Deutscher Bundestag – 17. Wahlperiode
135 ––
–– 135
Drucksache 17/13000
Verhaltensregeln für den Umgang mit personenbezogenen Daten (Code of Conduct)
Die Verhaltensregeln waren bei Redaktionsschluss noch
nicht veröffentlicht.
Parallel zu den Bemühungen um eine datenschutzgerechte Gestaltung der Einwilligungs- und Schweigepflichtentbindungserklärung (s. o.) wurden auch die Gespräche zwischen den Aufsichtsbehörden und dem GDV
über Verhaltensregeln für den Umgang mit personenbezogenen Daten in der Versicherungswirtschaft fortgesetzt.
Über die Absicht, einen solchen so genannten Code of
Conduct zu erstellen, hatte ich bereits im 22. TB
(Nr. 3.4.7) berichtet.
10.5
Ausgangspunkt war die Überlegung, dass sich die neue
Einwilligungs- und Schweigepflichtentbindungserklärung auf die tatsächlich einwilligungsbedürftigen Datenerhebungs- und -verwendungsprozesse beschränken soll,
während in Verhaltensrichtlinien die weiteren, auf einer
gesetzlichen Grundlage beruhenden Datenverarbeitungen konkretisiert werden sollen.
Im September 2012 haben alle Datenschutzaufsichtsbehörden dem endgültigen Entwurf zugestimmt. Daraufhin
hat der GDV die Verhaltensregeln für den Umgang mit
personenbezogenen Daten durch die deutsche Versicherungswirtschaft nach § 38a Absatz 2 BDSG der zuständigen Aufsichtsbehörde zur Überprüfung der Vereinbarkeit
mit dem Datenschutzrecht vorgelegt. Mit Bescheid vom
2. November 2012 hat der zuständige Berliner Beauftragte für Datenschutz und Informationsfreiheit festgestellt, dass die Verhaltensregeln geeignet sind, die Durchführung der datenschutzrechtlichen Regelungen zu
fördern, und nicht im Widerspruch zum geltenden Datenschutzrecht stehen.
Der Code of Conduct der Versicherungswirtschaft ist eines der wenigen Beispiele für eine gelungene Umsetzung
des § 38a BDSG, der Wirtschaftsverbänden die Möglichkeit einräumt, den Datenschutzaufsichtsbehörden Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen zu unterbreiten (vgl. Nr. 3.4).
Die Verhaltensregeln enthalten insgesamt 31 Artikel, in
denen die wichtigsten Verarbeitungen personenbezogener
Daten im Zusammenhang mit der Begründung, Durchführung, Beendigung oder Akquise von Versicherungsverträgen erfasst werden, u. a. auch die Nutzung des
Hinweis- und Informationssystems HIS. Eine Evaluierungsklausel gewährleistet, dass bei jeder den Regelungsgehalt betreffenden Rechtsänderung, spätestens aber nach
fünf Jahren eine Überprüfung stattfindet.
Mit den Verhaltensregeln hat der GDV eine Vorreiterrolle
übernommen und einen wesentlichen Beitrag zur Entwicklung der datenschutzrechtlichen Selbstregulierung in
der Wirtschaft geleistet. Die dem GDV angeschlossenen
Versicherungsunternehmen sind nunmehr dazu aufgerufen, mit ihrem Beitritt zu den Verhaltensregelungen ein
hohes Datenschutzniveau in der Versicherungswirtschaft
zu gewährleisten.
Zusammenarbeit zwischen deutschen
und amerikanischen Abschlussprüferaufsichtsbehörden
Die deutsche Abschlussprüferaufsichtskommission (APAK)
und die amerikanische Aufsichtsbehörde für Wirtschaftsprüfer (PCAOB) unterzeichnen eine Absichtserklärung
zur Zusammenarbeit.
Seit 2005 übt die APAK weisungsfrei die öffentliche
Fachaufsicht über die Wirtschaftsprüferkammer und insoweit über alle Wirtschaftsprüfer und vereidigten Buchprüfer aus. Die amerikanische Aufsichtsbehörde für Wirtschaftsprüfer, der Public Company Accounting Oversight
Board (PCAOB), ist 2011 an mehrere europäische Länder
mit dem Ziel herangetreten, eine bilaterale Vereinbarung
abzuschließen, auf deren Grundlage Daten von europäischen Rechnungsprüferaufsichtsbehörden an den PCAOB
übermittelt werden sollen.
Auf europäischer Ebene enthält die Richtlinie 2006/43/EG
über Abschlussprüfungen Regelungen zur Zusammenarbeit mit zuständigen Stellen in Drittländern. Nach Artikel 47 der Richtlinie können die zuständigen Stellen der
Mitgliedstaaten im Falle von Kontrollen und Untersuchungen bei Abschlussprüfern die Weitergabe von Arbeitspapieren an die zuständigen Stellen in Drittländern
erlauben, sofern diese von der Europäischen Kommission
für angemessen erklärt wurden.
Mit Beschluss vom 1. September 2010 (2010/485/EG)
hat die Kommission eine bis zum 31. Juli 2013 befristete
Entscheidung über die Angemessenheit der zuständigen
Stellen in den USA getroffen und damit die erste Voraussetzung für den Informationsaustausch zwischen der
APAK und dem PCAOB geschaffen (sog. Adäquanzentscheidung).
Nach Artikel 2 Absatz 4 des Beschlusses müssen die Mitgliedstaaten zudem durch bilaterale Vereinbarungen sicher stellen, dass bei der Übermittlung von Arbeitspapieren und Dokumenten an die zuständigen Stellen in den
USA angemessene Maßnahmen zum Schutz der enthaltenen personenbezogenen Daten gewährleistet werden.
Die Artikel-29-Gruppe (vgl. Nr. 2.4.1) empfahl in einem
Schreiben an die Kommission, wie sich Rechnungsprüferaufsichtsbehörden bis zum Vorliegen einer endgültigen
einheitlichen europäischen Lösung verhalten sollen. Danach sollte ein „Memorandum of Understanding – MoU“
der Europäischen Rechnungsprüferaufsichtsbehörde
(EGAOB) als Interimslösung genutzt werden.
Der PCAOB hat diese Lösung nicht akzeptiert und bereits
im Laufe des Jahres 2011 mit einzelnen europäischen
Staaten (Vereinigtes Königreich, Niederlande) bilaterale
Vereinbarungen abgeschlossen. Er ist diesbezüglich auch
an die deutsche APAK herangetreten. Die APAK hat
mich über den Fortgang der Angelegenheit unterrichtet
und am 12. April 2012 eine Vereinbarung mit dem
BfDI 24. Tätigkeitsbericht 2011-2012