21.01.2016
AssekuranzAgenda Nr. 45

Einigung bei EU-Datenschutz-Grundverordnung

Nach knapp vierjähriger Beratungszeit konnten sich die Vertreter von Europäischer Kommission, Europäischem Parlament und Rat der EU am 15.12.2015 auf einen finalen Text der EU-Datenschutz-Grundverordnung einigen. Sie soll die Datenschutz-Richtlinie von 1995 ablösen. Nach Inkrafttreten der Verordnung im Frühjahr 2016 haben Unternehmen und andere Rechtsanwender zwei Jahre Zeit, um ihre Datenverarbeitungsprozesse an die neuen Regeln anzupassen.

Der richtige und begrüßenswerte Ansatz der europäischen Gesetzgeber war es, durch die Wahl einer in den Mitgliedstaaten direkt geltenden Verordnung für einen einheitlichen Datenschutzstandard zu sorgen. Für europaweit tätige Unternehmen bedeutet dies: ein Datenschutzrecht statt 28 verschiedener.

Der große Zeitdruck, unter dem die Schlussphase der Verhandlungen stand, hat jedoch dazu geführt, dass bei vielen umstrittenen Punkten keine gemeinsame Regelung gefunden werden konnte. Durch die Einführung von nationalen Öffnungsklauseln hat man die entsprechenden Regelungsmöglichkeiten letztlich doch wieder an die Mitgliedstaaten zurückgegeben. Damit droht zumindest bei diesen Punkten wieder eine Rechtszersplitterung innerhalb Europas. So enthält die Verordnung zwar eine Vorschrift für die statistische Verarbeitung von Gesundheitsdaten, überlässt die Ausfüllung aber den einzelnen Mitgliedstaaten.

Der Artikel erschien in der aktuellen Ausgabe der AssekuranzAgenda (Heft 45 / November – Dezember 2015), dem Magazin des GDV mit Meldungen aus der EU-Versicherungspolitik.

Weitere Meldungen der aktuellen Ausgabe:

  • Solvency II – Start
  • IASB: Standardentwurf zu IFRS9
  • Wertpapierfinanzierung
  • EU-Finanzmarktregulierung I
  • EU-Finanzmarktregulierung II
  • Binnenmarkt-Strategie
  • EIOPA: Leitlinien zu POG
  • EIOPA zu Verbrauchertrends
  • EIOPA: PEPP-Konsultation
  • Verjährung von Verkehrsunfällen

 
Download (PDF)

Verkannt wurde von den Verhandlungspartnern auch das Potential innovativer Neuregelungen. Bei vielen kritischen Punkten ist man auf das Regelungsniveau der bestehenden Datenschutz-Richtlinie zurückgekehrt. Antworten auf die schon jetzt drängenden Fragen der Digitalisierung sucht man hier vergeblich. So bleibt etwa auch unter der Datenschutz-Grundverordnung die Einwilligung des Betroffenen das zentrale Element, mit der dieser die Verarbeitung seiner personenbezogenen Daten steuert.

Zumindest im Hinblick auf die zunehmende Digitalisierung stellt es einen Fortschritt dar, dass die Einwilligung künftig auch elektronisch, z. B. durch aktives Anklicken auf einer Webseite, erteilt werden kann. Leider wurden andere sinnvolle Verbesserungen verpasst: etwa eine Erlaubnis der notwendigen Verarbeitung von Gesundheitsdaten im Rahmen von Versicherungsverträgen oder auch eine Regelung für Datenübertragungen bei der heute üblichen Aufgabenteilung im Konzern.

Zu begrüßen ist, dass auch zukünftig Daten im berechtigten Interesse verarbeitet werden können. Damit ist die Betrugsbekämpfung auch weiterhin möglich. Durch die ausgeweiteten Informationspflichten, die die Unternehmen zukünftig zu erfüllen haben und das neue Recht des Betroffenen auf Datenübertragbarkeit, sind allerdings ein erhöhter bürokratischer Aufwand und damit höhere Kosten für die Unternehmen zu erwarten.

Neben diesen Neuerungen werden zahlreiche Auslegungsfragen sowie die nationale Umsetzung der Öffnungsklauseln die Datenverarbeitungsprozesse der Versicherungswirtschaft in den nächsten Jahren erheblich beeinflussen. Die deutsche Versicherungswirtschaft ruft die zuständigen nationalen und europäischen Stellen dazu auf, die neuen Regeln im Angesicht der zunehmenden Digitalisierung innovationsfördernd umzusetzen, aber gleichzeitig auch so anzuwenden, dass konventionelle und etablierte Datenverarbeitungsprozesse weiterhin möglich bleiben.