Anlage - Merkblatt zur Verpflichtungserklärung auf das Daten-, Geschäfts-, Privat- und Fernmeldegeheimnis

Transkript

1 Verpflichtungserklärung auf das Daten-, Geschäfts-, Privat- und Fernmeldegeheimnis R+V Versicherungsgruppe Raiffeisenplatz Wiesbaden Stand: Januar 2014 Herr/Frau erklärt: Es ist mir bekannt, dass mir nach 5 Bundesdatenschutzgesetz (BDSG) untersagt ist, geschützte personenbezogene Daten unbefugt zu einem anderen als dem zur rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu erheben, zu verarbeiten, bekannt zu geben, zugänglich zu machen oder sonst zu nutzen. Mir ist bekannt, dass R+V mit Wirkung zum den Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (sog. Code of Conduct ) beigetreten ist und diese als verbindlich anerkennt. In dem als Anlage beigefügten Merkblatt zur Verpflichtungserklärung erhalte ich nähere Informationen zu den für meine Tätigkeit geltenden gesetzlichen datenschutzrechtlichen Regelungen und zu den Verhaltensregeln (Code of Conduct). Ich werde hiermit angewiesen, diese Verhaltensregeln einzuhalten. Auf die Strafbarkeit einer Geheimnisverletzung nach 43, 44 BDSG und auf mögliche weitere gesetzliche und arbeitsrechtliche Konsequenzen werde ich hingewiesen. Falls ich die Aufgaben eines DV- Administrators wahrnehmen sollte, verpflichte ich mich, den erhöhten Sicherheitsinteressen meines Arbeitgebers im Rahmen der mir anvertrauten Systeme Rechnung zu tragen. Mir ist bekannt, dass ich Im Rahmen übergreifender Arbeiten (z. B. Projekte und/oder Analysen) über das übliche Maß hinaus Kenntnis von beschäftigtenbezogenen oder -beziehbaren Daten erhalten kann, die ebenfalls der Geheimhaltung unterliegen. Ich wurde ferner auf die Strafbarkeit des Verrates von Geschäftsgeheimnissen hingewiesen, der gemäß 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) mit einer Freiheitsstrafe bis zu drei Jahren, in besonders schweren Fällen bis zu fünf Jahren oder mit Geldstrafe bestraft wird. Darüber hinaus ist mir bekannt, dass ich als Mitarbeiter/Erfüllungsgehilfe eines privaten Kranken-, Unfalloder Lebensversicherers zu besonderer Geheimhaltung persönlicher Daten unserer Versicherungsnehmer verpflichtet bin. Ein Verstoß kann nach 203 des Strafgesetzbuches (StGB) mit einer Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft werden. Im Falle des Handelns gegen Entgelt, in Bereicherungsoder Schädigungsabsicht kann die Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe betragen. Mir ist ferner bekannt, dass ich als Mitarbeiter/Erfüllungsgehilfe eines Versicherers personenbezogene Gesundheitsdaten nur unter Berücksichtigung des 213 VVG erheben darf. Soweit ich an der geschäftsmäßigen Telekommunikationsdienstleistung (dazu zählt auch die Tätigkeit eines Konzernunternehmens für ein anderes Unternehmen) mitwirke und im Rahmen meiner Tätigkeit mit Telekommunikationsdaten in Berührung komme, werde ich das Fernmeldegeheimnis nach 88 Telekommunikationsgesetz (TKG) beachten. Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war oder auch erfolglose Verbindungsversuche. Diese gesetzliche Verpflichtung besteht auch nach Beendigung meiner Tätigkeit fort. Ein Verstoß kann nach 206 StGB mit einer Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft werden. Sonstige Geheimhaltungsvorschriften werden von dieser Erklärung nicht berührt. Soweit ich im Rahmen meiner Tätigkeit für andere Gesellschaften der R+V Versicherungsgruppe tätig bin, gilt diese Erklärung auch für die betreffende Gesellschaft bzw. Gesellschaften. Mir ist bekannt, dass das Datengeheimnis auch nach der Beendigung meiner Tätigkeit fortbesteht. Ich habe das Merkblatt zur Verpflichtungserklärung zur Kenntnis genommen und eine Kopie erhalten. Ort, Datum Unterschrift Anlage - Merkblatt zur Verpflichtungserklärung auf das Daten-, Geschäfts-, Privat- und Fernmeldegeheimnis Hinweis: Im R+VNET finden Sie die Verpflichtungserklärung nebst Anlage sowie Erläuterungen zum BDSG bei der Verwendung von EDV-Systemen, die Richtlinien für alle Mitarbeiterinnen und Mitarbeiter der R+V Gruppe, weitere Informationen zum Datenschutz und zur IT-Sicherheit sowie entsprechende Gesetzestexte und den Text der Verhaltensregeln ( Code of Conduct). Die Verwendung allein der männlichen Form dient ausschließlich der besseren Lesbarkeit und schließt die weibliche Form mit ein. Seite 1 von 7

