Datenschutz: ein Jahr GDPR und mehr

Das Thema Datenschutz bleibt weiterhin ein zentrales Thema für die Versicherungswirtschaft. Wir veröffentlichen monatlich einen Überblick über aktuelle datenschutzrechtliche Entwicklungen, Trends und wichtige Rechtsprechung im internationalen Kontext. Hier können Sie sich umfassend über alle wichtigen Datenschutzthemen informieren. Die aktuelle Ausgabe vom 17.05.2019 finden Sie hier1

Anlässlich des Data Protection Day 2019 zum ersten Geburtstag der GDPR hat die Europäische Kommission eine Infografik2 veröffentlicht, die einige interessante Statistiken über die GDPR seit ihrem Inkrafttreten im vergangenen Jahr enthält, unter anderem:

– Die häufigsten Arten von Beschwerden, die den Datenschutzbehörden gemeldet werden, sind Telefonmarketing, E-Mail-Marketing und Videoüberwachung;

– Untersuchungen werden von den Datenschutzaufsichtsbehörden in der Regel aufgrund einer Beschwerde eingeleitet;

– Die Gesamtzahl der Beschwerden an die Aufsichtsbehörden ist mehr als doppelt so hoch als die Zahl der Meldungen über Datenschutzverletzungen;

– 5 EU-Mitgliedstaaten haben noch kein nationales Gesetz erlassen, das die zulässigen Ausnahmen der GDPR festlegt

BaFin: Neue Vereinbarung mit britischer Aufsichtsbehörde zur Zusammenarbeit nach dem Brexit

Am 15.04.2019 hat die BaFin mit der britischen Aufsichtsbehörde Prudential Regulatory Authority eine Vereinbarung zur Zusammenarbeit nach dem Brexit abgeschlossen. Diese Vereinbarung ergänzt ein bereits bestehendes multilaterales Memorandum of Understanding der nationalen Versicherungsaufsichtsbehörden der verbleibenden 27 EUMitgliedstaaten und der EIOPA (Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) mit den Aufsichtsbehörden des Vereinigten Königreichs.

Die neue Vereinbarung legt für eine bestimmte Zeit nach dem Brexit die Fortführung der geteilten Finanzaufsicht und Rechtsaufsicht über Unternehmen fest, die im Aufnahmestaat kein neues Geschäft mehr schreiben. Im Rahmen der Vereinbarung wird die bisherige Aufteilung für einen Übergangszeitraum von 21 Monaten nach dem Brexit beibehalten. Die Bearbeitung von Beschwerden wird wie bisher durch die BaFin durchgeführt. Diese wird also weiterhin Beschwerden über Unternehmen bearbeiten, die ihren Sitz im Vereinigten Königreich haben und bestehende Verträge in Deutschland halten. Im Fall von Beschwerden über deutsche Unternehmen, die einen Vertrag im Vereinigten Königreich abgeschlossen haben, wird die BaFin ebenso weiterhin im Rahmen ihrer rechtlichen Möglichkeiten tätig.

Europäisches Gesetz für Cybersicherheit

Am 17.04.2019 verabschiedete die Europäische Union die Verordnung des Europäischen Parlaments und des Rates über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik und zur Aufhebung der Verordnung (EU) Nr. 526/20133 , den „Rechtsakt zur Cybersicherheit“.  

Diese Verordnung legt einen europäischen Rahmen für die Cybersicherheitszertifizierung von Produkten, Prozessen und Dienstleistungen fest. Die ENISA ist mit der Entwicklung eines solchen Rahmens für europäische Cybersicherheitszertifikate innerhalb der nächsten zwölf Monate beauftragt. Zunächst sollen die europäischen Zertifizierungssysteme für Cybersicherheit freiwillig sein. Die Europäische Kommission muss bis 2023 bestimmen, welche europäischen Zertifikate dann zukünftig verbindlich sein sollen. Nationale Zertifikate behalten ihre Gültigkeit bis es eine Entsprechung auf Europäischer Ebene gibt. Mit Inkrafttreten der europäischen Zertifizierung durchlaufen Hersteller, Verkäufer und Dienstleister künftig einen einheitlichen Prozess, um ein europäisches Zertifikat mit Gültigkeit in allen Mitgliedstaaten zu erhalten. Eine Beantragung von Zertifikaten in mehreren Mitgliedsstaaten würde damit künftig entfallen.

Durch die künftig vorgesehen Kategorisierung der Sicherheitsstufen “basic”, “substantial” und “high” soll das Vertrauen von EU-Bürgern und Unternehmen in europäische Cybersicherheitsstandards gestärkt werden. Darüber hinaus ist die Kommission der Ansicht, dass dies europäischen Unternehmen wegen der steigenden Nachfrage nach sicheren Lösungen weltweit einen Wettbewerbsvorteil verschaffen könnte.

Die Regelungen der Verordnung und der entsprechende Europäische Rahmen für Cybersicherheit soll künftig auch sicherstellen, dass Cybersicherheitsmaßnahmen bereits im Stadium der Produktentwicklung berücksichtigt werden (Security by Design).