Sowohl Unternehmen als auch Privatpersonen müssen in Sachen Datenschutz einiges beachten – zudem ändern sich die behördlichen Vorgaben immer wieder. Versicherungsabschluss, Anmeldung zum Newsletter oder Preisgabe der Kontodaten. Mit unseren Fragen an den Datenschutzexperten Steffen Fischer von der Versicherungskammer Bayern bringen wir ein bisschen Schärfe ins Kleingedruckte.
Gesundes Misstrauen schadet auch im Netz nicht
Herr Fischer, Sie sind Datenschützer bei der BavariaDirekt und der Versicherungskammer Bayern. Ist es eigentlich sicher, eine Versicherung online abzuschließen oder sollte man vorsichtig sein?
Da antworte ich gleich mal mit der typischen Aussage eines Juristen: „Es kommt darauf an.“ Generell kann ein gesundes Misstrauen im Internet nicht schaden. Interessenten sollten grundsätzlich sichergehen, dass sie tatsächlich auf einer Seite des gewünschten Partners gelandet sind und nicht auf einer Phishing-Seite, welche nur Daten einsammeln will, die dann schlechtestenfalls missbräuchlich verwendet werden. Bei der BavariaDirekt stellen wir ein höchstmögliches Sicherheitsniveau her. So beginnt die Homepage mit „https“, also nicht mit „http“, was für sichere Übertragungswege der Daten spricht. Ich empfehle unseren Kunden und Interessenten auch, den Link zur BavariaDirekt einmal sicher aufzurufen und dann in ihrem Browser als Favoriten zu hinterlegen, um bei wiederholten Aufrufen der Seite ohne große Umstände auch tatsächlich auf der richtigen Homepage zu landen.
Ein Datenverarbeiter darf Daten nur dann verarbeiten, wenn es dafür eine ausdrückliche Erlaubnis gibt. Und auch dann, wenn es ihm erlaubt ist, muss er jederzeit im Auge haben, ob die Rechtsgrundlage weiterhin besteht oder ob bestimmte Daten gelöscht werden müssen.
Thema „Persönliche Daten“: Was genau schreibt der Datenschutz vor bzw. was besagt die Datenschutzgrundverordnung (DSGVO)?
Die Antwort darauf würde sicherlich den Rahmen des Magazins sprengen. Kurz kann man aber sagen, dass die DSGVO die Daten natürlicher Personen, also nicht nur von Verbrauchern, schützt.
Interessant ist hierbei, dass der europäische Gesetzgeber – die DSGVO gilt ja innerhalb der gesamten EU – sehr streng war, indem er ein „Verbot mit Erlaubnisvorbehalt“ festgeschrieben hat. Das bedeutet, ein Datenverarbeiter (in der DSGVO als „Verantwortlicher“ bezeichnet) darf Daten nur dann verarbeiten, wenn es dafür eine ausdrückliche Erlaubnis gibt. Und auch dann, wenn es ihm erlaubt ist, muss er jederzeit im Auge haben, ob die Rechtsgrundlage weiterhin besteht oder ob bestimmte Daten gelöscht werden müssen.
Ohne Datenschutz drohen hohe Geldstrafen
Warum – quasi über Nacht – war Datenschutz auf einmal in aller Munde und mussten sowohl große Unternehmen als auch Mittelständler und Selbstständige bestimmte Richtlinien einhalten?
Nun ja, bestimmte Richtlinien mussten in Deutschland eigentlich schon länger eingehalten werden. Mit Inkraftsetzung der Datenschutzgrundverordnung (DSGVO) im Mai 2018 änderte sich jedoch einiges. Die Verordnung galt plötzlich in ganz Europa, auch dort, wo es vorher kaum Regelungen gab. Alle Unternehmen, ob deutsche oder US-amerikanische, die in der EU Daten verarbeiten, waren plötzlich gezwungen, sich daran zu halten. Aufmerksamkeit zog damals aber vor allem der hohe Bußgeldrahmen nach sich, welcher bis zu 20 Millionen Euro oder vier Prozent des Konzernjahresumsatzes ausmachen kann. Das war vor 2018 undenkbar.
Ich persönlich hätte nicht für möglich gehalten, dass Bußgelder tatsächlich abschrecken würden. Die Aufsichtsbehörden haben mich allerdings eines Besseren belehrt. So verhängte die europäische Aufsichtsbehörde im Jahr 2022 Bußgelder in Höhe von insgesamt circa 1,6 Milliarden (!) Euro. Allein Meta erhielt im Januar 2023 als US-amerikanische Mutter ein Bußgeld von 390 Millionen Euro für ihre Töchter Facebook (210 Mio.) und Instagram (180 Mio.). Dagegen muten die 1,24 Millionen Euro, die die AOK Baden-Württemberg berappen musste, geradezu bescheiden an. Wenn man jedoch bedenkt, dass hier nur Daten von rund 500 Gewinnspielteilnehmern unrechtmäßig für Werbezwecke verwendet wurden, relativiert sich die Betrachtung schon wieder. So etwas wäre vor der DSGVO mit einem Bußgeld in vierstelliger Höhe abgehandelt worden.
