Das neue Datenschutzgesetz und seine Folgen für die Versicherungsbranche

Am 25. September 2020 haben beide Räte des Bundesparlaments dem neuen Datenschutzgesetz DSG zugestimmt. Am 14. Januar dieses Jahres lief die Referendumsfrist ungenutzt ab, das DSG dürfte damit voraussichtlich im Sommer 2022 in Kraft treten. Viel Zeit für die nötigen Anpassungen bleiben der Wirtschaft somit nicht mehr. Lange musste die Schweiz dabei allerdings auf die Erneuerung des Angemessenheitsbeschlusses der Europäischen Kommission warten, der ungehinderte Datentransfers aus der Europäischen Union EU in unser Land ermöglicht warten.

Grund der Totalrevision war die Anpassung des schweizerischen Rechts an die Schwächen des bestehenden Datenschutzgesetzes und die rapide technologischen Entwicklung. Betroffenen Personen soll es nun möglich werden, die Kontrolle über ihre Daten wiederzuerlangen. Ferner will das neue Datenschutzgesetz DSG den Entwicklungen in der Europäischen Union EU Rechnung tragen und der Europäischen Datenschutz-Grundverordnung DSGVO vom 25. Mai 2018 angeglichen werden.

Was bedeutet Angemessenheitsbeschluss?

Mit der Verabschiedung des neuen DSG hat die zuständige EU-Kommission nach langem Zögern vor dem Hintergrund des permanenten Datenaustausches von Personendaten mit der EU den sogenannten «Angemessenheitsbeschluss» doch gefällt. Eine grosse Erleichterung, denn damit werden Schweizer Unternehmen nicht mehr gezwungen, mit jedem einzelnen Datenaustauschpartnern aus der EU separate Verträge abzuschliessen. Am 26. Juli 2020 hat die Europäische Kommission in einem Angemessenheitsbeschluss festgestellt, dass die Schweiz bereits über ein angemessenes Datenschutzniveau verfügt. Diese Entscheidung beruht auf dem in der Richtlinie 95/46 festgelegten Schutzniveau.

Bei welchen Versicherungen gilt besonderer Handlungsbedarf?

Um Risiken einschätzen und reduzieren zu können, sind Broker wie Versicherer darauf angewiesen, über möglichst umfassende Daten für Analysezwecke zu verfügen. Das kann jedoch problematisch werden, wenn der Datenschutz des Unternehmens mit dem Recht der Kundschaft auf informelle Selbstbestimmung kollidiert: beispielsweise, wenn mehrere unterschiedliche Stellen auf solche Daten zugreifen können. Die Versicherungswirtschaft kann in diesem Fall zu einem ernsthaften Problem für den Datenschutz werden. Ein Datenschutzbeauftragter haben die Verarbeitungsprozesse jetzt genau zu kontrollieren, um Missbrauch zu verhindern und generell für die Einhaltung der Bestimmungen zu sorgen.

Krankenversicherung

Bei den Krankenversicherungen stellt sich zum Beispiel die Frage des Interesses an Daten von Fitnesstrackern ihrer Kund*innen. Unternehmen wie CSS, Sanitas und Visana bieten dafür Prämienreduktionen zwischen 120 und 146 Franken an. Bei Helsana locken 75 Franken in der Grund- und gar 375 Franken in der Zusatzversicherung. Heikle Daten der Versicherungsnehmenden, beispielsweise präzise Informationen über körperliche Bewegung, sichern ihnen Vorzüge wie Vergünstigungen. Konkret verkaufen damit Personen ihre sehr persönlichen Daten an eine Versicherung.

Insbesondere Gesundheitsdaten schätzt der Gesetzgeber jedoch als äusserst sensibel und schutzwürdig ein. Unterschreiben der Kund*innen einen Vertrag aufgrund welchem solche Informationen durch sie erhoben und weitergegeben werden, begeht die Versicherung aber noch keine Datenschutzverletzung. Anders sieht es aus, wenn Versicherungen mit solchen Datenübermittlungen zur Norm werden und zu einer Benachteiligung derjenigen Kunde*innen führt, die einer solchen Nutzung nicht zustimmen wollen.

Cyberversicherung

Cyberkriminalität wurde zu einer der gefährlichsten Risiken für Organisationen verschiedenster Grössen und Branchen überhaupt. Im jährlichen Ranking des World Economic Forums rangiert Cybercrime bereits auf Platz drei der grössten Bedrohungen für die weltweite Wirtschaft. Der Schaden beläuft sich gemäss Human Risk Review 2021, einer Analyse der Europäischen Cyber Bedrohungslage von SoSafe auf jährlich100 Milliarden Euro in Deutschland und 9,5 Milliarden Schweizer Franken. Dabei richten sich Cyberattacken oft nicht nur direkt gegen die Technik von Firmen, sondern inzwischen zunehmend über deren Mitarbeitende. Nicht weniger als 50 Prozent aller betroffenen Unternehmen erleiden Cyberattacken und Datenbetrug via Homeoffice.

