Mareike Gehrmann
Mareike GehrmannQuelle: Martin Winkel
Politik & Regulierung

Datenschutz-Grundverordnung: Erstmals Bußgeld für Verstoß verhängt

Von Martin WinkelTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Weil Gesundheitsdaten von Patienten unter anderem über den notwendigen Kreis der Ärzte auch Pflegern und Verwaltungsmitarbeitern zugänglich waren, muss ein portugiesisches Krankenhaus ein Bußgeld von 400.000 Euro entrichten. Damit wurde erstmals eine Missachtung der seit Mai EU-weit geltenden DSGVO sanktioniert. Vor diesem Hintergrund klärten Versicherungsjuristen der Wirtschaftskanzlei Taylor Wessing anlässlich des 14. International Insurance Day in München über rechtliche Risiken aus der DSGVO auf.

Demnach sei eine steigende Anzahl von Anfragen bei Taylor Wessing sowie Meldungen an die Datenschutzbehörden zu beobachten, berichtet Mareike Gehrmann, Fachanwältin für Informationstechnologierecht bei Taylor Wessing. Ein Großteil der Beschwerden betreffe Online-Dienste, die Auskunfts- und Löschansprüchen von Kunden nicht nachkämen, ergänzt Gehrmann am Beispiel der Berliner Datenschutzbeauftragten. Trotz richterlicher Urteile zur grundsätzlichen Abmahnfähigkeit von Verstößen gegen die Datenschutz-Grundverordnung, sieht Gehrmann bisher aber keine Welle von Abmahnungen heranrollen. "Bisher war das in unserer Kanzlei kein Thema", bestätigt Gehrmann. "Wir empfehlen Mandanten der praktischen Implementierung der Datenschutzbestimmungen und Meldepflichten bei Verstößen genug Aufmerksamkeit zu widmen".

Zwar gibt es mittlerweile eine Stellungnahme für Bußgelder von der Datenschutz-Gruppe gemäß Art. 29 der DSGVO, doch Sanktionen seien immer noch eine Ermessensentscheidung der Behörden, sagt Gehrmann. Maßgeblich für die Höhe von Strafen sind neben der rechtzeitigen und vollständigen Meldung unter anderem Art, Dauer und Schwere des Verstoßes, vorsätzliches oder fahrlässiges Handeln und Maßnahmen zur Minderung von Folgen auch "jedweder andere erschwerende oder mildernde Umstand". "Ob eine Meldung an die Aufsichtsbehörde notwendig ist oder nicht muss also im Einzelfall abgeschätzt werden", führt Gehrmann aus. Angesichts der kurzen Meldefrist von 72 Stunden sei zudem wichtig schnell zu sein. Im Zweifel sei lieber zu melden als einen schlechten Eindruck durch eine unterbliebene Meldung zu hinterlassen.

Die DSGVO bewegt die Versicherungsbranche seit ihrer Einführung, denn die Assekuranz sammelt und verarbeitet erhebliche Mengen an personenbezogenen Daten von Versicherungsnehmern, Geschädigten, Mitarbeitern und Vermittlern. 170 Tage nach Wirksamwerden der Verordnung zeigt sich, dass die praktische Umsetzung einigen Aufwand erfordert. Bei der Erhebung personenbezogener Daten treffen den Versicherer umfangreiche Informationspflichten. Diese sind oft nicht komplett auf einem analogen Medium darstellbar. Ob es deswegen Medienbrüche, z.B. den Verweis in einer Broschüre auf eine Webseite geben darf, ist umstritten. Auch die Form ist reglementiert: Information müssen klar, verständlich, leicht zugänglich und in einfacher Sprache formuliert sein.

Wer Daten erhebt muss auch an die Löschung denken. Dafür sind Speicherfristen zu bestimmen und die Löschung nachvollziehbar zu dokumentieren. Zu frühes Löschen ist aber auch nicht erlaubt, denn die gesetzlichen Aufbewahrungszeiten gelten weiterhin. Daten sind nicht gleich Daten. Es scheint, dass manche Datenschutzbehörden mittlerweile "Black Lists" von besonderes kritischen personenbezogenen Informationen führt, die bei einigen Verarbeitungsvorgängen eine "Datenschutzfolgenabschätzung" erfordern. Dazu zählen beispielsweise Aufenthaltsorte, Verhalten und Persönlichkeitsprofile von Betroffenen. Kritisch sind Verarbeitungsprozesse, die für die betroffenen Personen beispielsweise Rechtsfolgen oder Nachteile bedeuten, sie an der Ausübung von Rechten behindern oder sie systematisch überwachen.
Taylor Wessing · DSGVO
Auch interessant
Zurück
19.12.2018VWheute
Bei Tele­ma­tik­an­ge­boten könnte es sich um verbo­tenes, versi­che­rungs­fremdes Geschäft handeln Immer mehr Versicherer bieten fahrstil- oder …
Bei Tele­ma­tik­an­ge­boten könnte es sich um verbo­tenes, versi­che­rungs­fremdes Geschäft handeln
Immer mehr Versicherer bieten fahrstil- oder kilometerabhängige Telematiktarife in der Kfz-Versicherung an. Oft sind Assekuranzen dabei von Kooperationspartnern und Zulieferern aus…
13.12.2018VWheute
Daten­schutz­grund­ver­ord­nung sorgt für Wild­wuchs 203 Tage ist die Datenschutzgrundverordnung (DSGVO) seit ihrem Start am 25. Mai 2018 in Kraft und…
Daten­schutz­grund­ver­ord­nung sorgt für Wild­wuchs
203 Tage ist die Datenschutzgrundverordnung (DSGVO) seit ihrem Start am 25. Mai 2018 in Kraft und langsam lichtet sich bei den Unternehmen der Nebel. Was ist noch erlaubt, wie muss ich die Daten der Kunden behandeln und wann …
07.11.2018VWheute
Run-off-Markt Deutsch­land – Quo Vadis? Die Entwicklung des Run-off-Markts Deutschland ist in vollem Gange. Die Anzahl der deutschen Anbieter von …
Run-off-Markt Deutsch­land – Quo Vadis?
Die Entwicklung des Run-off-Markts Deutschland ist in vollem Gange. Die Anzahl der deutschen Anbieter von Run-off-Plattformen beziehungsweise -Dienstleistungen nimmt zu und die Spielarten der rechtlich zur Verfügung stehenden …
25.10.2018VWheute
Cyber­ri­siken: Apple-Chef Cook lobt DSGVO und Deut­sche Hackerangriffe nehmen zu und Datenschutz ist wichtig – wenn das ein Cyberversicherer sagt, …
Cyber­ri­siken: Apple-Chef Cook lobt DSGVO und Deut­sche
Hackerangriffe nehmen zu und Datenschutz ist wichtig – wenn das ein Cyberversicherer sagt, wird allenfalls kurz genickt und weitergemacht wie bisher. Wenn aber Apple-Chef Tim Cook über das Thema spricht, wird es sofort …
Weiter