Die Corona App

Es ist schon viel über die sogenannte Corona App geschrieben worden. Ein anderer Ausdruck ist Kontakte-Tracing App – im Kern geht es um eine technische Lösung für den Wunsch, möglichst schnell möglichst viele Covid-19 Infizierte zu identifizieren und deren Kontaktpersonen vor Ansteckung zu schützen. Die Meinungen über die Nützlichkeit der App gehen teilweise weit auseinander. Sie reichen - grob zusammengefasst - von

„zu glauben, man könne das Problem technisch lösen ist naiv technikgläubig und bringt unser aller Grundrechte in Gefahr“

bis zu

„sofort machen, und keine Rücksicht auf Datenschutz“.

Ich verlinke hier zwei von zahlreichen Artikeln, die ich mir im Zusammenhang mit der Diskussion gespeichert habe. Zum Thema Rechtsgrundlage gibt es hier einen Artikel von Malte Engeler, dessen Einschätzung ich teile. Mit dem aktuellen Stand der Entwicklung der App beschäftigt sich dieser Beitrag von Fabian A. Scherschel bei heise.de.

Datenschutz? Leider vergessen.

Letzte Woche bekam ich Post von der Polizei, genauer gesagt der Akademie der Polizei. Man wolle genauer wissen, welche Folgen die Corona Pandemie für die Menschen habe, und was die Auswirkungen auf die Polizeiarbeit sein könnten. Ich sei als eine von 5000 Bürgerinnen zufällig ausgewählt, an einer Befragung zu diesem Thema teilzunehmen. Ich rief die angegebene Webseite auf und fand schon auf der ersten Seite eine Reihe von durchaus persönlichen Fragen u.a. nach meinem Bildungsgrad, meinem Einkommen und Ängsten im Zusammenhang mit der Covid-19 Krise (Angst vor Krankheit? Angst vor Arbeitslosigkeit?).

SSL Verschlüsselung

Zu meiner Überraschung war die für die Umfrage aufgesetzte Webseite nicht verschlüsselt. Im ersten Moment dachte ich, ich hätte mich getäuscht, gehört es doch zum selbstverständlichen Standard jeder vergleichsweise harmlosen Unternehmenswebseite, sie mit https zu verschlüsseln. Aber so war es - alle Angaben im Zusammenhang mit der Umfrage der Akademie der Polizei sollten ohne Absicherung unverschlüsselt übertragen werden. Von der zugesagten Anonymität der Befragung konnte unter diesen Umständen keine Rede sein, von einem Verstoß gegen einfachste Vorkehrungen für IT-Sicherheit und Datenschutz einmal ganz abgesehen.

Verschlüsselung vergessen

Ich schrieb an die im Anschreiben angegebene E-Mail-Adresse und sagte, dass ich mich unter diesen Umständen leider nicht an der Umfrage beteiligen würde. Ich fragte, wie es sein könne, dass bei der Abfrage so vertraulicher Daten wie Einkommen und Zukunftsängsten keine Verschlüsselung auf der Webseite eingesetzt werde. Immerhin ist eine SSL Verschlüsselung weder schwierig noch teuer.

Die Antwort kam prompt. „Die Verschlüsselung hätte kein nennenswertes Problem dargestellt“, schrieb mir ein Mitarbeiter aus der Projektleitung. Die Verschlüsselung „wurde jedoch schlichtweg vergessen und kann bei laufenden Befragungen auch nicht mehr nachträglich eingerichtet werden. Wir werden das für zukünftige Projekte bedenken“.

Der Datenschutzbeauftragte der Polizei Hamburg, dem ich meine Mail weitergeleitet hatte, schrieb kurz danach in schönstem bürokratischen Deutsch er werde „auf das Nutzen aller feststellbaren Optimierungsmöglichkeiten hinwirken“. Meine Kontaktaufnahme mit ihm werde er „vertraulich behandeln“. (Da bin ich beruhigt).

Datenschutz? Beim nächsten Mal.

Liebe Polizei Hamburg, Sie haben den Datenschutz vergessen? Und nun wollen Sie eine Umfrage mit zahlreichen sehr persönlichen Angaben auf einer unverschlüsselten Webseite weiterlaufen lassen? Das können Sie nicht ernst meinen. Wenn eine Nachbesserung nicht möglich ist, muss die Befragung abgebrochen und neu aufsetzt werden. Ein Unternehmen, das so einen Unsinn machte, würde ziemlich sicher sofort ein Bußgeld erhalten.

Update 29. April 2020, Vormittags

Manchmal geht es dann doch ganz schnell: ein Mitarbeiter aus der Projektleitung schrieb mir, dass die Seite mit der Umfrage jetzt verschlüsselt läuft.

Privacy Challenges for the New Decade

Bei der Sortierung alter Texte traf ich auf einen kurzen Vortrag zum Europäischen Datenschutztag, den ich online gehalten habe. Ich war der Bitte eines Kollegen in einem internationalen Konzern gefolgt, der online Fortbildungen organisiert. Obwohl der Europäische Datenschutztag ja schon eine eine ganze Weile zurückliegt (28. Januar), veröffentliche ich den Vortrag hier noch mal. Vielleicht ist es ja ganz gut ein paar Gedanken abseits von Covid-19 zu lesen. Das Thema des kurzen Vortrags war: “Privacy challenges in the new decade”.

(mehr …)

Unterliegen Bewegungen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten und definiert eigentlich ziemlich genau, wer ihr unterliegt. Trotzdem ist die Frage, ob Bewegungen der DSGVO unterliegen nicht so einfach zu beantworten.

Für wen gilt die DSGVO?

Generell kann man sagen, dass keine Privatpersonen derDSGVO unterliegen. Das bedeutet, wenn Sie einen Geburtstag oder Ihre Hochzeit planen, dann müssen Sie sich nicht an die DSGVO halten.

Das liegt daran, dass dies eine familiäre bzw. persönliche Tätigkeit ist.
DSGVO Artikel 2 Absatz 2c

Wenn Sie aber zum Beispiel in einem Unternehmen, einer Behörde, einem Verein oder ähnlichem arbeiten, dann unterliegt die Datenverarbeitung der DSGVO. Sie sind dann ein so genannter "Verantwortlicher".
Verantwortliche sind natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Und was ist mit Bewegungen?