Cyberversicherung der Helvetia. Zum neuen Datenschutzgesetz befragt, antwortet Dominic Chiavi, Senior Manager Media Relations Corporate Affairs, mit einem Statement: «Helvetia erachtet die Compliance mit den einschlägigen Datenschutzgesetzen, ob Bundesgesetz über den Datenschutz in der Schweiz oder DSGVO der EU, als kontinuierliche Verantwortung im Umgang mit den Daten unserer Kundinnen und Kunden sowie Mitarbeitenden. Wir entwickeln unsere zahlreichen unterschiedlichen internen Prozesse zur Datenschutz-Compliance laufend weiter».

Und weiter: «Die Cyber-Versicherung von Helvetia benötigt keine Anpassungen aufgrund des Datenschutzgesetzes. Wir stützen uns bereits heute darauf ab, dass die Datenschutzgesetze eingehalten werden und die DSGVO ist schon länger gültig. Da bei der Entstehung des Cyber-Produktes bereits davon auszugehen war, dass neben der damals neu gültigen DSGVO auch das Schweizer Datenschutzgesetz in eine ähnliche Richtung gehen wird, wurden schon bei der Entwicklung des Produktes bedarfsgerechte Leistungen (z.B. Notifikationsmanagement) entwickelt».

Die Haftung wird eine grosse Bedeutung erlangen und deren Versicherungsschutz bedeutender sein als die Direktschäden. Es darf nicht vergessen werden, dass wenn ein Ereignis geschieht und ein Hacker Daten stiehlt, der Geschädigte sich bei jener Person schadlos halten wird, die er kennt. Dabei handelt es sich um seinen Partner, der nicht auf die Daten aufgepasst hat. Die Bestimmungen des DSG unterstützen den Geschädigten dabei. Die bestehenden Haftpflichtversicherungen schliessen diese Forderungen mehr und mehr generell aus, weshalb die Cyber-Haftpflicht-Versicherung nötig ist.

Was ändert sich, was bleibt?

Profiling: Die Definition des Profiling wird an das europäische Recht angepasst und ersetzt den bisherigen Begriff «Persönlichkeitsprofil». Damit gemeint ist jegliche Art der automatisierten Bearbeitung von Personendaten, in welchen bestimmte persönliche Aspekte bewertet werden. Das speziell erwähnte «Profiling mit hohem Risiko» birgt Gefahren für Intimsphäre und Grundrechte betroffener Personen. Ihre Bearbeitung erfordert strengere Voraussetzung.

Kein Schutz für juristische Personen: Nach dem neuen DSG sind künftig nur noch die Daten natürlicher Personen, nicht mehr die Daten juristischer Personen wie jene einer AG, GmbH oder von Vereinen geschützt. Diese müssen durch das Firmenrecht sowie den Persönlichkeitsschutz nach ZGB abgedeckt werden

Neudefinition Verantwortlicher und Auftragsbearbeiter: Bisher war vom Inhaber einer Datensammlung die Rede, neu wird von Verantwortlichen und Auftragsbearbeitern gesprochen. Die Verantwortlichen sind private Personen sowie Vertreter der Bundesorgane, die allein oder zusammen mit Dritten über den Zweck und die Mittel der Bearbeitung entscheiden. Die Auftragsbearbeiter hingegen sind private Personen oder Behörden, welche im Auftrag des Verantwortlichen Personendaten bearbeiten.

Führung von Datenbearbeitungs-Inventar und Vornahme von DSFA: Neu besteht die gesetzliche Pflicht, Datenbearbeitungs-Inventare zu führen, eine Meldepflicht von Datenverlusten und anderen Sicherheitsverstössen sowie die Vornahme von Datenschutz-Folgenabschätzungen DSFA bei heiklen Datenbearbeitungen. Bereits eine falsch versandte E-Mail kann nun neu dazu führen, dass dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten EDÖB in Bern Meldung gemacht werden muss. Wer sich bereits auf die DSGVO ausgerichtet hat, ist hier klar im Vorteil und kann viel Bestehendes relativ einfach übernehmen.

Ernennung eines Datenschutzbeauftragten: Ebenfalls neu ist, dass Unternehmen eine*n Datenschutzbeauftragte*n ernennen können. Dies ist jedoch keine verbindliche Pflicht. Ausländische Unternehmen mit wesentlichen Aktivitäten in der Schweiz werden eine Schweizer Vertretung bestimmen müssen.

Erweiterung der Liste besonders schützenswerter Daten: Die verbindlichen Auflagen wurden um sämtliche biometrische und genetische Daten erweitert. Neu gelten strengere Anforderungen zur Bearbeitung von besonders schützenswerten Informationen. Die allenfalls vorgesehene Bearbeitung bedarf gegebenenfalls, gemäss einer stark erweiterten Liste, der ausdrücklichen Bewilligung.

