1AXA Winterthur

Auswirkungen der Teilrevision DSG auf Versicherungen

Datenschutz-Forum, 13. November 2007

Marcel Süsskind

2AXA Winterthur

Verstärkung des Transparenzprinzips (1)

Art. 7a DSG: Information beim Beschaffen von besonders schützenswerten Daten und Persönlichkeitsprofilen über

– Inhaber der Datensammlung

– Zweck des Bearbeitens

– Kategorien der Datenempfänger

Art. 4 Abs. 4 DSG: Erkennbarkeit der Datenbeschaffung und des Zweckes der Datenbearbeitung bei "gewöhnlichen" Daten

Faktische Stärkung des Gebotes der Zweckbindung (Art. 4 Abs. 3 DSG) und des informationellen Selbstbestimmungsrechtes (Auskunftsrecht gemäss Art. 8 DSG, Datenbearbeitungsverbote gemäss Art. 12 Abs. 2 lit. b DSG; Rechtsbehelfe von Art. 15 DSG)

3AXA Winterthur

Verstärkung des Transparenzprinzips (2)

Spezialnorm in Art. 3 Abs. 1 VVG: Versicherer muss den VN vor

Abschluss des Versicherungsvertrages informieren über:

lit. g: die Bearbeitung der Personendaten einschliesslich

Zweck und Art der Datensammlung sowie Empfänger und

Aufbewahrung der Daten.

Spezialnorm in Art. 45 Abs. 1 VAG: Sobald Versicherungs-

vermittler (Makler/Agent) mit Versicherten in Kontakt treten,

müssen sie informieren über:

lit. e: die Bearbeitung der Personendaten, insbesondere

Ziel, Umfang und Empfänger der Daten sowie deren

Aufbewahrung.

4AXA Winterthur

Verstärkung des Transparenzprinzips (3)

Allgemeine Transparenzvorschriften des rev. DSG

gehen in den branchenspezifischen Informations-

pflichten nach VAG und VVG auf (soweit VN =

betroffene Person);

vgl. auch Art. 7a Abs. 4 DSG (betroffene Person ist

schon informiert).

5AXA Winterthur

Verstärkung des Transparenzprinzips (4)

Beispiele:

(1) Schadenfall des VN:

Soweit VN in der vorvertraglichen Information nach

VVG ausreichend über die Datenbearbeitung im

Schadenfall informiert worden ist (Haltung von

Schadendaten), entfällt zusätzliche Information nach

DSG.

6AXA Winterthur

Verstärkung des Transparenzprinzips (5)

Beispiele:

(2) Kollektive Krankentaggeldversicherung:

– Arbeitnehmer erkrankt;

– Arbeitgeber meldet Schadenfall beim Versicherer.

Soweit Arbeitgeber den Arbeitnehmer aufgrund

entsprechender Unterlagen des Versicherers über die

Datenbearbeitung im Krankheitsfall nach Art. 3 Abs. 3

VVG informiert hat, entfällt zusätzliche Information nach

DSG.

7AXA Winterthur

Verstärkung des Transparenzprinzips (6)

Beispiele:

(3) Haftpflichtschadenfall:

– Körperverletzung des Geschädigten, der Schadenersatz-

ansprüche beim Haftpflichtversicherer des Schädigers

geltend macht;

– Versicherer holt Erklärung zur Entbindung vom

Arztgeheimnis ein.

Keine gesonderte Information nötig, da Geschädigter

weiss, wofür die Daten beschafft werden. Werden

jedoch die Gesundheitsdaten an Dritte (z.B. UVG-

Versicherer) weitergeleitet, dann muss hierüber

gesondert informiert werden.

8AXA Winterthur

Verstärkung des Transparenzprinzips (7)

Beispiele:

(4) Obligatorische Unfallversicherung:

– Arbeitnehmer verunfallt und Arbeitgeber meldet Fall dem

Unfallversicherer;

– Unfallversicherer holt beim Spital ärztlichen Zwischenbericht

ein (Art. 54a UVG: Entbindung vom Arztgeheimnis nicht

erforderlich!).

