Neue datenschutzrechtliche Anforderungen an Versicherungsunternehmen Dr. Martina Vomhof Forum Versicherungsrecht am 11.12.2017 in Düsseldorf
Rechtsgrundlagen Datenschutz ab 25. Mai 2018 2 EU-Datenschutz- Grundverordnung (DSGVO) eprivacy-verordnung Nur soweit europäisches Recht nicht abschließend ist (Öffnungsklauseln) Bundesdatenschutzgesetz (BDSG-neu) Anpassung Spezialgesetze, VVG (neue Legislatur) Ggf. abweichende nationale Nutzung der Öffnungsklauseln in anderen EU-Staaten Änderung des 203 StGB (9. Nov. 2017) Delegierte Rechtsakte Durchführungsrechtsakte Leitlinien, Empfehlungen und bewährte Verfahren
3 Zeitplan EU-Datenschutz-Grundverordnung 9. Nov. 2017: Inkrafttreten Änderung 203 StGB Leitlinien Art.-29-Gruppe 25. Mai 2018: Inkrafttreten DSAnpUG 25. Mai 2018: Inkrafttreten DSGVO 2018 ff. Weitere Anpassungs- und Umsetzungsgesetze 2018: eprivacy-vo 2018: Übernahme Leitlinien durch Europ. Datenschutz-Ausschuss 2017 2018 2017 2019 Unternehmen sind mit den für die Branche wichtigen Rechtsänderungen vertraut (u.a. Rundschreiben, Infoveranstaltungen, laufende Information über neue Leitlinien). Projekte sind aufgesetzt, Rollen verteilt, Handlungsbedarf festgestellt (Unverbindliche Orientierungshilfe GDV, Checklisten Datenschutzbehörden). Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die Deutsche Versicherungswirtschaft (Code of Conduct) werden angepasst. Muster - Informationspflichten - Information HIS - Einwilligungen/ Trilog ab 24. Schweigepflichtentbindungen Juni 2015
4 Aufsichtsstruktur ab 25. Mai 2018 Europäischer Datenschutzausschuss Eigenständige Institution Leiter der nationalen Datenschutzbehörden (D: Bundesbeauftragte (BfDI) und ein vom Bundesrat gewählter Stellvertreter aus einer Landesbehörde) Kompetenz zum Erlass von Leitlinien, Empfehlungen und bewährte Verfahren BfDI (nicht zuständig für VU) Nationale Datenschutzaufsichtsbehörden d. EU-Staaten 16 Landesdatenschutzaufsichtsbehörden VU Ggf. mit zuständig: z. B. bei Federführend: Behörde der betroffener Person im Mitgliedstaat Hauptniederlassung des VU
Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 5 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister
EU-Datenschutz-Grundverordnung 6 Gesundheitsdaten Kumulative Anwendung von Art. 9 und Art. 6! Art.-29-Gruppe, WP 251, S. 22 Art. 6 I a): Einwilligung Regelfall: Versicherungsvertrag, Risiko- und Leistungsprüfung, Prämienbemessung Art. 9 II a): Einwilligung Art. 6 I b): Vertrag mit dem Betroffenen Krankenversicherung? Gesundheitsangebote? Art. 9 I Art. 9 II h i. V. m. 22 II b) BDSG: Gesundheitsvorsorge und -versorgung? A Art. 9 II f): Geltendmachung, Ausübung, Verteidigung von Rechtsansprüchen? Art. 6 I f): berechtigte Interessen Leistungsprüfung? 213 VVG, 203 StGB Datenerhebung bei Dritten
EU-Datenschutz-Grundverordnung 7 Gesundheitsdaten Art. 6 I a): Einwilligung Haftpflichtversicherung: Regulierung von Schäden Dritter Regressfälle Art. 9 II a: Einwilligung Art. 9 I Art. 9 II f): Geltendmachung, Ausübung, Verteidigung A von Rechtsansprüchen Art. 6 I c), III: Erfüllung rechtl. Verpflichtung? 100 VVG? 203 StGB Art. 6 I f): berechtigte Interessen Datenerhebung bei Ärzten etc.
