Bernd Fuhlert: Code of conduct zum Datenschutz
0 gefällt mir1,708 aufrufe
Die Präsentation thematisiert den Datenschutz in der Versicherungswirtschaft, insbesondere die Risiken sensibler Daten und die Bedeutung von Einwilligungen nach dem Bundesdatenschutzgesetz (BDSG). Sie behandelt die rechtlichen Grundlagen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie die Herausforderungen im Kundenmanagement. Zudem wird ein Fallbeispiel vorgestellt, das die Notwendigkeit von Einwilligungen bei der Datenweitergabe zwischen Unternehmen illustriert.
Bernd Fuhlert: Code of conduct zum Datenschutz
- 1. Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Präsentation für AMC Arbeitskreis Mittwoch, 13. Juni 2012 Düsseldorf Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 1 24.04.2012 l 1
- 2. 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 2 24.04.2012 l 2
- 3. 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 3 24.04.2012 l 3
- 4. Vorstellung DATATREE AG Expertise Leistungsportfolio: ein Auszug • Stellung externer Datenschutzbeauftragter (TÜV cert. / Informatiker GDD cert.) Betriebswirte Marketingexperten • Begleitung von Unternehmen bei der Durchführung von Zertifizierungen Datenschutzauditoren • Schulung für Mitarbeiter, Geschäftsleitung und Aufsichtsräte • Aufbau und Prüfung von Compliance-Strukturen in interdisziplinäres Unternehmensorganisationen Team • Compliance-Produkte: Treuhand-Datenbank zur Qualitätssicherung z. B. im Wettbewerbsrecht Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 4 24.04.2012 l 4
- 5. Vorstellung DATATREE AG • Datenexperten: Daten sind nicht immer wichtig, sondern entscheidend! • Tätigkeitsschwerpunkte: Datensicherheit, Datenschutz, Wettbewerbsrecht • Unterstützung und Mediation bei Verhandlungen mit Behörden, Organisationen oder Unternehmen im Streitfall Auszug Referenzen: Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 5 24.04.2012 l 5
- 6. 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 6 24.04.2012 l 6
- 7. Datenschutz in der Versicherungswirtschaft Warum ist der Datenschutz für Versicherungsnehmer wichtig? Die Versicherungen arbeiten fast ausschließlich mit sensiblen Daten bzw. mit besonders sensitiven Daten gemäß § 3 (9) BDSG Damit kommt den Versicherungen in der Datenerhebung,- verarbeitung und -nutzung eine besondere Verantwortung zu Versicherungsunternehmen müssen das Vertrauen der Kunden immer wieder bestärken, dass die personenbezogenen Daten nicht zweckentfremdet werden! Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 7 24.04.2012 l 7
- 8. Datenschutz in der Versicherungswirtschaft Sollten Datenschutzverstösse bekannt werden, drohen… „shitstorm“ Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 8 24.04.2012 l 8
- 9. 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 9 24.04.2012 l 9
- 10. Einwilligung im BDSG Beschluss des Düsseldorfer Kreises Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften enthalten keine ausreichende Rechtsgrundlagen für die Erhebung Verarbeitung und Nutzung von sensitiven Daten z. B. Gesundheitsdaten durch Versicherungsunternehmen. Die Versicherungsunternehmen sind aufgefordert, die bisherigen Einwilligungstexte durch neue zu ersetzen! (Beschluss Düsseldorfer Kreis und GDV) Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 10 24.04.2012 l 10
- 11. Einwilligung im BDSG Wie muss die Einwilligung nach BDSG grundsätzlich gestaltet sein? Wird die Einwilligung beim Betroffenen eingeholt, ist er auf den Zweck der Speicherung eine vorgesehene Übermittlung hinzuweisen ► Die Einwilligung bedarf grundsätzlich der Schriftform, u. U. kann diese auch elektronisch eingeholt werden! ► Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben (§ 4a Abs. 1 BDSG) ► Neu: Sie ist in drucktechnisch deutlicher Gestaltung besonders hervorzuheben (§ 28 Ab. 3a) Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 11 24.04.2012 l 11
- 12. Einwilligung im BDSG Transparenzpflicht der Einwilligung Information bei der Direkterhebung (Vorrang der Direkterhebung) Benachrichtigung über Speicherung bzw. erstmalige Übermittlung (falls Auskunft über die Daten nicht beim verantwortliche und deren Verarbeitung Betroffenen erhoben) Stelle Über verantwortliche Stelle bei werblicher Ansprache Einsicht in das Verfahrensregister des betrieblichen oder externen DSB Rechte der Betroffenen: Löschungs-, Korrektur-, Widerspruchs- und Sperrungsrechte Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 12 24.04.2012 l 12
- 13. Einwilligung im BDSG Transparenzpflicht bei der elektronischen Einwilligung Die Bedingungen für die elektronische Einwilligung (§ 13 Abs. 2, § 94 TKG) sind wie folgt: Der Diensteanbieter muss sicherstellen, dass (1) Der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, (2) Die Einwilligung protokolliert wird, (3) Der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und (4) Der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 13 24.04.2012 l 13