Bewegungen sind keine juristische Person. Bewegungen sind auch kein Unternehmen, keine Behörden oder Vereine. Jedoch gehören einer Bewegung ja natürliche Personen an. Natürliche Personen sind Menschen so wie Sie und ich.

Laut DSGVO können Verantwortliche allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden.
DSGVO Artikel 4 Absatz 7

Man kann also jede einzelne Person innerhalb einer Bewegung als Verantwortlichen sehen. Die Bewegung ist dann ein Zusammenschluss von mehreren Verantwortlichen, die personenbezogene Daten verarbeiten.

Ist das Organisieren von z.B. Demonstrationen ein persönlicher oder familiärer Zweck?

Nein, das ist es nicht. Denn Demonstrationen sind öffentliche Veranstaltungen.

Einige Bewegungen organisieren mehrfach, bzw. wöchentlich Demonstrationen und/oder Veranstaltungen. Damit kann man nicht mehr von einem persönlichen oder familiären Zweck sprechen.

Wer haftet? Und wie?

Im Falle der Bewegung ist es so, dass alle Personen, die an der Erhebung, Verarbeitung, Speicherung usw. der personenbezogenen Daten beteiligt sind, auch Verantwortliche im Sinne der DSGVO sind. Damit sind sie auch für die Datenverarbeitung haftbar.

Gehaftet wird mit dem privaten Vermögen. Auch hier gelten die Summen, die die DSGVO vorsieht. Das können theoretisch bis zu 20.000.000 Euro bzw. bis zu 4% des jährlichen Umsatzes sein. Die Summen bemessen sich an der Art und der Schwere des Verstoßes.
DSGVO Artikel 83

Aber keine Angst. Diese Bußgelder müssen angemessen und verhältnismäßig sein. Es ist relativ unwahrscheinlich, dass Ihnen als Privatperson mit mittlerem Einkommen ein Bußgeld von 1.000.000 Euro und mehr aufgedrückt wird.
DSGVO Artikel 83

Dennoch können diese Bußgelder weh tun.

Wirklich alle? Was, wenn die anderen Mist bauen?

Da Sie ein Zusammenschluss von mehreren Verantwortlichen sind, haften Sie erst einmal alle gleichermaßen.

Sie können allerdings Verträge aufsetzen, in denen Sie die anderen Verantwortlichen zur Einhaltung der in der DSGVO festgelegten Spielregeln verpflichten. Dann können Sie sich der Haftung entziehen, wenn sich an diese, im Vertrag festgelegten, Regeln gehalten wird.

Haben Sie Fragen zu diesem Thema? Kontaktieren Sie uns gerne.

Datenschutz-Grundverordnung?

Als vor knapp 1,5 Jahren die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) endete, war der Frust groß. In vielen Unternehmen herrschte die fixe Idee, dass personenbezogene Daten nur noch mit der Erlaubnis der betroffenen Person verarbeitet werden dürften.

Grundlegende Informationen zur DSGVO

Hier wollen wir nun ein paar grundlegende Informationen über die DSGVO geben.

Die DSGVO regelt den Umgang mit sogenannten personenbezogenen Daten. Personenbezogene Daten sind grob gesagt alle Informationen über eine Person, mit Hilfe derer oder mit Hinzunahme weiterer Informationen, Rückschlüsse auf die Identität einer Person gezogenen werden können. Das sind zum Beispiel Name, Geburtsdatum, Adresse, Kontaktdaten, aber auch Versichertennummern und Besitzverhältnisse.

Besondere Kategorien

Hinzu kommen die sogenannten besonderen Kategorien personenbezogener Daten. Diese gibt es, weil die betroffene Person hier einen besonders großen Schaden nimmt, wenn die Informationen öffentlich werden. Diese müssen daher auch besonders geschützt werden. Das sind: Daten über die ethnische oder "rassische" Herkunft, Religionszugehörigkeit, politische Meinungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten und biometrische Daten. Außerdem Daten zum Sexualleben oder der sexuellen Orientierung

Für wen die Datenschutz-Grundverordnung gilt

Die Datenschutz-Grundverordnung gilt für alle, die nicht privat personenbezogene Daten verarbeiten. Also zum Beispiel Behörden, Vereine, Unternehmen usw.

Wenn Sie jetzt also Ihre Hochzeit oder Ihren nächsten Geburtstag feiern wollen, dann müssen Sie keine Angst haben, dass die DSGVO greift.

Spielregeln

Die DSGVO gibt quasi die Spielregeln im Umgang mit personenbezogenen Daten vor. Darin stehen die Gründe für eine erlaubte Datenverarbeitung. Sie glauben gar nicht wie viele Gesetze eine Datenverarbeitung erlauben!

Ein sehr erschreckendes und aktuelles Beispiel hierfür ist die Idee von Bundesgesundheitsminister Spahn. Dieser möchte die Gesundheitsdaten, von gesetzlich Versicherten der Forschung zur Verfügung zu stellen. So ein Gesetz würde dann die Datenverarbeitung erlauben. Auch wenn so eine Verarbeitung aus Sicht des Datenschutzes natürlich ein absoluter Albtraum ist!

Was gibt es sonst noch für Spielregeln?

Die DSGVO gibt ein paar weitere Gründe für die Verarbeitung von personenbezogenen Daten vor.

Dazu gehört unter anderem ein berechtigtes Interesse des Verantwortlichen. Also der Behörde, des Unternehmens, des Vereins usw., die bzw. der die Daten verarbeitet … aber auch die Einwilligung der betroffenen Person gehört zu diesen Gründen, die die DSGVO gibt.

Wenn also keine Erlaubnis aus dem Gesetz da ist, dann haben Sie immer noch die Möglichkeit eine Einwilligung der betroffenen Person einzuholen. Ein Beispiel hierfür sind Newsletter.

