Seit über eineinhalb Jahren gilt die Datenschutzgrundverordnung (DSGVO) nun schon. Besonders für Versicherungsunternehmen, die mit einer großen Menge an oft sehr sensiblen Daten arbeiten, ist sie von enormer Bedeutung. Datenschutz, wie aus der Befragung des Insight Assekuranz-Panels der Versicherungsforen Leipzig hervorgeht, erachtet jeder fünfte Versicherer als die wichtigste regulatorische Herausforderung. Für fast 80 Prozent der Befragten gehört das Thema sogar in die Top 3.
Hochrelevant sind aus Sicht der Experten im Zusammenhang mit der DSGVO Sperr- und Löschkonzepte, die Dokumentation und Zusammenarbeit mit Fachbereichen im Rahmen der Datenschutz-Folgenabschätzung (DSFA) sowie der Umgang mit Datenpannen. Dass insbesondere das DSGVO-konforme Sperren und Löschen im Augenmerk der Aufsichtsbehörden steht, belegt das Anfang November 2019 verhängte hohe Bußgeld gegen einen Berliner Immobilienkonzern.
Was tun im Ernstfall?
Falls es trotz aller Datenschutzmaßnahmen doch einmal zu einer Verletzung personenbezogener Daten kommt, ist diese laut Art. 33 der DSGVO unverzüglich und möglichst binnen 72 Stunden zu melden. Eine solche Situation liegt vor, wenn die Sicherheit der Daten verletzt wird, beispielsweise bei unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder verarbeitet werden. Außerdem spricht man von einer Datenpanne, wenn personenbezogene Daten vernichtet oder verändert werden beziehungsweise verloren gehen.
Zwar beinhaltet diese Regelung Nachteile wie einen erheblichen Dokumentations- und Umsetzungsaufwand. Jedoch zählt zu den Vorteilen, dass Datenschutz für alle Fachbereiche allgegenwärtig wird und Mitarbeiter für potentielle Datenpannen sensibilisiert sind. Schwachstellen werden schneller erkannt und die unternehmensinterne Kommunikation zwischen Fachbereichen bis hin zur Vorstandsebene gefördert.
Datenschutz braucht Kontinuität
Bei der Datenschutz-Folgenabschätzung (DSFA) ist die Zusammenarbeit von Datenschutzbeauftragtem, Risikomanagement, IT-Compliance wie auch der einzelnen Fachabteilungen der Schlüssel zum Erfolg. Doch wann ist eine DSFA durchzuführen? Entsprechend Art. 35 DSGVO ist sie erforderlich, wenn voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Betroffenen "aufgrund der Art, des Umfangs, der Umstände und der Zwecke" der Datenverarbeitung entsteht. Insbesondere gilt dies bei der Verwendung neuer Technologien.
Der Prozess zur Erstellung einer DSFA entspricht dem "Plan-Do-Check-Act"-Zyklus, also einem kontinuierlichen Verbesserungsprozess. Zunächst sollte geprüft werden, ob eine Datenschutz-Folgenabschätzung tatsächlich notwendig ist, zum Beispiel auf Basis der Regelbeispiele aus Art. 35 Abs. 3 DSGVO, der Black- und Whitelists der entsprechenden Landesdatenschutzbehörden oder der Empfehlungen der Artikel 29-Gruppe. Nach einer anschließenden Risikobewertung unter unterschiedlichen Schwerpunkten sowie der Ermittlung möglicher Auswirkungen und Eintrittswahrscheinlichkeiten können dann gezielt Maßnahmen ergriffen werden, um Datendiebstahl oder Datenzerstörung zu unterbinden. Der letzte Schritt besteht in der regelmäßigen Überprüfung der Präventions- und Korrekturmaßnahmen sowie der Ableitung neuer Ziele, um den Prozess stetig zu verbessern.
Datenschutz unter Rechenschaftspflicht
Gemäß der Rechenschaftspflicht muss der Verantwortliche nachweisen können, die Grundsätze der DSGVO (Art. 5 DSGVO) eingehalten und personenbezogene Daten entsprechend der DSGVO verarbeitet, also die angemessenen technischen und organisatorischen Maßnahmen ergriffen zu haben.
Einerseits ist damit verbunden, dass Art und Umfang der zu ergreifenden datenschutzrechtlichen Maßnahmen sich nach dem Ergebnis einer Risikoanalyse richten sollen. Andererseits beinhaltet dies die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde. Wird das Unternehmen also von der Aufsichtsbehörde kontaktiert und diese verlangt Auskunft darüber, inwiefern mit den Daten der Kunden datenschutzkonform umgegangen wird, muss es diese Frage beantworten können.