UVG-Versicherer wird betroffene Person standardisiert informieren! Vorbehalt der gesetzlich vorgesehenen Datenspeicherung (Art. 96 lit. b UVG in Verb. mit Art. 7a Abs. 4. lit. a DSG).

9AXA Winterthur

Angemessene vorgängige Information des

Datenbearbeiters: Tragweite der Ein-

willigung muss der betroffenen Person klar

werden (Zweck der angestrebten

Datenbearbeitung, allfällige Bekanntgabe an

Dritte; ev. weitere Begleitumstände).

Freiwilligkeit der Einwilligung: freie Ent-

scheidfindung darf nicht beeinträchtigt sein!

Unangemessene Drohungen bei Verwei-

gerung der Zustimmung können diese als

unfreiwillig abgegeben erscheinen lassen.

Einwilligung der betroffenen Person

Voraussetzungen

für

Rechtsgültigkeit

10AXA Winterthur

Datenbearbeitungsgrundsätze (1)

Von den allgemeinen Datenbearbeitungsgrundsätzen darf im

privatrechtlichen Datenschutz nicht mehr abgewichen werden

(Streichung "ohne Rechtfertigungsgrund" in Art. 12 Abs. 2 lit. a

DSG). [ grammatikalische Auslegung]

Allgemeine Datenbearbeitungsgrundsätze:

• rechtmässige Bearbeitung (Art. 4 Abs. 1 DSG)

• Treu und Glauben (Art. 4 Abs. 2 DSG)

• Verhältnismässigkeitsprinzip (Art. 4 Abs. 2 DSG)

• Zweckbindungsgebot (Art. 4 Abs. 3 DSG)

• Transparenzgebot (Art. 4 Abs. 4 DSG)

• Richtigkeit der Daten (Art. 5 Abs. 1 DSG)

• Datensicherheit (Art. 7 Abs. 1 DSG)

11AXA Winterthur

Datenbearbeitungsgrundsätze (2)

Trias der Rechtfertigungsgründe (Art. 13 Abs. 1 DSG):

• Einwilligung der betroffenen Person

• überwiegende öffentliche oder private Interessen

• gesetzliche Ermächtigung

Nicht mehr anwendbar ?

Unscheinbare Gesetzesanpassung mit weitreichenden

Konsequenzen!

12AXA Winterthur

Datenbearbeitungsgrundsätze (3)

Inkongruenzen:

Art. 28 Abs. 2 ZGB

Art. 12 Abs. 2 lit. a DSG

Abschaffung der Berufung auf spe-

zialgesetzliche Ermächtgung

Einheit der Rechtsordnung geht

verloren: Gesetzliche Ermächti-

gungen müssen den allgemeinen

Datenschutzgrundsätzen vorgehen!

Abschaffung der Einwilligung

= Verstoss gegen das

informationelle Selbst-

bestimmungsrecht!

Im privatrechtlichen Datenschutz

spielt die Anrufung überwiegender

Bearbeitungsinteressen eine grosse

Rolle (anstelle Legalitätsprinzip im

öffentlich-rechtlichen Datenschutz).

13AXA Winterthur

Datenbearbeitungsgrundsätze (4)

Inkongruenzen:

Einschränkungen der Informa-

tionspflicht nach Art. 7a DSG

bei überwiegenden privaten

(eigenen oder jener Dritter)

Interessen (Art. 9 DSG):

Unterlassung/Verweigerung

bleibt möglich!