2 Merkblatt zur Verpflichtungserklärung auf das Daten-, Geschäfts-, Privat- und Fernmeldegeheimnis R+V Versicherungsgruppe Raiffeisenplatz Wiesbaden Stand: Januar Datengeheimnis gemäß 5 BDSG Sie sind verpflichtet, gesetzliche und betriebliche Geheimhaltungs-Vorschriften einzuhalten. Darunter fallen alle mit dem Unternehmen verbundenen Tatsachen und Fakten, die ausdrücklich oder offensichtlich einem Geheimhaltungsinteresse des Unternehmens unterliegen. Da Sie aufgrund Ihrer Tätigkeit auch mit der Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten betraut sind, sind Sie auch auf das Datengeheimnis nach 5 Bundesdatenschutzgesetz (BDSG) verpflichtet. Danach dürfen Sie personenbezogene Daten nur im Rahmen der Ihnen zugewiesenen rechtmäßigen Aufgabenerfüllung erheben, verarbeiten oder nutzen. Diese Verpflichtung bezieht sich auf alle Angaben über persönliche und sachliche Verhältnisse einer natürlichen Person. Diese Verpflichtung besteht auch nach Beendigung Ihrer Tätigkeit, das heißt nach Ausscheiden aus unserem Unternehmen, unbefristet fort. Zum Schutz personenbezogener Daten ist bei der Anwendung von Programmen sowie bei der Nutzung von EDV- Anlagen, die diese Daten erheben und verarbeiten, die notwendige Sorgfalt anzuwenden. Bestehende Sicherheitsvorschriften über den Umgang mit EDV-Anlagen sind zu beachten. Insbesondere wird auf die Erfordernisse einer ordnungsgemäßen Vernichtung von Datenträgern und Schriftstücken hingewiesen, die personenbezogene oder unternehmenskritische Daten beinhalten. 2. Strafbestimmungen nach BDSG Wer eine der im folgenden bezeichneten Handlungen gegen Entgelt oder in der Absicht begeht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft: a) Wer unbefugt personenbezogene Daten erhebt oder verarbeitet, die nicht allgemein zugänglich sind. b) Wer unbefugt personenbezogene Daten zum Abruf mittels automatisierter Verfahren bereithält, die nicht allgemein zugänglich sind. c) Wer unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft. d) Wer die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht. Darüber hinaus gibt es nach den 43, 44 BDSG weitere Strafvorschriften sowie zahlreiche Bußgeldvorschriften, die bereits bei einfacher Fahrlässigkeit gelten.ein Bußgeld beträgt bei einer Ordnungswidrigkeit bis zu ,-, zur Gewinnabschöpfung gegebenenfalls sogar darüber. Im Falle einer Straftat liegt der Strafrahmen bei einer Freiheitsstrafe bis zu zwei Jahren oder einer Geldstrafe. 3. Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (Code of Conduct) R+V ist mit Wirkung zum den Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (sog. Code of Conduct ) beigetreten. Sie sind zur Einhaltung dieser Verhaltensregeln verpflichtet. Nähere Informationen und Erläuterungen zu den Verhaltensregeln finden Sie auf den Datenschutzseiten im R+V NET. Ihr Fachbereich bzw. Ihre Organisationseinheit hat die für Sie geltenden Arbeitsanweisungen entsprechend ergänzt. Dies bedeutet für Sie insbesondere, dass Beschwerden von Versicherten und sonstigen Betroffenen wegen Verstößen gegen datenschutzrechtliche Regelungen oder die Verhaltensregeln innerhalb einer Frist von 14 Tagen zu beantworten sind oder ein Zwischenbescheid zu geben ist. Bitte leiten Sie entsprechende Beschwerden unverzüglich entsprechend der in Ihrem Fachbereich bzw. Ihrer Organisationseinheit bestehenden Arbeitsanweisung an den zuständigen Ansprechpartner weiter. 