Außerdem regelt die DSGVO unter anderem noch die technischen und organisatorischen Anforderungen an eine sichere Datenverarbeitung. Das sind die sogenannten "technisch-organisatorischen-Sicherheitsmaßnahmen", kurz TOM. Sie schreiben unter anderem vor, dass personenbezogene Daten wiederhergestellt werden können müssen, in bestimmten Fällen aber beispielsweise auch eine Verschlüsselung. In der DSGVO heißt es außerdem, das diese Sicherheitsmaßnahmen implementiert werden müssen "... um ein dem Risiko angemessenes Schutzniveau zu gewährleisten". Das bedeutet also, dass je höher das Risiko ist, das von einem möglichen Missbrauch der personenbezogenen Daten für die betroffenen Personen ausgeht, desto besser müssen diese geschützt werden (Art. 32 Abs. 1 DSGVO).

Bußgelder?

Eine Neuerung der DSGVO ist die Höhe der Bußgelder. Auch der Schadensersatz an die betroffene Person ist neu. Dieser bemisst sich aus materiellem und immateriellem Schaden.

Mittlerweile erlaubt die DSGVO Bußgelder von bis zu 20.000.000 EUR bzw. 4% des weltweiten Umsatzes eines Unternehmens aus dem vorausgegangenen Geschäftsjahr.

Vor der DSGVO betrugen die Bußgelder max. 50.000 EUR. Solche Bußgelder können mittlerweile also richtig weh tun.

Wir beraten Sie zu allen Fragen der DSGVO und verwandten Themen. Nehmen Sie hier Kontakt auf.

Auskunftsersuchen in Unternehmen

Wechseln wir die Perspektive.

Ihnen kommt nun - auf welchem Weg auch immer - das Auskunftsersuchen einer betroffenen Person in ihr Unternehmen geflattert.

Was nun?

Generell gilt: bei Fragen beziehungsweise Unsicherheiten wenden Sie sich jederzeit an Ihre Datenschutzbeauftragte bzw. Ihren Datenschutzbeauftragten.

Es gibt keine unsinnigen oder peinlichen Fragen!

Ihre Datenschutzbeauftragte (oder Datenschutzbeauftragter) steht außerdem unter Schweigepflicht. Sollten Sie es nicht wollen landet also auch keine Ihrer Fragen bei Ihren Vorgesetzten.

Zu allererst sollten Sie überprüfen, ob Sie die anfragende Person kennen. Haben Sie Daten über die Person gespeichert?

Anschließend überprüfen Sie, ob die Identität der Person belegt ist.

Stellen Sie sich vor, Hans Meyer gibt sich als sein Kollege Max Mustermann aus, und Sie schicken sämtliche Informationen über Herrn Mustermann an Herrn Meyer, dann haben Sie zweifelsfrei ein Problem.

Wenn Sie nun von der Identität, der um Auskunft ersuchenden Person überzeugt sind, geht es an das Zusammenstellen der Informationen.

Wer trägt die Kosten?

Diese müssen laut DSGVO kostenlos zur Verfügung gestellt werden. Allerdings besteht die Möglichkeit, dass die Kosten die betroffene Person trägt, wenn sie zum wiederholten Male um Auskunft ersucht.

Welche Fristen sind einzuhalten?

Sie als Firma haben vier Wochen Zeit auf das Ersuchen zu reagieren. Wenn Sie diese Frist nicht einhalten können, dann können Sie die Frist um bis zu zwei Monate verlängern.

Es ist allerdings darauf zu achten, dass Sie dies begründen müssen. Auch gegenüber der Person, die um Auskunft ersucht!

So eine Begründung könnte zum Beispiel sein, dass Sie erst die Identität klären müssen oder der Datensatz sehr groß ist.

Berichtigung von Daten

Die betroffene Person hat außerdem das Recht von Ihnen zu verlangen, dass ihre personenbezogenen Daten korrigiert werden.

Das geht natürlich nur, wenn die Informationen falsch sind.

Darüberhinaus hat jede Person, deren personenbezogene Daten verarbeitet werden, das Recht auf Löschung dieser Daten.

Sie kann also verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden (Art. 17 DSGVO).

Dazu sind Sie dann auch verpflichtet, allerdings gibt es auch Gründe, nach denen Sie die Daten nicht einfach so löschen dürfen. Das ist zum Beispiel in der Medizin der Fall oder bei Bewerbungen.

Sie müssen als Unternehmen oder Ärztin bzw. Arzt beispielsweise entweder belegen, dass Sie keinen Behandlungsfehler begangen haben oder dass Sie nicht diskriminiert haben. Zum Beispiel, indem Sie eine Person auf Grund ihres Geschlechts oder ihres Namens nicht eingestellt haben. Für diesen Beleg brauchen Sie ggfls. die Daten der Person.

Sie leiten also bitte nicht einfach die Email von Hans Mustermann mit der Bitte um Löschung sämtlicher personenbezogener Daten an die IT Abteilung weiter. Sie löschen dann auch bitte nicht einfach als IT Abteilung sämtliche personenbezogenen Daten über Herrn Mustermann.

In so einem Fall wenden Sie sich bitte an Ihre Vorgesetzten und die Datenschutzbeauftragte. Dann entscheiden Sie gemeinsam das weitere Vorgehen und überprüfen, ob eine Löschung rechtens ist.

Rechte betroffener Personen (Art. 15 DSGVO)

Vor ein paar Wochen fragte mich ein Freund, wie dass denn nun eigentlich ginge, wenn er wissen wolle, welche Firmen welche Daten über ihn verarbeiten. Dieser Freund hatte erfahren, dass ich bei der PrivCom Datenschutz GmbH arbeite. Ich hatte mich aus diesem Grund näher mit der Datenschutz-Grundverordnung (DSGVO), die ja das zentrale Gesetz zum Thema Datenschutz ist, beschäftigt.

Die Rechte betroffener Personen nach der DSGVO

Ich erklärte ihm seine Rechte an folgendem Beispiel: Die Firma „Pflegeelfen“ verarbeitet personenbezogene Daten von Ihnen. Die Pflegeelfen vermittelt Pflegefachkräfte.

Damit diese an Sie vermittelt werden können, brauchen die Pflegeelfen verschiedene Informationen von Ihnen. Dazu gehören zum Beispiel Ihr Name, Ihr Geburtsdatum, Ihre Anschrift, Ihre Mailadresse, Ihre Telefonnummer, Gesundheitsdaten und noch einige andere.

