View
213
Download
0
Category
Preview:
Citation preview
1AXA Winterthur
Auswirkungen der Teilrevision DSG auf Versicherungen
Datenschutz-Forum, 13. November 2007
Marcel Süsskind
2AXA Winterthur
Verstärkung des Transparenzprinzips (1)
Art. 7a DSG: Information beim Beschaffen von besonders schützenswerten Daten und Persönlichkeitsprofilen über
– Inhaber der Datensammlung
– Zweck des Bearbeitens
– Kategorien der Datenempfänger
Art. 4 Abs. 4 DSG: Erkennbarkeit der Datenbeschaffung und des Zweckes der Datenbearbeitung bei "gewöhnlichen" Daten
Faktische Stärkung des Gebotes der Zweckbindung (Art. 4 Abs. 3 DSG) und des informationellen Selbstbestimmungsrechtes (Auskunftsrecht gemäss Art. 8 DSG, Datenbearbeitungsverbote gemäss Art. 12 Abs. 2 lit. b DSG; Rechtsbehelfe von Art. 15 DSG)
3AXA Winterthur
Verstärkung des Transparenzprinzips (2)
Spezialnorm in Art. 3 Abs. 1 VVG: Versicherer muss den VN vor
Abschluss des Versicherungsvertrages informieren über:
lit. g: die Bearbeitung der Personendaten einschliesslich
Zweck und Art der Datensammlung sowie Empfänger und
Aufbewahrung der Daten.
Spezialnorm in Art. 45 Abs. 1 VAG: Sobald Versicherungs-
vermittler (Makler/Agent) mit Versicherten in Kontakt treten,
müssen sie informieren über:
lit. e: die Bearbeitung der Personendaten, insbesondere
Ziel, Umfang und Empfänger der Daten sowie deren
Aufbewahrung.
4AXA Winterthur
Verstärkung des Transparenzprinzips (3)
Allgemeine Transparenzvorschriften des rev. DSG
gehen in den branchenspezifischen Informations-
pflichten nach VAG und VVG auf (soweit VN =
betroffene Person);
vgl. auch Art. 7a Abs. 4 DSG (betroffene Person ist
schon informiert).
5AXA Winterthur
Verstärkung des Transparenzprinzips (4)
Beispiele:
(1) Schadenfall des VN:
Soweit VN in der vorvertraglichen Information nach
VVG ausreichend über die Datenbearbeitung im
Schadenfall informiert worden ist (Haltung von
Schadendaten), entfällt zusätzliche Information nach
DSG.
6AXA Winterthur
Verstärkung des Transparenzprinzips (5)
Beispiele:
(2) Kollektive Krankentaggeldversicherung:
– Arbeitnehmer erkrankt;
– Arbeitgeber meldet Schadenfall beim Versicherer.
Soweit Arbeitgeber den Arbeitnehmer aufgrund
entsprechender Unterlagen des Versicherers über die
Datenbearbeitung im Krankheitsfall nach Art. 3 Abs. 3
VVG informiert hat, entfällt zusätzliche Information nach
DSG.
7AXA Winterthur
Verstärkung des Transparenzprinzips (6)
Beispiele:
(3) Haftpflichtschadenfall:
– Körperverletzung des Geschädigten, der Schadenersatz-
ansprüche beim Haftpflichtversicherer des Schädigers
geltend macht;
– Versicherer holt Erklärung zur Entbindung vom
Arztgeheimnis ein.
Keine gesonderte Information nötig, da Geschädigter
weiss, wofür die Daten beschafft werden. Werden
jedoch die Gesundheitsdaten an Dritte (z.B. UVG-
Versicherer) weitergeleitet, dann muss hierüber
gesondert informiert werden.
8AXA Winterthur
Verstärkung des Transparenzprinzips (7)
Beispiele:
(4) Obligatorische Unfallversicherung:
– Arbeitnehmer verunfallt und Arbeitgeber meldet Fall dem
Unfallversicherer;
– Unfallversicherer holt beim Spital ärztlichen Zwischenbericht
ein (Art. 54a UVG: Entbindung vom Arztgeheimnis nicht
erforderlich!).
UVG-Versicherer wird betroffene Person standardisiert informieren! Vorbehalt der gesetzlich vorgesehenen Datenspeicherung (Art. 96 lit. b UVG in Verb. mit Art. 7a Abs. 4. lit. a DSG).
9AXA Winterthur
Angemessene vorgängige Information des
Datenbearbeiters: Tragweite der Ein-
willigung muss der betroffenen Person klar
werden (Zweck der angestrebten
Datenbearbeitung, allfällige Bekanntgabe an
Dritte; ev. weitere Begleitumstände).
Freiwilligkeit der Einwilligung: freie Ent-
scheidfindung darf nicht beeinträchtigt sein!
Unangemessene Drohungen bei Verwei-
gerung der Zustimmung können diese als
unfreiwillig abgegeben erscheinen lassen.
Einwilligung der betroffenen Person
Voraussetzungen
für
Rechtsgültigkeit
10AXA Winterthur
Datenbearbeitungsgrundsätze (1)
Von den allgemeinen Datenbearbeitungsgrundsätzen darf im
privatrechtlichen Datenschutz nicht mehr abgewichen werden
(Streichung "ohne Rechtfertigungsgrund" in Art. 12 Abs. 2 lit. a
DSG). [ grammatikalische Auslegung]
Allgemeine Datenbearbeitungsgrundsätze:
• rechtmässige Bearbeitung (Art. 4 Abs. 1 DSG)
• Treu und Glauben (Art. 4 Abs. 2 DSG)
• Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG)
• Zweckbindungsgebot (Art. 4 Abs. 3 DSG)
• Transparenzgebot (Art. 4 Abs. 4 DSG)
• Richtigkeit der Daten (Art. 5 Abs. 1 DSG)
• Datensicherheit (Art. 7 Abs. 1 DSG)
11AXA Winterthur
Datenbearbeitungsgrundsätze (2)
Trias der Rechtfertigungsgründe (Art. 13 Abs. 1 DSG):
• Einwilligung der betroffenen Person
• überwiegende öffentliche oder private Interessen
• gesetzliche Ermächtigung
Nicht mehr anwendbar ?