4. Verschwiegenheitspflicht bei besonderen Aufgaben Falls Sie die Aufgaben eines DV- Administrators (für Systeme, Netzwerke, Internet, etc.) wahrnehmen sollten, haben Sie Zugriff auf vertrauliche Daten. Sie sind daher dazu verpflichtet, den erhöhten Sicherheitsinteressen Ihres Arbeitgebers Rechnung zu tragen: Sie werden nicht unbefugt personenbezogene Daten erheben, verarbeiten oder nutzen, die Ihnen durch Ihre Aufgaben als Administrator zur Kenntnis gelangten Daten streng vertraulich behandeln und Dritten nicht zugänglich machen. Ihnen ist bekannt, dass Sie im Rahmen übergreifender Arbeiten (z. B. Projekte und/oder Analysen) über das übliche Maß hinaus Kenntnis von beschäftigtenbezogenen oder -beziehbaren Daten erhalten können, die ebenfalls der Geheimhaltung unterliegen. Nähere Informationen zu den bei übergreifenden Arbeiten bestehenden datenschutzrechtlichen Pflichten finden Sie auf den Datenschutzseiten im R+V NET. Seite 2 von 7

3 5. Verrat von Geschäfts- und Betriebsgeheimnissen ( 17 UWG) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäfts- oder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemanden zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht mitteilt, dem Inhaber des Unternehmens Schaden zuzufügen, wird gemäß 17 des Gesetzes gegen den unlauteren Wettbewerb (UWG) mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Ebenso wird bestraft, wer zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, 1. sich ein Geschäfts- oder Betriebsgeheimnis, das er durch Anwendung technischer Mittel, Herstellung einer verkörperten Wiedergabe des Geheimnisses oder Wegnahme einer Sache, in der das Geheimnis verkörpert ist, unbefugt verschafft oder sichert oder 2. ein Geschäfts- oder Betriebsgeheimnis, das er durch eine der in Absatz 1 bezeichneten Mitteilungen oder durch eine eigene oder fremde Handlung nach Nummer 1 erlangt oder sich sonst unbefugt verschafft oder gesichert hat, unbefugt verwertet oder jemandem mitteilt. In besonders schweren Fällen (wenn der Täter gewerbsmäßig handelt, bei der Mitteilung weiß, dass das Geheimnis im Ausland verwertet werden soll oder eine Verwertung dort selbst vornimmt) kann eine Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe verhängt werden. Bei folgenden beispielhaft aufgeführten Informationen kann es sich im Einzelfall um Geschäfts- oder Betriebsgeheimnisse handeln: Kundenlisten, Geschäftsstrategien, Computerprogramme oder die Gestaltung einer Softwarelösung (die Aufzählung ist nicht abschließend). 6. Verletzung von Privatgeheimnissen ( 203 StGB) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Angehöriger eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen Verrechnungsstelle anvertraut worden oder sonst bekannt geworden ist, kann gemäß 203 Abs. 1 Nr. 6 des Strafgesetzbuches (StGB) mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft werden. Handelt der Täter gegen Entgelt oder in der Absicht, sich oder einen Anderen zu bereichern oder einen Anderen zu schädigen, so kann die Freiheitsstrafe gemäß 203 Abs. 5 StGB bis zu zwei Jahren oder Geldstrafe betragen. Bei den folgenden beispielhaft aufgeführten Informationen kann es sich im Einzelfall um ein zum persönlichen Lebensbereich gehörendes fremdes Geheimnis handeln: - die Tatsache, dass eine private Kranken-, Lebens- oder Unfallversicherung besteht, - Art und Umfang des Versicherungsschutzes sowie - alle Gesundheitsdaten, - ferner bei sämtlichen Umständen, die im Laufe des Versicherungsverhältnisses eintreten und für die Feststellung des Versicherungsfalles, der Art und des Umfangs der Leistungspflicht relevant sind, wie - anamnestische Angaben, - Diagnosen, - die behandelnden Ärzte, - das gewählte Krankenhaus, - eine Erhöhung des Nettoeinkommens, - die Verlängerung des Anspruches auf Entgeltfortzahlung oder - eine Erhöhung des Nettoeinkommens (relevant für das Krankenhaustagegeld); die Aufzählung ist nicht abschließend. Im Hinblick auf Betriebs- und Geschäftsgeheimnisse gelten die Ausführungen zu 17 UWG entsprechend. 