Nach einiger Zeit fragen Sie sich, welche Ihrer Daten genau von den Pflegeelfen verarbeitet werden.

Art. 15 DSGVO

Dazu können Sie nun ein Schreiben an die Pflegeelfen aufsetzen und unter anderem um folgende Informationen ersuchen:

Welche personenbezogenen Daten konkret (zum Beispiel Name, Geburtsdatum, medizinische Diagnosen, Anschrift, Beruf …) verarbeitet werden;
Welche Kategorien von personenbezogenen Daten verarbeitet werden;
Empfänger bzw. Kategorien von Empfängern, die diese Daten bereits erhalten haben oder künftig noch erhalten werden;
Zu welchem Zweck die Daten erhoben und gespeichert werden;
Die geplante Speicherdauer bzw. die Kriterien für die Feststellung der Speicherdauer;
Die Herkunft der Daten;
Falls eine Datenübermittlung in Drittländer stattfindet, welche Garantien gemäß Art. 46 DSGVO vorgesehen sind.

Doch was bedeutet das konkret?

Kategorien von personenbezogenen Daten sind zum Beispiel allgemeine Personendaten. Dazu gehören Name, Geburtsdatum, Anschrift, Mailadresse, Telefonnummer etc. Aber auch Kennnummern, so wie die Krankenversichertennummer, sind eine Kategorie.

Empfänger sind Personen, Behörden, Einrichtungen, Dienstleister oder andere Stellen, denen personenbezogene Daten offengelegt werden.

Die Pflegeelfen in meinem Beispiel haben nun maximal vier Wochen Zeit diese Anfrage zu bearbeiten. Diese Frist kann zwar um weitere zwei Monate verlängert werden, allerdings müssen Sie auch darüber innerhalb von vier Wochen nach Eingang der Anfrage informieren.

Ansonsten können Sie sich dann an die zuständige Datenschutzaufsichtsbehörde oder eine Anwältin wenden, die die weitere Kommunikation mit dem Unternehmen für Sie regelt. Spätestens dann wird den meisten Unternehmen klar, dass das Ganze kein Witz war, sondern durchaus ernst. Wichtig: die Kosten der Anwältin muss anschließend das Unternehmen tragen, das keine Auskunft gegeben hat.

Welche Rechte gibt es noch?

Mit dem Ersuchen um Auskunft ist es aber noch nicht getan. Ganz am Anfang der Erhebung der Daten müssen Sie weitere, allgemeine Informationen erhalten:

Die Kontakdaten des/der Datenschutzbeauftragten (sofern vorhanden);
Informationen zum Zweck der Datenverarbeitung;
Die Erlaubnis für die Datenverarbeitung (Rechtsgrundlage);
Bei welcher Stelle Sie sich beschweren können, falls Sie einen unrechtmäßigen Umgang mit Ihren Daten vermuten.

Die Informationen müssen präzise, transparent, verständlich und leicht zugänglicher Form an die betroffene Person gegeben werden. Darüberhinaus müssen Sie in leichter Sprache zugänglich gemacht werden, insbesondere, wenn sich die Information an Kinder richten.

Datenschutz-Verletzungen (2)

In meiner Beratungspraxis häufen sich die nach Art. 33 und 34 DSGVO meldepflichtigen Datenschutzverletzungen. Die wichtigsten werde ich in loser Reihenfolge hier beschreiben. Auf dass sie noch dazu gut sein mögen, dass jemand die richtigen Schlüsse zieht, bevor etwas schief geht.

Alle Namen und Abläufe wurden soweit verändert, dass die wahren Beteiligten nicht erkennbar sind.

Was passiert ist

Der Geschäftsführer (H) eines Hamburger Unternehmens mit mehreren Standorten in Europa schickte eine E-Mail an eine Kollegin in der Geschäftsführung, die in Amsterdam ihren Sitz hat. Im Anhang befand sich eine Gesprächsnotiz als Worddokument über ein Gespräch mit dem Leiter eines weiteren Standortes, hier als X bezeichnet. Der Inhalt war für X als auch für mehrere andere Kollegen an seinem Standort unvorteilhaft, um es vorsichtig auszudrücken. Wenige Stunden später landete der Vermerk auf einem E-Mail-Verteiler, der für alle Mitarbeiter an allen Standorten des Unternehmens einsehbar war. Absender: die E-Mail-Adresse des Geschäftsführers aus Hamburg. Über einhundert Mitarbeitende hatten Einsicht in ein Gesprächsprotokoll, dessen Inhalt zwischen zwei Personen bleiben sollte.

E-Mail Postfach kompromittiert

Ein Anruf bei H ergab, dass er den ganzen Tag in einer Konferenz verbracht hatte, ohne dass er auch nur Mails abgerufen, geschweige denn geschrieben hatte. Die weitere Untersuchung brachte ans Licht, dass das E-Mail-Postfach des H schon seit rund drei Monaten von einem unbekannten Angreifer übernommen worden war. Offenbar hatte dieser stillschweigend und unbemerkt mitgelesen und erst jetzt „zugeschlagen“. Es war aufgrund der weiteren Umstände davon auszugehen, dass es sich bei dem Angreifer um einen Insider handeln musste - einen ehemaligen Mitarbeiter oder vielleicht sogar um jemanden, der noch im Unternehmen tätig war.

Die Folgen

Für alle Kontaktpersonen und Kommunikationspartner des H bestand ein erhebliches Risiko, dass der Angreifer sein über Wochen gesammeltes Wissen aus den Mails gegen die jeweiligen Personen verwenden würde, immer mit dem Ziel letztlich H zu schaden. Aufgrund der wochenlangen Kontrolle des Angreifers über das Postfach war im Grunde alles möglich, von Erpressung über Rufschädigung bis Betrug. Alle Personen mussten daher über den Vorfall informiert werden. Dies geschah mit einem Rundbrief, der per Mail verschickt wurde, versehen mit dem Hinweis, dass Mails von dem alten, bekannten Account ab sofort nicht mehr H zuzurechnen sind. Die Anzahl lag in einem niedrigen vierstelligen Bereich.

