Online-Beratungen und Video-Calls liegen auch in der Versicherungsvermittlung nicht nur im Trend, sie werden sicher auch in einer Nach-Pandemiezeit zentrale Bedeutung haben. Für die Durchführung diese Videokonferenzen gibt es eine Vielzahl von Angeboten, die häufig mehr oder weniger selbstverständlich genutzt werden. Aber von bestimmten Angeboten geht eine hohe datenschutzrechtliche Gefahr aus.

Anzeige

Andreas Sutter

Andreas Sutter

...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.

Bei der Nutzung von Video-Konferenz-Software werden vom Dienstleister eine große Zahl von personenbezogenen Daten verarbeitet. Befindet sich der Anbieter zum Beispiel in den USA, dann werden Daten dorthin übermittelt. Wegen des sog. Cloud-Acts können US-Behörden auch auf diese Daten zugreifen, wenn der Server innerhalb der EU steht. Kurzum: bei einem US-amerikanischen Anbieter findet regelmäßig eine Datenübermittlung in die USA statt.

Schrems II

Der durch die DSGVO sichergestellte sehr hohe Datenschutzstandard in der EU sieht vor, dass Daten nur unter sehr strengen Vorgaben die Grenzen der EU verlassen dürfen. Ein sicherer Weg für die Übermittlung in ein Drittland, also ein Land außerhalb des Geltungsbereichs der DSGVO, ist ein sogenannter Angemessenheitsbeschluss (Art. 45 DSGVO). Auf dieser Basis war der Datentransfer in die USA bisher erlaubt. Die zugrundeliegende Vereinbarung, der sog. privacy shield, wurde nun aber im Juli 2020 vom EuGH für ungültig erklärt (Rechtssache C-311/18 - „Schrems II“). Jede Datenübermittlung in die USA, die sich darauf stützt, ist seitdem verboten. Eine Schonzeit gibt es nicht, auch wenn die Behörden hier aktuell eher abwartend agieren. Mögliche Schadenersatzansprüche der Betroffenen können aber bereits jetzt entstehen.

Standardvertragsklauseln

Alternativ kann die Drittlandübermittlung auf der Basis sogenannter Standardvertragsklauseln (Art. 46 Abs. 2 lt. c DSGVO) erfolgen. Diese können nach dem Urteil des EuGH aber auch nicht ungeprüft verwendet werden. Die Landesdatenschutzbehörde Baden-Württemberg (LfDI-BW) führt dazu in seiner Orientierungshilfe aus:
„Die Standardvertragsklauseln können allerdings die Behörden des Drittlandes nicht binden und stellen daher in den Fällen, in denen die Behörden nach dem Recht des Drittlandes befugt, sind in die Rechte der betroffenen Personen einzugreifen ohne zusätzliche Maßnahmen der Vertragspartner keinen angemessenen Schutz dar. Der Verantwortliche muss für den Einzelfall prüfen, ob das Recht des Drittlandes ein angemessenes Schutzniveau bietet und entsprechende zusätzliche Maßnahmen treffen bzw. mit dem Datenimporteur vereinbaren“.

Schutzmaßnahmen oder ergänzende Vereinbarungen sind gerade bei Videokonferenz-Software aus den USA praktisch nicht durchsetzbar. Als erster Anbieter hat Micrsosoft kürzlich Ergänzungen zu diesen Klauseln beschlossen, die von den Behörden zwar wohlwollend aufgenommen wurden, aber wohl im Moment die Problematik nicht vollständig lösen. Andere Anbieter werden hier folgen. Die Unsicherheit wird wohl erst dann beendet sein, wenn es zu einem neuen Abkommen zwischen den USA und er EU kommen wird, in dem die USA auf die Überwachung der EZ-Bürger verzichtet. Das ist allerdings augenblicklich unwahrscheinlich.

Dokumentation der Einwilligung im digitalen Prozess

Die Datenübermittlung in ein datenschutzrechtlich unsicheres Drittland wie die USA kann auch auf der Basis einer ausdrücklichen Einwilligung erfolgen (Art. 49 Abs. 1 . An diese sind aber besonders hohe Anforderungen gesetzt. So müssen die Betroffenen ausführlich über die Risiken aufgeklärt werden. Die Einwilligung muss sauber dokumentiert sein und darf natürlich nicht durch vorangekreuzte Auswahlfelder erfolgen. Sie kann jederzeit widerrufen werden, was den Verantwortlichen vor große Probleme hinsichtlich der anschließenden Löschung stellt. Die Einwilligung muss freiwillig erfolgen, was in vielen Situationen fraglich erscheint. Das gilt vor allem dann, wenn keine alternativen Beratungs- und Kommunikationsmöglichkeiten angeboten werden. Somit ist die Einwilligung nicht der erhoffte Königsweg.

Anzeige

Alternativen

Wer sich all diesen Datenschutzrisiken gar nicht erst aussetzen und auf der sicheren Seite bleiben will, dem bleibt nur eins: auf außereuropäische Anbieter verzichten. Gute und funktionelle Software stammt nicht nur aus Übersee. So hält zum Beispiel die Firma Bridge ITS speziell für Versicherungsvermittler und Finanzdienstleister ein Videoberatungstool bereit, dass sich zunehmender Beliebtheit erfreut und dem Stand der Technik entspricht. Hiermit lassen sich die oben beschrieben Gefahren vermeiden.