7. Erhebung personenbezogener Gesundheitsdaten bei Dritten ( 213 VVG) Ihnen ist ferner bekannt, dass Sie gemäß 213 VVG als Mitarbeiter/Erfüllungsgehilfe eines Versicherers personenbezogene Gesundheitsdaten nur bei Ärzten, Krankenhäusern und sonstigen Krankenanstalten, Pflegeheimen und Pflegepersonen, anderen Personenversicherern und gesetzlichen Krankenkassen sowie Berufsgenossenschaften und Behörden erheben dürfen. Die Erhebung dieser Daten ist nur zulässig, soweit die Kenntnis der Daten für die Beurteilung des zu versichernden Risikos oder der Leistungspflicht erforderlich ist und die betroffene Person eine Einwilligung erteilt hat. Die betroffene Person ist vor der Erhebung der personenbezogenen Gesundheitsdaten zu unterrichten und auf das Widerspruchsrecht hinzuweisen; sie kann der Erhebung widersprechen. Sie kann jederzeit verlangen, dass eine Erhebung von Daten nur erfolgt, wenn jeweils in die einzelne Erhebung eingewilligt worden ist. Die betroffene Person ist Seite 3 von 7

4 auf diese Rechte hinzuweisen. Diese Verpflichtung gilt für alle Versicherer und ist nicht beschränkt auf Kranken-, Lebens- oder Unfallversicherer. 8. Fernmeldegeheimnis ( 88 TKG, 206 StGB) Gemäß 88 Telekommunikationsgesetz (TKG) unterliegen dem Fernmeldegeheimnis der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war. Das Fernmeldegeheimnis erstreckt sich auch auf die näheren Umstände erfolgloser Verbindungsversuche. Soweit Sie an der Erbringung von Telekommunikationsdiensten beteiligt sind, ist es Ihnen untersagt, sich oder anderen über das für die Erbringung der Dienstleistung erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Sie dürfen diese Kenntnisse über Tatsachen, die dem Fernmeldegeheimnis unterliegen, nur für den dienstlichen Zweck verwenden. Eine Verwendung dieser Kenntnisse für andere Zwecke, insbesondere die Weitergabe an Dritte, ist grundsätzlich untersagt. Diese Verpflichtung besteht sowohl gegenüber externen Stellen als auch gegenüber andern Mitarbeitern, die nicht mit der jeweiligen Aufgabenstellung befasst sind. Nach 206 StGB wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft, wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigter eines Unternehmens bekannt geworden sind, das geschäftsmäßig Postoder Telekommunikationsdienste erbringt. 9. Weitere Sanktionen Neben den vorgenannten Straf- und Bußgeldbestimmungen kann ein Verstoß gegen die Verpflichtungen zum Schadensersatz sowie zu arbeitsrechtlichen Konsequenzen führen. Seite 4 von 7

5 Hinweise und Erläuterungen zum BDSG bei der Verwendung von EDV-Systemen R+V Versicherungsgruppe Raiffeisenplatz Wiesbaden Stand: Januar Zweck der Bestimmungen nach BDSG Zweck des Bundesdatenschutzgesetzes (BDSG) ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Das Persönlichkeitsrecht ist durch das Grundgesetz ausdrücklich geschützt. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, also eines lebenden Menschen (Betroffener ). Das BDSG schützt also auch den Einzel- Kaufmann, Freiberufler, Selbstständige und Gesellschaften des bürgerlichen Rechtes, jedoch grundsätzlich nicht Informationen über juristische Personen und Personenhandelsgesellschaften (z. B. AG, GmbH, OHG, KG, e. V., eg). Einzelne Mitglieder von juristischen Personen oder die hinter juristischen Personen stehenden natürlichen Personen können jedoch im Einzelfall ebenfalls durch das BDSG geschützt sein, wenn sich wegen enger finanzieller, personeller oder wirtschaftlicher Verflechtungen die Angaben auch auf sie beziehen (z. B. Ein-Mann-GmbH). Die personenbezogenen Daten unterliegen jedoch nur dem Schutz des BDSG, wenn sie entweder automatisiert verarbeitet werden oder (soweit sie in Akten enthalten sind) wenn sie aus einer automatisierten Verarbeitung entnommen worden sind oder aufgrund der Aktenstrukturierung zumindest manuell auswertbar sind. Ausnahme: Wenn personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden gilt das BDSG auch, wenn sie weder automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Dies