Was können wir für Sie tun?

Von der Datenschutzangst und der Datenschutzausrede

Das Ende der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 sorgte in vielen Unternehmen für eine Art Torschlusspanik in Sachen Datenschutz und IT-Sicherheit. Die allgemeine Verunsicherung legte sich nur langsam: Das Stichwort Datenschutz-Grundverordnung scheint bei vielen Verantwortlichen in Unternehmen auch Jahre später noch immer einen diffusen Eindruck von Defiziten und Gefahr zu bewirken.

Auf der Grundlage der geltenden Datenschutzgesetze können mehr als 99% aller Prozesse in Unternehmen und Behörden geregelt werden.

Für Panik besteht jedoch kein Anlass. Entgegen anderslautenden Gerüchten stehen nicht alle Verantwortlichen, die die Anforderungen der DSGVO in ihren Unternehmen immer noch nicht umgesetzt haben, mit einem Bein im Gefängnis. Ebenso wenig geht der Mittelstand an hohen Bußgeldern für Datenschutzverstöße zugrunde – oder an den Kosten für die externen Datenschutzbeauftragten, um die Bußgelder zu vermeiden.

Nicht-Entscheidungen werden in Unternehmen und Behören regelmäßig mit Datenschutz gerechtfertigt.

Andererseits sollte sich niemand zurücklehnen und die Themen Datenschutz-Grundverordnung und IT-Sicherheit als Themen betrachten, die wie so viele andere Hypes schon wieder vergehen werden. Nicht-Handeln ist keine Option, Datenschutz als Ausrede auch nicht.

Vergessen Sie für einen Moment die Gesetze. Die Absicherung Ihrer IT-Infrastruktur bedeutet nicht weniger als die Grundlage für Ihren wirtschaftlichen Erfolg.

Als langjährig erfahrene Datenschutzberater und externe Datenschutzbeauftragte leiten wir Sie durch Vorschriften und Prozesse und unterstützen Sie beim Aufbau einer guten Datenschutzorganisation und eines IT-Sicherheitsmanagementsystems. Sofern gewünscht, können Sie uns auch als externe IT-Sicherheitsbeauftragte bestellen.

Es geht um Entscheidungen. Wir helfen Ihnen dabei.

Kontaktieren Sie uns gerne persönlich.

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften.

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben.

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse.

Besondere Kategorien

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw.

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift.

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt.

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive.

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert.

Was nun?

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten.

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen.

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht.

Welche Fristen sind einzuhalten?

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht!

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist.

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind.

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO).

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann.

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist.

Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte.

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere.

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden.

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen:

Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
Welche Kategorien von personenbezogenen Daten verarbeitet werden;
Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
Zu welchem Zweck die Daten erhoben und gespeichert werden;
Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
Die Herkunft der Daten;
Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret?

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie.

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden.

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren.

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat.

Welche Rechte gibt es noch?

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
Informationen zum Zweck der Datenverarbeitung;
Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten.

Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Geschäftsführungen und Vorstände müssen sich auf einen technisch sicheren Weg für den internen Austausch und die Speicherung vertraulicher Informationen verständigen. E-Mail ist dafür ungeeignet.

So lästig es ist: Passwörter müssen sorgfältig verwahrt und regelmäßig geändert werden, was im Fall des H offenbar nicht geschehen ist. „They didn’t brute force his password“, wie der in England ansässige IT-Leiter so schön sagte – das-Mail-Account wurde ohne technisch gestützten Angriff auf das Passwort übernommen.

Trennung von geschäftlichen und privaten Inhalten: es ist immer noch weitverbreitet, geschäftliche und private Angelegenheiten in einem (geschäftlichen) E-Mail-Postfach abzuwickeln. Wird dies dann übernommen, hat der Angreifer quasi das ganze Leben des Betroffenen in der Hand und nicht nur das halbe - was ja schon schlimm genug ist, wenn es passiert.

Niemals dasselbe Passwort für verschiedene Accounts verwenden. Begründung, siehe oben: Wenn ein Zugang kompromittiert ist, kann der Angreifer wenigstens nicht auch noch das Online Banking oder den Account fürs Online Dating missbrauchen. Aus denselben Gründen niemals Passwörter per E-Mail-verschicken!

