Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement

Transkript

1 Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Präsentation für AMC Arbeitskreis Mittwoch, 13. Juni 2012 Düsseldorf 13. Juni 2012 l l

2 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l

3 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l

4 Vorstellung DATATREE AG Expertise Leistungsportfolio: ein Auszug Informatiker Betriebswirte Marketingexperten Datenschutzauditoren Stellung externer Datenschutzbeauftragter (TÜV cert. / GDD cert.) Begleitung von Unternehmen bei der Durchführung von Zertifizierungen Schulung für Mitarbeiter, Geschäftsleitung und Aufsichtsräte interdisziplinäres Team Aufbau und Prüfung von Compliance-Strukturen in Unternehmensorganisationen Compliance-Produkte: Treuhand-Datenbank zur Qualitätssicherung z. B. im Wettbewerbsrecht 13. Juni 2012 l l

5 Vorstellung DATATREE AG Datenexperten: Daten sind nicht immer wichtig, sondern entscheidend! Tätigkeitsschwerpunkte: Datensicherheit, Datenschutz, Wettbewerbsrecht Unterstützung und Mediation bei Verhandlungen mit Behörden, Organisationen oder Unternehmen im Streitfall Auszug Referenzen: 13. Juni 2012 l l

6 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l

7 Datenschutz in der Versicherungswirtschaft Warum ist der Datenschutz für Versicherungsnehmer wichtig? Die Versicherungen arbeiten fast ausschließlich mit sensiblen Daten bzw. mit besonders sensitiven Daten gemäß 3 (9) BDSG Damit kommt den Versicherungen in der Datenerhebung,- verarbeitung und -nutzung eine besondere Verantwortung zu Versicherungsunternehmen müssen das Vertrauen der Kunden immer wieder bestärken, dass die personenbezogenen Daten nicht zweckentfremdet werden! 13. Juni 2012 l l

8 Datenschutz in der Versicherungswirtschaft Sollten Datenschutzverstösse bekannt werden, drohen shitstorm 13. Juni 2012 l l

9 1. Vorstellung DATATREE AG 2. Datenschutz in der Versicherungswirtschaft 3. Einwilligung nach BDSG 4. Bedeutung im Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l

10 Einwilligung im BDSG Beschluss des Düsseldorfer Kreises Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften enthalten keine ausreichende Rechtsgrundlagen für die Erhebung Verarbeitung und Nutzung von sensitiven Daten z. B. Gesundheitsdaten durch Versicherungsunternehmen. Die Versicherungsunternehmen sind aufgefordert, die bisherigen Einwilligungstexte durch neue zu ersetzen! (Beschluss Düsseldorfer Kreis und GDV) 13. Juni 2012 l l 10

11 Einwilligung im BDSG Wie muss die Einwilligung nach BDSG grundsätzlich gestaltet sein? Wird die Einwilligung beim Betroffenen eingeholt, ist er auf den Zweck der Speicherung eine vorgesehene Übermittlung hinzuweisen Die Einwilligung bedarf grundsätzlich der Schriftform, u. U. kann diese auch elektronisch eingeholt werden! Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben ( 4a Abs. 1 BDSG) Neu: Sie ist in drucktechnisch deutlicher Gestaltung besonders hervorzuheben ( 28 Ab. 3a) 13. Juni 2012 l l 11

12 Einwilligung im BDSG Transparenzpflicht der Einwilligung Benachrichtigung Information bei der Direkterhebung (Vorrang der Direkterhebung) über Speicherung bzw. erstmalige Übermittlung (falls nicht beim Betroffenen erhoben) Über verantwortliche Stelle bei werblicher Ansprache verantwortliche Stelle Auskunft über die Daten und deren Verarbeitung Einsicht in das Verfahrensregister des betrieblichen oder externen DSB Rechte der Betroffenen: Löschungs-, Korrektur-, Widerspruchs- und Sperrungsrechte 13. Juni 2012 l l 12

13 Einwilligung im BDSG Transparenzpflicht bei der elektronischen Einwilligung Die Bedingungen für die elektronische Einwilligung ( 13 Abs. 2, 94 TKG) sind wie folgt: Der Diensteanbieter muss sicherstellen, dass (1) Der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat, (2) Die Einwilligung protokolliert wird, (3) Der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und (4) Der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann 13. Juni 2012 l l 13

14 Einwilligung im BDSG Risiken bei Einholung einer späteren Einwilligung Die Einholung einer Einwilligung nach einem Vertragsabschluss ist nicht möglich. Es ist hier nicht mit einem Response eines Kunden zu rechnen! Das Unternehmen befände sich in einem dauerhaften Risiko eines Rechtsverstoßes! Einwilligungen müssen für jeden Kommunikationskanal eingeholt werden! Die Verpflichtung zur Einholung getrennter Opt-ins resultiert aus Art. 2 h) der Richtlinie 95/46/EG, Art 13 der Richtlinie 2002/58/EG sowie 7 Abs. II UWG.Der BGH hat dies in der Payback-Entscheidung vom nochmals bestätigt. Im Einzelnen geregelt ist das Opt-in in 28 BDSG, die Umsetzungsfrist bis zum für Werbezwecke steht in 47 BDSG. Sie geht zurück auf die BDSG-Novelle II vom Juni 2012 l l 14