90 Prozent aller vorhandenen Daten sind innerhalb der letzten zwei Jahre generiert worden.
Was konkret schreibt der Gesetzesgeber zum Thema Datenschutz vor und warum mischt der sich überhaupt ein? Denn theoretisch könnte das doch jedes Unternehmen für sich selbst regeln?
Daten sind bekanntermaßen das Gold des 21. Jahrhunderts. Wir erkennen das daran, dass die Digitalisierung immer weiter voranschreitet. 90 Prozent aller vorhandenen Daten sind innerhalb der letzten zwei Jahre generiert worden. Das ist viel. Und wie schnell das geht, wird klar, wenn man bedenkt, dass moderne Autos erfassen können, wann und wie oft der Sitz verstellt wird (um die Anzahl der Fahrer zu ermitteln) oder dass Kühlschränke mit dem Internet kommunizieren.
Der Gesetzgeber wollte daher sozusagen Goldschürfen in Wildwest-Manier verhindern. Er definiert, wem Daten mit Personenbezug gehören und er begrenzt die Möglichkeiten, diese nach eigenem Belieben zu verarbeiten.
Der Verantwortliche muss dem Betroffenen transparent machen, welche Daten er wie verarbeitet, ihm auf Verlangen Auskunft darüber geben und jederzeit nachweisen können, dass er die Daten gesetzeskonform verarbeitet. Dabei trifft ihn die Beweislast.
Wir speichern nur Daten, die dem Zweck entsprechen
Was genau passiert bei der BavariaDirekt mit den persönlichen Daten, insbesondere nach Abschluss eines Vertrages?
Zunächst ist wichtig und auch Vorschrift, dass wir nur jene Daten erheben, die für den jeweiligen Zweck notwendig sind. Diese Daten werden gespeichert und auch nur zu dem Zweck verarbeitet, auf den der Kunde bei Vertragsabschluss hingewiesen wurde. Dabei ist das sogenannte Zweckbindungsgebot ein ganz zentraler Bestandteil unserer Tätigkeit. Entfällt ein Verarbeitungszweck, so löschen wir die Daten, es sei denn der Gesetzgeber schreibt vor, diese noch für einen bestimmten Zeitraum aufzubewahren. In einem solchen Fall, z.B. bei Aufbewahrungspflichten aus steuerlichen Gründen, werden die Daten gesperrt. Das Gesetzt nennt das „Einschränkung der Verarbeitung“. Die Daten werden also tatsächlich nicht mehr weiterverarbeitet und sind nur einem kleinen, fest definierten Mitarbeiterkreis zugänglich.
Wie genau werden die Daten geschützt? Und was muss technisch getan werden, damit alles glatt läuft?
Hier sind, man möchte sagen, Heerscharen von Mitarbeitern beschäftigt. Denn das Thema ist größer als die Betrachtung aus der Datenschutz-Rechtsabteilung. Da sorgen Kollegen aus der Informationssicherheit dafür, dass in diesem Bereich geltende Gesetze eingehalten werden. IT-Kollegen sorgen für weiteren Schutz. Dieser bezieht sich vor allem auf Verschlüsselung der Daten, Schutz vor externen Angriffen, z.B. durch Firewalls, Virenscanner etc. Dafür ist im Unternehmen eigens etwas aufgebaut, das als „IT-Landschaft“ bezeichnet wird. Gerade Hackerangriffe, von denen man öfter in der Presse liest und welche seit dem Ukraine-Krieg leider noch zugenommen haben, beschäftigen die Kollegen daher und zwingen sie immer zu Wachsamkeit. Durch deren gute Arbeit waren wir hier noch nicht betroffen, auch wenn wir uns wie faktisch jedes Unternehmen in Deutschland täglichen Angriffen ausgesetzt sehen.
Unser Interviewpartner - Steffen Fischer
Steffen Fischer ist Rechtsanwalt. Er arbeitet seit August 2020 bei der Versicherungskammer Bayern. Seitdem ist er auch mit dem Datenschutz der BavariaDirekt beauftragt und kennt sich zum Thema Datenschutz ganz allgemein und zum Datenschutz bei einer Versicherung im Besonderen bestens aus. Sein Credo: Datenschutz ist Ihr gutes Recht.
Unser Interviewpartner - Steffen Fischer
Steffen Fischer ist Rechtsanwalt. Er arbeitet seit August 2020 bei der Versicherungskammer Bayern. Seitdem ist er auch mit dem Datenschutz der BavariaDirekt beauftragt und kennt sich zum Thema Datenschutz ganz allgemein und zum Datenschutz bei einer Versicherung im Besonderen bestens aus. Sein Credo: Datenschutz ist Ihr gutes Recht.
Notfälle sind unwahrscheinlich – aber wir sind vorbereitet
Worst-Case-Szenario: Was würde passieren, wenn es Kriminellen trotz aller Sicherheitsmaßnahmen gelingt, mit den Daten Schindluder zu treiben – gibt es ein Notfallprozedere und wer haftet für eventuelle Schäden?