Der Hamburger Standort meldete den Vorfall an die Datenschutzaufsichtsbehörde in den Niederlanden, da das Unternehmen dort seinen Hauptsitz hat (Art. 56 DSGVO), und informierte Hamburg parallel.

Weitere Maßnahmen

Als Sofortmaßnahme froren die IT-Verantwortlichen das Postfach des H ein, und setzten für ihn eine neue Mailadresse auf. Sie änderten sämtliche Administrator Passwörter zum Zugang in geschäftskritische Systeme und übergaben die geänderten Passwörter einem Treuhänder. Bis zur endgültigen Aufklärung des Vorfalls mussten die Administratoren die Passwörter bei dem Treuhänder anfordern und nach Gebrauch wurden sie wiederum geändert. Alle Nutzerpasswörter für die E-Mail-Konten wurden geändert, was für die IT-Verantwortlichen ein riesiger Aufwand war.

Geprüft wurde ebenso, ob X, der in dem unternehmesweit öffentlich gewordenen Vermerk so schlecht dastand, aufgrund der Datenschutzverletzung einen Schadensersatzanspruch nach Art. 82 DSGVO würde geltend machen können.

Was der Vorfall lehrt

Geschäftsführungen und Vorstände müssen sich auf einen technisch sicheren Weg für den internen Austausch und die Speicherung vertraulicher Informationen verständigen. E-Mail ist dafür ungeeignet.

So lästig es ist: Passwörter müssen sorgfältig verwahrt und regelmäßig geändert werden, was im Fall des H offenbar nicht geschehen ist. „They didn’t brute force his password“, wie der in England ansässige IT-Leiter so schön sagte – das-Mail-Account wurde ohne technisch gestützten Angriff auf das Passwort übernommen.

Trennung von geschäftlichen und privaten Inhalten: es ist immer noch weitverbreitet, geschäftliche und private Angelegenheiten in einem (geschäftlichen) E-Mail-Postfach abzuwickeln. Wird dies dann übernommen, hat der Angreifer quasi das ganze Leben des Betroffenen in der Hand und nicht nur das halbe - was ja schon schlimm genug ist, wenn es passiert.

Niemals dasselbe Passwort für verschiedene Accounts verwenden. Begründung, siehe oben: Wenn ein Zugang kompromittiert ist, kann der Angreifer wenigstens nicht auch noch das Online Banking oder den Account fürs Online Dating missbrauchen. Aus denselben Gründen niemals Passwörter per E-Mail-verschicken!

Sicherstellen, dass die Anzahl derer, die über Administratorpasswörter verfügen, begrenzt bleibt. Einführung des Vier-Augen-Prinzips für den Zugang auf unternehmenskritische Systeme.
Sicherstellen, dass Passwörter sofort entzogen werden, wenn jemand das Unternehmen verlässt.

Im nächsten Artikel:

Kommunikation bei Sicherheitsvorfällen

Wenn Sie Rat möchten, wie Ihre interne Kommunikation vertraulich gehalten werden kann, nehmen Sie gerne Kontakt auf. Wir finden mit Ihnen eine Lösung.

Datenschutz-Verletzungen

Zu Zeiten des alten Bundesdatenschutzgesetzes (BDSG) mussten nur Datenschutz-Verletzungen gemeldet werden, bei denen Gesundheitsdaten, Bank- und Kreditkartendaten oder Informationen aus Strafverfahren betroffen waren. Vorfälle, die solche Daten beinhalteten, waren an die Datenschutz-Aufsichtsbehörden zu melden, nicht jedoch den betroffenen Personen.

Die Meldepflichten im Fall von Datenschutz-Verletzungen sind mit der Datenschutz-Grundverordnung (DSGVO) deutlich ausgeweitet worden. Gemeldet werden müssen nunmehr alle Verletzungen des Schutzes personenbezogener Daten und zwar an die Aufsichtsbehörde als auch an die betroffenen Personen.

Art. 33 und 34 DSGVO

Die DSGVO bindet die Pflicht zu melden an die Voraussetzung, dass durch die Schutzverletzung für die betroffenen Personen ein „Risiko“ bzw. ein „hohes Risiko“ besteht (Art. 33 und 34 DSGVO). Auch dies ist neu - es geht nicht um den Schutz des Unternehmens vor Rufschaden oder ähnlichen Folgen, sondern die Person steht im Fokus. Die Person, um deren Daten es sich handelt.

Vorgehen bei Datenschutz-Verletzungen

Im Fall einer Datenschutz-Verletzung im Unternehmen ist es wichtig, zügig und überlegt die nötigen Schritte einzuleiten. Das nachfolgende Beispiel zeigt einen Vorfall aus unserer Beratung, anhand dessen wir den Ablauf im Fall einer einer Datenschutz-Verletzung darstellen wollen. Hintergrund des Vorfalls war der unüberlegte Einsatz einer Software für die Projektorganisation.

Was war passiert?

Die Personalabteilung der Firma Wegner ** wollte für eine bessere Organisation ihrer internen Abläufe die Software "Trello" einsetzen. Trello ist ein Tool für das Projektmanagement in Teams. Es ist eine Cloud Lösung und wird in den USA gehostet. Mehrere Mitarbeiter von Wegner registrieren sich für die kostenlose Version.

Am 19. März fand ich um kurz vor 9 Uhr eine E-Mail eines Hans Nielsen von der Firma MediaX, der mir schrieb, bei meinem Auftraggeber Wegner habe es eine Datenschutz-Verletzung gegeben.

"Gestern wurde ich <Hans Nielsen, MediaX> durch Herrn Burmester der Wegner AG auf ein nicht öffentliches Trello Board ... ungefragt eingeladen (18.03.2019, 18:07) und auf diesem hinzugefügt (18.03.2019, 18:07; Maileingang 18:09). Diese Einladung erfolgte ohne vorherige Kontaktaufnahme oder meine Zustimmung. Neben meinen Namen enthält dieses Board diverse personenbezogene Daten anderer Personen. So sind hier Vor- und Nachnamen ersichtlich aber auch Verläufe zu deren Bewerbungsprozess wie Status der Bewerbung, Anmerkungen zu Reisebereitschaft und allgemein zu diesem Bewerber".

