Wie Datenschutz funktioniert

Einmal die Woche kaufe ich auf dem Markt vor unserer Haustür Fleisch für meine Tochter. Ich habe dort eine Kundenkarte, mit der ich ein wenig Rabatt erhalte. Kürzlich hielt mir der Verkäufer den Kassenzettel über den Tresen und fragte, ob das eigentlich so in Ordnung ginge, also so wegen Datenschutz?

Auf dem Kassenzettel stand oben meine Adresse. Wer also den Zettel finden würde, hätte meinen Namen, meine Adresse und die Information wie viel Gramm Fleisch ich gekauft habe. Es habe sich ein Kunde beschwert, so der Verkäufer weiter. Dem habe er versehentlich den Kassenzettel eines anderen Kunden gegeben.

Die Händler sind verpflichtet, die Kassenzettel der Kundinnen, die eine Kundennummer haben, mit diesen Angaben zu versehen. Warum auch immer. Alle anderen kaufen anonym.

Gehen wir davon aus, dass es eine Vorgabe aus der Steuer- und Finanzbürokratie ist, die Kassenzettel in diesem Fall personenbezogen zu gestalten. Dann hätten wir als gesetzliche Erlaubnis Art. 6 Abs. 1 lit c) DSGVO: „die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“. Daher: erstmal alles fein, es gibt eine gesetzliche Erlaubnis, diese Daten zu „haben“, weil die Bürokratie diesen Nachweis so vorschreibt.

Weiterhin wären die Daten technisch und organisatorisch so abzusichern, dass den Personen, zu denen sie gehören, kein Schaden entsteht. Auf der technischen Ebene hätten wir die Kassensysteme. Auf der organisatorischen die Anweisung an das Verkaufspersonal, mit den Kassenzetteln sorgsam zu sein und den Zettel für A auch an A zu übergeben.

Geht das schief, fällt es in die Abteilung Es Gibt Keine 100% Sicherheit. Fehler passieren. Davon abgesehen hält sich der Schaden für die Personen hier in engen Grenzen. Erstens sind die Adressen in der Regel ohnehin öffentlich und zweitens ist die Information analog. Die Information, dass ich am 21. November 2024 264 Gramm Hühnerfleisch gekauft habe, kann nicht durch Knopfdruck in Sekundenschnelle im Netz verbreitet und mit anderen Informationen über mich verbunden und genutzt werden.

Mehr Sorgen als über einen vertauschten Kassenzettel am Marktstand sollte man sich über Programme wie Payback machen. Die werten gnadenlos alle Informationen aus und verkaufen sie weiter.

Der Verkäufer hörte sich meinen Kurzvortrag an, dankte und sagte nun wisse er also, wie Datenschutz funktioniere. Ja, sagte ich. So funktioniert das. Im Großen wie im Kleinen.

Welche Datenschutzfragen können wir für Sie beantworten? Melden Sie sich gerne. Auch wenn ich gerne Fragen zu Kassenzetteln beantworte: die komplizierten Fragen sind mir die liebsten.

Datenschutz im Versicherungswesen (1)

Wir wollen hier in loser Reihenfolge Fragen zum Thema Datenschutz im Versicherungswesen thematisieren, mit denen wir uns in unserer Beratungspraxis befassen. Im ersten Beitrag geht es heute um die Frage des Widerspruchs bei einem Wechsel des Versicherungsmaklers.

Die Beteiligten:

Ein Unternehmen (U), das eine Zusatzkrankenversicherung für seine Mitarbeiter abgeschlossen hat.
Eine Versicherungsgesellschaft (V), bei der die Verträge laufen.
Ein Versicherungsmakler (M), der die Verträge betreut.
Ein zweiter Versicherungsmakler (M2), der den Vertrag von M übernimmt.

Das Problem:

U kündigt den Maklervertrag mit M und übergibt ihn an M2. M2 tritt an V heran und bittet um Übermittlung der Daten der versicherten Personen. V verweigert die Herausgabe und verlangt von M2 eine schriftliche Bestätigung, dass U seine versicherten Mitarbeiter über den Maklerwechsel informiert und keiner dem Wechsel widersprochen hat. Ansonsten könne man aus datenschutzrechtlichen Gründen den Vertrag nicht auf M2 übertragen. M2 ist der Meinung, dass V ihm die Daten auch ohne diese Bestätigung übertragen könne. Das werde an allen anderen Stellen auch so gemacht.

