Neue datenschutzrechtliche Anforderungen an Versicherungsunternehmen

Ähnliche Dokumente
- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Einzelfallentscheide und Profiling.

Herausforderungen des Verbraucherdatenschutzes nach der Einigung über die Europäische Datenschutz-Grundverordnung

EU-DatenschutzGrundverordnung. in der Praxis

Stellungnahme. Gesamtverband der Deutschen Versicherungswirtschaft e. V.

R E C H T S A N W Ä L T E. Walter-Benjamin-Platz Berlin Telefon office@db-law.de

BvD. Management-Summary. Überblick in 10 Schritten

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Inhaltsübersicht. Bibliografische Informationen digitalisiert durch

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Profilingund Scoring in den Verhandlungen zur EU- Datenschutz-Grundverordnung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

die DBV Deutsche Beamtenversicherung Zweigniederlassung der AXA Lebensversicherung AG

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

Verhaltensregeln zur branchennahen Steuerung des Datenschutzes. Beispiel: Versicherungswirtschaft

Schweigepflichtentbindung bei der Übermittlung von Patientendaten und Probenmaterial

Die neue Grundverordnung des europäischen Datenschutzes

Berlin, 7. Dezember Inhaltsverzeichnis

Aktuelles zur Entwicklung der regulativen Anforderungen an die Medizinprodukteaufbereitung aus juristischer Sicht. Inhalt

Bundesärztekammer Arbeitsgemeinschaft der deutschen Ärztekammern

EU-Datenschutz-Grundverordnung

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Kenntnis- und Fachsprachenprüfung in Nordrhein-Westfalen Rechtliche Rahmenbedingungen. Herne, 19. Januar 2016

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Vorschlag der Bundesregierung

Mitarbeiterkontrolle und EU- Datenschutzgrundverordnung

Das bundesdeutsche Anpassungsgesetz zur EU-DSGVO

Oliver Meixner Fachanwalt für Versicherungsrecht.

Datenschutz Hilfe oder Hemmnis beim Kinderschutz

Die Europäische Datenschutz- Grundverordnung und ihre Auswirkungen auf den betrieblichen Datenschutz

Auftragsdatenverarbeitung

Antrag auf Eintragung in das Immobiliardarlehensvermittlerregister gemäß 11 a GewO

Auswirkungen der Datenschutz-Grundverordnung auf private Ahnenforscher

Datenschutz International

Gliederung. A. Einführung. I. Konzept der Vorlesung 1. Darstellung 2. Ziel

Petitionsausschus s Die Vorsitzend e

Kundeninformation. Inhaltsübersicht

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflich t - entbindungserklärung

VERSICHERUNGSMAKLERVERTRAG

Schweigepflichtentbindungserklärung

Bundesdatenschutzgesetz (BDSG)

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Umgang mit Ihren Daten

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Wer schreibt, der bleibt Dokumentationspflichten in der neuen Datenschutz-Grundverordnung RA Jens Nebel, LL.M.

Position. Datenschutz in der EU einheitlich und praxisgerecht regeln. Stand: Februar

Datenschutz der öffentlichen Versicherer. Dr. Thilo Weichert

Datenschutz in der Anwaltskanzlei

Bundesdatenschutzgesetz

Hinweise für den Hospizdienst zur Einhaltung der datenschutzrechtlichen Bestimmungen Überarbeitung April 2011

Artikel 12 VO (EG) Nr. 883/2004

Datenschutz-Grundverordnung (DSGVO): Überblick

Synopse Teil I: BDSG EU DSGVO

Bundesdatenschutzgesetz

Studie Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Quo vadis, Datenschutz?

Datenschutzrechtliche Fragen der elektronischen Gesundheitsakte. Dr. Daniel Ennöckl, LL.M.