Es folgte die nicht öffentliche URL des Boards und mehrere Screenshots der Mail, sowie die Information, dass er Herrn Burmester informiert und dieser den Zugriff am 19.03.2019 um 09:58 Uhr wieder unterbunden habe.

Ich setzte mich mit dem in der Mail genannten Herrn Burmester in Verbindung, um Details der Sache zu erfahren. Herr Burmester war nicht zu erreichen. Ein Anruf in der IT ergab die Auskunft: „Wir kennen dieses Tool nicht und haben den Einsatz nicht freigegeben“.

Es droht Ungemach

Ich schrieb eine EILT! DATENSCHUTZ! Mail an den Geschäftsführer und wies ihn darauf hin, dass diese Datenschutz-Verletzung nach meiner vorläufigen Einschätzung an die Datenschutz-Aufsichtsbehörde gemeldet werden muss. Damit lief auch die Frist; nach Art. 33 Abs. 1 DSGVO muss eine Datenschutz-Verletzung innerhalb von 72 Stunden „nach Kenntnis des Vorfalls“ an die Aufsichtsbehörde gemeldet werden.

In unserem Fall hieß das: Kenntnis des Vorfalls bei der Datenschutzbeauftragten etwa zeitgleich mit der Kenntnis im Unternehmen am 19.03.2019 um 09:30 Uhr. Die 72 Stunden Frist nach Art. 33 Abs. 1 DSGVO endete am Freitag, 22.03.2019, 09:30 Uhr.

Betroffene Personen

Es waren ungefähr ein Dutzend Personen betroffen, die sich bei der Firma Wegner beworben hatten. Es waren keine Geburtsdaten, keine Adressen, keine Details aus Lebensläufen öffentlich geworden, aber die Angabe über den Status des Bewerbungsverfahrens („Gespräch hat stattgefunden“, "passt von Qualifikation her nicht“) und Angaben zum Hintergrund („kommt aus Consulting“, „viel SAP Erfahrung“).

Wie konnte das passieren?

Trello speichert offenbar alle Namen und Mailadressen von Personen, die irgendwann mal damit gearbeitet haben – wenn auch nur probehalber und vorübergehend. Wenn man mit der Funktion „hinzufügen mittels Einladung“ einen Namen eingibt, gleicht das System den Namen mit den schon auf Vorrat gespeicherten ab. Dann schickt es ohne weitere Nachfrage eine Einladung raus. Dementsprechend landete nach Eingabe des Namens des „Hans Nielsen“ von der Firma Wegner die Einladung bei Hans Nielsen von der Firma MediaX. Dieser zweite Hans Nielsen war im Gegensatz zu dem ersten offenbar schon einmal bei Trello registriert.

Die nächsten Maßnahmen

Der Geschäftsführer rief mich am späteren Abend zurück und ich empfahl ihm mehrere Maßnahmen:

Die umfassende Dokumentation des Vorfalls
Eine Meldung an die Aufsichtsbehörde innerhalb der gesetzlichen Frist

Darüberhinaus empfahl ich:

Das sofortige Verbot, Trello weiter einzurichten oder zu nutzen
Die sofortige Löschung aller bis dahin eingegebenen personenbezogenen Daten

Ich sah keine Verpflichtung nach Art. 34 DSGVO, die betroffenen Personen zu informieren. Die Daten waren nur für eine Person und auch nur über einen relativ kurzen Zeitraum einsehbar. Hinzu kam, dass es sich „nur“ um den Namen und den Status des Bewerbungsverfahrens handelte.

Fazit

Bei allem, was hier im Vorfeld schiefgelaufen war, wurde immerhin richtig und angemessen reagiert, als der Schaden entstanden war. Die Meldung an die Aufsichtsbehörde wurde gemacht und ich warte nunmehr auf eine Reaktion von dort.

Damit eine richtige und angemessene Reaktion nicht dem Zufall überlassen bleibt, bietet es sich an, unternehmensinterne Prozesse und Verantwortlichkeiten für den Fall einer Datenschutz-Verletzung festzulegen und bei den Verantwortlichen bekannt zu machen.

** alle Namen wurden erfunden. Es handelt sich nicht um die tatsächlichen Namen der Beteiligten.

Datenschutz im Versicherungswesen (3)

Mit dem Ablauf der Umsetzungsfrist für die Datenschutz-Grundverordnung (DSGVO) Ende Mai 2018 wurden zahlreiche Rechtsverhältnisse als Auftragsdatenverarbeitung nach Art. 28 DSGVO eingeordnet. Nachfolgend wollen wir anhand von Beispielen aus dem Versicherungswesen einen Überblick über die Auftragsdatenverarbeitung geben und insbesondere aufzeigen, wann _keine_ Auftragsdatenverarbeitung vorliegt.

Was ist eine Auftragsverarbeitung?

Bei einer Auftragsverarbeitung verarbeitet ein Dienstleister (Auftragsverarbeiter bzw. Auftragnehmer) personenbezogene Daten für ein Unternehmen (Verantwortlicher bzw. Auftraggeber). Der Dienstleiser ist weisungsabhängig – er muss also die Anweisungen des Auftraggebers in Bezug auf die Daten befolgend und darf die Daten, die er zur Verfügung gestellt bekommen hat, nicht für eigene Zwecke verwenden. In der Regel ist die Möglichkeit des Auftragnehmers, auf die personenbezogenen Daten des Auftraggebers zuzugreifen, auch nur eine „Nebenfolge“ der eigentlichen Dienstleistung. Die eigentliche Dienstleistung wäre auch ohne Zugriff auf die personenbezogenen Daten möglich.

Praxisbeispiel Auftragsdatenverarbeitung

Beispiel: ein IT-Dienstleister wird mit der Wartung eines Servers beauftragt und dem Einspielen von Updates. Die Dienstleistung „warten Sie unseren Server und spielen Sie alle nötigen Updates rechtzeitig auf“ wäre theoretisch auf ohne Zugriff auf die Personendaten auf dem Server zu erledigen. Da die Trennung aber technisch unmöglich (oder äußerst aufwändig) wäre, geht man hier von einer Auftragsdatenverarbeitung aus.

