Für Versicherungsunternehmen ist die Verarbeitung personenbezogener Daten das Kerngeschäft. Dabei haben Versicherungsunternehmen sowohl ein erhebliches Interesse an der langfristigen Nutzung dieser Daten als auch mit Blick auf die bestehende und künftige Regulatorik das Interesse, diese Daten datenschutzkonform, kostengünstig und effektiv, z.B. während gesetzlicher Aufbewahrungsfristen sicher aufzubewahren. Beide Ziele kann die Pseudonymisierung und Anonymisierung personenbezogener Daten erreichen.
Verfremdete Daten werden in der Praxis für das Training von künstlicher Intelligenz bzw. sonstiger Algorithmen sowie für Hard- und Softwaretests, Datenanalysen und zur Weitergabe an Dritte genutzt.
Besonders die Anonymisierung personenbezogener Daten gewinnt mit Gesetzen wie der KI-Verordnung, der EHDS-VO, des Gesundheitsdatennutzungsgesetzes und der mannigfaltigen EU-Daten- und Digitalgesetze (z.B. Data Act, Digital Services Act, DORA) an Bedeutung.
Hinzu kommt eine in immer kürzer werdenden Abständen ergehende Rechtsprechung des Europäischen Gerichtshofes zum Personenbezug. Bei der Verfremdung personenbezogener Daten handelt es sich in der Umsetzung und Beratung um ein teils komplexes Feld.
Das Seminar gibt den Teilnehmenden einen einfachen Einstieg und umfassenden Überblick in die Thematik. Veranschaulicht werden die Inhalte durch viele Praxishinweise besonders für beratende Abteilungen und Bereiche, die für die Umsetzung der Anforderungen beauftragt sind.
Teil 1: Datenschutzrechtliche Vorgaben sowie Rechtsprechung und Regulatorik
- Der Personenbezug in der DSGVO
- Vorgaben zur Pseudonymisierung und Anonymisierung personenbezogener Daten in der DSGVO
- Code of Conduct: Vorgaben zur Pseudonymisierung und Anonymisierung personenbezogener Daten in den "Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft"
- Vorgaben zur Pseudonymisierung und Anonymisierung personenbezogener Daten in weiteren ausgewählten Spezialgesetzen
- Rechtliche Vorteile der Pseudonymisierung und Anonymisierung
- Rechtliche und reale Unterscheidung zwischen Pseudonymisierung und Anonymisierung
- Überblick über die Stellungnahmen der Aufsichtsbehörden und des Europäischen Datenschutzausschusses
- Einschlägige Rechtsprechung des Europäischen Gerichtshofes aufbereitet und zusammengefasst
Teil 2: Umsetzung der Pseudonymisierung und Anonymisierung personenbezogener Daten
- Datenschutzrechtliche Vorgaben einschließlich Datenschutzfolgeabschätzung und Betroffenenrechte
- Aspekte bei der Beteiligung Dritter
- Vertragsgestaltung im Zusammenhang mit der Anonymisierung und Pseudonymisierung
- Einsatzklassen und Use-Cases
- Entwicklung eines Angreifermodells und Ermittlung von Angriffsvektoren
- Umgang mit Quasi-Identifikatoren
- Umsetzung einer risikobasierten Prüfung und Beratung mit Checkliste/Fragenkatalog
- Überblick über die Rechtsprechung zum Schadensersatz bei Datenschutzverstößen
- Pseudonymisierungsverfahren und Grundlagenverständnis zur Verschlüsselung
- Anonymisierungsverfahren und Grundlagenverständnis für ausgewählte Verfahren mit Fokus auf statistische Auswertungen
- Monitoring der eingesetzten Verfahren
Teil 3: „In a nutshell“ – Praxistipps aus der Berater:innen-Perspektive und aus der Fachbereichs-Perspektive
Zielgruppe
Das Seminar richtet sich an Datenschutzbeauftragte, Datenschutz-Mitarbeitende (z.B. Datenschutzkoordinator:innen, Inhouse-Berater:innen, Datenschutzspezialist:innen), Mitarbeitende aus dem Bereich Informationssicherheit, Recht und Personal sowie Mitarbeitende mit Tätigkeitsschwerpunkten in den Bereichen Datenanalyse/Data Science/Data Governance.
Das Seminar ist sowohl für Einsteiger:innen die bisher nur wenige Berührungspunkte mit dem Datenschutzrecht hatten, als auch für Fortgeschrittene geeignet.
Durchführung
Das Seminar wird online durchgeführt. Die Teilnehmenden nehmen an ihrem PC teil und werden per E-Mail eingeladen. Sie benötigen eine stabile Internetverbindung, eine Webcam und ein Headset (hören/sprechen).
Dauer
1. Block ca. 90 Minuten, danach 15 Minuten Pause,
2. Block ca. 90 Minuten, danach 30 Minuten Pause,
3. Block ca. 60 Minuten, danach Ende
Unsere Datenschutzhinweise für Teilnehmer:innen finden Sie hier.