Datenschutzrechtliche Einordnung:

Die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Stand 29.06.2018) konkretisieren die gesetzlichen Datenschutzvorschriften im Hinblick auf eine einheitliche und von den Aufsichtsbehörden akzeptierte, branchenspezifische Auslegung. Zusätzliche Einwilligungen sollen durch die Anwendung der Verhaltensregeln möglichst vermieden werden. Sie kann auch für die DSGVO als Auslegungshilfe herangezogen werden.

In den Verhaltensregeln heißt es in Art. 20 Abs. 2 „Datenübermittlung an selbständige Vermittler“:

… im Falle eines Wechsels vom betreuenden Versicherungsvertreter auf einen anderen Versicherungsvertreter informiert das Unternehmen die Versicherten … möglichst frühzeitig, mindestens aber zwei Wochen vor der Übermittlung ihrer personenbezogenen Daten über den bevorstehenden Datentransfer, die Identität (Name, Sitz) des neuen Versicherers und ihr Widerspruchsrecht. Im Falle eines Widerspruchs findet die Datenübermittlung grundsätzlich nicht statt.

Nach Art. 20 Abs. 4 Satz 2 gilt diese Vorgabe auch für einen Wechsel des Versicherungsmaklers.

Damit ist eine Übertragung der Daten der versicherten Personen von M auf M2 datenschutzrechtlich unter der Voraussetzung zulässig, dass die versicherten Personen im Vorhinein über den Wechsel informiert werden und ein Widerspruchsrecht erhalten. Zuständig für die Information und den Hinweis auf das Widerspruchsrecht ist das Unternehmen, das die Übertragung veranlasst, hier also U. Diese Pflicht korrespondiert mit der Rolle des Unternehmens als Verantwortlicher im datenschutzrechtlichen Sinn.

M2 stellt sich vor diesem Hintergrund auf den Standpunkt, dass V die Daten der versicherten Person auch ohne Nachweis der Information und eines möglichen Widerspruchs an ihn übermitteln könne. Wenn der Versicherungsnehmer seinen Verpflichtungen gegenüber den versicherten Personen, seinen Mitarbeitern, nicht nachgekommen sei, liege das in der Verantwortung von U und nicht von V.

Datenschutzrechtliche Verantwortlichkeit

Dies mag erst mal zutreffend sein, jedoch ist zu berücksichtigen, dass V verantwortlich ist für die Zulässigkeit der Übermittlung der Daten an M2. M2 verbindet mit V kein Vertragsverhältnis, das eine Datenübermittlung zum Zwecke der Vertragserfüllung rechtfertigen könnte. Hinzukommt, dass V die Anweisung, die Daten zu übertragen, ausschließlich M2 erhalten hat - nicht von seinem Vertragspartner U, und auch nicht von seinem früheren Vertragspartner, M. Gleichzeitig ist V aber datenschutzrechtlich verantwortlich und, da es sich um Krankenversicherungsdaten handelt, im Falle der Unzulässigkeit der Übermittlung möglicherweise auch im Bereich der Strafbarkeit nach § 203 StGB.

Insofern leuchtet die Forderung des V ein, eine Bestätigung darüber zu erhalten, dass eine Information der versicherten Personen über den Maklerwechsel vorliegt und niemand widersprochen hat - im Falle eines Widerspruchs dürften die entsprechenden Daten ja dann auch nicht an M2 übermittelt werden.

Das Praxisproblem:

Die Verträge des M2 enthalten eine Klausel, dass im Falle des Maklerwechsels das auftraggebende Unternehmen – hier also U - die Zulässigkeit der Datenübermittlung an den neuen Makler zusichert. Die Aufnahme dieser Klausel geschah, um genau solche Probleme zu vermeiden und die Verträge auf datenschutzkonforme Füße zu stellen. Diese Klausel wurde jedoch von U gestrichen. Es gab einen Maklervertrag, jedoch ohne die Zusicherung der datenschutzrechtlichen Zulässigkeit der Datenübertragung an M2. Insofern sah der M2 geringe Aussichten, nun die entsprechende Bestätigung von U zu erhalten und sah sich auch nicht in der Verantwortung dafür. V wiederum betrachtete es als „klassische Serviceaufgabe eines Maklers“, sich genau mit solchen Fragen zu beschäftigen und diese zu lösen. Pikant am Rande war, dass die Übermittlung der Daten an M2 durch V bereits erfolgt war, als V dann einfiel, diesen Punkt zu problematisieren. Das Ganze war also ein wenig der Streit um des Kaisers Bart.