Sicherstellen, dass die Anzahl derer, die über Administratorpasswörter verfügen, begrenzt bleibt. Einführung des Vier-Augen-Prinzips für den Zugang auf unternehmenskritische Systeme.
Sicherstellen, dass Passwörter sofort entzogen werden, wenn jemand das Unternehmen verlässt.

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Datenschutz im Versicherungswesen (2)

Teil zwei unserer Reihe zu Datenschutz im Versicherungswesen. Heute geht es um die Frage ob eine Einwilligung der versicherten Personen gebraucht wird, wenn zwei Versicherungsunternehmen ein Produkt zusammen anbieten.

Die Beteiligten:

Eine Versicherung (V1) vertreibt als Versicherungsvermittler ein Versicherungspaket für eine andere Versicherung (V2). Ohne den Austausch personenbezogener Daten der Versicherungsnehmer kann weder V1 noch V2 das Versicherungspaket anbieten.

Die Fragestellung:

V1 und V2 tauschen zum Zweck des Vertriebs und der Durchführung des Versicherungspakets Daten von Versicherungsnehmern aus. Ist dafür eine Einwilligung der Versicherungsnehmer nach Art. 6 Abs. 1 lit a) in Verbindung mit Art. 7 DSGVO nötig?

Datenschutzrechtliche Einordnung:

Es handelt sich um eine Übermittlung personenbezogener Daten zwischen V1 und V2, die von der Datenschutz-Grundverordnung (DSGVO) erlaubt sein muss.

Die Übermittlung von Daten ist auch nach der DSGVO zulässig, sofern die DSGVO sie erlaubt. Sofern das nicht der Fall ist, ist eine Übermittlung von personenbezogenen Daten nur mit der Einwilligung der betroffenen Person zulässig. In Art. 6 Abs. 1 DSGVO heißt es im ersten Halbsatz:

„Die Verarbeitung <personenbezogener Daten> ist nur zulässig, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist“.

Die dann aufgeführten Bedingungen für eine erlaubte Übermittlung von personenbezogenen Daten sind u.a.

Die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit a DSGVO);
Die Verarbeitung ist erforderlich für eine Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO);
Die Verarbeitung ist erforderlich für die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit c DSGVO);
Die Verarbeitung liegt im berechtigten Interesse des Verantwortlichen und es liegen keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person vor (Art. 6 Abs. 1 lit f DSGVO).

Art. 6 Abs. 1 lit b) DSGVO

Als Erlaubnis für den Datenaustausch zwischen V2 und V1 kommt vorrangig Art. 6 Abs. 1 lit b) DSGVO in Betracht. Danach muss die Datenverarbeitung erforderlich sein für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist.

Die Versicherungsnehmer, die ein Versicherungspaket abschließen, sind Vertragspartei und sie sind betroffene Personen im Sinne der Vorschrift. Der Versicherungsvertrag kann nur mittels der Zusammenarbeit und mittels des Datenaustausches zwischen V1 und V2 erfüllt werden.

Daher liegt für den Datenaustausch eine gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Art. 6 Abs. 1 lit f) DSGVO

Die Vorschrift des Art. 6 Abs. 1 lit f) DSGVO käme ebenfalls als gesetzliche Erlaubnis für den Datenaustausch zwischen V1 und V2 in Frage. Im Sinne dieser Vorschrift ist als „berechtigtes Interesse“ eines Verantwortlichen jedes wirtschaftlich legitime Interesse akzeptiert. Ein berechtigtes Interesse der Weitergabe der Daten liegt daher seitens V1 als auch seitens V2 vor. Entgegenstehende schutzwürdige Interessen der Versicherungsnehmer sind hier nicht zu erkennen. Sie profitieren von einem Angebot, das zwei Unternehmen gemeinsam erbringen, und von den damit verbundenen Serviceleistungen. Daher liegt für den Datenaustausch auch diese gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Verhaltensregeln Versicherungswirtschaft

Dieses Ergebnis wird durch Art. 16 der "Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft" (Stand 29.06.208) gestützt. Dort heißt es in Art. 16 Absatz 2:

„Ein Datenaustausch mit anderen Versicherern ... erfolgt darüber hinaus, soweit dies zur Antrags- und Leistungsprüfung und -erbringung, einschließlich der Regulierung von Schäden bei gemeinsamer, mehrfacher oder kombinierter Absicherung von Risiken, des gesetzlichen Übergangs einer Forderung gegen eine andere Person oder zur Regulierung von Schäden zwischen mehreren Versicherern über bestehende Teilungs- und Regressverzichtsabkommen erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem entgegensteht“.