Das ist sehr unwahrscheinlich. Denn Kriminelle würden die Daten erst einmal nur verschlüsselt erhalten. Im Fall der Fälle ist für jeden Einzelfall zu prüfen, was passiert ist und wer das zu verantworten hat. Im schlimmsten Fall wären wir versichert. Die Versicherung mussten wir allerdings noch nie in Anspruch nehmen. Ein Notfallprozedere gibt es im Übrigen natürlich, das ist sogar gesetzlich vorgeschrieben. Ich selbst bin im erweiterten Krisenstab der Versicherungskammer. Wir wären also für den Fall der Fälle vorbereitet.
Was kann denn theoretisch alles schiefgehen?
Grundsätzlich im Mittelpunkt steht wie überall der menschliche Faktor. Jemand macht einen Fehler und dabei wird der Datenschutz verletzt. So kann es vorkommen, dass ein Brief an eine falsche Adresse gesendet wird, weil zwei Personen mit ähnlichen oder gleichen Namen verwechselt werden. Oder ein Sachbearbeiter kuvertiert ausnahmsweise noch händisch ein und legt versehentlich zwei Briefe für zwei Personen in einen Umschlag. Das ist nicht schön, aber eben menschlich. Daher versuchen wir, so viel wie möglich computergesteuert zu erledigen. Hier ist es eben auch von Vorteil, wenn der Prozess im Internet beginnt, der Kunde seine Daten selbst erfassen bzw. pflegen kann und dann in einem sicheren Portal online unterwegs ist. Mit anderen Worten: Da schafft ein Onlineabschluss sogar Sicherheit, weil händische Zwischenschritte entfallen.
Sicher mit dem Cyberschutz der BavariaDirekt
Wenn trotz aller Vorsicht beim Online Shopping etwas schiefgeht, wenn Sie oder Ihre Kinder Opfer einer Cybermobbing-Attacke werden oder wenn persönliche Daten und Passwörter verschwinden, springt die Cyber-Versicherung bis zur vereinbarten Summe ein. Datenrettungsteams übernehmen zusätzlich die Wiederherstellung verloren gegangener Daten. Den Tarif können Sie direkt online abschließen und zuvor unverbindlich berechnen.
Sicher mit dem Cyberschutz der BavariaDirekt
Wenn trotz aller Vorsicht beim Online Shopping etwas schiefgeht, wenn Sie oder Ihre Kinder Opfer einer Cybermobbing-Attacke werden oder wenn persönliche Daten und Passwörter verschwinden, springt die Cyber-Versicherung bis zur vereinbarten Summe ein. Datenrettungsteams übernehmen zusätzlich die Wiederherstellung verloren gegangener Daten. Den Tarif können Sie direkt online abschließen und zuvor unverbindlich berechnen.
Aufgrund von Sicherheitsbedenken nutzen einige deutsche Unternehmen die Programme US-amerikanischer Hersteller nur zögerlich. Was hat es damit auf sich?
Der Europäische Gerichtshof (EuGH) hat 2020 entschieden, dass in den USA aufgrund staatlichen Handelns kein sicheres Datenschutzniveau herrscht. Dem müssen wir uns natürlich alle beugen. Zusammenarbeit mit US-Unternehmen ist allerdings – auch explizit nach EuGH – möglich. Es bedarf dann nur weiterer Maßnahmen im Umgang mit den personenbezogenen Daten. So kann man Verschlüsselungen anwenden, Daten pseudonymisieren, so dass der Personenbezug nur sehr schwer nachvollziehbar ist oder man verarbeitet die Daten ganz ohne Personenbezug (Anonymisierung).
Das ist natürlich mit Aufwand verbunden. Leider sind einige US-amerikanische Unternehmen aber ohne europäische Konkurrenz. Im Bereich Digitalisierung und digitale Technik haben wir in Europa bedauerlicherweise viel verschlafen.
Zum Schluss in aller Kürze: Was ist Ihrer Meinung nach für Kunden das Wichtigste beim Thema Datenschutz?
Wichtig ist, wachsam zu sein und Partner zu haben, die ihren Datenschutz transparent gestalten und denen man vertrauen kann. Und wenn Sie nicht sicher sind, fragen Sie nach.
Vielen Dank für das Interview.
Datenschutz geht klar – bei der BavariaDirekt
Ob Privat-Haftpflicht, Kfz-Versicherung, Rechtsschutz, Hausratversicherung oder Cyber-Versicherung – bei der BavariaDirekt können Sie Ihre Versicherungen unbesorgt online abschließen. Wäre auch zu schade, denn als Direktversicherer sind wir in der Lage, besonders attraktive Preise zu kalkulieren. Aber nicht nur bei den Preisen und beim Datenschutz, auch in Sachen Schadenregulierung sind Sie bei uns gut aufgehoben.
In unserem Magazin-Artikel „So schützen Sie sich vor einem Hackerangriff“ finden Sie weitere nützliche Tipps für Ihren Online-Alltag.
Bildnachweis:
Titelbild: stock.adobe.com/song_about_summer, Bild 2: stock.adobe.com/peterschreiber.media, Bild 3: stock.adobe.com/s-motive, Bild 4: Privat