EU-Datenschutz-Grundverordnung 8 Die Einwilligung wird wichtigste Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten in der Versicherungswirtschaft bleiben! Keine Schriftform mehr konkludente Einwilligung genügt nur bei einfachen Daten (Art. 4 Ziff. 11, EG 32) bei Gesundheitsdaten: ausdrücklich nach Art. 9 Abs. 2 a) Nachweisbarkeit (Art. 7 Abs. 1) Problem: Widerruflichkeit der Einwilligung (Art. 7 Abs. 3) Rechtmäßigkeit der Datenverarbeitung bis zum Widerruf (Art. 7 Abs. 3 Satz 2) Ist Ausschluss des Widerrufs nach Treu und Glauben noch möglich? vgl. Art. 5 Abs. 3 S. 2 Code of Conduct a. F. Anwendung des Art. 9 Abs. 2 f. (Geltendmachung, Verteidigung von Ansprüchen) vgl. Art. 17 Abs. 1 a) Löschung nur, wenn Einwilligung widerrufen und keine andere Rechtsgrundlage für die Verarbeitung Mögliche Folge des Widerrufs: Leistung nicht fällig nach 14 VVG, wenn keine Prüfung der Leistungspflicht möglich
EU-Datenschutz-Grundverordnung 9 Vollautomatisierte Entscheidungen und Profiling Anwendungsbereich des Art. 22 DSGVO Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung einschließlich Profiling beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. kk keine maßgebliche menschliche Intervention (WP 251, S. 10) nicht: vorbereitende Maßnahmen Bedeutung der Entscheidung (WP 251, S. 10/11) auch positive Entscheidungen einschließlich Profiling Vollautom. Entscheidung x Profiling (Art. 4 Nr. 4)
10 EU-Datenschutz-Grundverordnung Vollautomatisierte Entscheidungen und Profiling Verbot mit Erlaubnisvorbehalt Ausnahmen zusätzlich zu allgemeiner Erlaubnisgrundlage Art. 22 Abs. 2 c): ausdrückliche Einwilligung Art. 22 Abs. 2 a): wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist nur Vertrag zwischen Versicherungsunternehmen und Betroffenem Frage: muss die Entscheidung erforderlich sein, oder die automatisierte Form (vgl. Art.-29-Gruppe, WP 251) Art. 22 Abs. 2 b) DSGVO i. V. m. 37 Abs. 1 Nr. 1 BDSG: im Rahmen der Leistungserbringung nach einem Versicherungsvertrag und Begehren stattgegeben Sonderfall Gesundheitsdaten Art. 22 Abs. 4 i. V. m. Art. 9 Abs. 2 a DSGVO ausdrückliche Einwilligung Art. 22 Abs. 4, Art. 9 Abs. 2 g DSGVO, 37 Abs. 1 Nr. 2, Abs. 2 BDSG: Leistungsabrechnung in der PKV bei angemessenen Schutzmaßnahmen
Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 11 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister
EU-Datenschutz-Grundverordnung 12 Einschaltung von Dienstleistern Dienstleistung kann zur Durchführung eines Vertrages erforderlich sein. Art. 6 I b Art. 6 I f Art. 9 II f Berechtigtes Interesse, auch im Konzern für interne Verwaltungszwecke (EG 48) Art. 28 Rechtsgrundlage (vgl. Art. 4 Nr. 10, Art. 28 III) Weisungsgebundenheit (Zwecke/Mittel)? Art. 26? Rechtsgrundlage oder nur zusätzliche Anforderungen?