Hier wird ganz offensichtlich ebenfalls davon ausgegangen, dass ein Datenaustausch zwischen Versicherern in den bezeichneten Fällen ohne Einwilligung der Versicherungsnehmer zulässig ist.

Einwilligung

Trotz des Vorliegens einer gesetzlichen Erlaubnis für den Datenaustausch könnten V1 und/oder V2 zusätzlich oder alternativ eine Einwilligung der betroffenen Person einholen. Art. 6 Abs. 1 DSGVO nennt ausdrücklich die Erfüllung „mindestens“ einer der genannten Erlaubnistatbestände, und die Einwilligung ist an erster Stelle genannt.

Nach Art. 7 Abs. 4 DSGVO muss eine Einwilligung in eine Datenverarbeitung freiwillig erfolgen.

V2 sah für die Einwilligungserklärung einen Text vor, der wie folgt lautete:

Mit meiner/unserer Unterschrift willige/n ich/wir ein, dass gemäß der links abgedruckte Einwilligungserklärung die Versicherer der V2-Versicherungsgruppe und die Unternehmen der V1-Versicherungsgruppe meine allgemeinen Antrags-, Vertrags- und Leistungsdaten jeweils in gemeinsamen Datensammlungen führen. WICHTIGER HINWEIS: Diese Einwilligung ist freiwillig und ich/wir kann/können sie jederzeit mit Wirkung für die Zukunft widerrufen. Es wird jedoch darauf hingewiesen, dass dann die Erfüllung der Vertragspflichten seitens der Versicherer im Leistung- bzw. Schadenfall in der Regel nicht möglich sein wird.

Hier wird trotz der Behauptung des Gegenteils die Einwilligung von der Erfüllung des Vertrages abhängig gemacht, die damit nicht mehr freiwillig ist: keine Einwilligung, keine Vertragserfüllung seitens des Versicherers. Die betroffene Person hat keine Wahl. Diese Einwilligung ist mangels Freiwilligkeit unzulässig und unwirksam. Sie ist auch entbehrlich, da es wie oben beschrieben, gesetzliche Erlaubnistatbestände für den Austausch zwischen Versicherung und Versicherungsvermittler gibt, und auf die sollte zurückgegriffen werden.

Datenschutz im Versicherungswesen (1)

Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.

Die Beteiligten:

Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.

Das Problem:

U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.

Datenschutzrechtliche Einordnung:

Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.

In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:

… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.

Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.

Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.

M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.

Datenschutzrechtliche Verantwortlichkeit

Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat - nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.

Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat - im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.

Das Praxisproblem:

Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U - die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.

Die Empfehlung der Datenschutzbeauftragten:

Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.

Umzug

5 Jahre lang hat PrivCom Datenschutz in der Hallerstraße an der Kreuzung zur Hochallee "gewohnt"; jetzt lief unser Mietvertrag aus und seit Anfang der Woche finden Sie uns unter der folgenden Adresse:

Rothenbaumchaussee 165
20149 Hamburg.

Alle weiteren Kontaktdaten bleiben dieselben.

Hier grenzt ein recht großes Stück Garten an die Büroräume, in dem man gerade jetzt im Sommer unter dem Sonneschirm gut sitzen kann. Kommen Sie gerne einmal vorbei!

Datenschutz in der Wohnungswirtschaft

Wer nicht gerade auf dem Land in einer strukturschwachen Gegend umziehen will, weiß wie schwierig und aufreibend die Suche nach einer Wohnung oder einem Haus sein kann. Bezahlbarer Wohnraum wird gerade in Großstädten immer mehr zu einer knappen Ressource, auf eine Wohnung kommen oftmals hunderte von Interessenten und Bewerbern. Die Frage nach dem Datenschutz für Wohnungssuchende erscheint da fast wie eine Kleinigkeit, die hinter den wirklich entscheidenden Fragen zurücktreten kann.

Werden Sie polizeilich gesucht?

Vermieter fragen schon bei der ersten Interessenbekundung an einer Wohnung völlig ungeniert die persönlichsten Daten der Wohnungssuchenden ab: Höhe Ihrer monatlichen Verbindlichkeiten aus Unterhaltszahlungen? Aus Kreditverträgen, aus Pfändungen? Haben Sie in den letzten 5 Jahren eine eidesstattliche Versicherung über Ihre wirtschaftlichen Verhältnisse abgegeben? Wo sind Ihre Kinder geboren und Geburtsdatum der Kinder? Selbst die Frage, ob denn ein aktueller Haftbefehl gegen den Interessenten vorliege, habe ich schon in einem Fragebogen gefunden.

