Upload
bernd-fuhlert
View
1.637
Download
0
Embed Size (px)
DESCRIPTION
Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement - - Bernd Fuhlert steht für Expertise in den Bereichen Datenschutz und Haftungsmanagement. Bernd Fuhlert ist als Marketingexperte mit profunden Kenntnissen der juristischen Landschaft stets auf dem neuesten Stand. Sein Ziel ist es, Risiken für seine Kunden zu minimieren und Kosten einzusparen.
Citation preview
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 1
13. Juni 2012 l 1
AMC-Arbeitskreis „Code of Conduct“
Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung
auf das Kundenmanagement
Präsentation für
AMC Arbeitskreis
Mittwoch, 13. Juni 2012
Düsseldorf
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 2
13. Juni 2012 l 2
AMC-Arbeitskreis „Code of Conduct“
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 3
13. Juni 2012 l 3
AMC-Arbeitskreis „Code of Conduct“
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 4
13. Juni 2012 l 4
AMC-Arbeitskreis „Code of Conduct“
Vorstellung DATATREE AG
Informatiker
Betriebswirte
Marketingexperten
Datenschutzauditoren
interdisziplinäres
Team
• Stellung externer Datenschutzbeauftragter (TÜV cert. / GDD cert.)
• Begleitung von Unternehmen bei der Durchführung von Zertifizierungen
• Schulung für Mitarbeiter, Geschäftsleitung und Aufsichtsräte
• Aufbau und Prüfung von Compliance-Strukturen in Unternehmensorganisationen
• Compliance-Produkte: Treuhand-Datenbank zur Qualitätssicherung z. B. im Wettbewerbsrecht
Leistungsportfolio: ein Auszug Expertise
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 5
13. Juni 2012 l 5
AMC-Arbeitskreis „Code of Conduct“
Vorstellung DATATREE AG
• Datenexperten: Daten sind nicht immer wichtig, sondern entscheidend!
• Tätigkeitsschwerpunkte: Datensicherheit, Datenschutz, Wettbewerbsrecht
• Unterstützung und Mediation bei Verhandlungen mit Behörden, Organisationen oder
Unternehmen im Streitfall
Auszug Referenzen:
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 6
13. Juni 2012 l 6
AMC-Arbeitskreis „Code of Conduct“
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 7
13. Juni 2012 l 7
AMC-Arbeitskreis „Code of Conduct“
Die Versicherungen arbeiten fast ausschließlich mit sensiblen Daten bzw. mit
besonders sensitiven Daten gemäß § 3 (9) BDSG
Damit kommt den Versicherungen in der Datenerhebung,- verarbeitung und
-nutzung eine besondere Verantwortung zu
Versicherungsunternehmen müssen das Vertrauen der Kunden immer wieder
bestärken, dass die personenbezogenen Daten nicht zweckentfremdet werden!
Warum ist der Datenschutz für Versicherungsnehmer wichtig?
Datenschutz in der Versicherungswirtschaft
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 8
13. Juni 2012 l 8
AMC-Arbeitskreis „Code of Conduct“
Sollten Datenschutzverstösse bekannt werden, drohen…
Datenschutz in der Versicherungswirtschaft
„shitstorm“
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 9
13. Juni 2012 l 9
AMC-Arbeitskreis „Code of Conduct“
2. Datenschutz in der Versicherungswirtschaft
3. Einwilligung nach BDSG
4. Bedeutung im Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 10
13. Juni 2012 l 10
AMC-Arbeitskreis „Code of Conduct“
Die Regelungen des Versicherungsvertragsgesetzes, des Bundesdatenschutzgesetzes und anderer Datenschutzvorschriften enthalten keine ausreichende Rechtsgrundlagen für die
Erhebung
Verarbeitung und
Nutzung
von sensitiven Daten z. B. Gesundheitsdaten durch Versicherungsunternehmen.
Die Versicherungsunternehmen sind aufgefordert, die bisherigen Einwilligungstexte durch neue zu ersetzen! (Beschluss Düsseldorfer Kreis und GDV)
Beschluss des Düsseldorfer Kreises
Einwilligung im BDSG
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 11
13. Juni 2012 l 11
AMC-Arbeitskreis „Code of Conduct“
Wird die Einwilligung beim Betroffenen eingeholt, ist er auf
den Zweck der Speicherung
eine vorgesehene Übermittlung hinzuweisen
► Die Einwilligung bedarf grundsätzlich der Schriftform, u. U. kann diese auch
elektronisch eingeholt werden!