Die Entscheidung über den Zweck der Datenverarbeitung trifft allein das auftraggebende Unternehmen. Die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung wird (und darf) jedoch auf den Auftragsverarbeiter delegiert.

Typische Fälle einer Auftragsverarbeitung sind externe Lohn- oder Gehaltsabrechnung oder die Nutzung von Cloud-Diensten.

Wann liegt keine Auftragsverarbeitung vor?

Alle eigenständig handelnden Berufsgruppen wie z.B. Steuerberater, Wirtschaftsprüfer und Rechtsanwälte, Bankinstitute für Überweisungen oder die Post für ihre Dienstleistungen sind keine Auftragsverarbeiter / Auftragnehmer. Sie sind eigenständig Verantwortliche. Um die Ergebnisse von weiter unten vorweg zu nehmen: zu den eigenständig handelnden Berufsgruppen zählen auch die Versicherungen und Versicherungsmakler.

Vertrag über Auftragsverarbeitung (Art. 28 DSGVO)

Eine Auftragsverarbeitung nach Art. 28 DSGVO braucht einen eigenen Vertrag, in dem die Pflichten des Dienstleisters in Bezug auf den Umgang mit den ihm überlassenen Daten geregelt sind. In der Praxis wird so ein Vertrag oftmals als lästiges bürokratisches Beiwerk betrachtet - das ist er aber nicht. Er ist die Grundlage für die Aufteilung der Verantwortlichkeit bei Verstößen gegen Datenschutzvorschriften und entsprechend auch für die Verteilung der Haftung.

Praxisbeispiel 1

Eine Wohnungseigentümergemeinschaft (WEG) wird von einer Verwaltungs-GmbH vertreten. Der entsprechende Vertrag berechtigt die Verwaltungs-GmbH u.a. zur „Betreuung der abgeschlossenen Versicherungsverträge, Kündigung bestehender Verträge“. Ein Versicherungsmakler ist Vertragspartner der Verwalter-GmbH (in Bezug auf Versicherungsverträge). Ist die versicherungsrechtliche Betreuung der Verträge durch die Verwalter-GmbH eine AVV nach Art. 28 Abs. 3 DSGVO, mit der WEG, vertreten durch die Verwalter-GmbH als Auftraggeber, und dem Versicherungsmakler als Auftragnehmer?

Gegenstand des Vertrags zwischen Verwaltungs-GmbH und Versicherungsmakler sind die „Betreuung der abgeschlossenen Versicherungsverträge, Kündigung bestehender Verträge“ und noch weitere Aktivitäten, die aber alle als Teil der Ausführung des Maklermandats anzusehen sind. Der Versicherungsmakler ist gegenüber der WEG nicht weisungsgebunden. Er entscheidet bei der Durchführung aller für die Vertragsdurchführung erforderlichen Aktivitäten eigenständig über die Art und Weise der Durchführung.

Dies schließt die Annahme eines Verhältnisses von Auftragsdatenverarbeitung mit dem Makler und der WEG / dem Verwalter als Auftraggeber aus.

Praxisbeispiel 2

Dieselbe Einschätzung – keine Auftragsdatenverarbeitung - gilt für einen (Landes-) Verband der Immobilienverwalter, der eine Mitgliederliste mit Namen und Kontaktdaten seiner Mitglieder, die im Maklervertrag eingeschlossenen sind, an den Versicherungsmakler übermittelt. Die Übermittlung geschieht einmal jährlich zum Abgleich von Veränderungen und anlassbezogen im Schadenfall. Die Übermittlung der Mitgliederliste begründet noch keine Auftragsdatenverarbeitung, sondern ist als Teil der Vertragserfüllung des Maklervertrages erforderlich. Der Makler entscheidet unabhängig von Vorgaben des Verbandes, wann er die Liste mit welchen Inhalten übermittelt.

Weitere Praxisbeispiele

Auch in den nachfolgenden Fällen liegt keine Auftragsdatenverarbeitung (ADV) vor:

Sachverständige, die von einer Versicherung zur Klärung von Sachverhalten im Zusammenhang mit Schadenfällen beauftragt werden;
Versicherungsmakler, die von einer Versicherung Kundendaten zum Zweck der Angebotserstellung erhalten;
Versicherer, die vom Versicherungsmakler zu versicherungsspezifischen Zwecken Kundendaten erhalten, z.B. im Zusammenhang mit der Übernahme einer Schadensregulierung;
Versicherungsmakler oder sonstige (externe) Beteiligte, die für eine Versicherung als „Tippgeber“ Daten von potentiellen Kunden an die Versicherung weitergeben zwecks Erstellung eines Angebots.

Zur Frage der Eigenschaft der Versicherungsmakler als Auftragsverarbeiter nach Art. 28 DSGVO siehe auch: Dr. Volkan Güngör „Sind Versicherungsmakler Auftragsverarbeiter nach Art. 28 DSGVO?“ in: Zeitschrift für Versicherungswesen 03/2019, der die hier dargelegte Interpretation stützt.

Datenschutz im Versicherungswesen (2)

Teil zwei unserer Reihe zu Datenschutz im Versicherungswesen. Heute geht es um die Frage ob eine Einwilligung der versicherten Personen gebraucht wird, wenn zwei Versicherungsunternehmen ein Produkt zusammen anbieten.

Die Beteiligten:

Eine Versicherung (V1) vertreibt als Versicherungsvermittler ein Versicherungspaket für eine andere Versicherung (V2). Ohne den Austausch personenbezogener Daten der Versicherungsnehmer kann weder V1 noch V2 das Versicherungspaket anbieten.

Die Fragestellung:

V1 und V2 tauschen zum Zweck des Vertriebs und der Durchführung des Versicherungspakets Daten von Versicherungsnehmern aus. Ist dafür eine Einwilligung der Versicherungsnehmer nach Art. 6 Abs. 1 lit a) in Verbindung mit Art. 7 DSGVO nötig?

Datenschutzrechtliche Einordnung:

Es handelt sich um eine Übermittlung personenbezogener Daten zwischen V1 und V2, die von der Datenschutz-Grundverordnung (DSGVO) erlaubt sein muss.