Eine Vielzahl Daten gegen eine vage Aussicht

Das und noch einiges mehr sollen Wohnungssuchende sofort bei der ersten Interessensbekundung von sich preisgeben, mit der sehr vagen Aussicht, überhaupt erstmal ein Angebot für eine Wohnung zu erhalten. Recht pauschal werden „grundsätzlich alle“ solche Fragen für zulässig erklärt, mit der Begründung der Vermieter habe „ein großes Interesse an diesen Informationen“.

Übersehen wird dabei, dass sich das große Interesse im Rahmen der datenschutzrechtlichen Vorgaben bewegen muss.

Unter Datenschutzaspekten ist die Zulässigkeit von Fragen an Wohnungssuchende an recht enge Grenzen gebunden. Die Datenschutzaufsichtsbehörden haben schon im Jahr 2014 eine Orientierungshilfe zum Thema herausgegeben, die die Voraussetzungen darstellt. Ein daran angelehntes Beispiel für einen datenschutzkonformen Fragebogen zur Selbstauskunft im Rahmen der Wohnungssuche, findet sich hier.

Anforderungen unter DSGVO nicht verändert

Deren Gültigkeit besteht auch mit der Datenschutz-Grundverordnung (DSGVO) fort. Mit Einwilligungen kann an dieser Stelle nicht gearbeitet werden, weil die Freiwilligkeit nicht gegeben ist. Leitlinie ist der Interessensausgleich zwischen der Sicherheit für den Vermieter, einen passenden und solventen Mieter zu finden, und dem Schutz der Wohnungssuchenden vor dem Missbrauch sehr persönlicher Daten. Weder soll der Vermieter durch Mieter wirtschaftlichen Schaden erleiden, noch sollen Wohnungssuchende am Ende in ihrem Auto schlafen müssen, weil eine Flut sensibler Daten sie zu unerwünschten Mietern macht.

Dieser Interessensausgleich ist herstellbar. Wohnungsunternehmen kostet er möglicherweise eine Investition in die Umstellung von internen Prozessen, das in diesem Zusammenhang oft gehörte Argument - "wenn ich Datenschutz beachten soll kann ich nicht mehr arbeiten" - ist allerdings kein Kriterium. Man fährt ja auch nicht konsequent mit der Begründung über rote Ampeln, dass man dann schneller durch die Stadt kommt.

DSGVO Umsetzung beginnen

Wohnungsunternehmen sollten spätestens jetzt anfangen, die Rechtmäßigkeit ihrer Datenverarbeitung im Hinblick auf die Regeln der DSGVO zu überprüfen und insbesondere die Fragebögen für Interessenten auf eine neue Grundlage zu stellen. Die Tatsache, dass Wohnungssuchende für die Aussicht auf ein neues Zuhause im Zweifel (vermeintlich) freiwillig alles von sich preisgeben, wird Vermieter zukünftig nicht vor Komplikationen wegen unzulässiger Datenverarbeitung bewahren – und auch nicht vor den entsprechenden Bußgeldern, die mit der DSGVO erheblich gestiegen sind. Hinzu kommen Schadensersatzansprüche, die betroffene Personen zukünftig wegen der unerlaubten Verarbeitung ihrer persönlichen Daten geltend machen können.

Workshops zum Datenschutz in der Wohnungswirtschaft

Zusammen mit unserem Kunden, der Immosolve GmbH, arbeiten wir seit vielen Jahren kontinuierlich an der Verbesserung der datenschutzkonformen Abläufe bei der Organisation von Mietverhältnissen und Wohnungssuchen. Wer sich für ein paar mehr Einzelheiten zu diesem Thema interessiert, kann bei Immosolve noch an einem Webinar teilnehmen ("Fit für die DSGVO"), das einen etwas erweiterten Überblick über die Thematik gibt, und bei dem ich Referentin bin. Sowohl bei Immosolve als auch bei uns können auch weiterführende Workshops und ausführliche Beratung zum Thema „Die Umsetzung der DSGVO im Wohnungsunternehmen“ gebucht werden. Sprechen Sie uns gerne an.

