Datenschutz-Grundverordnung – Was müssen Versicherer tun?
Die Versicherungsunternehmen verfügen seit je her über eine Fülle von Daten ihrer Kunden und verarbeiten diese für verschiedene Zwecke. Aufgrund des technologischen Fortschritts im Kontext Actuarial Data Science und Digitalisierung, oft zusammengefasst unter dem Schlagwort Big Data, ergeben sich eine Fülle von Möglichkeiten im Umgang mit Daten für die Versicherungswirtschaft.
Demgegenüber gelten strenge Datenschutzvorschriften in der Europäischen Union. Seit dem 25. Mai 2018 ist die EU-Datenschutz-Grundverordnung in Kraft. In meinem letzten Beitrag „Datenschutz-Grundverordnung (DSGVO) – Ein Überblick“ habe ich versucht, einen kurzen Überblick über die grundlegenden Änderungen der Datenschutzbestimmungen in der EU zu geben.
In diesem Beitrag möchte ich nun wichtige Aspekte für Versicherungen aufzeigen.
Datenschutz & Versicherungen
Für die Versicherungsbranche ist das Thema gar nicht neu. Die Verarbeitung von Daten ist schon immer ein zentraler Bestandteil des Versicherungsgeschäfts. Mit dem Code of Conduct (CoC) Datenschutz hat die Versicherungsbranche unter der Federführung des GDV vor einigen Jahren einen auch für anderen Branchen vorbildlichen Standard geschaffen.
Fast alle in Deutschland ansässigen Versicherungsunternehmen haben den CoC unterschrieben und eine entsprechende Governance in ihren Häusern etabliert. Die DSGVO bringt nun jedoch einige Neuerungen mit, die zum Teil über die Regelungen des CoC hinausgehen.
Rechtmäßigkeit der Verarbeitung
Der Artikel 6 der DSGVO verbietet grundsätzlich (!) die Verarbeitung sensibler personenbezogener Daten, es sei denn, es liegen eine ausdrückliche Zustimmung der betroffenen Person oder wichtige Gründe vor.
Diese Gründe können im Einzelnen wie folgt begründet sein: Wenn die Verarbeitung
- … zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, oder
- … zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt, oder
- … zum Schutz lebenswichtiger Interessen des Betroffenen oder einer anderen natürlichen Person erforderlich ist, oder
- … im öffentlichen Interesse oder zur Erfüllung hoheitlicher Aufgaben erforderlich ist, oder
- … sie zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, ohne dass die Interessen oder Grundrechte /-freiheiten der betroffenen Person überwiegen.
Rechtmäßigkeit der Verarbeitung versicherungstechnischer Daten
So stellt sich grundsätzlich die Frage, ob bzw. mit welcher Begründung die Erhebung und Verarbeitung personenbezogener Daten für Durchführung eines Versicherungsvertrages überhaupt erlaubt ist.
Natürlich kann sich das Versicherungsunternehmen die Zustimmung der Verarbeitung bei der betroffenen Person einholen. Diese Zustimmung kann jedoch jederzeit widerrufen werden. Für die Verwaltung eines Versicherungsvertrages wird die explizite Zustimmung aber auch nicht unbedingt benötigt, denn das Versicherungsunternehmen kann die Verarbeitung der Daten auch mit der Notwendigkeit für die Erfüllung des Vertrages begründen.
Auch die weitergehende Verarbeitung zum Beispiel für Zwecke der Bilanzierung oder der Solvabilitätsberechnung ist erlaubt, mit der Begründung, dass diese für die Erfüllung einer rechtlichen Verpflichtung notwendig ist.
Und auch die Verarbeitung personenbezogener Daten für weitergehende Zwecke, wie zum Beispiel der Betrugserkennung oder -prävention ist mit der Begründung der Wahrung berechtigter Interessen, erlaubt.
Datenschutz durch Technikgestaltung (Privacy by Design)
In den Prozessen der Datenverarbeitung ist jedoch eine besondere Sorgfalt geboten. Insbesondere sind geeignete technische und organisatorische Maßnahmen zu treffen, um die Erfüllung der datenschutzrechtlichen Anforderungen sicher zu stellen. So ist der Datenschutz durch Technikgestaltung (Privacy by Design) keine bloße Zielvorgabe, sondern eine sanktionierbare Pflicht. Konkret müssen schon bei der Planung und Konzeption eines technologischen Systems die Prinzipien des Datenschutzes berücksichtigt werden.
Artikel 25 Abs.1 DSGVO besagt, dass „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen […]“ technische Maßnahmen zu ergreifen sind, die ein dem Risiko angemessenes Schutzniveau sicher stellen. Privacy by Design umfasst zudem auch die Sicherstellung einer ausreichend sicheren Verarbeitung, insbesondere den Schutz vor Hackerangriffen.
Fazit
Mit der DSGVO wird der Datenschutz in der EU neu und einheitlich geregelt. Von den Regelungen sind insbesondere auch Versicherungsunternehmen betroffen. Trotz CoC, der schon einen weitreichenden Datenschutz zur Grundlage hat, gibt es noch einiges zu beachten. Ein sorgfältiger, regelbasierter und transparenter Umgang mit den Daten der Versicherten bietet auch eine Chance für die Versicherungen, das Vertrauen in die Branche zu stärken.