Anrufung überwiegender Interessen zur Recht-fertigung einer Intrans-parenz (Art. 4 Abs. 4 DSG) nicht mehr möglich? Kann kaum zutreffend sein! [ systematische Aus-legung]

14AXA Winterthur

Datenbearbeitungsgrundsätze (5)

Auslegungshilfe des Bundesamtes für Justiz vom 10.10.2006:

– Gesetzgeber wollte Klarstellung dessen, was heute bereits gilt; keine Gesetzesverschärfung. [ historische Auslegung]

– Rechtfertigungsgründe gelten nach wie vor!

– Neu einstufiges Verfahren: Güterabwägung wird im Rahmen der einzelnen datenschutzrechtlichen Bearbeitungsgrundsätze vorgenommen (Rechtfertigungsgründe werden bei deren Auslegung berücksichtigt).

EDÖB verweist in seinen Erläuterungen ausdrücklich auf diese Auslegungshilfe.

Fazit: Rechtfertigungsgründe gelten nach wie vor, aber

Bedeutung der allgemeinen Bearbeitungsgrundsätze hat

zugenommen!

15AXA Winterthur

Grenzüberschreitende Datenbekanntgabe

Datentransfer ins Ausland zulässig, wenn dortige Gesetzgebung angemessenen Schutz bietet (Art. 6 Abs. 1 DSG).

Trotz Fehlens eines angemessenen Schutzes können Daten ins Ausland bekannt gegeben werden (Art. 6 Abs. 2 DSG):

– Lit. a: Hinreichende Garantien durch Vertrag

– Lit. c: Datenbearbeitung im Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages

– Lit. d: Durchsetzung von Rechtsansprüchen vor ausländischen Gerichten

– Lit. g: Bekanntgabe innerhalb des Konzerns, sofern innerbe-triebliche Datenschutzregeln angemessenen Schutz bieten.

Garantien und Konzerndatenschutzregeln müssen dem EDÖB vorgelegt werden (Art. 6 Abs. 3 DSG).

16AXA Winterthur

Outsourcing

Beizug Dritter für Datenbearbeitung (neu in Art. 10a DSG; bisher

in Art. 14 DSG) kommt in der Versicherungswirtschaft oft vor:

– Outsourcing von IT-Maintenance

– Outsourcing der Schadenerledigung (Beizug von externen

Fachexperten)

Gilt neu auch für staatliche Stellen (u.a. Sozialversicherer)

Neu: Auftraggeber hat sich zu vergewissern, dass Dritter die

Datensicherheit gewährleistet (Art. 10a Abs. 2 DSG).

Empfehlung: klare vertragliche Inpflichtnahme des

Beauftragten mit Kontrollrecht des Auftraggebers!

17AXA Winterthur

Auskunftsrecht

Neu: Die verfügbaren Angaben über die Herkunft der Daten sind

der betroffenen Person mitzuteilen (Art. 8 Abs. 2 lit. a DSG).

Anonymisierung der Quelle einer Information ist nur noch bei

überwiegenden Geheimhaltungsinteressen möglich, namentlich

zum Schutze von Informanten (Art. 9 Abs. 1 lit. b DSG)

18AXA Winterthur

Betrieblicher Datenschutzverantwortlicher

Art. 11a Abs. 5 lit. e DSG: Bezeichnung eines betrieblichen

Datenschutzverantwortlichen entbindet von der Meldung der

Datensammlungen an den EDÖB.

Voraussetzung: Unabhängigkeit (weisungsungebunden; Art. 12b

Abs. 2 lit. a VDSG); keine Business-Funktion (Art. 12a Abs. 2

DSG)

Aufgaben:

– Überwachung der betriebsinternen Einhaltung der

Datenschutzvorschriften

– Führung eines Verzeichnisses der Datensammlungen

Kompetenzen (Art. 12b Abs. 2 lit. c VDSG):

– Einblick in alle Dokumente (Einsichtsrecht)

– Zugang zu allen Informationen (Auskunftsrecht)

19AXA Winterthur

Herzlichen Dank für Ihre Aufmerksamkeit!

Fragen ? ? ? ?