Unscheinbare Gesetzesanpassung mit weitreichenden
Konsequenzen!
12AXA Winterthur
Datenbearbeitungsgrundsätze (3)
Inkongruenzen:
Art. 28 Abs. 2 ZGB
Art. 12 Abs. 2 lit. a DSG
Abschaffung der Berufung auf spe-
zialgesetzliche Ermächtgung
Einheit der Rechtsordnung geht
verloren: Gesetzliche Ermächti-
gungen müssen den allgemeinen
Datenschutzgrundsätzen vorgehen!
Abschaffung der Einwilligung
= Verstoss gegen das
informationelle Selbst-
bestimmungsrecht!
Im privatrechtlichen Datenschutz
spielt die Anrufung überwiegender
Bearbeitungsinteressen eine grosse
Rolle (anstelle Legalitätsprinzip im
öffentlich-rechtlichen Datenschutz).
13AXA Winterthur
Datenbearbeitungsgrundsätze (4)
Inkongruenzen:
Einschränkungen der Informa-
tionspflicht nach Art. 7a DSG
bei überwiegenden privaten
(eigenen oder jener Dritter)
Interessen (Art. 9 DSG):
Unterlassung/Verweigerung
bleibt möglich!
Anrufung überwiegender Interessen zur Recht-fertigung einer Intrans-parenz (Art. 4 Abs. 4 DSG) nicht mehr möglich? Kann kaum zutreffend sein! [ systematische Aus-legung]
14AXA Winterthur
Datenbearbeitungsgrundsätze (5)
Auslegungshilfe des Bundesamtes für Justiz vom 10.10.2006:
– Gesetzgeber wollte Klarstellung dessen, was heute bereits gilt; keine Gesetzesverschärfung. [ historische Auslegung]
– Rechtfertigungsgründe gelten nach wie vor!
– Neu einstufiges Verfahren: Güterabwägung wird im Rahmen der einzelnen datenschutzrechtlichen Bearbeitungsgrundsätze vorgenommen (Rechtfertigungsgründe werden bei deren Auslegung berücksichtigt).
EDÖB verweist in seinen Erläuterungen ausdrücklich auf diese Auslegungshilfe.
Fazit: Rechtfertigungsgründe gelten nach wie vor, aber
Bedeutung der allgemeinen Bearbeitungsgrundsätze hat
zugenommen!
15AXA Winterthur
Grenzüberschreitende Datenbekanntgabe
Datentransfer ins Ausland zulässig, wenn dortige Gesetzgebung angemessenen Schutz bietet (Art. 6 Abs. 1 DSG).
Trotz Fehlens eines angemessenen Schutzes können Daten ins Ausland bekannt gegeben werden (Art. 6 Abs. 2 DSG):
– Lit. a: Hinreichende Garantien durch Vertrag
– Lit. c: Datenbearbeitung im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages
– Lit. d: Durchsetzung von Rechtsansprüchen vor ausländischen Gerichten
– Lit. g: Bekanntgabe innerhalb des Konzerns, sofern innerbe-triebliche Datenschutzregeln angemessenen Schutz bieten.
Garantien und Konzerndatenschutzregeln müssen dem EDÖB vorgelegt werden (Art. 6 Abs. 3 DSG).
16AXA Winterthur
Outsourcing
Beizug Dritter für Datenbearbeitung (neu in Art. 10a DSG; bisher
in Art. 14 DSG) kommt in der Versicherungswirtschaft oft vor:
– Outsourcing von IT-Maintenance
– Outsourcing der Schadenerledigung (Beizug von externen
Fachexperten)
Gilt neu auch für staatliche Stellen (u.a. Sozialversicherer)
Neu: Auftraggeber hat sich zu vergewissern, dass Dritter die
Datensicherheit gewährleistet (Art. 10a Abs. 2 DSG).
Empfehlung: klare vertragliche Inpflichtnahme des
Beauftragten mit Kontrollrecht des Auftraggebers!
17AXA Winterthur
Auskunftsrecht
Neu: Die verfügbaren Angaben über die Herkunft der Daten sind
der betroffenen Person mitzuteilen (Art. 8 Abs. 2 lit. a DSG).
Anonymisierung der Quelle einer Information ist nur noch bei
überwiegenden Geheimhaltungsinteressen möglich, namentlich
zum Schutze von Informanten (Art. 9 Abs. 1 lit. b DSG)
18AXA Winterthur
Betrieblicher Datenschutzverantwortlicher
Art. 11a Abs. 5 lit. e DSG: Bezeichnung eines betrieblichen
Datenschutzverantwortlichen entbindet von der Meldung der
Datensammlungen an den EDÖB.
Voraussetzung: Unabhängigkeit (weisungsungebunden; Art. 12b
Abs. 2 lit. a VDSG); keine Business-Funktion (Art. 12a Abs. 2
DSG)
Aufgaben:
– Überwachung der betriebsinternen Einhaltung der
Datenschutzvorschriften
– Führung eines Verzeichnisses der Datensammlungen
Kompetenzen (Art. 12b Abs. 2 lit. c VDSG):
– Einblick in alle Dokumente (Einsichtsrecht)
– Zugang zu allen Informationen (Auskunftsrecht)
Recommended