Die Empfehlung der Datenschutzbeauftragten:

Die Empfehlung richtet sich vorwiegend an V: die Angst vor möglichen negativen Folgen einer Datenübermittlung ist ein schlechter Ratgeber. Ebenso ist es unvorteilhaft, den Kopf in den Sand zu stecken und zu versuchen, die als lästig empfundenen Folgen auf andere Beteiligte abwälzen zu wollen. Eine systematische Analyse der Prozesse hingegen schafft das Wissen, unter welchen Voraussetzungen Sie Daten übermitteln dürfen. Schaffen Sie die formalen Voraussetzungen für die Übermittlung von Daten für alle wichtigen Bereiche. Wäre das geschehen, hätte von Beginn an eine Bestätigung vorgelegen, dass kein Versicherter widersprochen hat (oder man hätte gewusst, wer widersprochen hat und die zu übermittelnden Daten wären entsprechend aufbereitet worden). Mit entsprechender Vorbereitung müssen solche Fragen nicht erst dann geklärt werden, wenn Verträge schon geschlossen sind, die Beteiligten mit den Füßen scharren und schnell handeln wollen. Die Zeit, die Sie in Fällen wie dem oben geschilderten mit schwierigen Diskussionen verbringen, ist für eine grundlegende Regelung der datenschutzrechtlichen Anforderungen besser investiert.

Arbeitsbeispiel Industrie

Cloud Service: Die Lösung aller Datenprobleme?

Die Netzlink Informationstechnik GmbH ist ein international aufgestelltes IT-Serviceunternehmen. Netzlink entwirft, liefert und betreibt IT-Lösungen für Kunden in aller Welt. Als Spezialist für unternehmensweite IT-Infrastrukturen bietet Netzlink Lösungen zu Speichersystemen, Virtualisierungen, Cloud-Anwendungen und IT-Services an - hochverfügbar und sicher.

Mit der Netzlink "Nubo Cloud" werden vielfältige, individualisierte Leistungen möglich. Kunden können zum Beispiel die ordnungsgemäße und revisionssichere Aufbewahrung digitaler Kassenbons beauftragen, ein professionelles Dokumentenmanagementsystem nutzen oder auch ihre gesamte Telekommunikation als Cloud-Service realisieren. Sei es die Voice-over-IP-Telefonie, die Durchführung webgestützter Umfragen oder auch ein Groupware-Server für die interne Kommunikation - es gibt vielfältige Nutzungsmöglichkeiten der Nubo Cloud.

Wer anspruchsvolle Dienstleistung erbringt, braucht selbst gute Beratung - vor allem beim Thema Datenschutz.

Die PrivCom Datenschutz GmbH hat bei Netzlink die Aufgabe, die verschiedenen Cloud-Services genauestens unter die Lupe zu nehmen. Inzwischen sind Anforderungen formuliert, denen ein datenschutzkonformes Cloud Angebot genügten muss. Wird die Nubo Cloud diesen gerecht? Entspricht die Technik den Anforderungen an Datenschutz und Datensicherheit, werden bei dem hohen Grad an Individualisierung alle Standards durchweg aufrechterhalten? Die Haftung liegt schließlich weit überwiegend beim Anbieter der Dienstleistungen – dem Unternehmen Netzlink - unserem Kunden.

Aus den Ergebnissen erstellen wir ein umfassendes Datenschutzkonzept, das Kunden der Netzlink zur Verfügung gestellt werden kann. Dazu gehört ebenso eine umfassende Überprüfung und Dokumentation aller internen Abläufe bei Netzlink, soweit sie Datenschutz und Datensicherheit betreffen. Damit ist gleichzeitig sichergestellt, dass die Nubo-Cloud Angebote über ein hohes Maß an Transparenz verfügen. Wer sie bucht kann wissen, welche Sicherheitsstandards etabliert sind.

Ein weiterer Baustein ist die Information und Sensibilisierung aller Mitarbeiter zu Datenschutzthemen auf allen Ebenen des Unternehmens.

Das alles ist ein kontinuierlicher Prozess, der immer wieder an neue Entwicklungen und schnelle technische Veränderungen angepasst und fortgeschrieben werden muss.

