
Wenn der Zugang zu einer Website, einem sozialen Netzwerk oder einem Loginbereich etc. an die Einwilligung in ein Newsletter-Abo gebunden ist, dann liegt ein Verstoß gegen das Kopplungsverbot vor. Dasselbe gilt für den Download von Inhalten, der an eine Einwilligung in Werbung gekoppelt ist.
4. Zu jeder Einwilligung gehört zwingend eine Widerrufsbelehrung
Viel zu häufig sehen wir auf Webseiten einen Einwilligungsknopf, aber keine Hinweise zur Widerrufbarkeit der Einwilligung.
Dabei ist der Einwilligende über seine Rechte zu informieren. Dazu gehören sein Widerrufsrecht und seine Rechte auf Auskunft, Berichtigung, Löschung und Sperrung. Dabei handelt es sich ausdrücklich nicht um die bekannte 14-Tages-Widerrufsfrist-Belehrung, wie sie bei Fernabsatz oder Verbraucherverträgen zum Einsatz kommt.
Die Widerrufsbelehrung bezüglich einer datenschutzrechtlichen Einwilligung ist nicht an eine Frist gebunden. Der Betroffene kann die datenschutzrechtliche Einwilligung auch Monate oder Jahre nach Erteilung – jederzeit – widerrufen.
In der Praxis sollten Sie die Betroffenenrechte direkt bei der Einwilligung implementieren. Dabei ist es irrelevant, ob der Interessent seine Einwilligung für die Datenverarbeitung abgibt oder für ein Newsletter-Abo. Eine Widerrufsbelehrung gehört zu jeder Einwilligung.
5. Was tun bei der Kontaktaufnahme durch minderjährige Interessenten
Nach wie vor gilt: Minderjährige können in der Regel keine verbindlichen Verträge eingehen oder Einwilligungen aller Art erteilen. Hierfür sind die Erziehungsberechtigten heranzuziehen. Die DSGVO legt besonderen Wert auf den Schutz von Minderjährigen. Sie finden die Thematik in Artikel 8 der DSGVO. Dieser besagt mehr oder weniger, dass Minderjährige unter 16 keine wirksame Einwilligung abgeben können.
Es liegt allerdings nahe, dass sich gelegentlich auch ein Minderjähriger, der z.B. bald seine Ausbildung beginnt oder aus einem anderen Grund eine eigene Versicherung benötigt, über ein Kontaktformular auf Ihrer Website mit Ihnen in Verbindung setzen möchte. Hier eröffnen sich Probleme, welche vorher eigentlich nie im Gespräch waren. Schließlich kann er gar keine wirksame Einwilligung in die Verarbeitung seiner Daten abgeben.
Wer sehr DSGVO-konform unterwegs sein möchte, müsste sich eine weitere Erklärung vom Interessenten einholen, in welcher er bestätigt mindestens 16 Jahre alt zu sein. Ich persönlich habe diesen Passus noch nirgends gesehen, er ist aber in der Theorie notwendig.
Hat der Interessent das 16. Lebensjahr noch nicht vollendet, so ist eine Bestätigung notwendig, dass die Erziehungsberechtigten mit der Verarbeitung einverstanden sind.
Weitere Ausführungen zur korrekten Umsetzung der Datenschutzgrundverordnung als Vermittler lesen Sie im zweiten Teil unserer Beitragsreihe. Dann beleuchten wir unter anderem die Themen ….
- Einwilligung nach DSGVO Standard
- Betroffenenrechte
- Transparenz der Erklärung
Sie benötigen Unterstützung bei der Prüfung Ihrer Website, der Erstellung von Datenschutzerklärungen oder einem anderen Projekt? Kontaktieren Sie die Juristen und spezialisierten Berater der RWM-Group zur Vereinbarung eines unverbindlichen Beratungstermins.
Kontaktieren Sie uns per E-Mail :
Ihr Justiziar der RWM-Group
Bartlomiej Zornik
RWM-Group
Wilhelmshöher Allee 191
34121 Kassel
www.rwmgroup.de