Künstliche Intelligenz vs. Datenschutz
Fragen wirft auch die datenschutzkonforme Datenverarbeitung mithilfe neuer Technologien wie künstlicher Intelligenz (KI) auf. Diese wird in den nächsten Jahren verstärkt an Bedeutung gewinnen. Schon heute setzen einige Versicherer KI ein, zum Beispiel in Form von Chatbots im Kundenkontakt. Es ist wichtig, sich schon jetzt mit den daraus resultierenden datenschutzrechtlichen Herausforderungen zu beschäftigen. Einen ersten Schritt auf diesem Weg stellt die "Hambacher Erklärung zur künstlichen Intelligenz" vom April 2019 dar. Diese grenzt erstmals einige Grundprinzipien für den Umgang mit KI im Rahmen der DSGVO ab.
Dennoch sind die heute geltenden Regeln auf KI noch nicht hinreichend zugeschnitten. Das zeigt schon die Schwierigkeit bei der Definition der in der sechsten Regel verlangten Verantwortlichkeit ("KI braucht Verantwortlichkeit"). Die DSGVO sieht außerdem vor, dass beim Einsatz von KI zwingend eine Datenschutzfolgenabschätzung gemacht werden muss. Wird KI aber in der Leistungsbearbeitung oder beim Vertragsschluss eingesetzt, müssen noch weitere Regelungen berücksichtigt werden. Dieses Thema wird auch noch in Zukunft zu rechtlichen Prüfungen und Diskussionen führen.
DSGVO durch ePrivacy-Verordnung erweitern
Entsprechend Art. 97 der DSGVO ist bis zum 25. Mai 2020 eine Evaluation der Verordnung vorgesehen. Die Datenschutzkonferenz (DSK) hat zu dieser Thematik Anfang November 2019 einen Erfahrungsbericht verabschiedet. In diesem Bericht weist sie auf den Änderungsbedarf bestehender Vorschriften und die möglicherweise notwendige Schaffung neuer Regeln hin. Zu den für die Evaluierung relevanten Schwerpunktthemen gehören die Meldung von Datenpannen und die Alltagstauglichkeit der Informations-, Transparenz- und Meldepflichten. Auch KI wird in diesem Bericht thematisiert.
Dass neue Technologien neue Gesetze erfordern, zeigt auch die ePrivacy-Verordnung, die die bestehenden Datenschutzregeln an die technische Entwicklung anpassen soll. Die ePrivacy-Verordnung definiert das Recht auf Privatsphäre und Vertraulichkeit der Kommunikation und soll gewährleisten, dass weder die mobilen Anwendungen noch die für die Kommunikation verwendeten Internetdienste Daten abfangen, mitschneiden, abhören oder anzapfen können. Unter die neuen Regelungen fallen dann Kommunikationsdienste wie Skype, WhatsApp, Facebook Messenger, Gmail, iMessage, Mail oder Viber, die den aktuellen Datenschutzvorschriften noch nicht unterliegen. Somit ist die ePrivacy-Verordnung auch eine Antwort auf die Forderung der Europäer nach mehr Datenschutz.
ePrivacy-Update bis 2021
Die ePrivacy-Verordnung ist als "Cookie-Law 2.0" bekannt, da sie neue Regeln für den Umgang mit Cookies beinhaltet. In Zukunft sollen nur noch Daten über Cookies erfasst werden dürfen, die für wesentliche Funktionen der Website notwendig sind. Die Nutzung von Cookies ist dann nur noch mit Einwilligung der Nutzer zulässig. Damit einher geht auch die Anforderung an Browser- und Betriebssystemanbieter, bei der Installation die Einwilligung zur Verfolgung anzubieten. Im November 2019 entschied der Europäische Gerichtshof, dass nur erforderliche Cookies ohne Einwilligung zugelassen werden sollen. Zudem bedarf es der Option auswählen zu können, welche Kategorie von Cookies zugelassen wird. Auch der Widerruf dieser Entscheidung soll erleichtert werden. Bis die e-Privacy-Verordnung schließlich in Kraft tritt, wird es wohl aber noch eine Weile dauern: voraussichtlich bis 2021.
Grundsätzlich sind Versicherungsunternehmen nicht zuletzt durch die Umsetzung des Code of Conduct (CoC) hinsichtlich der Einhaltung der Datenschutzvorschriften bereits gut aufgestellt. Die größte Herausforderung für die Versicherer ist derzeit jedoch die Dokumentation, insbesondere auch die Erstellung und Aktualisierung der Verfahrensverzeichnisse sowie von Sperr- und Löschkonzepten. Obwohl die konkrete Ausgestaltung der Datenschutzdokumentation in der DSGVO nicht weiter ausgeführt wird, ist die Dokumentation für den Nachweis und die Sicherstellung der Datenschutzkonformität unerlässlich. Wichtig ist daher auch die regelmäßige Schulung und Sensibilisierung aller Mitarbeiter für die Anforderungen der DSGVO.
Autor(en): Kirsten Müller
