Auswirkungen der BDSG-Novellen auf die Versicherungswirtschaft

Größe: px

Ab Seite anzeigen:

Download "Auswirkungen der BDSG-Novellen auf die Versicherungswirtschaft"

Andrea Kaufman
vor 8 Jahren
Abrufe

1 Auswirkungen der BDSG-Novellen auf die Versicherungswirtschaft Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig- Holstein Round Table Datenschutz 2010 Aktuelle Brennpunkte für die Versicherungswirtschaft Köln 24. November 2009 Unabhängiges Landeszentrum für Datenschutz BDSG-Novellen 2009 und Fristen Übersicht über die Änderungen Arbeitnehmerdatenschutz Breach Notification Scoring Übermittlung an Auskunfteien Werbenutzung Auskunftsrecht Schlussfolgerungen Inhalt 2

für die Versicherungswirtschaft Köln 24.

2 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Aufsichtsbehörde für öffentlichen und nicht-öffentlichen Bereich (u.a. in Schleswig-Holstein Vorsitz AG Versicherungswirtschaft im Düsseldorfer Kreis Vermittlung Konflikte Informationsfreiheitsgesetz Beratung und Fortbildung Projekte und Gutachten, z.b. zu Verbraucherdatenschutz, Kreditscoring, Geodatenbereitstellung Datenschutz-Gütesiegel und -Audit, European Privacy Seal (EuroPriSe) 3 BDSG-Novellen BDSG 1. Generation 1983 Bundesverfassungsgericht Volkszählungsurteil 1990 BDSG 2. Generation 1995 Europäische Datenschutzrichtlinie 2001 Überarbeitung BDSG 2009 drei BDSG-Novellen I Scoring, Auskunfteien, G.v , BGBl. I, 2254 II Werbung, Arbeitnehmerdatenschutz u.a., G.v , BGBl. I, 2814 III Verbraucherkreditrichtlinie, G.v , BGBl. I,

Generation 1983 Bundesverfassungsgericht Volkszählungsurteil 1990 BDSG 2. Generation 1995 Europäische Datenschutzrichtlinie 2001 Überarbeitung BDSG 2009 drei BDSG-Novellen I Scoring, Auskunfteien, G.

3 Inkrafttreten und Übergangsvorschriften BDSG II in Kraft seit (Werbung u.a.) Außer Pflicht zur Speicherung v. Herkunft u. Auskunft hierüber, Zweckbindung für DS-Kontrolle, Bußgeld, ab BDSG I in Kraft ab (Auskunfteien/Scoring) BDSG III in Kraft ab (VerbraucherkreditRiLi) Übergangsvorschrift bzgl. vor erhobenen Daten: 28 a.f. gilt bis für Markt- und Meinungsforschung, bis für Werbung 5 Übersicht über alle Änderungen I (ohne redaktionelle und Folgeänderungen) 3 XI Definition der Beschäftigten 3a Erweiterung Datenvermeidung/Datensparsamkeit 4f III 5-7 bdsb Kündigungsschutz/Fortbildungsanspruch 11 II Präzisierung u. Ausweitung Kontrollpflichten DViA 28 I 1 Nr. 1 erforderlich statt dienlich bei Vertrag 28 II Zusammenführung von 28 II u. III (ohne Nr. 3) a.f. 28 III Änderung Listenprivileg bei Werbenutzung 28 IIIa schriftl. Bestätigungspflicht bei Werbeeinwilligung 28 IIIb Koppelungsverbot 28 IV Präzisierung u. Ausweitung bzgl. Hinweispflicht bei Werbewiderspruchsrecht 6

2010 für Markt- und Meinungsforschung, bis 31.08.

4 Übersicht über alle Änderungen II 28a Datenübermittlung an Auskunfteien 28b Scoring 29 I 2 Nr. 3 Verarbeitungsrecht für Auskunfteien 29 II 5 Stichprobenprüfungspflicht bzgl. ber. Interesse 29 III 1 Rufnummernverzeichnis statt Telefonverz. 29 VI Gleichbehandlung v. Bonitätsprüfungen im EWF 29 VII Unterrichtungspflicht b. bonitätsb. Kreditablehnung 30c Spezialregelung Markt- und Meinungsforschung 32 Spezialregelung Beschäftigungsverhältnisse 33 II Nr. 9 keine Benachrichtigung bei Markt- und Meinungsforschung 7 Übersicht über alle Änderungen III 34 Ia Speicher- und Auskunftspflicht bzgl. Herkunft u. Empfänger bei Werbedaten 34 II umfassende Auskunftspflicht bei Scoring 34 III 2 Auskunftspflicht bei beabsichtigter Datenzusammenführung 34 IV Auskunft über Score bei Auskunfteien 34 V Zweckbindung bei Daten für Auskunftszwecke 34 VIII 1xjährlich unentgeltl. Auskunft bei Auskunfteien 35 I 2 Kennzeichnungspflicht bei Schätzdaten 35 II 1 Nr. 4 Modifikation Löschpflicht nach Fristablauf bei Auskunfteien 8