Die Übermittlung von Daten ist auch nach der DSGVO zulässig, sofern die DSGVO sie erlaubt. Sofern das nicht der Fall ist, ist eine Übermittlung von personenbezogenen Daten nur mit der Einwilligung der betroffenen Person zulässig. In Art. 6 Abs. 1 DSGVO heißt es im ersten Halbsatz:

„Die Verarbeitung <personenbezogener Daten> ist nur zulässig, wenn mindestens eine der nachfolgenden Bedingungen erfüllt ist“.

Die dann aufgeführten Bedingungen für eine erlaubte Übermittlung von personenbezogenen Daten sind u.a.

Die Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit a DSGVO);
Die Verarbeitung ist erforderlich für eine Vertragserfüllung (Art. 6 Abs. 1 lit b DSGVO);
Die Verarbeitung ist erforderlich für die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit c DSGVO);
Die Verarbeitung liegt im berechtigten Interesse des Verantwortlichen und es liegen keine entgegenstehenden schutzwürdigen Interessen der betroffenen Person vor (Art. 6 Abs. 1 lit f DSGVO).

Art. 6 Abs. 1 lit b) DSGVO

Als Erlaubnis für den Datenaustausch zwischen V2 und V1 kommt vorrangig Art. 6 Abs. 1 lit b) DSGVO in Betracht. Danach muss die Datenverarbeitung erforderlich sein für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist.

Die Versicherungsnehmer, die ein Versicherungspaket abschließen, sind Vertragspartei und sie sind betroffene Personen im Sinne der Vorschrift. Der Versicherungsvertrag kann nur mittels der Zusammenarbeit und mittels des Datenaustausches zwischen V1 und V2 erfüllt werden.

Daher liegt für den Datenaustausch eine gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Art. 6 Abs. 1 lit f) DSGVO

Die Vorschrift des Art. 6 Abs. 1 lit f) DSGVO käme ebenfalls als gesetzliche Erlaubnis für den Datenaustausch zwischen V1 und V2 in Frage. Im Sinne dieser Vorschrift ist als „berechtigtes Interesse“ eines Verantwortlichen jedes wirtschaftlich legitime Interesse akzeptiert. Ein berechtigtes Interesse der Weitergabe der Daten liegt daher seitens V1 als auch seitens V2 vor. Entgegenstehende schutzwürdige Interessen der Versicherungsnehmer sind hier nicht zu erkennen. Sie profitieren von einem Angebot, das zwei Unternehmen gemeinsam erbringen, und von den damit verbundenen Serviceleistungen. Daher liegt für den Datenaustausch auch diese gesetzliche Erlaubnis vor, und es ist keine Einwilligung des Versicherungsnehmers erforderlich.

Verhaltensregeln Versicherungswirtschaft

Dieses Ergebnis wird durch Art. 16 der "Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft" (Stand 29.06.208) gestützt. Dort heißt es in Art. 16 Absatz 2:

„Ein Datenaustausch mit anderen Versicherern ... erfolgt darüber hinaus, soweit dies zur Antrags- und Leistungsprüfung und -erbringung, einschließlich der Regulierung von Schäden bei gemeinsamer, mehrfacher oder kombinierter Absicherung von Risiken, des gesetzlichen Übergangs einer Forderung gegen eine andere Person oder zur Regulierung von Schäden zwischen mehreren Versicherern über bestehende Teilungs- und Regressverzichtsabkommen erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse der betroffenen Person dem entgegensteht“.

Hier wird ganz offensichtlich ebenfalls davon ausgegangen, dass ein Datenaustausch zwischen Versicherern in den bezeichneten Fällen ohne Einwilligung der Versicherungsnehmer zulässig ist.

Einwilligung

Trotz des Vorliegens einer gesetzlichen Erlaubnis für den Datenaustausch könnten V1 und/oder V2 zusätzlich oder alternativ eine Einwilligung der betroffenen Person einholen. Art. 6 Abs. 1 DSGVO nennt ausdrücklich die Erfüllung „mindestens“ einer der genannten Erlaubnistatbestände, und die Einwilligung ist an erster Stelle genannt.

Nach Art. 7 Abs. 4 DSGVO muss eine Einwilligung in eine Datenverarbeitung freiwillig erfolgen.

V2 sah für die Einwilligungserklärung einen Text vor, der wie folgt lautete:

Mit meiner/unserer Unterschrift willige/n ich/wir ein, dass gemäß der links abgedruckte Einwilligungserklärung die Versicherer der V2-Versicherungsgruppe und die Unternehmen der V1-Versicherungsgruppe meine allgemeinen Antrags-, Vertrags- und Leistungsdaten jeweils in gemeinsamen Datensammlungen führen. WICHTIGER HINWEIS: Diese Einwilligung ist freiwillig und ich/wir kann/können sie jederzeit mit Wirkung für die Zukunft widerrufen. Es wird jedoch darauf hingewiesen, dass dann die Erfüllung der Vertragspflichten seitens der Versicherer im Leistung- bzw. Schadenfall in der Regel nicht möglich sein wird.

Hier wird trotz der Behauptung des Gegenteils die Einwilligung von der Erfüllung des Vertrages abhängig gemacht, die damit nicht mehr freiwillig ist: keine Einwilligung, keine Vertragserfüllung seitens des Versicherers. Die betroffene Person hat keine Wahl. Diese Einwilligung ist mangels Freiwilligkeit unzulässig und unwirksam. Sie ist auch entbehrlich, da es wie oben beschrieben, gesetzliche Erlaubnistatbestände für den Austausch zwischen Versicherung und Versicherungsvermittler gibt, und auf die sollte zurückgegriffen werden.

Datenschutz im Versicherungswesen (1)

Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.

Die Beteiligten:

Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.

Das Problem:

U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.

Datenschutzrechtliche Einordnung:

Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.

In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:

… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.

Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.

Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.

M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.

Datenschutzrechtliche Verantwortlichkeit

Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat - nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.

Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat - im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.

Das Praxisproblem:

Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U - die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.

Die Empfehlung der Datenschutzbeauftragten:

Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.