► Soll die Einwilligung zusammen mit anderen Erklärungen erteilt werden, ist die
Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung
hervorzuheben (§ 4a Abs. 1 BDSG)
► Neu: Sie ist in drucktechnisch deutlicher Gestaltung besonders hervorzuheben
(§ 28 Ab. 3a)
Wie muss die Einwilligung nach BDSG grundsätzlich gestaltet sein?
Einwilligung im BDSG
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 12
13. Juni 2012 l 12
AMC-Arbeitskreis „Code of Conduct“
Transparenzpflicht der Einwilligung
Einwilligung im BDSG
Einsicht in das Verfahrensregister des betrieblichen oder externen DSB
Information bei der Direkterhebung (Vorrang der Direkterhebung)
Benachrichtigung
über Speicherung bzw. erstmalige Übermittlung (falls nicht beim Betroffenen erhoben)
Über verantwortliche Stelle bei werblicher Ansprache
Auskunft über die Daten und deren Verarbeitung
verantwortliche
Stelle
Rechte der Betroffenen: Löschungs-, Korrektur-, Widerspruchs- und Sperrungsrechte
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 13
13. Juni 2012 l 13
AMC-Arbeitskreis „Code of Conduct“
Die Bedingungen für die elektronische Einwilligung (§ 13 Abs. 2, § 94 TKG) sind wie folgt:
Der Diensteanbieter muss sicherstellen, dass
(1) Der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
(2) Die Einwilligung protokolliert wird,
(3) Der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
(4) Der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann
Transparenzpflicht bei der elektronischen Einwilligung
Einwilligung im BDSG
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 14
13. Juni 2012 l 14
AMC-Arbeitskreis „Code of Conduct“
Die Einholung einer Einwilligung nach einem Vertragsabschluss ist nicht
möglich.
Es ist hier nicht mit einem Response eines Kunden zu rechnen!
Das Unternehmen befände sich in einem dauerhaften Risiko eines
Rechtsverstoßes!
Einwilligungen müssen für jeden Kommunikationskanal eingeholt werden!
Risiken bei Einholung einer späteren Einwilligung
Einwilligung im BDSG
Die Verpflichtung zur Einholung getrennter Opt-ins resultiert aus Art. 2 h) der Richtlinie 95/46/EG, Art 13 der Richtlinie 2002/58/EG sowie § 7 Abs.
II UWG.Der BGH hat dies in der Payback-Entscheidung vom 16.07.2008 nochmals bestätigt. Im Einzelnen geregelt ist das Opt-in in § 28 BDSG,
die Umsetzungsfrist bis zum 31.08.2012 für Werbezwecke steht in § 47 BDSG. Sie geht zurück auf die BDSG-Novelle II vom 01.09.2009.
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 15
13. Juni 2012 l 15
AMC-Arbeitskreis „Code of Conduct“
2. Code of Conduct
3. Einwilligung nach BDSG
4. Bedeutung für Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 16
13. Juni 2012 l 16
AMC-Arbeitskreis „Code of Conduct“
§ 28 Abs. 1 Nr. 2 BDSG
Personenbezogene Daten können erhoben, verarbeitet und genutzt werden
für Geschäftszwecke , auch ohne Einwilligung soweit…
Bedeutung im Kundenmanagement
erforderlich, für berechtigte Interessen der verantwortlichen
Stelle
kein Grund zur Annahme, dass schutzwürdige
Ausschlussinteressen des Betroffenen
überwiegen
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 17
13. Juni 2012 l 17
AMC-Arbeitskreis „Code of Conduct“
§ 28 Abs. 1 Nr. 3 BDSG
Personenbezogene Daten können erhoben, verarbeitet und genutzt werden
für Geschäftszwecke , auch ohne Einwilligung soweit…
Bedeutung im Kundenmanagement
ein schutzwürdiges Ausschlussinteresse des Betroffenen nicht
offensichtlich überwiegt z. B. Widerspruch bei
sensibler Adresse
die allgemein zugänglich sind
wie z. B. Telefon-, Adressbücher, Internet oder Handelsregister
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 18
13. Juni 2012 l 18
AMC-Arbeitskreis „Code of Conduct“
Texte des GDV und Düsseldorfer Kreises stellen einen maximalen Rahmen dar,
daher § 3a BDSG Datensparsamkeit beachten
Gesundheitsdaten fallen auch dort wo Sie nicht vermutet werden z. B Kfz-
Versicherung; hier Verletzungen durch Unfall
Einwilligung und Schweigepflichtentbindungen müssen vor der ersten
Verarbeitung von Gesundheitsdaten im Unternehmen dem Antragsteller bzw.