Kreditablehnung 30c Spezialregelung Markt- und Meinungsforschung 32 Spezialregelung Beschäftigungsverhältnisse 33 II Nr.

5 Übersicht über alle Änderungen IV 35 II 2 Löschpflicht auf Verlangen bei Scores 35 IVa keine Übermittlung über Umstand der Sperrung 38 IV 1, 2 materielle Anordnungsbefugnis Aufsichtsbeh. 42a Breach Notification 43 I Nr. 2a, 2b, 3a, II 5a, 5b, 6, 7 neue Bußgeldtatbest. 43 III Erhöhung Höchstbußgelder auf / Eu. 43 III 2, 3 Gewinnabschöpfung/Höchstrahmenüberschreitung bei Ordnungswidrigkeiten 47 Übergangsregelung bei Daten von vor Evaluation von Änderungen bei 28, 29, 30a, 42a Anlage zu 9 Verschlüsselung als geeignete Maßnahme Arbeitnehmerdatenschutz I 1 Verarbeitung, wenn für Beschäftigungsverhältnis erforderlich e.a. rein deklaratorische Regelung ohne Gehalt > 28 I 1 Nr. 1 voll anwendbar > keine Konzernübermittlung a.a. partiell abschließende Regelung I 2 Straftatenaufdeckung nur bei dokumentiertem tatsächlichen Anhaltspunkt für Verdacht und Abwägung h.m. Screening ist unzulässig e.a. gilt für jede Fehlverhaltenkontrolle a.a. gilt nur bei Straftatverdacht (nicht Owi od. Anderes) II Dateibezug nicht nötig 10

43 III 2, 3 Gewinnabschöpfung/Höchstrahmenüberschreitung bei Ordnungswidrigkeiten 47 Übergangsregelung bei Daten von vor 01.09.

6 42a Breach Notification Sensitive Daten (3 IX, Berufsgeheimnis, Stratat, Owi, zu Bank- und Kreditkartenkonten) Unrechtmäßig zur Kenntnis erlangt Gefahr schwerwiegender Beeinträchtigung > unverzügliche Benachrichtigung nach Sicherungsmaßnahmen über Leck und Empfehlungen (Betr.) bzw. Folgen u. ergriffene Maßnahmen (AB) Bzgl. Betroffenen unverhältnismäßigem Aufwand halbseitige Anzeige in zwei bundesweiten Tagesztg.en Verwendung in Sanktionsverfahren (Straf, Owi) nur nach Einwilligung Bußgeldtatbestand (43 II Nr. 7) 11 28b Scoring Entscheidung über od. im Vertragsverhältnis Wahrscheinlichkeitswert nicht Versicherungsrisikoberechnung i.d.r. nicht Werbescoring aber Bonitätsscores im Rahmen Abschluss bis Inkasso Wissenschaftliches math.-statistisches Verfahren Datengrundlage muss nach 28, 29 zulässig sein Nicht ausschließlich Anschriftendaten, wenn dann Unterrichtung 12

Betroffenen unverhältnismäßigem Aufwand halbseitige Anzeige in zwei bundesweiten Tagesztg.en Verwendung in Sanktionsverfahren (Straf, Owi) nur nach Einwilligung Bußgeldtatbestand (43 II Nr.