- 14. Einwilligung im BDSG Risiken bei Einholung einer späteren Einwilligung Die Einholung einer Einwilligung nach einem Vertragsabschluss ist nicht möglich. Es ist hier nicht mit einem Response eines Kunden zu rechnen! Das Unternehmen befände sich in einem dauerhaften Risiko eines Rechtsverstoßes! Einwilligungen müssen für jeden Kommunikationskanal eingeholt werden! Die Verpflichtung zur Einholung getrennter Opt-ins resultiert aus Art. 2 h) der Richtlinie 95/46/EG, Art 13 der Richtlinie 2002/58/EG sowie § 7 Abs. II UWG.Der BGH hat dies in der Payback-Entscheidung vom 16.07.2008 nochmals bestätigt. Im Einzelnen geregelt ist das Opt-in in § 28 BDSG, die Umsetzungsfrist bis zum 31.08.2012 für Werbezwecke steht in § 47 BDSG. Sie geht zurück auf die BDSG-Novelle II vom 01.09.2009. Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 14 24.04.2012 l 14
- 15. 1. Vorstellung DATATREE AG 2. Code of Conduct 3. Einwilligung nach BDSG 4. Bedeutung für Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 15 24.04.2012 l 15
- 16. Bedeutung im Kundenmanagement § 28 Abs. 1 Nr. 2 BDSG Personenbezogene Daten können erhoben, verarbeitet und genutzt werden für Geschäftszwecke , auch ohne Einwilligung soweit… erforderlich, für berechtigte Interessen der verantwortlichen Stelle kein Grund zur Annahme, dass schutzwürdige Ausschlussinteressen des Betroffenen überwiegen Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 16 24.04.2012 l 16
- 17. Bedeutung im Kundenmanagement § 28 Abs. 1 Nr. 3 BDSG Personenbezogene Daten können erhoben, verarbeitet und genutzt werden für Geschäftszwecke , auch ohne Einwilligung soweit… ein schutzwürdiges Ausschlussinteresse des Betroffenen nicht offensichtlich überwiegt z. B. Widerspruch bei sensibler Adresse die allgemein zugänglich sind wie z. B. Telefon-, Adressbücher, Internet oder Handelsregister Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 17 24.04.2012 l 17
- 18. Bedeutung im Kundenmanagement Vorsicht ist geboten: Texte des GDV und Düsseldorfer Kreises stellen einen maximalen Rahmen dar, daher § 3a BDSG Datensparsamkeit beachten Gesundheitsdaten fallen auch dort wo Sie nicht vermutet werden z. B Kfz- Versicherung; hier Verletzungen durch Unfall Einwilligung und Schweigepflichtentbindungen müssen vor der ersten Verarbeitung von Gesundheitsdaten im Unternehmen dem Antragsteller bzw. Versicherungsnehmer vorgelegt werden, für bevorstehende Datennutzung Abfrage von Gesundheitsdaten bei Dritten: Es muss immer die Pauschaleinwilligung und Einzelfalleinwilligung angeboten werden Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 18 24.04.2012 l 18
- 19. Bedeutung im Kundenmanagement Was ist zu tun? Abklären mit einem Rechtsbeistand, ob die Texte des GDV und Düsseldorfer Kreises so übernommen werden können. Es handelt sich um Muster und eine Aufforderung an die Versicherungsunternehmen Einholung der fehlenden Einwilligungen und Alt-Datenbestand bereinigen Dokumente mit neuen Einwilligungserklärungen erstellen und in die Prozesskette implementieren Vertrieb (Makler bzw. Vertreter) muss entsprechend geschult werden, damit die neuen Versicherungsnehmer entsprechend aufgeklärt werden (siehe Freiwilligkeit und Transparenzgebot!) Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 19 24.04.2012 l 19
- 20. 1. Vorstellung DATATREE AG 2. Code of Conduct 3. Einwilligung nach BDSG 4. Bedeutung für Kundenmanagement 5. Fallbeispiel Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 20 24.04.2012 l 20
- 21. Fallbeispiel Folgender Sachverhalt: Die der Meier Industrie GmbH bekannte Capitol-Versicherung bittet die Meier Industrie GmbH um die Mitteilung von Namen und Anschriften der neu eingestellten Auszubildenden und Mitarbeiter. Sie teilt mit, dass sie bei „pauschaler“ Bearbeitung aller Auszubildenden und Mitarbeiter diesen den für eigene Mitarbeiter üblichen Rabatt von 30% einräumen kann. Die Meier Industrie GmbH will allen Betroffenen diesen Zugang zu den günstigen Versicherungskonditionen ermöglichen. Darf die Versicherung die Daten von der Meier Industrie GmbH erhalten? Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 21 24.04.2012 l 21
- 22. Fallbeispiel Lösung: Auszubildende und Mitarbeiter sind Betroffene im Sinne des BDSG (§ 3 Abs. 11 BSG) Aus den Verträgen mit den Mitarbeitern und Auszubildenden ergeben sich keine Rechte und Pflichten des Arbeitgebers günstige Versicherungen zu vermitteln. Soweit Personaldaten herangezogenen werden, die nicht der Durchführung des Beschäftigungsverhältnisses dienen, kann § 28 Abs. 3 BDSG greifen § 28 Abs. 3 Satz 6, erlaubt die Übermittlung, sofern schutzwürdige Interessen der Betroffenen nicht entgegenstehen Hiervon ist in diesem Fall auszugehen, da die Mitarbeiter nicht durch ihren Arbeitgebern als Werbeobjekte Dritter werden sollen. Das gilt auch bei einem besonders günstigen Angebot einer Versicherung. Die freiwillige Einwilligung der Betroffenen ist erforderlich! Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 22 24.04.2012 l 22
- 23. Vielen Dank für Ihre Aufmerksamkeit! DATATREE AG Bernd Fuhlert Heubesstraße 10 40597 Düsseldorf Telefon +49 (211) 598947 - 50 Fax +49 (211) 598947 - 80 Präsentation Opt-Secure Düsseldorf AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 23 24.04.2012 l 23