Code of conduct zum Datenschutz:
Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement
- -
Bernd Fuhlert steht für Expertise in den Bereichen Datenschutz und Haftungsmanagement. Bernd Fuhlert ist als Marketingexperte mit profunden Kenntnissen der juristischen Landschaft stets auf dem neuesten Stand. Sein Ziel ist es, Risiken für seine Kunden zu minimieren und Kosten einzusparen.
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Code of conduct zum Datenschutz
1. Code of conduct zum Datenschutz:
Der Branchenstandard des GDV und seine Auswirkung
auf das Kundenmanagement
Präsentation für
AMC Arbeitskreis
Mittwoch, 13. Juni 2012
Düsseldorf
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 1
24.04.2012 l 1
2. 1. Vorstellung DATATREE AG
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 2
24.04.2012 l 2
3. 1. Vorstellung DATATREE AG
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 3
24.04.2012 l 3
4. Vorstellung DATATREE AG
Expertise Leistungsportfolio: ein Auszug
• Stellung externer Datenschutzbeauftragter (TÜV cert. /
Informatiker GDD cert.)
Betriebswirte
Marketingexperten • Begleitung von Unternehmen bei der Durchführung von
Zertifizierungen
Datenschutzauditoren
• Schulung für Mitarbeiter, Geschäftsleitung und
Aufsichtsräte
• Aufbau und Prüfung von Compliance-Strukturen in
interdisziplinäres Unternehmensorganisationen
Team
• Compliance-Produkte: Treuhand-Datenbank zur
Qualitätssicherung z. B. im Wettbewerbsrecht
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 4
24.04.2012 l 4
5. Vorstellung DATATREE AG
• Datenexperten: Daten sind nicht immer wichtig, sondern entscheidend!
• Tätigkeitsschwerpunkte: Datensicherheit, Datenschutz, Wettbewerbsrecht
• Unterstützung und Mediation bei Verhandlungen mit Behörden, Organisationen oder
Unternehmen im Streitfall
Auszug Referenzen:
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 5
24.04.2012 l 5
6. 1. Vorstellung DATATREE AG
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 6
24.04.2012 l 6
7. Datenschutz in der Versicherungswirtschaft
Warum ist der Datenschutz für Versicherungsnehmer wichtig?
Die Versicherungen arbeiten fast ausschließlich mit sensiblen Daten bzw. mit
besonders sensitiven Daten gemäß § 3 (9) BDSG
Damit kommt den Versicherungen in der Datenerhebung,- verarbeitung und
-nutzung eine besondere Verantwortung zu
Versicherungsunternehmen müssen das Vertrauen der Kunden immer wieder
bestärken, dass die personenbezogenen Daten nicht zweckentfremdet werden!
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 7
24.04.2012 l 7
8. Datenschutz in der Versicherungswirtschaft
Sollten Datenschutzverstösse bekannt werden, drohen…
„shitstorm“
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 8
24.04.2012 l 8
9. 1. Vorstellung DATATREE AG
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 9
24.04.2012 l 9
10. Einwilligung im BDSG
Beschluss des Düsseldorfer Kreises
Die Regelungen des Versicherungsvertragsgesetzes, des
Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften enthalten keine
ausreichende Rechtsgrundlagen für die
Erhebung
Verarbeitung und
Nutzung
von sensitiven Daten z. B. Gesundheitsdaten durch Versicherungsunternehmen.
Die Versicherungsunternehmen sind aufgefordert, die bisherigen
Einwilligungstexte durch neue zu ersetzen! (Beschluss Düsseldorfer Kreis und
GDV)
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 10
24.04.2012 l 10
11. Einwilligung im BDSG
Wie muss die Einwilligung nach BDSG grundsätzlich gestaltet sein?
Wird die Einwilligung beim Betroffenen eingeholt, ist er auf
den Zweck der Speicherung
eine vorgesehene Übermittlung hinzuweisen
► Die Einwilligung bedarf grundsätzlich der Schriftform, u. U. kann diese auch
elektronisch eingeholt werden!
► Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die
Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung
hervorzuheben (§ 4a Abs. 1 BDSG)
► Neu: Sie ist in drucktechnisch deutlicher Gestaltung besonders hervorzuheben
(§ 28 Ab. 3a)
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 11
24.04.2012 l 11
12. Einwilligung im BDSG
Transparenzpflicht der Einwilligung
Information bei der Direkterhebung (Vorrang der Direkterhebung)
Benachrichtigung
über Speicherung
bzw. erstmalige
Übermittlung (falls Auskunft über die Daten
nicht beim verantwortliche und deren Verarbeitung
Betroffenen erhoben) Stelle
Über verantwortliche
Stelle bei werblicher
Ansprache
Einsicht in das Verfahrensregister des betrieblichen oder externen DSB
Rechte der Betroffenen: Löschungs-, Korrektur-, Widerspruchs- und Sperrungsrechte
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 12
24.04.2012 l 12
13. Einwilligung im BDSG
Transparenzpflicht bei der elektronischen Einwilligung
Die Bedingungen für die elektronische Einwilligung (§ 13 Abs. 2, § 94 TKG) sind
wie folgt:
Der Diensteanbieter muss sicherstellen, dass
(1) Der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
(2) Die Einwilligung protokolliert wird,
(3) Der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
(4) Der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen
kann
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 13
24.04.2012 l 13
14. Einwilligung im BDSG
Risiken bei Einholung einer späteren Einwilligung
Die Einholung einer Einwilligung nach einem Vertragsabschluss ist nicht
möglich.
Es ist hier nicht mit einem Response eines Kunden zu rechnen!
Das Unternehmen befände sich in einem dauerhaften Risiko eines
Rechtsverstoßes!
Einwilligungen müssen für jeden Kommunikationskanal eingeholt werden!
