CoC-Datenschutz
Der CoC-Datenschutz (Code-of-Conduct-Datenschutz) ist ein Verhaltenskodex des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) zum einheitlichen und transparenten Umgang mit personenbezogenen Daten von Versicherten, Interessenten und Betroffenen.
Rechtsgrundlage
Das Bundesdatenschutzgesetz (BDSG) sieht im § 38a BDSG für Vereinigungen/Verbände vor, geeignete Verhaltensregelungen zur Förderung des Datenschutzes zu treffen. Auf dieser Grundlage gründet der Code-of-Conduct-Datenschutz.
Der Text des Paragraphen lautet:
„Bundesdatenschutzgesetz (BDSG)
§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten.
(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.“[1]
Hiermit wird es ermöglicht, einheitliche Vorgaben zu definieren. Transparenz und Verbindlichkeit werden gefördert.
Gültigkeit
Der Code-of-Conduct-Datenschutz ist „dem Berliner Beauftragten für Datenschutz und Informationsfreiheit als für den GDV zuständige Aufsichtsbehörde nach § 38 a Bundesdatenschutzgesetz unterbreitet und von ihm als mit dem geltenden Datenschutzrecht vereinbar erklärt worden.“[2] Auszug aus dem Code-of-Conduct-Datenschutz des GDV in der Version Stand: 7. September 2012. Die Feststellung der Vereinbarung mit dem Datenschutzrecht durch den Berliner Beauftragten für Datenschutz und Informationssicherheit als Aufsichtsbehörde ist bundesweit gültig.
Beigetretene Unternehmen
Auf der Internetpräsenz des GDV ist die aktuelle Liste mit den dem Code-of-Conduct-Datenschutz beigetretenen Unternehmen zugänglich.[3] Der GDV gab am 30. Juni 2015 bekannt, dass fast 90 % der angeschlossenen Unternehmen dem Verhaltenskodex beigetreten sind.
Selbstverpflichtung
Der Code-of-Conduct-Datenschutz stellt eine Selbstverpflichtung dar, in der sich die angeschlossenen Unternehmen zur Einhaltung des beschriebenen Verhaltenskodex verpflichten. Den Versicherungsunternehmen steht es frei, sich dem Verhaltenskodex anzuschließen.
Kontrolle
Die Einhaltung des Verhaltenskodex wird gemäß Code-of-Conduct-Datenschutz durch eine Selbsterklärung des betreffenden Unternehmens bestätigt. Die Konformität der Einhaltung muss nicht durch ein unabhängiges Audit bestätigt werden. Es steht den beigetretenen Unternehmen jedoch frei, interne als auch externe Audits durchzuführen.
Schwachstellen
Am Markt wurde die Selbstverpflichtung mit der derzeit implementierten Kontrolle auf Einhaltung als eine Schwachstelle bzgl. der Glaubwürdigkeit des CoC-Datenschutzes erkannt. Die canacoon GmbH sieht dies als die Achillesferse des Verhaltenskodex an und beschreibt dies als:
„Der Beitritt zum CoC-Datenschutz ist freiwillig. Die Bestätigung der Einhaltung durch das beigetretene Versicherungsunternehmen erfolgt nach Annahmen einiger Versicherungen durch eine dementsprechende Eigenbestätigung des Versicherungsunternehmens an den GDV. Eine qualifizierte Überprüfung der Einhaltung des Datenschutzes ist durch den Beitritt alleine noch nicht zwingend gegeben. Es kommt also derzeitig noch auf die Nachhaltigkeit der handelnden Akteure an.“[4]
Der CoC-Datenschutz-Prozess
Für die Wirksamkeit des CoC-Datenschutzes ist es wichtig, diesen nicht als eine einmalige Aktion, sondern als einen kontinuierlichen Prozess zu verstehen.
Es empfiehlt sich, den CoC-Datenschutz-Prozess als CoC-Lifecycle zu implementieren, hierdurch kann die stetige Wirksamkeit und Weiterentwicklung gewährleistet werden.
Der CoC-Lifecycle gliedert sich in Phasen:
- die Analysephase
- die Planungsphase
- die Umsetzungsphase
- die Effizienz- und Nachhaltigkeitsprüfungsphase
- die Korrekturphase
Umsetzung
Die Umsetzung zur Einhaltung des Verhaltenskodex stellt für die Unternehmen eine Herausforderung dar. Es stehen verschiedene Ansätze zur Umsetzung zur Verfügung. Teilweise werden die Auswirkungen des Beitritts zum Code of Conduct stark unterschätzt. Die Herausforderungen an Prozesse und IT-Systeme sind größer als von vielen Unternehmen der Versicherungsbranche zunächst angenommen. Zur Umsetzung sind die im Unternehmen vorhandenen Prozesse und Verfahren mit einzubeziehen, was durchaus zu weiteren Aufwänden führen kann.[5]
Um eine größere Vertrauensbasis zu erzielen kann man die Selbstverpflichtung mittels unabhängiger externer Audits untermauern.
Weblinks
- Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft. (PDF; 359 kB) 11. Apr. 2018.
- Fast 90 % der GDV-Mitgliedsunternehmen sind dem Verhaltenskodex beigetreten
- § 38a BDSG
Einzelnachweise
- ↑ § 38a BDSG a.F.
- ↑ gdv.de Siehe PDF "Verhaltensregeln für den Umgang mit personenbezogenen Daten" auf Website des GDV. Abgerufen am 15. Februar 2017
- ↑ gdv.de Website des GDV. Abgerufen am 15. Februar 2017
- ↑ canacoon.com Website der canacoon GmbH; abgerufen am 7. Juli 2015.
- ↑ canacoon.com Website der canacoon GmbH code-of-conduct-datenschutz; abgerufen am 7. Juli 2015.