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

Niedersächsischer Landtag 16. Wahlperiode Drucksache 16/3757. Beschlussempfehlung. Ausschuss für Rechts- und Verfassungsfragen

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Datenschutz in der Marktund Sozialforschung

SAFE HARBOR? DATENSCHUTZ IM AUFSICHSRAT

Datenschutzgestaltung durch Technik Eine Kurzeinführung

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Vollmacht Die große Unbekannte

Bonn, 22. Januar 2010 Rc/Ne/pa

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

Rechtliche Grundlagen interdisziplinärer Zusammenarbeit. Gila Schindler, Rechtsanwältin, Heidelberg

EU-Datenschutz- Grundverordnung

ELGA aus datenschutzrechtlicher Sicht

1. Die 28 Mitgliedstaaten der EU:

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Juristische Fragestellungen im Kontext von IoT - Gesellschaft für Informatik, Köln 11. Mai Dr. Jürgen Hartung

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement

Wichtige gesetzliche Bestimmungen für Psycholog/innen

Wichtige gesetzliche Bestimmungen für Psycholog/innen

Techniken der Ausspähung bedrohte Privatheit

Standesregeln für Aktuare in der Deutschen Aktuarvereinigung (DAV) e.v.

Critical Parts. Teilvorhaben: Rechtliche Fragestellungen. Prof. Dr. iur. Elmar Giemulla Ass. iur. Juliane Holtz

Inhaltsverzeichnis. Bibliografische Informationen digitalisiert durch

Datenschutz: Fessel für Innovationen und Forschung oder Sicherungsseil für die Persönlichkeitsrechte? Die juristische Sicht

Grundlagen des Datenschutzes

#mittelstand Online Marketing Recht

Paal/Pauly Datenschutz-Grundverordnung

Profiling im Lichte der Datenschutz-Grundverordnung

MAR-Leitlinien Aufschub der Offenlegung von Insiderinformationen

AMTLICHE BEKANNTMACHUNG

Datenschutz-Grundverordnung

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Datenübermittlung ins Ausland

DELEGIERTE VERORDNUNG (EU) Nr.../.. DER KOMMISSION. vom

Datenschutz im Web

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2. Hanno Wagner

Zwischenruf: Was sind eigentlich pflegerelevante Daten die gespeichert werden dürfen?

zur Änderung des Gesetzes über den Datenschutz (Anpassung an das internationale Recht, insbesondere an die Abkommen von Schengen und Dublin)

Vertrag zur Umsetzung der Online-Video-Sprechstunden. zwischen

Referentenentwurf des Bundesministeriums des Innern

Datenschutz in Arztpraxen/MVZ

Transkript:

Neue datenschutzrechtliche Anforderungen an Versicherungsunternehmen Dr. Martina Vomhof Forum Versicherungsrecht am 11.12.2017 in Düsseldorf

Rechtsgrundlagen Datenschutz ab 25. Mai 2018 2 EU-Datenschutz- Grundverordnung (DSGVO) eprivacy-verordnung Nur soweit europäisches Recht nicht abschließend ist (Öffnungsklauseln) Bundesdatenschutzgesetz (BDSG-neu) Anpassung Spezialgesetze, VVG (neue Legislatur) Ggf. abweichende nationale Nutzung der Öffnungsklauseln in anderen EU-Staaten Änderung des 203 StGB (9. Nov. 2017) Delegierte Rechtsakte Durchführungsrechtsakte Leitlinien, Empfehlungen und bewährte Verfahren

3 Zeitplan EU-Datenschutz-Grundverordnung 9. Nov. 2017: Inkrafttreten Änderung 203 StGB Leitlinien Art.-29-Gruppe 25. Mai 2018: Inkrafttreten DSAnpUG 25. Mai 2018: Inkrafttreten DSGVO 2018 ff. Weitere Anpassungs- und Umsetzungsgesetze 2018: eprivacy-vo 2018: Übernahme Leitlinien durch Europ. Datenschutz-Ausschuss 2017 2018 2017 2019 Unternehmen sind mit den für die Branche wichtigen Rechtsänderungen vertraut (u.a. Rundschreiben, Infoveranstaltungen, laufende Information über neue Leitlinien). Projekte sind aufgesetzt, Rollen verteilt, Handlungsbedarf festgestellt (Unverbindliche Orientierungshilfe GDV, Checklisten Datenschutzbehörden). Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft (Code of Conduct) werden angepasst. Muster - Informationspflichten - Information HIS - Einwilligungen/ Trilog ab 24. Schweigepflichtentbindungen Juni 2015

4 Aufsichtsstruktur ab 25. Mai 2018 Europäischer Datenschutzausschuss Eigenständige Institution Leiter der nationalen Datenschutzbehörden (D: Bundesbeauftragte (BfDI) und ein vom Bundesrat gewählter Stellvertreter aus einer Landesbehörde) Kompetenz zum Erlass von Leitlinien, Empfehlungen und bewährte Verfahren BfDI (nicht zuständig für VU) Nationale Datenschutzaufsichtsbehörden d. EU-Staaten 16 Landesdatenschutzaufsichtsbehörden VU Ggf. mit zuständig: z. B. bei Federführend: Behörde der betroffener Person im Mitgliedstaat Hauptniederlassung des VU

Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 5 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister

EU-Datenschutz-Grundverordnung 6 Gesundheitsdaten Kumulative Anwendung von Art. 9 und Art. 6! Art.-29-Gruppe, WP 251, S. 22 Art. 6 I a): Einwilligung Regelfall: Versicherungsvertrag, Risiko- und Leistungsprüfung, Prämienbemessung Art. 9 II a): Einwilligung Art. 6 I b): Vertrag mit dem Betroffenen Krankenversicherung? Gesundheitsangebote? Art. 9 I Art. 9 II h i. V. m. 22 II b) BDSG: Gesundheitsvorsorge und -versorgung? A Art. 9 II f): Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen? Art. 6 I f): berechtigte Interessen Leistungsprüfung? 213 VVG, 203 StGB Datenerhebung bei Dritten

EU-Datenschutz-Grundverordnung 7 Gesundheitsdaten Art. 6 I a): Einwilligung Haftpflichtversicherung: Regulierung von Schäden Dritter Regressfälle Art. 9 II a: Einwilligung Art. 9 I Art. 9 II f): Geltendmachung, Ausübung, Verteidigung A von Rechtsansprüchen Art. 6 I c), III: Erfüllung rechtl. Verpflichtung? 100 VVG? 203 StGB Art. 6 I f): berechtigte Interessen Datenerhebung bei Ärzten etc.

EU-Datenschutz-Grundverordnung 8 Die Einwilligung wird wichtigste Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten in der Versicherungswirtschaft bleiben! Keine Schriftform mehr konkludente Einwilligung genügt nur bei einfachen Daten (Art. 4 Ziff. 11, EG 32) bei Gesundheitsdaten: ausdrücklich nach Art. 9 Abs. 2 a) Nachweisbarkeit (Art. 7 Abs. 1) Problem: Widerruflichkeit der Einwilligung (Art. 7 Abs. 3) Rechtmäßigkeit der Datenverarbeitung bis zum Widerruf (Art. 7 Abs. 3 Satz 2) Ist Ausschluss des Widerrufs nach Treu und Glauben noch möglich? vgl. Art. 5 Abs. 3 S. 2 Code of Conduct a. F. Anwendung des Art. 9 Abs. 2 f. (Geltendmachung, Verteidigung von Ansprüchen) vgl. Art. 17 Abs. 1 a) Löschung nur, wenn Einwilligung widerrufen und keine andere Rechtsgrundlage für die Verarbeitung Mögliche Folge des Widerrufs: Leistung nicht fällig nach 14 VVG, wenn keine Prüfung der Leistungspflicht möglich

EU-Datenschutz-Grundverordnung 9 Vollautomatisierte Entscheidungen und Profiling Anwendungsbereich des Art. 22 DSGVO Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. kk keine maßgebliche menschliche Intervention (WP 251, S. 10) nicht: vorbereitende Maßnahmen Bedeutung der Entscheidung (WP 251, S. 10/11) auch positive Entscheidungen einschließlich Profiling Vollautom. Entscheidung x Profiling (Art. 4 Nr. 4)

10 EU-Datenschutz-Grundverordnung Vollautomatisierte Entscheidungen und Profiling Verbot mit Erlaubnisvorbehalt Ausnahmen zusätzlich zu allgemeiner Erlaubnisgrundlage Art. 22 Abs. 2 c): ausdrückliche Einwilligung Art. 22 Abs. 2 a): wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist nur Vertrag zwischen Versicherungsunternehmen und Betroffenem Frage: muss die Entscheidung erforderlich sein, oder die automatisierte Form (vgl. Art.-29-Gruppe, WP 251) Art. 22 Abs. 2 b) DSGVO i. V. m. 37 Abs. 1 Nr. 1 BDSG: im Rahmen der Leistungserbringung nach einem Versicherungsvertrag und Begehren stattgegeben Sonderfall Gesundheitsdaten Art. 22 Abs. 4 i. V. m. Art. 9 Abs. 2 a DSGVO ausdrückliche Einwilligung Art. 22 Abs. 4, Art. 9 Abs. 2 g DSGVO, 37 Abs. 1 Nr. 2, Abs. 2 BDSG: Leistungsabrechnung in der PKV bei angemessenen Schutzmaßnahmen

Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 11 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister

EU-Datenschutz-Grundverordnung 12 Einschaltung von Dienstleistern Dienstleistung kann zur Durchführung eines Vertrages erforderlich sein. Art. 6 I b Art. 6 I f Art. 9 II f Berechtigtes Interesse, auch im Konzern für interne Verwaltungszwecke (EG 48) Art. 28 Rechtsgrundlage (vgl. Art. 4 Nr. 10, Art. 28 III) Weisungsgebundenheit (Zwecke/Mittel)? Art. 26? Rechtsgrundlage oder nur zusätzliche Anforderungen?

Exkurs: Änderung des 203 StGB Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen 13 In Kraft getreten am 09.11.2017 (BGBl. 2017, Teil I, S. 3818 ff.) Wichtig für Outsourcing in der Lebens-, Kranken- und Unfallversicherung ( 203 Abs. 1. Nr. 7 StGB) Wesentlicher Inhalt der Neuregelung von 203 Abs. 3 Satz 2 StGB: Geheimnisse dürfen an sonstige Personen offenbart werden, die an der beruflichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist ( 203 Abs. 3 Satz 2 StGB) Datenübermittlung für konkreten Auftrag, nicht Beauftragung Außerhalb des Unternehmens stehende (natürl.) Personen Tätigkeit für Zwecke des Versicherungsunternehmens

Exkurs: Änderung des 203 StGB Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen 14 Strafbarkeit des Berufsgeheimnisträgers (VU-Angehöriger), wenn er nicht dafür Sorge getragen hat, dass die sonstige mitwirkende Person zur Geheimhaltung verpflichtet wurde und diese unbefugt ein fremdes Geheimnis offenbart ( 203 Abs. 4 Satz 2 Nr. 1 StGB) Keine Anforderungen mehr an die Auswahl Auf 203 StGB zugeschnittene Verpflichtung; auch über Arbeitgeber Keine Verpflichtung nötig bei Berufsgeheimnisträgern (2. Halbs.) Strafbarkeit der mitwirkenden Person (Dienstleister), wenn sie das Geheimnis unbefugt offenbart ( 203 Abs. 4 Satz 1) oder wenn eine weitere mitwirkende Person bei mangelnder Verschwiegenheitsverpflichtung das Geheimnis offenbart ( 203 Abs. 4 Satz 2 Nr. 2 StGB)

Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 15 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister

EU-Datenschutz-Grundverordnung Statistik 16 Statistik ist im Ergebnis immer anonymisiert Art. 6 I f): berechtigte Interessen Bei Gesundheitsdaten: Art. 9 II j) i.v.m. 27 I BDSG: wenn erforderlich und erheblich überwiegendes Interesse des VU Art. 89 u. 27 Abs. 3 BDSG: Datenminimierung, z. B. Pseudonymisierung falls möglich; frühzeitige Anonymisierung Profilbildung in Bezug auf konkrete Personen ist keine Statistik! Grundsätzlich auch Daten aus Drittquellen (vgl. Art. 14 Abs. 5 b), 2. Alt.) Zweckänderung möglichst vermeiden

EU-Datenschutz-Grundverordnung Profilbildungen, Scoring Profilbildung (Art. 4 Nr. 4) in Bezug auf konkrete Personen ist keine Statistik und daher nicht privilegiert! 17 Art. 6 I f): berechtigte Interessen Bei Gesundheitsdaten: Art. 9 II a) Einwilligung Bei Scoring 31 BDSG Auch hier gilt der Grundsatz der Datenminimierung Scoring: weiterhin nur Wahrscheinlichkeitswert für zukünftiges Verhalten für Entscheidung über Vertrag; Keine neuen Anforderungen Vollautomatisierte Entscheidungen auf Basis der Profilbildung müssen Art. 22 entsprechen!

Dr. Martina Vomhof Leiterin Datenschutz / Grundsatzfragen Wilhelmstraße 43 / 43 G, D-10117 Berlin Postfach 08 02 64, D-10002 Berlin Tel.: +49 30 2020-5290 Fax:+49 30 2020-6290 E-Mail: m.vomhof@gdv.de www.gdv.de @gdv_de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback