HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz. Zürich, 28. März 2014 René Schnichels

Transkript

1 HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz Zürich, 28. März 2014 René Schnichels

2 I Wann spielt Datenschutz eine Rolle? 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags 2. Aufsichtsbehördliche Prüfung und Genehmigung (FINMA) 3. Nach Bestandsübertragung: Bestandsverwaltung; insbes. Outsourcing 2

3 II Datenschutzrechtliche Anforderungen Gesetzlich Verpflichtete Grundlage: Bundesgesetz über den Datenschutz (DSG) Zweck des DSG: Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten verarbeitet werden (Art. 1 DSG) Verpflichtete nach DSG: Private Personen und Bundesorgane 3

4 III Persönlichkeitsschutz Rechtfertigung von Eingriffen durch private Personen Persönlichkeitsverletzungen (Art. 12 DSG): Wer Personendaten bearbeitet, darf dabei die Persönlichkeit der betroffenen Person nicht widerrechtlich verletzen. Rechtfertigungsgründe (Art. 13 DSG): Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt. 4

5 IV Allgemeine Anforderungen an die Datenbearbeitung Personendaten dürfen nur rechtmässig bearbeitet werden. (Art. 4 Abs. 1 DSG) Ihre Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein. (Art. 4 Abs. 2 DSG) Datensicherheit (Art. 7 DSG): Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 5

6 V Begriffsbestimmungen Personendaten (Daten) = alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen vgl. Art. 3 lit. a DSG Betroffene Personen = natürliche oder juristische Personen, über die Daten bearbeitet werden vgl. Art. 3 lit. b DSG Bearbeiten = jeder Umgang mit Personendaten, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten vgl. Art. 3 lit. e DSG Bekanntgeben = das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen vgl. Art. 3 lit. f DSG Besonders schützenswerte Personendaten = Daten über: ( ) die Gesundheit vgl. Art. 3 lit. c. Ziff. 2. DSG 6

7 VI Rechtsfolge von Verstößen Zivilrechtlich (Art. 15 DSG, Art. 28 ff. ZGB): Insbes. Schadensersatz, Genugtuung, Gewinnherausgabe, Berichtigung von Daten Mglw. (teilweise) Unwirksamkeit des Portfoliotransfers wegen Gesetzesverstosses (Art. 20 II. Abs. 1 OR)! Geld- oder Freiheitsstrafe bei Verwirklichung insbesondere der Art. 143 ff. StGB (Unbefugte Datenbeschaffung) 7

8 VII Im Einzelnen 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags a. Übertragender Versicherer = Verantwortliche Stelle b. Betroffener = Jeder VN, dessen Daten übermittelt werden c. Erwerbsinteressent = Dritter d. Zugänglichmachen der Daten der VN = Bekanntgabe (Art. 3 lit. f DSG) = Verletzung des Persönlichkeitsrechts, wenn nicht gerechtfertigt! 8

9 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags e. Rechtfertigung der Verletzung? (Art. 13 Abs. 1 Alt. 1 DSG): (1) Einwilligung des Betroffenen? Bei Abschluss des Versicherungsvertrags erteilte Einwilligung des VN erstreckt sich nicht auf die Weitergabe der Daten an Erwerbsinteressenten Einwilligung unpraktikabel: Erfolg zweifelhaft, Wirksamkeitsfragen (Freiwilligkeit?) Problem: Einwilligung erforderlich bei Gesundheitsdaten? 9

10 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags (2) Berechtigtes Interesse? (Art. 13 Abs. 1 Alt. 2 DSG): Interessenabwägung Berechtigtes Interesse ist jedes wirtschaftliche oder ideelle Interesse (weit auszulegen). Interesse des Veräusserers: Erzielung eines möglichst hohen Kaufpreises Erwerber wird bei unbekannten Risiken keinen hohen Kaufpreis zahlen (Art. 27 Bundesverfassung: Wirtschaftsfreiheit) Interesse des Erwerbers: Information über die Risiken des Versicherungsbestandes, wirtschaftliches Interesse, ob Erwerb sich lohnt 10

11 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags Interesse der betroffenen Person(en): Generelles Interesse daran, dass ihre Daten nicht ohne ihr Einverständnis an Dritte weitergegeben werden, ist nicht ausreichend. Erforderlich ist konkretes Interesse am Ausschluss der Übermittlung im Einzelfall: Variiert je nach Sensibilität der Daten Problem: Gesundheitsdaten! Wohl Einwilligung erforderlich, wenn Daten nicht so anonymisiert, dass kein Rückschluss auf die Person möglich ist 11

12 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags Abwägung der Interessen: Interessen von Veräusserer und Erwerber grds. nicht ohne Übermittlung der Daten zu verwirklichen Verbot der Übermittlung der Daten würde Bestandsübertragung verhindern! Grundsätzlich Einholen einer Einwilligung bei jedem VN unverhältnismässig Zudem Risiko der Unwirksamkeit der Einwilligung (Freiwilligkeit?) 12

