Mit dem Inkrafttreten der EU-Datenschutzverordnung zum 25. Mai 2018 müssen nicht nur Technologie-Konzerne, Branchen-Riesen und Daten-Kraken verschärfte Auflagen erfüllen. Auch für Klein-und Mittelständische Unternehmen haben sich die Anforderungen an die Verarbeitung personenbezogener Daten enorm erhöht. Was die Gesetzesverschärfung besonders für Unternehmen der betrieblichen Altersversorgung mit sich bringt und welchen Herausforderungen sie sich künftig stellen müssen, diskutierten am 14. Juni 2018 die Teilnehmer des Senior Round Tables der Pensions-Akademie.
Der Gesetzgeber verfolgte das Ziel die Datenschutzvorschriften innerhalb der EU zu harmonisieren und hat dabei besonders den Schutz personenbezogenen Daten natürlicher Personen in den Fokus gestellt.
Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) muss die Verarbeitung sämtlicher personenbezogener Daten nun rechtmäßig, nachvollziehbar, angemessen und richtig sein und eindeutige, legitime Zwecke verfolgen. Hinzu kommen diverse Rechte wie das Auskunfts-, Berechtigungs-, Löschungs- und Widerrufsrecht.
Auch EbAV müssen Anpassungen vornehmen
Da das Gesetz eine Einwilligung zur Datenverarbeitung in Form einer freiwilligen Willenserklärung vorsieht, verwies Marco Herrmann, Leiter des Bereichs Strategie, Recht, Kommunikation beim BVV in seinem Vortrag auf den Kern-Erlaubnistatbestand für EbAV laut Artikel 6 Abs. 1 lit. b, c und f, wie zum Beispiel die Erfüllung eines Vertrages oder Durchführung vorvertraglicher Maßnahmen, die Erfüllung einer rechtlichen Verpflichtung sowie die Wahrung berechtigter Interessen.
Da der Bußgeldrahmen auf bis zu 20 Mio. Euro oder bis zu 4 Prozent des Jahresumsatzes eines Unternehmens ausgeweitet wurde, empfiehlt Herrmann den EbAV dringend, die Inhalte des DSGVO sorgfältig umzusetzen.
Auch Dr. Peter Katko, Rechtsanwalt, Partner, Global Digital Law Leader von Ernst & Young betonte in seinem Vortrag, dass das DSGVO nicht nur das Silicon Valley mit sehr weitreichenden Pflichten versehen hat, sondern auch Mittelständler und EbAV angehalten werden, die Auflagen zu erfüllen. Diese Aufgabe erfordert Augenmaß, Kreativität und Pragmatismus bei der Umsetzung.
Wie sieht die praktische Umsetzung in den EbAV aus?
Nils-Christian Hinck, Senior Manager – Insurance von Sopra Steria Consulting macht in seinem Vortrag auf häufige Irrtümer in der Interpretation des neuen Gesetzes aufmerksam. Demnach bedarf es aufgrund der DSGVO eines Datenschutzmanagements, welches sich durch die gesamte Wertschöpfungskette der Organisation zieht und beschränkt sich nicht nur auf den Datenschutzbeauftragten. Erhöhte Kontrollen, Datenlöschung und Informations- und Meldepflichten fordern ein strategisches Management.
Aufgrund der Informationspflicht bei der Erhebung personenbezogener Daten folgt laut der Referenten die dringende Empfehlung Informationen über das Widerspruchsrecht in einer verständlichen und von anderen Informationen getrennten Form zu erteilen.
Marco Herrmann wies darauf hin, dass bestehende Rahmenverträge zwar nicht anzupassen seien, die Trägerunternehmen jedoch über die Neuerungen und Umsetzung des Datenschutzes beispielsweise mittels Rundschreiben informiert werden sollten. Dies gilt auch für alle Versicherten und Rentner im Bestand. Zudem empfiehlt es sich, die Datenschutzinformation, Anträge und Versicherungsscheine beizufügen.
„Die Trägerunternehmen übermitteln die erforderlichen personenbezogenen Daten zur Umsetzung der betrieblichen Altersversorgung über die EbAV an die Versorgungseinrichtung. Es empfiehlt sich, in den Rechtsbegründungsakten der Trägerunternehmen, beispielsweise in Betriebsvereinbarungen, eine diesbezügliche Regelung aufzunehmen.“ führt Herrmann weiter fort.
Des Weiteren wurden die Teilnehmer des Senior Round Tables darüber in Kenntnis gesetzt, dass in dem Rechtsverhältnis Trägerunternehmen – EbAV keine Auftragsverarbeitungs-Vereinbarung erforderlich ist, da EbAV für die Trägerunternehmen in der Regel keine Auftragsverarbeitung vornehmen. Einer solchen Vereinbarung bedarf es allerdings zwischen der EbAV und eventuell eingeschalteten Dienstleistern.
Für den Newsletterversand gilt das Einholen einer Einwilligung insofern ein Unternehmen nicht in einem Vertragsverhältnis mit der EbAV steht.
Marco Herrmann schließt seinen Vortrag mit dem dringenden Appell ab, Schriftgut und Onlineauftritt zu überarbeiten, da die dortigen Datenschutzhinweise zunächst Haupteinfallstor sein werden. Ein gut strukturiertes Online-Portal kann schon einen großen Teil der Anforderungen abdecken.
Alle Teilnehmer der Diskussionsrunde waren sich einig, dass die neue DSGVO ein wichtiges Thema ist, welches nicht unterschätzt werden sollte und noch weiterhin viele Herausforderungen bei der Umsetzung mit sich bringen wird.