bedeutet, dass personenbezogene Daten von Beschäftigten auch außerhalb von Akten unter den Schutzbereich des BDSG fallen, so z.b. Aufzeichnungen von Führungskräften, Interviews aus Bewerbungs-und Leistungsbeurteilungsgesprächen, alle Notizen zum Leistungsverhalten, etc.. 2. Begriffsbestimmungen Der Geltungsbereich des Gesetzes erfasst den gesamten Umgang mit personenbezogenen Daten, also das Erheben, Verarbeiten und Nutzen. Erheben ist das Beschaffen von Daten über den Betroffenen. Diese Daten müssen nach Treu und Glauben auf rechtmäßige Weise sowie für rechtlich zulässige Zwecke erhoben werden. Verarbeiten ist nach dem BDSG das Speichern, Verändern, Übermitteln, Sperren und Löschen von personenbezogenen Daten. Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt. 3. Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft (Code of Conduct) Die Verhaltensregeln schaffen für die Versicherungswirtschaft weitgehend einheitliche Standards und fördern die Einhaltung von datenschutzrechtlichen Regelungen. Sie sollen den Versicherten der beigetretenen Unternehmen die Gewähr bieten, dass Datenschutz-und Datensicherheitsbelange bei der Gestaltung und Bearbeitung von Produkten und Dienstleistungen berücksichtigt werden. Die für die beigetretenen Unternehmen zuständigen Datenschutzaufsichtsbehörden haben den Verhaltensregeln zugestimmt. Nähere Informationen und Erläuterungen zu den Verhaltensregeln finden Sie auf den Datenschutzseiten im R+V NET. 4. Verwendung von IT-Komponenten Die Verwendung einer IT-Komponente (z. B. PC, mobile Endgeräte) bedeutet Datenverarbeitung in automatisierter Form. Werden dabei personenbezogene Daten verarbeitet oder genutzt, gilt das BDSG. Das BDSG gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, soweit die Daten unter Einsatz von Datenverarbeitungsanlagen geschäftsmäßig oder für berufliche oder gewerbliche Zwecke automatisiert verarbeitet oder genutzt werden. Sie sind als Anwender für die Maßnahmen gemäß BDSG zum Datenschutz und zur Datensicherung verantwortlich. 5. Zulässigkeit der Datenverarbeitung Die Daten natürlicher Personen dürfen nur erhoben, verarbeitet oder genutzt werden, wenn der Betroffene eingewilligt hat oder ein Gesetz dieses erlaubt oder verlangt, z. B. Verarbeiten im Rahmen der handelsrechtlichen Aufbewahrungspflichten, Weitergabe von Gehaltsberechnungsdaten an das zuständige Finanzamt nach LStG bzw. EStG oder das BDSG die Datenverarbeitung oder Nutzung erlaubt. Die Verwendung allein der männlichen Form dient ausschließlich der besseren Lesbarkeit und schließt die weibliche Form mit ein. Seite 5 von 7

6 Nach dem BDSG ist ein Erheben, Verarbeiten oder Nutzen zulässig, wenn es zur Zweckbestimmung des Vertragsverhältnisses mit dem Betroffenen erforderlich ist (z. B. zur Abwicklung eines Kundenauftrags oder im Rahmen eines Anstellungsvertrages). Ferner ist das Erheben, Verarbeiten oder Nutzen nach dem BDSG erlaubt, wenn es im Rahmen der Zweckbestimmung eines vertragähnlichen Vertrauensverhältnisses liegt (z. B. Datenspeicherung im Rahmen von Vertragsverhandlungen). Im Übrigen ist das Erheben, Verarbeiten oder Nutzen nach dem BDSG zulässig, wenn es der Wahrung berechtigter (wirtschaftlicher) Interessen des verarbeitenden Unternehmens dient und schutzwürdige Interessen des Betroffenen nicht überwiegen. Soweit eine solche Interessenabwägung erforderlich ist, sollte unbedingt der Konzern- Datenschutzbeauftragte der R+V Versicherungsgruppe eingeschaltet werden. Das Übermitteln personenbezogener Daten ist unter denselben Voraussetzungen nach dem BDSG zulässig, es sei denn, die Daten sollen in ein Land außerhalb der Europäischen Union übermittelt werden. Zusätzlich ist das Übermitteln oder Nutzen erlaubt, wenn es der Wahrung berechtigter Interessen des Empfängers oder der Allgemeinheit dient und schutzwürdige Interessen des Betroffenen nicht überwiegen. Auch hier wird die Interessenabwägung nur unter Einschaltung