15 1. Vorstellung DATATREE AG 2. Code of Conduct 3. Einwilligung nach BDSG 4. Bedeutung für Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l 15

16 Bedeutung im Kundenmanagement 28 Abs. 1 Nr. 2 BDSG Personenbezogene Daten können erhoben, verarbeitet und genutzt werden für Geschäftszwecke, auch ohne Einwilligung soweit erforderlich, für berechtigte Interessen der verantwortlichen Stelle kein Grund zur Annahme, dass schutzwürdige Ausschlussinteressen des Betroffenen überwiegen 13. Juni 2012 l l 16

17 Bedeutung im Kundenmanagement 28 Abs. 1 Nr. 3 BDSG Personenbezogene Daten können erhoben, verarbeitet und genutzt werden für Geschäftszwecke, auch ohne Einwilligung soweit ein schutzwürdiges Ausschlussinteresse des Betroffenen nicht offensichtlich überwiegt z. B. Widerspruch bei sensibler Adresse die allgemein zugänglich sind wie z. B. Telefon-, Adressbücher, Internet oder Handelsregister 13. Juni 2012 l l 17

18 Bedeutung im Kundenmanagement Vorsicht ist geboten: Texte des GDV und Düsseldorfer Kreises stellen einen maximalen Rahmen dar, daher 3a BDSG Datensparsamkeit beachten Gesundheitsdaten fallen auch dort wo Sie nicht vermutet werden z. B Kfz- Versicherung; hier Verletzungen durch Unfall Einwilligung und Schweigepflichtentbindungen müssen vor der ersten Verarbeitung von Gesundheitsdaten im Unternehmen dem Antragsteller bzw. Versicherungsnehmer vorgelegt werden, für bevorstehende Datennutzung Abfrage von Gesundheitsdaten bei Dritten: Es muss immer die Pauschaleinwilligung und Einzelfalleinwilligung angeboten werden 13. Juni 2012 l l 18

19 Bedeutung im Kundenmanagement Was ist zu tun? Abklären mit einem Rechtsbeistand, ob die Texte des GDV und Düsseldorfer Kreises so übernommen werden können. Es handelt sich um Muster und eine Aufforderung an die Versicherungsunternehmen Einholung der fehlenden Einwilligungen und Alt-Datenbestand bereinigen Dokumente mit neuen Einwilligungserklärungen erstellen und in die Prozesskette implementieren Vertrieb (Makler bzw. Vertreter) muss entsprechend geschult werden, damit die neuen Versicherungsnehmer entsprechend aufgeklärt werden (siehe Freiwilligkeit und Transparenzgebot!) 13. Juni 2012 l l 19

20 1. Vorstellung DATATREE AG 2. Code of Conduct 3. Einwilligung nach BDSG 4. Bedeutung für Kundenmanagement 5. Fallbeispiel 13. Juni 2012 l l 20

21 Fallbeispiel Folgender Sachverhalt: Die der Meier Industrie GmbH bekannte Capitol-Versicherung bittet die Meier Industrie GmbH um die Mitteilung von Namen und Anschriften der neu eingestellten Auszubildenden und Mitarbeiter. Sie teilt mit, dass sie bei pauschaler Bearbeitung aller Auszubildenden und Mitarbeiter diesen den für eigene Mitarbeiter üblichen Rabatt von 30% einräumen kann. Die Meier Industrie GmbH will allen Betroffenen diesen Zugang zu den günstigen Versicherungskonditionen ermöglichen. Darf die Versicherung die Daten von der Meier Industrie GmbH erhalten? 13. Juni 2012 l l 21

22 Fallbeispiel Lösung: Auszubildende und Mitarbeiter sind Betroffene im Sinne des BDSG ( 3 Abs. 11 BSG) Aus den Verträgen mit den Mitarbeitern und Auszubildenden ergeben sich keine Rechte und Pflichten des Arbeitgebers günstige Versicherungen zu vermitteln. Soweit Personaldaten herangezogenen werden, die nicht der Durchführung des Beschäftigungsverhältnisses dienen, kann 28 Abs. 3 BDSG greifen 28 Abs. 3 Satz 6, erlaubt die Übermittlung, sofern schutzwürdige Interessen der Betroffenen nicht entgegenstehen Hiervon ist in diesem Fall auszugehen, da die Mitarbeiter nicht durch ihren Arbeitgebern als Werbeobjekte Dritter werden sollen. Das gilt auch bei einem besonders günstigen Angebot einer Versicherung. Die freiwillige Einwilligung der Betroffenen ist erforderlich! 13. Juni 2012 l l 22

23 Vielen Dank für Ihre Aufmerksamkeit! DATATREE AG Bernd Fuhlert Heubesstraße Düsseldorf Telefon +49 (211) Fax +49 (211) Juni 2012 l l 23