Datenschutz in Aktion

Lesezeit: 8 Minuten

Aktuelles & Blog Blog Datenschutz in Aktion

Datenschutz in Aktion

Pascal Dijkens, Risk & Compliance Director

Pascal Dijkens

Risk & Compliance Director, Van Ameyde

Lesezeit:8 Minuten
Mit einem umfassenden Zweijahresprojekt hat Van Ameyde ihre Einhaltung der ISO-Normen des Informationssicherheitsmanagements und der Datenschutz-Grundverordnung (DSGVO) sichergestellt. Die Verarbeitung großer Mengen von sensiblen Daten im Auftrag von Versicherern und Risikomanagern bedeutet, dass Van Ameyde im Rahmen der DSGVO ein sogenannter Auftragsdatenverarbeiter ist. Doch sind sich die Kunden ihrer eigenen Verpflichtungen gegenüber ihrem Netzwerk von externen Dienstleistern voll bewusst?

Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) in Kraft treten und die EU-Richtlinie 95/46/EG aufheben. Da die DSGVO keine Richtlinie, sondern eine Verordnung darstellt, greift sie direkt. Dies kommt in mehreren Ländern tätigen Unternehmen – wie Van Ameyde – und vielen unserer Kunden zugute. Im Vergleich zu den Richtlinien, die in nationales Recht umgesetzt werden, bieten Verordnungen weitaus weniger Möglichkeiten für nationale Abweichungen.

Trotz dieses Vorteils hat sich die Implementierung der DSGVO für uns bei Van Ameyde als zeitaufwendiger Prozess erwiesen. Wir haben unser umfassendes Implementierungsprogramm vor mehr als zwei Jahren im Anschluss an ein umfangreiches Audit des Unternehmens gestartet.

Ohne Anspruch auf Vollständigkeit erheben zu wollen, möchte ich Ihnen einen Einblick in einige Aspekte der neuen Verordnung aus der Sicht eines Auftragsdatenverarbeiters geben.

Sicherheit und Data Governance

Nach dem Audit haben wir bereits 2016 eine Vielzahl von Aktualisierungen in unseren Datensicherheits- und -managementsystemen initiiert. Aus Sicherheitsgründen können wir die getroffenen Maßnahmen nicht im Detail anführen. Allgemein lässt sich jedoch sagen, dass unsere Maßnahmen im Bereich der Sicherheit und Data Governance folgendes beinhalten:

  • die Verschlüsselung von persönlichen Daten;
  • Benchmark-Sicherheitsmaßnahmen in Bezug auf die Infrastruktur und den Zugang, einschließlich zweistufiger Authentifizierung und strikter Passwort-Richtlinien;
  • die Überwachung und Meldung von Verstößen gegen den Datenschutz;
  • Richtlinien für die Datenklassifizierung, stärker eingegrenzter Zugang zu hochsensiblen Information wie medizinische Daten (auf die nur Mitarbeiter mit zusätzlicher Sicherheitsüberprüfung zugreifen dürfen) und Daten in Bezug auf die Untersuchung von Betrug.

Im Zuge der Einführung der Maßnahmen wurde unserer hauseigenen IT-Entwicklungsgesellschaft (Zero)70 die ISO 27001:2013-Zertifizierung Daten neben unserer bestehenden jährlichen ISAE3402 Typ II-Akkreditierung verliehen. Unsere Kunden können versichert sein, dass unsere Datenverwaltung sowie Datensicherheitsprotokolle und -praktiken vollumfänglich DSGVO-konform sind. Wir halten uns strikt an die Grundsätze der DSGVO wie Rechtmäßigkeit, Fairness, Transparenz und Zweckbindung. Zudem minimieren wir die Sammlung und Verarbeitung von Daten auf den für die Bearbeitung von Ansprüchen unbedingt notwendigen Umfang und haben Maßnahmen zur Erfüllung der Rechte der Datensubjekte realisiert.

Es genügt wohl festzustellen, dass Van Ameyde im Rahmen des Prozesses der DSGVO-Compliance eine Beurteilung der Auswirkungen auf den Datenschutz durchgeführt hat, um hohe Risiken für die Datenschutzrechte identifizieren zu können. Es wurden Maßnahmen zur Thematisierung dieser Risiken formuliert.

Verantwortliche und Auftragsdatenverarbeiter

Verantwortliche sind „Eigner“ der Daten ihrer Kunden. Wenn das Outsourcing von Aktivitäten die Verarbeitung solcher persönlichen Daten beinhaltet, sehen sich die Verantwortlichen mit zwei Herausforderungen konfrontiert:

  • Sie müssen die DSGVO-Termine für ihre eigenen Datenverwaltungssysteme und -praktiken einhalten und
  • mittels Datenverarbeitungsvereinbarungen sicherstellen, dass diese auch von ihren Lieferanten, d.h. den „Auftragsdatenverarbeitern“, eingehalten werden.

Nach der neuen Verordnung werden auch die Auftragsdatenverarbeiter rechenschaftspflichtig und verantwortlich für die:

  • Benennung eines Datenschutzbeauftragten (DSB);
  • Führung von Nachweisen zu den im Auftrag ihrer Kunden bearbeiteten Daten.

Da Van Ameyde in ganz Europa tätig ist, haben wir faktisch in allen Ländern, in denen Van Ameyde Niederlassungen hat, dedizierte DSB benannt und ausgebildet.

Datenverarbeitungsvereinbarung: Zwingend vorgeschrieben

Gemäß DSGVO sind die Verantwortlichen verpflichtet, Datenverarbeitungsvereinbarungen mit ihren Auftragsverarbeitern abzuschließen. Wir widmen uns dieser Frage, in dem wir die Kunden informieren und ihnen eine vorgedruckte Datenverarbeitungsvereinbarung zusenden.

Rechte der Datensubjekte

Gemäß DSGVO sind die Datensubjekte jene Personen, deren personenbezogene Daten verarbeitet werden. Hinsichtlich Schadenmanagements können Datensubjekte Versicherungsnehmer, Dritte und beispielsweise Zeugen sein. Bei der ersten Benachrichtigung werden die Geschädigten ausdrücklich über ihre Rechte informiert. Hierzu zählen die Rechte auf:

  • Zugang;
  • Berichtigung;
  • Löschung (das „Recht auf Vergessenwerden“);
  • Einschränkung der Verarbeitung;
  • Datenübertragbarkeit (das Recht von Personen, ihre personenbezogenen Daten an andere Unternehmen übermitteln zu lassen).

Es sollte jedoch beachtet werden, dass Änderungen nur nach gründlichen Überprüfungen in puncto Legitimität und Relevanz bearbeitet werden. Zudem ist das Recht auf Vergessenwerden im Kontext des Forderungsmanagements begrenzt. Es genügt wohl festzustellen, dass haftpflichtige Parteien ihre Daten nicht entfernen lassen oder ändern können, um Wiedergutmachung zu vermeiden…

Nützliche Links

Wenn Sie mehr zu den Artikeln der DSGVO wissen möchten, ist die Website https://dsgvo-gesetz.de äußerst hilfreich.

Sehr informativ ist auch Deloitte’s GDPR top ten.

Quote
Afhankelijk van de levensverwachting van het slachtoffer zal het verlaagde discontopercentage leiden tot aanzienlijke verhoging van de vergoeding voor toekomstschade.

Pascal Dijkens

Van Ameyde Germany

Van Ameyde Austria

Van Ameyde Switzerland

Share This