Gestern verabschiedete das EU-Parlament die EU-Datenschutz-Grundverordnung. Damit wird die aus dem Jahr 1995 stammende Datenschutzrichtlinie abgelöst. Bereits im Januar 2012 stellte die EU-Kommission ihren Gesetzesvorschlag vor. Mitte Juni 2015 stellte dann der EU-Misterrat seinen Entwurf vor. Anschließend begannen die Trilog-Verhandlungen zwischen EU-Kommission, EU-Parlament und EU-Ministerrat, welche am 15. Dezember 2015 zum Abschluss kamen. Vier Jahre zogen sich damit die Prozessschritte des Gesetzgebungsverfahrens hin. Aktuell ist aber von diesem „Schneckentempo“ nichts zu spüren: Am 6. April 2016 erschienen nach den Übersetzungsarbeiten die finalen Textfassungen der EU-Datenschutz-Grundverordnung. Innerhalb einer Woche stimmten der EU-Ministerrat und gestern das Europäische Parlament der EU-Datenschutz-Grundverordnung zu. Die Verordnung muss nun im Amtsblatt der Europäischen Union veröffentlicht werden und tritt dann am 20. Tag nach der Veröffentlichung in Kraft (Mai 2016). Anzuwenden sind die Regelungen der EU-Datenschutz-Grundverordnung zwei Jahre später, also ab Mai 2018 (Art. 99 EU-DSGVO).

 

EU-Datenschutz-Grundverordnung_Zeitstrahl

Verabschiedung der EU-Datenschutz-Grundverordnung im Zeitverlauf

 

Mit der Reform soll vor allem eine Harmonisierung der verschiedenen europäischen Datenschutzregelungen in Europa erreicht werden. Aus diesem Grund hat man sich auch für die Rechtsform der Verordnung entschieden, welche eine direkte Anwendung in den Mitgliedstaaten findet, ohne dass es einer nationalen Umsetzung bedarf. Allerdings existieren einige sogenannte „Öffnungsklauseln“, welche diesen Zweck leicht untergraben könnten und Regelungsmöglichkeiten letztlich doch wieder an die einzelnen Mitgliedstaaten zurückgegeben. Der Ansatz eines europaweit einheitlichen Datenschutzrechts wurde damit nicht konsequent durchgehalten.

Ein weiteres großes Ziel der Reform ist es, das 20 Jahre alte Datenschutzrecht (die Vorgaben der Datenschutzrichtlinie 95/46/EG stammen von 1995!) an die heutige Zeit anzupassen. Insbesondere dem Wandel im Zuge der Internetnutzung (Soziale Netzwerke, Online-Banking, Cloud Computing, Big Data etc.) soll nun Rechnung getragen werden. So erhalten Europas Internetnutzer durch mehr Rechte eine bessere Kontrolle über ihre persönlichen Daten. Vor allem das Recht, Informationen leichter wieder löschen zu lassen (»Recht auf Vergessenwerden«) sowie das Recht, Daten von einem Anbieter zum nächsten mitzunehmen (»Datenportabilität«) werden die Kunden stärken. Parallel hierzu wurden die Verpflichtungen der Unternehmen verschärft. So treffen den „für die Verarbeitung Verantwortlichen“ diverse Informationspflichten gegenüber den Betroffenen, wie zum Beispiel Mitteilung der Verarbeitungszwecke, die Speicherdauer, die Möglichkeit der Wahrnehmung seiner Rechte nach den Art. 15 bis 19 EU-DSGVO, insbesondere die Möglichkeit, der Verarbeitung zu widersprechen oder eine erteilte Einwilligung zu widerrufen sowie die Möglichkeit sich bei einer Aufsichtsbehörde zu beschweren. Weiterhin muss er geeignete Maßnahmen treffen, um der betroffenen Person all diese Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln.

Besteht die „Kerntätigkeit“ eines Unternehmens in der Durchführung von Verarbeitungsvorgängen, so muss dieses nun zwingend einen Datenschutzbeauftragten bestellen, welcher frühzeitig in alle datenschutzrelevanten Fragen einzubeziehen ist (Art. 37/38 EU-DSGVO).

Eine neue Entwicklung gibt es auch in Bezug auf die Verhängung von Strafen: Es wurden sehr empfindliche Höhen hinsichtlich der Geldbußen eingeführt. So können bei Verstößen Geldbußen von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs eines Unternehmens verhängt werden.

Für die Versicherer bedeutet dies nun den Zeitraum bis zur Anwendung im Mai 2018 nutzen, um Prozesse und Dokumente zu überprüfen und gegebenenfalls anzupassen. Von Vorteil dabei ist, dass das deutsche Datenschutzrecht als „Vorbild“ für die Reform galt und einige übernommene Grundprinzipien bereits jetzt Anwendung finden. Darüber hinaus sind die deutschen Versicherer aufgrund der Umsetzung des Code of Conduct – welchem die Mehrheit beigetreten ist – bereits heute auf einem guten Weg hinsichtlich mehr Transparenz und Schutz der personenbezogenen Daten ihrer Versicherten.


 

Gleichzeitig mit dieser Reform wurden auch die Mindeststandards für die Verwendung von Daten für polizeiliche und gerichtliche Zwecke festgelegt.

Die EU-Datenschutz-Grundverordnung bildet auch den Schwerpunkt der diesjährigen Fachkonferenz »Datenschutz in der Assekuranz« am 24./25. November 2016 in Leipzig, zu welcher sich die Datenschutzbeauftragen der Versicherungsunternehmen alljährlich über aktuelle datenschutzrelevante Fragen austauschen.

Kirsten Müller
Kirsten Müller ist seit 2007 bei den Versicherungsforen Leipzig tätig und begleitet seit 2012 die Position als Leiterin Kompetenzfeld »Recht & Compliance«. Sie ist Ansprechpartnerin für alle Rechtsthemen von Versicherungsunternehmen. Somit obliegt ihr die fachliche Betreuung der Themen Versicherungsaufsichtsrecht, Corporate Governance sowie Compliance in der Versicherungswirtschaft.
Neben der fachlichen Leitung der User Group »Governance und Compliance in österreichischen Versicherungsunternehmen«, der User Group »Governance und Compliance in Versicherungsunternehmen«, der Konferenzen »Recht in der Versicherungswirtschaft« und »Datenschutz in der Assekuranz« ist sie fachlich verantwortlich für die User Group »Business Continuity Management im Versicherungsunternehmen« und die Fachkonferenz »Compliance im Bankwesen – MaRisk und MaComp in der Umsetzung«.