Von Eur Ing Mark Hawksworth, Leiter der Global Technology Specialist Practice Group und leitender MCL-Einsteller
Mit der Einführung neuer Datenschutzgesetze ergeben sich auch neue Herausforderungen.
Claim Farming liegt vor, wenn Parteien Forderungen zum finanziellen Vorteil gegen Ziele stellen, die sich des Datenmissbrauchs nicht bewusst sind, und ist im Vereinigten Königreich auf dem Vormarsch. Nach den Schwierigkeiten im Zusammenhang mit COVID-19 und der zunehmenden Zahl von Cyberangriffen sehen sich britische Unternehmen nun mit einem zusätzlichen Risiko des Claim Farming konfrontiert, indem sie sich auf die Verordnung 6 der Verordnung über den Schutz der Privatsphäre und die elektronische Kommunikation (EG-Richtlinie) von 2003(PECR) berufen. Bei den bisher bei uns eingegangenen Anträgen waren sich die Unternehmen ihrer Gefährdung nicht bewusst, was die Sensibilisierung und die Erstellung eines Plans für die Versicherungsnehmer so wichtig macht, um sich zu schützen.
Bedenken hinsichtlich der Einhaltung der Vorschriften
In manchen Fällen sind sich die Unternehmen nicht bewusst, dass sie für den Missbrauch personenbezogener Daten haften. Wenn eine Person ihre Webseite besucht und feststellt, dass Tracking-Cookies heruntergeladen wurden, kann sie eine Klage einreichen, dass die Webseite nicht den Vorschriften entspricht. Die Herausforderung besteht darin, festzustellen, ob die Person, die den Anspruch erhebt, die Webseite absichtlich zu ihrem eigenen finanziellen Vorteil aufgesucht hat.
Es werden massenhaft Klagen Dritter im Zusammenhang mit dauerhaften Tracking-Cookies erhoben, die ohne Zustimmung des Eigentümers auf persönlichen Geräten platziert werden. Das Argument ist, dass Tracking-Cookies einen Eingriff in die Privatsphäre darstellen, der gegen die DSGVO verstößt, und da keine Zustimmung zur Platzierung des Tracking-Cookies gegeben wurde, kann der Kläger eine finanzielle Entschädigung verlangen.
In der Korrespondenz der Serienantragsteller wird in der Regel Verordnung 2(1) der Verordnung 6 der Datenschutzverordnung für elektronische Kommunikation (EG-Richtlinie) von 2003 (PECR) zitiert, in der es heißt : "Die Einwilligung eines Nutzers oder Teilnehmers entspricht der Einwilligung der betroffenen Person in der Datenschutz-Grundverordnung". In Erwägungsgrund 32 der Datenschutz-Grundverordnung heißt es: "Die Einwilligung sollte durch eine eindeutige bestätigende Handlung gegeben werden, die eine frei gegebene, spezifische, informierte und unzweideutige Angabe der Zustimmung der betroffenen Person darstellt".
Das Verfahren für Versicherungsnehmer
Wird ein Verstoß gegen die oben genannten Richtlinien festgestellt, wird der Versicherungsnehmer über die Installation von Tracking-Cookies benachrichtigt und aufgefordert, einen Anspruch im Rahmen der von ihm abgeschlossenen Versicherung geltend zu machen. Der Anspruch wird an die Versicherer und dann an einen Sachbearbeiter weitergeleitet, der den Nachweis für die Installation und das Fortbestehen der Tracking-Cookies erhält, in der Regel in Form einer Videoaufnahme vom Gerät des Antragstellers.
Der Anspruch kann sich darauf beziehen:
- Behauptungen/Beweise
- die angebliche Webseite, die Tracking-Cookies installiert
- Nachweis der Persistenz der Tracking-Cookies
- die Art und Weise, wie die Tracking-Cookies eine eindeutige Kennung erstellen, die das Internetverhalten unter Verstoß gegen die Verordnung 6(1) des PECR verfolgt
- das Versäumnis, dem Kläger klare und umfassende Informationen über die Zwecke dieser Cookies zur Verfügung zu stellen, was einen Verstoß gegen die Verordnung (6)(2)(a) des PECR darstellt
- Unterlassung der Einholung der Zustimmung zur Verwendung von Cookies unter Verstoß gegen die Verordnung 6(2)(b) der PECR;
- das Versäumnis, personenbezogene Daten unter Verstoß gegen Artikel 5 der DSGVO auf faire, rechtmäßige und transparente Weise zu verarbeiten
Bei den Gesprächen über die Ansprüche wird damit gedroht, dass die Einzelheiten an das Information Commissioner Office (ICO) weitergegeben werden, wenn die Angelegenheit nicht zur Zufriedenheit des Antragstellers gelöst wird. Das ICO kann seine Durchsetzungsfunktionen gemäß Verordnung 32 der PECR ausüben, dass eine persönliche Haftung für Verstöße gegen die PECR aufgrund von Verordnung 2(3) der Privacy and Electronic Communications (Amendment) Regulations 2018 besteht. Der Schriftverkehr endet in der Regel mit der Bitte um eine Zahlung in Form einer finanziellen Entschädigung für die oben genannte fehlende Einwilligung, nach deren Erhalt die Meldung an die ICO nicht weiter verfolgt wird.
Für Versicherer, Makler und Versicherungsnehmer ist es wichtig, die Auswirkungen einer fehlenden Cookie-Zustimmung auf Webseiten zu verstehen. Unabhängig davon, ob das Unternehmen sich dessen bewusst ist oder nicht, kann es immer noch einen Fehler begangen haben und als solcher für die finanzielle Entschädigung des Geschädigten verantwortlich sein. Die Sensibilisierung für das Claim Farming und die Erstellung eines Plans können unschuldige Parteien vor Ansprüchen Dritter wie diesen schützen.
Stichworte: Claim Farming, Compliance, Compliance-Komplexität, Cyber-Risiko, Datenschutz, Datensicherheit, Finanzielles Risiko, GDPR, persönliche Daten, Datenschutz, Regulierung, Regulatorische Änderungen + Compliance, Tracking, Tracking-Cookies, UK