Das Bundesdatenschutzgesetz (BDSG) sieht im § 38a BDSG für Vereinigungen/Verbände vor, geeignete Verhaltensregelungen zur Förderung des Datenschutzes zu treffen.
Auf dieser Grundlage gründet der Code-of-Conduct-Datenschutz.
§ 38a Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen
(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten.
(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.“[1]
Hiermit wird es ermöglicht, einheitliche Vorgaben zu definieren. Transparenz und Verbindlichkeit werden gefördert.
Gültigkeit
Der Code-of-Conduct-Datenschutz ist „dem Berliner Beauftragten für Datenschutz und Informationsfreiheit als für den GDV zuständige Aufsichtsbehörde nach § 38 a Bundesdatenschutzgesetz unterbreitet und von ihm als mit dem geltenden Datenschutzrecht vereinbar erklärt worden.“[2] Auszug aus dem Code-of-Conduct-Datenschutz des GDV in der Version Stand: 7. September 2012. Die Feststellung der Vereinbarung mit dem Datenschutzrecht durch den Berliner Beauftragten für Datenschutz und Informationssicherheit als Aufsichtsbehörde ist bundesweit gültig.
Beigetretene Unternehmen
Auf der Internetpräsenz des GDV ist die aktuelle Liste mit den dem Code-of-Conduct-Datenschutz beigetretenen Unternehmen zugänglich.[3]
Der GDV gab am 30. Juni 2015 bekannt, dass fast 90 % der angeschlossenen Unternehmen dem Verhaltenskodex beigetreten sind.
Selbstverpflichtung
Der Code-of-Conduct-Datenschutz stellt eine Selbstverpflichtung dar, in der sich die angeschlossenen Unternehmen zur Einhaltung des beschriebenen Verhaltenskodex verpflichten. Den Versicherungsunternehmen steht es frei, sich dem Verhaltenskodex anzuschließen.
Kontrolle
Die Einhaltung des Verhaltenskodex wird gemäß Code-of-Conduct-Datenschutz durch eine Selbsterklärung des betreffenden Unternehmens bestätigt. Die Konformität der Einhaltung muss nicht durch ein unabhängiges Audit bestätigt werden. Es steht den beigetretenen Unternehmen jedoch frei, interne als auch externe Audits durchzuführen.
Schwachstellen
Am Markt wurde die Selbstverpflichtung mit der derzeit implementierten Kontrolle auf Einhaltung als eine Schwachstelle bzgl. der Glaubwürdigkeit des CoC-Datenschutzes erkannt.
Die canacoon GmbH sieht dies als die Achillesferse des Verhaltenskodex an und beschreibt dies als:
„Der Beitritt zum CoC-Datenschutz ist freiwillig. Die Bestätigung der Einhaltung durch das beigetretene Versicherungsunternehmen erfolgt nach Annahmen einiger Versicherungen durch eine dementsprechende Eigenbestätigung des Versicherungsunternehmens an den GDV. Eine qualifizierte Überprüfung der Einhaltung des Datenschutzes ist durch den Beitritt alleine noch nicht zwingend gegeben. Es kommt also derzeitig noch auf die Nachhaltigkeit der handelnden Akteure an.“[4]
Der CoC-Datenschutz-Prozess
Für die Wirksamkeit des CoC-Datenschutzes ist es wichtig, diesen nicht als eine einmalige Aktion, sondern als einen kontinuierlichen Prozess zu verstehen.
Es empfiehlt sich, den CoC-Datenschutz-Prozess als CoC-Lifecycle zu implementieren, hierdurch kann die stetige Wirksamkeit und Weiterentwicklung gewährleistet werden.
Der CoC-Lifecycle gliedert sich in Phasen:
die Analysephase
die Planungsphase
die Umsetzungsphase
die Effizienz- und Nachhaltigkeitsprüfungsphase
die Korrekturphase
Umsetzung
Die Umsetzung zur Einhaltung des Verhaltenskodex stellt für die Unternehmen eine Herausforderung dar. Es stehen verschiedene Ansätze zur Umsetzung zur Verfügung.
Teilweise werden die Auswirkungen des Beitritts zum Code of Conduct stark unterschätzt. Die Herausforderungen an Prozesse und IT-Systeme sind größer als von vielen Unternehmen der Versicherungsbranche zunächst angenommen. Zur Umsetzung sind die im Unternehmen vorhandenen Prozesse und Verfahren mit einzubeziehen, was durchaus zu weiteren Aufwänden führen kann.[5]
Um eine größere Vertrauensbasis zu erzielen, kann man die Selbstverpflichtung mittels unabhängiger externer Audits untermauern.