13 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags Fehlende Einwilligung könnte (teilw.) Unwirksamkeit der Bestandsübertragung bedeuten. Aber: Bei Gesundheitsdaten (= besonderes schützenswerte Personendaten) wohl Einwilligung erforderlich, wenn Daten nicht so anonymisiert, dass kein Rückschluss auf die Person möglich ist. 13

14 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags Zwischenergebnis: Bekanntgabe der Daten der VN durch den Veräusserer an den Erwerber/Erwerbsinteressenten im Rahmen der Due Diligence und beim Abschluss des Bestandsübertragungsvertrages gerechtfertigt durch überwiegendes Interesse des Veräusserers an der Erzielung eines hohen Kaufpreises und des Erwerbers an der Kenntnis des Risikos bei Ewerb keine Einwilligung erforderlich Aber: Bei Gesundheitsdaten Einwilligung des betroffenen VN erforderlich, wenn Daten nicht anonymisiert 14

15 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags f. Anforderungen an die Datenbearbeitung: Geheimhaltungsvereinbarung zwischen Veräusserer und Erwerber/Erwerbsinteressenten unter ausdrücklichem Hinweis, dass hiervon Daten der Versicherungsnehmer erfasst sind Hierin: Begrenzung des Zwecks der Einsichtnahme auf den möglichen Portfoliotransfer Pflicht zur Vernichtung bzw. Rückgabe von Informationen für den Fall, dass das Portfolio nicht transferiert wird Gewährleistung der Durchsetzbarkeit der Einhaltung dieser Vorgaben durch Vereinbarung einer Vertragsstrafe. 15

16 noch VII Im Einzelnen noch 1. Vorbereitung der Bestandsübertragung: Due Diligence, Abschluss des Bestandsübertragungsvertrags Abgrenzung des Personenkreises, der Zugang zu den Daten haben soll Durchführung der Due Diligence durch neutrale Fachleute (Rechtsanwälte, Wirtschaftsprüfer) Anonymisierung der Daten der Versicherungsnehmer, soweit möglich 16

17 noch VII Im Einzelnen 2. Aufsichtsbehördliche Prüfung und Genehmigung (FINMA) FINMA prüft insbesondere bei Outsourcing, ob Datenschutz eingehalten würde: Outsourcing-Vertrag soll Geheimhaltungsvereinbarung beinhalten. Bei Auslagerung ins Ausland Prüfung, ob angemessener Datenschutz eingehalten wird: Im Outsourcing-Vertrag möglichst die Einhaltung des Schweizer Datenschutzrechts vereinbaren Auftraggeber muss sich vergewissern, dass der Dritte die Datensicherheit gewährleistet (Art. 10a Abs. 2 DSG) Art. 7 Abs. 1 DSG (Datensicherheit): Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. 17

18 noch VII Im Einzelnen 3. Nach Genehmigung durch FINMA (Verwaltung der Bestände; insbes. Outsourcing) Übertragung aller Daten auf den Erwerber, nicht anonymisiert; Erwerber benötigt insbesondere die Personendaten Aufsichtsbehördliche Genehmigung (Art. 62 VAG) ersetzt die Zustimmung des VN zur Übertragung seines Versicherungsvertrages; damit wird aber nicht die Zustimmung zur Übermittlung der Daten ersetzt! (Wichtig bei Gesundheitsdaten, sofern nicht anonymisiert!) Übertragung der Bearbeitung der Personendaten auf Dritte möglich: Umfassende Vereinbarung zum Datenschutz muss in die Outsourcing-Verträge aufgenommen werden! 18

19 VIII Fazit Datenschutz in allen Phasen einer Bestandsübertragung zu beachten! Ausdrückliche Vereinbarung der Einhaltung des Datenschutzes in: Vertraulichkeitsvereinbarung zwischen Veräusserer und Erwerbsinteressent vor der Due Diligence Outsourcing-Verträgen 19

20 20 Vielen Dank für Ihre Aufmerksamkeit!

21 Unsere Standorte Hamburg Brüssel Berlin Düsseldorf Chemnitz Köln München Frankfurt Zürich 21

22 Berlin Unter den Linden Berlin T F berlin@heuking.de Brüssel Avenue Louise Brüssel Belgien T F brussels@heuking.de Chemnitz Weststraße Chemnitz T F chemnitz@heuking.de Düsseldorf Georg-Glock-Straße Düsseldorf T F duesseldorf@heuking.de Frankfurt Goetheplatz Frankfurt am Main T F frankfurt@heuking.de Hamburg Neuer Wall Hamburg T F hamburg@heuking.de Köln Magnusstraße Köln T F koeln@heuking.de München Prinzregentenstraße München T F muenchen@heuking.de Zürich Bahnhofstrasse Zürich Schweiz T F zuerich@heuking.ch 22