Exkurs: Änderung des 203 StGB Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen 13 In Kraft getreten am 09.11.2017 (BGBl. 2017, Teil I, S. 3818 ff.) Wichtig für Outsourcing in der Lebens-, Kranken- und Unfallversicherung ( 203 Abs. 1. Nr. 7 StGB) Wesentlicher Inhalt der Neuregelung von 203 Abs. 3 Satz 2 StGB: Geheimnisse dürfen an sonstige Personen offenbart werden, die an der beruflichen Tätigkeit des Geheimnisträgers mitwirken, soweit dies für die Inanspruchnahme des Dienstes erforderlich ist ( 203 Abs. 3 Satz 2 StGB) Datenübermittlung für konkreten Auftrag, nicht Beauftragung Außerhalb des Unternehmens stehende (natürl.) Personen Tätigkeit für Zwecke des Versicherungsunternehmens
Exkurs: Änderung des 203 StGB Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen 14 Strafbarkeit des Berufsgeheimnisträgers (VU-Angehöriger), wenn er nicht dafür Sorge getragen hat, dass die sonstige mitwirkende Person zur Geheimhaltung verpflichtet wurde und diese unbefugt ein fremdes Geheimnis offenbart ( 203 Abs. 4 Satz 2 Nr. 1 StGB) Keine Anforderungen mehr an die Auswahl Auf 203 StGB zugeschnittene Verpflichtung; auch über Arbeitgeber Keine Verpflichtung nötig bei Berufsgeheimnisträgern (2. Halbs.) Strafbarkeit der mitwirkenden Person (Dienstleister), wenn sie das Geheimnis unbefugt offenbart ( 203 Abs. 4 Satz 1) oder wenn eine weitere mitwirkende Person bei mangelnder Verschwiegenheitsverpflichtung das Geheimnis offenbart ( 203 Abs. 4 Satz 2 Nr. 2 StGB)
Rechtsgrundlagen für die Datenverarbeitung in der Versicherungswirtschaft 15 Verbot mit Erlaubnisvorbehalt Risikoprüfung Schadenregulierung Verarbeitung von Gesundheitsdaten Profilbildungen, Scoring Statistik Vollautomatisierte Entscheidungen Versicherer Statistik, Tarifierung Einschaltung von Dienstleistern Exkurs: 203 StGB Rechtsgrundlagen für Dienstleister
EU-Datenschutz-Grundverordnung Statistik 16 Statistik ist im Ergebnis immer anonymisiert Art. 6 I f): berechtigte Interessen Bei Gesundheitsdaten: Art. 9 II j) i.v.m. 27 I BDSG: wenn erforderlich und erheblich überwiegendes Interesse des VU Art. 89 u. 27 Abs. 3 BDSG: Datenminimierung, z. B. Pseudonymisierung falls möglich; frühzeitige Anonymisierung Profilbildung in Bezug auf konkrete Personen ist keine Statistik! Grundsätzlich auch Daten aus Drittquellen (vgl. Art. 14 Abs. 5 b), 2. Alt.) Zweckänderung möglichst vermeiden
EU-Datenschutz-Grundverordnung Profilbildungen, Scoring Profilbildung (Art. 4 Nr. 4) in Bezug auf konkrete Personen ist keine Statistik und daher nicht privilegiert! 17 Art. 6 I f): berechtigte Interessen Bei Gesundheitsdaten: Art. 9 II a) Einwilligung Bei Scoring 31 BDSG Auch hier gilt der Grundsatz der Datenminimierung Scoring: weiterhin nur Wahrscheinlichkeitswert für zukünftiges Verhalten für Entscheidung über Vertrag; Keine neuen Anforderungen Vollautomatisierte Entscheidungen auf Basis der Profilbildung müssen Art. 22 entsprechen!
Dr. Martina Vomhof Leiterin Datenschutz / Grundsatzfragen Wilhelmstraße 43 / 43 G, D-10117 Berlin Postfach 08 02 64, D-10002 Berlin Tel.: +49 30 2020-5290 Fax:+49 30 2020-6290 E-Mail: m.vomhof@gdv.de www.gdv.de @gdv_de