des Konzern-Datenschutzbeauftragten der R+V Versicherungsgruppe möglich sein. 6. Rechte des Betroffenen Jede natürliche Person hat das Recht auf unentgeltliche Auskunft über die zu ihrer Person gespeicherten Daten. In bestimmten Fällen kann der Betroffene eine Berichtigung, Sperrung oder Löschung seiner Daten verlangen. Erforderliche Maßnahmen ergeben sich aus gesonderten Arbeitsanweisungen. Grundsätzlich sollte in den vorgenannten Fällen der Konzern-Datenschutzbeauftragte der R+V Versicherungsgruppe eingebunden werden. Darüber hinaus hat die betroffene Person ein Widerspruchsrecht gegen die Ansprache zum Zweck der Werbung sowie Markt- und Meinungsforschung. Auf dieses Widerspruchsrecht muss bei der entsprechenden Ansprache (z. B. Werbeschreiben) ausdrücklich hingewiesen werden. 7. Datensicherungsmaßnahmen Datensicherung umfasst alle Regeln und Maßnahmen, die Daten und PC-Systeme in ihrem Bestand und in ihrer Verfügbarkeit zu erhalten und ihre unberechtigte Verwendung bzw. Nutzung zu verhindern. Zur Umsetzung erforderlicher Maßnahmen werden von zentraler Stelle Vorkehrungen für viele Arbeitsprozesse getroffen (z. B. bei Formularen, EDV-Anwendungen und -Systemen). Darüber hinaus bestehen für Teilbereiche detaillierte Anweisungen und Richtlinien. Im R+V-NET finden Sie die Richtlinien für alle Mitarbeiterinnen und Mitarbeiter der R+V Gruppe, weitere Informationen zum Datenschutz und zur IT- Sicherheit, sowie entsprechende Gesetzestexte. Für die Einhaltung der Maßnahmen und Regeln sind Sie an Ihrem Arbeitsplatz selbst verantwortlich. 8. Einschränkungen bei besonderen Daten Das BDSG schützt in besonderem Maße die besonderen Arten personenbezogener Daten, also Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Diese Daten dürfen lediglich aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder in wenigen gesetzlich definierten Ausnahmefällen erhoben, verarbeitet oder genutzt werden (z. B. zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten, wegen Erforderlichkeit zur Geltendmachung rechtlicher Ansprüche ohne überwiegendes schutzwürdiges Interesse des Betroffenen etc.). Insbesondere für die nachstehend genannten Datenarten bestehen Einschränkungen in Bezug auf die zulässige Verarbeitung: - Gesundheitsdaten Gesundheitsangaben z. B. aus den Antragsformularen zu Lebens-, Unfall- und Krankenversicherungen dürfen nur im Rahmen des Versicherungsvertragsgesetzes (VVG) oder mit der ausdrücklichen Einwilligung des Versicherungsnehmers verarbeitet werden. Auch Gesundheitsangaben aus Schadensmeldungen fallen darunter. - Schadensdaten Personenbezogene Daten von Geschädigten, die nicht R+V-Kunden sind, dürfen nur dann verarbeitet werden, wenn ein Regulierungsauftrag vorliegt. 9. Unrechtmäßige Kenntniserlangung Dritter Nach 42a BDSG besteht eine Melde- und Informationspflicht bei unrechtmäßiger Kenntniserlangung Dritter von bestimmten personenbezogenen Daten, beispielsweise Gesundheitsdaten, Daten der privaten Kranken-, Unfall- oder Lebensversicherung, Daten zu Bank- und Kreditkartenkonten. In diesen Fällen Seite 6 von 7

7 schreibt das Gesetz vor, dass der oder die Betroffenen und auch die zuständige Datenschutzaufsichtsbehörde unverzüglich hierüber benachrichtigt werden. Damit geprüft werden kann, ob Maßnahmen aufgrund der Vorschrift des 42a BDSG veranlasst werden müssen, sind Sie verpflichtet, Ihren Vorgesetzten zu informieren, sobald Sie eine unrechtmäßige Kenntniserlangung feststellen oder zumindest nicht ausschließen können, dass ein Vorgang eine unrechtmäßige Kenntniserlangung darstellen könnte. Bitte beachten Sie hierzu auch die Informationen zu 42a BDSG auf den Seiten des Datenschutzes im R+V NET. Weitere Auskünfte sowie Informationsunterlagen zu Datenschutz und Datensicherung erhalten Sie vom Konzern-Datenschutzbeauftragten der R+V Versicherungsgruppe. Darüber hinaus wird auf die im R+V NET veröffentlichten Erläuterungen zum Datenschutz verwiesen. Seite 7 von 7