Wir beraten auch Ihr Unternehmen in allen Fragen rund um den Datenschutz. Kontakt

Arbeitsbeispiel Industrie (2)

Manchmal steckt der Teufel im Detail – und in der Kommunikation

Der Kunde:

Die deutsche Niederlassung eines weltweit tätigen Logistikkonzerns.

Die Fragestellung:

Es soll ein Personalinformationssystem eingeführt werden, das auch den weltweit verteilten Tochterfirmen die Möglichkeit der Einsicht in und die Nutzung von Personaldaten der deutschen Niederlassung ermöglicht. Der italienische Mutterkonzern hat einen Entwurf für sog. Binding Corporate Rules vorgelegt, die eine konzernweite Verarbeitung personenbezogener Daten auf rechtmäßige Füße stellen soll.

Das Mandat:

Der Betriebsrat wendet sich an PrivCom Datenschutz und zeigt sich misstrauisch in Bezug auf die Pläne. Der Personalverantwortliche als Mitglied der Geschäftsleitung wiederum meint, dass der Betriebsrat Datenschutzprobleme sehe, wo keine sind. Es kommt erschwerend hinzu, dass der Entwurf für die Binding Corporate Rules nur in englischer Sprache vorliegt und der Betriebsrat ihn schon aus diesem Grund nicht versteht.

Unser Vorgehen:

Wir informieren sowohl den Betriebsrat als auch den Personalverantwortlichen und den Geschäftsführer über die rechtlichen Zusammenhänge und zeigen ihnen auf, unter welchen Bedingungen die Einführung des Personalinformationssystems erfolgen kann.

Hier kommt uns unsere ausgeprägte Fähigkeit zugute, komplexe Zusammenhänge in einer Sprache darstellen zu können, die das jeweilige Gegenüber versteht.

Die Mandanten profitieren dabei auch von Frau Cardillos langer Erfahrung als Business Coach. Die Information der beteiligten Parteien, die sich bis dahin eher ablehnend gegenüber standen, ist gleichzeitig der Beginn einer Vermittlung zwischen ihnen. In einer Telefonkonferenz mit Anwälten aus internationalen Großkanzleien klären wir die offenen Rechtsfragen in Bezug auf die Binding Corporate Rules. Als der Entwurf in deutscher Sprache vorliegt, kommen wir erneut mit dem Betriebsrat zusammen und erläutern die letzten noch unklaren Fragen.

Der Abschluss:

Am Ende sind sowohl der Betriebsrat als auch die Geschäftsführung zufrieden.

Der Entwurf für eine Betriebsvereinbarung über die Nutzung des Personalinformationssystems liegt vor und wir wurden in einem weiteren Mandat mit der Durchführung der Vorabkontrolle beauftragt. Wir sind zufrieden, weil es uns gelang, den Beteiligten eine rechtlich zulässige und allgemein akzeptierte Lösung für die Einführung der neuen Software aufzuzeigen.

Kontakt

DSB-Check - Ergebnis

Ihr Unternehmen ist zur Bestellung eines Datenschutzbeauftragten verpflichtet, weil es personenbezogene Daten automatisiert verarbeitet, die nach § 4d Abs. 5 BDSG der "Vorabkontrolle" , d. h. einer Prüfung vor Inbetriebnahme des Verfahrens unterliegen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht unabhängig von der Zahl der mit der Verarbeitung beschäftigten Mitarbeiter. Die Vorabkontrolle ist vom betrieblichen Datenschutzbeauftragten vorzunehmen.

Wir unterstützen Ihren betrieblichen Datenschutzbeauftragten. Wenn Sie es wünschen, übernehmen wir für Sie die Funktion als externer Datenschutzbeauftrager. Nähere Informationen finden Sie hier.

Rechtlicher Hinweis

Der PrivCom-DSB-Check ist lediglich ein Werkzeug zur Selbsteinschätzung. Fragen zum DSB-Check oder zur gesetzlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten richten Sie bitte an die E-Mail-Adresse dsb-check@privcom.de. Eine verbindliche Auskunft, ob Ihr Unternehmen einen Datenschutzbeauftragten benennen muss, kann Ihnen nur die für Sie zuständige Datenschutzaufsichtsbehörde erteilen. Welche Aufsichtsbehörde für Sie zuständig ist, erfahren Sie beim virtuellen Datenschutzbüro: www.datenschutz.de