7 6a Automatisierte Entscheidung Entscheidung mit rechtlichen Folgen (alles außer einfache Werbung) Nicht ausschließlich automatisierte Bewertung einzelner Persönlichkeitsmerkmale Insbesondere, wenn keine inhaltliche Bewertung durch natürliche Person (Online-) Ausnahmen Antrag wird stattgegeben Mitteilung, dass und wie (wesentliche Gründe) entscheiden wurde Auskunftsanspruch über logischen Aufbau konkret 13 28a Übermittlung an Auskunfteien Betrifft nur Bonitätsbewertung wg. Forderungsausfall ist nicht Warndatei, nicht HIS (Risikobewertung) Gesetzliche statt Einzelfallabwägung Vollstreckbarer Titel Feststellung nach InsO Ausdrückliche Anerkennung durch Betroffenen 2 schriftliche Mahnungen, 4 Wochen Abstand, Information über Einmeldung, kein Bestreiten Vertrag fristlos kündbar Wann ist Bonitätsprüfung im Versicherungsverhältnis zulässig? > 29 II 1 berechtigtes Interesse? 14

Aufbau konkret 13 28a Übermittlung an Auskunfteien Betrifft nur Bonitätsbewertung wg.

8 28 III Werbenutzung I Nutzung von Listendaten für eigene Werbezwecke zulässig (2 Nr. 1) Hinzuspeichern eigener Daten (3) Verarbeitung von Listen-Berufsanschriften wg. Berufstätigkeit für fremde Zwecke (2 Nr. 2) Verarbeitung von Listendaten für gemeinnützige Spendenwerbung (2 Nr. 3) Verarbeitung v. Listendaten f. fremde Zwecke, wenn verantwortliche Stelle u. Datenherkunft erkennbar sind (3, 4) u. keine entgegen stehende schutzwürdige Interessen Verarbeitung sonst nur nach Einwilligung (1), die schriftlich bestätigt wird od. online protokolliert ist (IIIa) III Werbenutzung II Bei Übermittlung von allgemeinen Listendaten müssen Herkunft und Empfänger 2 Jahre gespeichert und beauskunftet werden (34 Ia). Daten dienen nur zur Auskunftserteilung (34 V). Tritt am in Kraft. Für Werbedaten gilt bis altes Recht, wenn Daten vor erhoben od. gespeichert waren > Nachweis der Frühspeicherung nötig bei Datenvermischung gilt aktuelles Datum Abwägungsklausel (28 I 1 Nr. 2 a.f.) gilt künftig nicht mehr > konzerninternes CRM-Marketing ist nicht mehr zulässig 16

Datenherkunft erkennbar sind (3, 4) u. keine entgegen stehende schutzwürdige Interessen Verarbeitung sonst nur nach Einwilligung (1), die schriftlich bestätigt wird od.

9 34 Auskunftsrecht I I Anspruch auf Daten, Herkunft und Empfänger (Verweigerung nur bei überwieg. Geschäftsgeheimnis) Ia Bei Werbedaten 2 Jahre Speicher- und Auskunftspflicht über Herkunft und Empfänger II Scorewerte der letzten 6 Monate, genutzte Datenarten (vgl. 6a III), Zustandekommen und Bedeutung (1), Einbeziehung Dritter und getrennter Daten (3-6) III Bei Zweck der Übermittlung auch Daten ohne Dateibezug, ohne Speicherung und ohne direktem Personenbezug Auskunftsrecht II IV Zweck der Übermittlung übermittelte Scores der letzten 12 Monate, aktueller Score, Datenarten, Zustandekommen und Bedeutung (auch bei Drittdaten) V Daten für Auskunftszwecke sind streng zweckgebunden VI Auskunftserteilung erfolgt in Textform VII Keine Auskunftspflicht, wenn keine bestimmte Benachrichtigungspflicht VIII Entgeltlichkeit bei Zweck der Übermittlung und wirtschaftliche Nutzbarkeit, aber 1xjährlich unentgeltlicher Auszug (z.b. HIS) 18

6a III), Zustandekommen und Bedeutung (1), Einbeziehung Dritter und getrennter Daten (3-6) III Bei Zweck der Übermittlung auch Daten ohne Dateibezug, ohne Speicherung und ohne direktem Personenbezug

10 Schlussfolgerungen Novellen sind Murks Gesetz ist definitiv nicht mehr les- und verstehbar Unternehmen müssen ihr (nicht existierendes) DS- Management und Prozesse umstellen bzw. vorbereiten (z.b. Markierung der Erstspeicherung) GDV sollte Hilfen geben, (verständlicherer) Code of Conduct ist dringlicher als zuvor Versicherungswirtschaft sollte Druck machen zugunsten einer BDSG-Totalrevision und eines Auditgesetzes 19 Auswirkungen der BDSG-Novellen auf die Versicherungswirtschaft Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein - ULD Holstenstr. 98, Kiel Tel , Fax mail@datenschutzzentrum.de 20

Ähnliche Dokumente

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz 16. Versicherungswissenschaftliches