Nachlese: Vortrag zur DSGVO

Sollten Sie nach einem Ort für eine Veranstaltung suchen, der nicht so langweilig ist wie die immer gleichen Hotel-Konferenzräume, sei Ihnen der Heidepark Soltau empfohlen. Dort tagt man in dem parkeigenen Hotel, das in einer eigenwilligen Märchen- und Piratenoptik gestaltet ist, und bahnt sich seinen Weg zum Konferenzraum zwischen Großeltern mit kleinen Enkelkindern hindurch.

Mitte September fand im Heidepark Soltau der Jahreskongress der BFI Beratungsgesellschaft für Informationstechnologie mbH (BFI) statt, der mit dem Titel „Safety First im Zeitalter der EU-Datenschutz-Grundverordnung“ ganz im Zeichen der neuen Regeln der EU-Datenschutz-Grundverordnung (DSGVO) stand. Die BFI ist Vertriebspartner der Telekom, so dass auch diese als Mitveranstalter dabei war.

DSGVO - Was Unternehmen jetzt tun sollten

Von der DSGVO handelte dann auch mein Vortrag „Die EU-Datenschutz-Grundverordnung – was Unternehmen jetzt tun sollten“, der vom Veranstalter als der Keynote Vortrag angekündigt wurde und auf großes Interesse traf. Darüber hinaus gab es weitere Vortragsblöcke, in denen Hersteller technische Lösungen vorstellten – und am Abend Achterbahnfahren. Letzteres vor dem Abendessen, safety first eben. Auf diese Weise wurde der Jahreskongress zu einem Ereignis im besten Sinne, mit einer Mischung aus Fortbildung, interessanten Gesprächen und Spaß (auch wenn ich, was die Achterbahn anging, lieber am Boden blieb).

Workshops und Vorträge zur DSGVO

Mein Vortrag kann bei uns auch für andere Gelegenheiten und Veranstaltungen gebucht werden. In rund einer Stunde gibt er einen Überblick über die Veränderungen, die sich für Unternehmen mit der Datenschutz-Grundverordnung ergeben, und stellt die notwendigen nächsten Schritte für die Umsetzung vor. Fragen aus dem Publikum und Diskussion sind dabei willkommen. Wer die sich aus der DSGVO ergebenden Fragestellungen gleich ganz konkret für sein Unternehmen vertiefen möchte, kann auch einen halbtägigen Workshop buchen. Darin entwickeln wir einen Fahrplan für die Umsetzung der wichtigsten Punkte.

Nehmen Sie gerne mit uns Kontakt auf und wir besprechen die Einzelheiten.

Datenschutzmanagementsytem nach DSGVO

Der Countdown läuft in Bezug auf die Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO): ab dem 25. Mai 2018 müssen die Vorgaben in Unternehmen und Behörden umgesetzt sein, dazu kommen die Anforderungen des neuen Bundesdatenschutzgesetzes (BDSG-neu). Viele Unternehmen haben mit der Umsetzung begonnen oder suchen zurzeit nach einer Möglichkeit, die neuen Anforderungen möglichst einfach und mit überschaubarem Aufwand zu implementieren.

Das Ziel der möglichst einfachen Umsetzung verfolgt eine neue Richtlinie der VdS Schadenverhütung, die in diesen Wochen unter dem Namen VdS 10010 entwickelt und für jedermann kostenfrei abrufbar sein wird. Die neue Richtlinie knüpft an die schon bekannte Richtlinie VdS 3473 an. Während die VdS 3473 jedoch ausschließlich die Informationssicherheit im Fokus hat, erweitert die geplante VdS 10010 diesen um die Anforderungen des Datenschutzes nach der DSGVO. Die Richtlinie beschreibt ein auditier- und zertifizierfähiges Datenschutzmanagementsystem (DSMS), welches insbesondere auf die Anforderungen von kleinen und mittleren Unternehmen zugeschnitten ist.

Meine Kollegin Anna Cardillo und unser Kooperationspartner Michael Wiesner von der Michael Wiesner GmbH arbeiten als Autoren im Kernteam für die Entwicklung der VdS-Richtlinien 10010. Die Entwicklung erfolgt über ein Wiki, das von Mark Semmler koordiniert wird. Interessierte sind weiterhin eingeladen, sich als Unterstützer bei der Erstellung zu engagieren; die Anmeldung kann hier erfolgen: https://www.mark-semmler.de/vds/doku.php

Wir werden an dieser Stelle über die weitere Entwicklung und das Ergebnis weiter berichten.