Versicherungsnehmer vorgelegt werden, für bevorstehende Datennutzung
Abfrage von Gesundheitsdaten bei Dritten: Es muss immer die
Pauschaleinwilligung und Einzelfalleinwilligung angeboten werden
Vorsicht ist geboten:
Bedeutung im Kundenmanagement
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 19
13. Juni 2012 l 19
AMC-Arbeitskreis „Code of Conduct“
Einholung der fehlenden Einwilligungen und Alt-Datenbestand bereinigen
Dokumente mit neuen Einwilligungserklärungen erstellen und in die
Prozesskette implementieren
Vertrieb (Makler bzw. Vertreter) muss entsprechend geschult werden, damit die
neuen Versicherungsnehmer entsprechend aufgeklärt werden (siehe
Freiwilligkeit und Transparenzgebot!)
Abklären mit einem Rechtsbeistand, ob die Texte des GDV und Düsseldorfer
Kreises so übernommen werden können. Es handelt sich um Muster und eine
Aufforderung an die Versicherungsunternehmen
Was ist zu tun?
Bedeutung im Kundenmanagement
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 20
13. Juni 2012 l 20
AMC-Arbeitskreis „Code of Conduct“
2. Code of Conduct
3. Einwilligung nach BDSG
4. Bedeutung für Kundenmanagement
1. Vorstellung DATATREE AG
5. Fallbeispiel
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 21
13. Juni 2012 l 21
AMC-Arbeitskreis „Code of Conduct“
Fallbeispiel
Die der Meier Industrie GmbH bekannte Capitol-Versicherung bittet die Meier Industrie
GmbH um die Mitteilung von Namen und Anschriften der neu eingestellten
Auszubildenden und Mitarbeiter.
Sie teilt mit, dass sie bei „pauschaler“ Bearbeitung aller Auszubildenden und
Mitarbeiter diesen den für eigene Mitarbeiter üblichen Rabatt von 30% einräumen kann.
Die Meier Industrie GmbH will allen Betroffenen diesen Zugang zu den günstigen
Versicherungskonditionen ermöglichen.
Darf die Versicherung die Daten von der Meier Industrie GmbH erhalten?
Folgender Sachverhalt:
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 22
13. Juni 2012 l 22
AMC-Arbeitskreis „Code of Conduct“
Fallbeispiel
Auszubildende und Mitarbeiter sind Betroffene im Sinne des BDSG (§ 3 Abs. 11
BSG)
Aus den Verträgen mit den Mitarbeitern und Auszubildenden ergeben sich keine
Rechte und Pflichten des Arbeitgebers günstige Versicherungen zu vermitteln.
Soweit Personaldaten herangezogenen werden, die nicht der Durchführung des
Beschäftigungsverhältnisses dienen, kann § 28 Abs. 3 BDSG greifen
§ 28 Abs. 3 Satz 6, erlaubt die Übermittlung, sofern schutzwürdige Interessen der
Betroffenen nicht entgegenstehen
Hiervon ist in diesem Fall auszugehen, da die Mitarbeiter nicht durch ihren
Arbeitgebern als Werbeobjekte Dritter werden sollen. Das gilt auch bei einem
besonders günstigen Angebot einer Versicherung.
Die freiwillige Einwilligung der Betroffenen ist erforderlich!
Lösung:
Präsentation Opt-Secure Düsseldorf
24.04.2012 l 23
13. Juni 2012 l 23
AMC-Arbeitskreis „Code of Conduct“
DATATREE AG
Bernd Fuhlert
Heubesstraße 10
40597 Düsseldorf
Telefon +49 (211) 598947 - 50
Fax +49 (211) 598947 - 80
Vielen Dank für Ihre Aufmerksamkeit!