Die Verpflichtung zur Einholung getrennter Opt-ins resultiert aus Art. 2 h) der Richtlinie 95/46/EG, Art 13 der Richtlinie 2002/58/EG sowie § 7 Abs.
II UWG.Der BGH hat dies in der Payback-Entscheidung vom 16.07.2008 nochmals bestätigt. Im Einzelnen geregelt ist das Opt-in in § 28 BDSG,
die Umsetzungsfrist bis zum 31.08.2012 für Werbezwecke steht in § 47 BDSG. Sie geht zurück auf die BDSG-Novelle II vom 01.09.2009.
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 14
24.04.2012 l 14
15. 1. Vorstellung DATATREE AG
2. Code of Conduct
3. Einwilligung nach BDSG
4. Bedeutung für Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 15
24.04.2012 l 15
16. Bedeutung im Kundenmanagement
§ 28 Abs. 1 Nr. 2 BDSG
Personenbezogene Daten können erhoben, verarbeitet und genutzt werden
für Geschäftszwecke , auch ohne Einwilligung soweit…
erforderlich, für
berechtigte Interessen
der verantwortlichen
Stelle
kein Grund zur Annahme,
dass schutzwürdige
Ausschlussinteressen
des Betroffenen
überwiegen
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 16
24.04.2012 l 16
17. Bedeutung im Kundenmanagement
§ 28 Abs. 1 Nr. 3 BDSG
Personenbezogene Daten können erhoben, verarbeitet und genutzt werden
für Geschäftszwecke , auch ohne Einwilligung soweit…
ein schutzwürdiges
Ausschlussinteresse
des Betroffenen nicht
offensichtlich überwiegt
z. B. Widerspruch bei
sensibler Adresse
die allgemein
zugänglich sind
wie z. B. Telefon-,
Adressbücher, Internet
oder Handelsregister
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 17
24.04.2012 l 17
18. Bedeutung im Kundenmanagement
Vorsicht ist geboten:
Texte des GDV und Düsseldorfer Kreises stellen einen maximalen Rahmen dar,
daher § 3a BDSG Datensparsamkeit beachten
Gesundheitsdaten fallen auch dort wo Sie nicht vermutet werden z. B Kfz-
Versicherung; hier Verletzungen durch Unfall
Einwilligung und Schweigepflichtentbindungen müssen vor der ersten
Verarbeitung von Gesundheitsdaten im Unternehmen dem Antragsteller bzw.
Versicherungsnehmer vorgelegt werden, für bevorstehende Datennutzung
Abfrage von Gesundheitsdaten bei Dritten: Es muss immer die
Pauschaleinwilligung und Einzelfalleinwilligung angeboten werden
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 18
24.04.2012 l 18
19. Bedeutung im Kundenmanagement
Was ist zu tun?
Abklären mit einem Rechtsbeistand, ob die Texte des GDV und Düsseldorfer
Kreises so übernommen werden können. Es handelt sich um Muster und eine
Aufforderung an die Versicherungsunternehmen
Einholung der fehlenden Einwilligungen und Alt-Datenbestand bereinigen
Dokumente mit neuen Einwilligungserklärungen erstellen und in die
Prozesskette implementieren
Vertrieb (Makler bzw. Vertreter) muss entsprechend geschult werden, damit die
neuen Versicherungsnehmer entsprechend aufgeklärt werden (siehe
Freiwilligkeit und Transparenzgebot!)
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 19
24.04.2012 l 19
20. 1. Vorstellung DATATREE AG
2. Code of Conduct
3. Einwilligung nach BDSG
4. Bedeutung für Kundenmanagement
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 20
24.04.2012 l 20
21. Fallbeispiel
Folgender Sachverhalt:
Die der Meier Industrie GmbH bekannte Capitol-Versicherung bittet die Meier Industrie
GmbH um die Mitteilung von Namen und Anschriften der neu eingestellten
Auszubildenden und Mitarbeiter.
Sie teilt mit, dass sie bei „pauschaler“ Bearbeitung aller Auszubildenden und
Mitarbeiter diesen den für eigene Mitarbeiter üblichen Rabatt von 30% einräumen kann.
Die Meier Industrie GmbH will allen Betroffenen diesen Zugang zu den günstigen
Versicherungskonditionen ermöglichen.
Darf die Versicherung die Daten von der Meier Industrie GmbH erhalten?
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 21
24.04.2012 l 21
22. Fallbeispiel
Lösung:
Auszubildende und Mitarbeiter sind Betroffene im Sinne des BDSG (§ 3 Abs. 11
BSG)
Aus den Verträgen mit den Mitarbeitern und Auszubildenden ergeben sich keine
Rechte und Pflichten des Arbeitgebers günstige Versicherungen zu vermitteln.
Soweit Personaldaten herangezogenen werden, die nicht der Durchführung des
Beschäftigungsverhältnisses dienen, kann § 28 Abs. 3 BDSG greifen
§ 28 Abs. 3 Satz 6, erlaubt die Übermittlung, sofern schutzwürdige Interessen der
Betroffenen nicht entgegenstehen
Hiervon ist in diesem Fall auszugehen, da die Mitarbeiter nicht durch ihren
Arbeitgebern als Werbeobjekte Dritter werden sollen. Das gilt auch bei einem
besonders günstigen Angebot einer Versicherung.
Die freiwillige Einwilligung der Betroffenen ist erforderlich!
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 22
24.04.2012 l 22
23. Vielen Dank
für Ihre Aufmerksamkeit!
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
Telefon +49 (211) 598947 - 50
Fax +49 (211) 598947 - 80
Präsentation Opt-Secure Düsseldorf
AMC-Arbeitskreis „Code of Conduct“ 13. Juni 2012 l 23
24.04.2012 l 23