Eingeschränktes Auskunftsrecht: Mit dem Ausbau der Bürgerrechte wird die Herausgabe der über sie von einem Unternehmen bearbeiteten und gesammelten Personendaten an die Betroffenen wesentlich einfacher. Neu ist das von der DSGVO kopierte Recht auf Datenportabilität, womit Konsument*innen erlaubt werden soll, ihre bei Online- und anderen Anbietern gespeicherten Daten zu erhalten und sie bei Bedarf sogar vollumfänglich der Konkurrenz zu übertragen.

Datenschutzerklärung wird Pflicht: Die Informationspflicht gegenüber betroffenen Personen wurde im neuen DSG deutlich ausgebaut. Unternehmen müssen über eine Datenschutzerklärung verfügen, welche auf der eigenen Website mit Links auf Formular oder in Verträgen zu finden ist. Es besteht die Pflicht zur Angabe der Länder, in welchen Daten bearbeitet werden sowie die Angabe der gesetzlichen Bestimmungen, auf die sich das Unternehmen dabei stützt. Spätestens mit Inkraftsetzung des neuen DSG müssen Unternehmen eine rechtssichere Datenschutzerklärung für ihre Websites und Online Shops erarbeiten. Ohne diese werden sie gebüsst.

Bussen sollen Ausnahme bleiben: Der EDÖB selbst kann neu Verfügungen aussprechen, aber weiterhin keine Bussen verteilen. Diese Kompetenz liegt bei den Kantonen, deren Bussenkatalog aber deutlich verschärft wurde. Neben der Verletzung der Informationspflicht, der Auskunftspflicht und der Pflicht zur Kooperation mit dem EDÖB können neu auch die Verletzung der Bestimmung zum Datenexport, eine nicht konforme Beauftragung von Auftragsbearbeitern und bestimmte Verletzungen der Massnahmen zur Datensicherheit gebüsst werden.

Die Busse ist jedoch nur bei vorsätzlichem Handeln von den fehlbaren Entscheidungsträgern zu bezahlen und deren Höhe wurde zudem gesenkt. Sie beträgt maximal 250 000 Franken. Es reicht der Eventualvorsatz, weshalb die Strafbarkeit bereits gegeben ist, wenn eine tatsächlich eingetretene Verletzung in Kauf genommen wurde. Eine ungeschickte Struktur der Datenbank oder die Vernachlässigung eines Updates des Virenscanners genügt, um mit CHF 250’00 gebüsst zu werden. Im konkreten Fall bedeutet dies, dass der Bearbeiter des Brokers verantwortlich sein wird, weil ein Hacker die Gesundheitsdaten in einem Schadensfall abrufen konnte und damit Unfug machte. Die Bussen werden ad personam verfügt und können nicht versichert werden. Ausnahme bildet zum Beispiel Lloyd’s, sie versichert solche Bussen. Ebenfalls beschlossen und ebenfalls mit bis zu einer Viertelmillion Franken belegt, wurde ein allgemeines «kleines» Berufsgeheimnis für alle Berufe sowie eine Strafnorm gegen Identitätsklau.

Was müssen Unternehmen jetzt am dringendsten erledigen?

Am wichtigsten ist es die Datenschutzerklärung umgehend auf die neuen Vorgaben hin zu überprüfen, anzupassen oder gegebenenfalls neu zu erstellen. Viel Mühe kosten wird die interne Prüfung, ob alle Fälle abgedeckt sind, über die das Unternehmen Personendaten beschafft, kosten. Erst anhand dieser Angaben kann das neu vorgeschriebene Verzeichnis der Datenbearbeitung erstellt werden. Besteht ein solches bereits für die DSGVO, darf es dank der gesetzlich geschaffenen EU-Anpassung weitgehend übernommen werden.

Zu prüfen und anzupassen sind alle Verträge. Auch hier gilt: Wenn diese Arbeiten bereits für die DSGVO gemacht wurden, gibt es nicht viel hinzuzufügen.

Alle Auslandstransfers aber sind zu identifizieren, auf Vorgaben des DSG hin zu prüfen und, wo nötig, anzupassen. Da ein Verstoss neu bestraft werden kann, wird es sich lohnen, lohnt es sich, besonders genau hinzuschauen.

Die interne Zuständigkeit für den Datenschutz muss neu geregelt werden, zum Beispiel mit der Einführung einer oder eines versierten Datenschutzbeauftragten. Dazu gehört ein umfassender Prozess zur Erfassung, Meldung und Bearbeitung von Verletzungen der Datensicherheit. Dazu zählen ausdrücklich auch unbeabsichtigte Datenverluste und Fehlversendungen von Personendaten.

Wer den eigenen Betrieb bereits auf die Anforderungen der DSGVO umgestellt hat ist deutlich im Vorteil, wird er nur wenig zusätzlichen Aufwand betreiben müssen. Für alle wichtig sind die Abweichungen im neuen DSG bei der Informationspflicht, der Meldepflicht für Verletzungen der Datensicherheit sowie bei der Wahl einer oder eines kompetenten Datenschutzverantwortlichen.

Binci Heeb