Personal Computer im Versicherungs-Außendienst:Externer PC-Einsatz muß Datenschutz einkalkulieren

09.12.1983

Von Hans-Joachim Villwock*.

Die Vorteile des Personal Computers für den Versicherungsvertreter liegen auf der Hand: Klinkenputzen kann demnächst, will man den Software-Schreibern glauben, zum großen Teil vom PC übernommen werden. Da diese Programme im allgemeinen vom Versicherungsunternehmen gestellt werden und der Preis für die Hardware beständig fällt, eröffnet sich hier ein gewinnversprechender Markt für alle Beteiligten. Glaubt man auch noch den Hardware-Herstellerbroschüren, dann gibt es überhaupt keine weiteren Probleme. Herrscht also Zufriedenheit auf allen Seiten? Zunächst ja! Solange die Programme noch nicht fertig und die PCs noch verpackt sind, kann der Betroffene auch noch nicht betroffen sein. Es steht aber zu befürchten, daß die Versicherungskunden betroffen reagieren werden. Denn nach dem Volkszählungsdebakel und durch die wachsende Diskussion um den neuen, maschinenlesbaren Personalausweis werden die Bürger dünnhäutiger sein und schneller auf vermeintliche oder tatsächliche Angriffe auf ihre Privatsphäre reagieren. Von problemloser Akzeptanz kann also nicht ausgegangen werden.

Gerade der jungen Generation, die in der Schule oder im Hobbyclub - möglicherweise sogar auf demselben PC - ihre Basic-Kenntnisse erworben haben, wird man den PC nicht als einen harmlosen, stumpfsinnigen Büroautomaten verkaufen können. Die heutigen und erst recht die zukünftigen Hochleistungs-PCs sind längst dem Spielzeugalter entwachsen. Viele kleinere und mittlere Rechenzentren mußten, als das Bundesdatenschutzgesetz (BDSG) konzipiert wurde, mit derselben Kapazität auskommen, die ein heutiger Hochleistungs-PC auf die Tischplatte bringen kann.

Wenn also in einem PC personenbezogene Daten in Dateien gespeichert werden - und dies ist beim Einsatz des PCs im Versicherungsaußendienst der Fall -, dann muß man das BDSG beachten, auch wenn die Väter des Gesetzes der damaligen Zeit entsprechend mehr den Großcomputer vor Augen hatten. Auch wenn durch den Preisverfall der Hardware der Datenschutzaufwand plötzlich relativ groß erscheint, kann man sich nicht einfach über die Bestimmungen des BDSG hinwegsetzen. Denn die Angemessenheitsklausel gilt nur für die nach Paragraph 6 BDSG zutreffenden technischen und organisatorischen Maßnahmen und nicht für die Anwendung des gesamten Gesetzes.

Der Versicherungsvertreter, der bisher nur mit seinen manuell geführten Karteikarten nach Paragraph 1 Abs. 2 Satz 2 dem BDSG unterlag und auch hier nur für die ohnehin selbstverständliche Datensicherung sorgen mußte, hat nun weit mehr Vorschriften des bekanntermaßen verzwickten BDSG zu beachten. Eine ausführliche Schulung über die Vorschriften des BDSG wäre sicherlich nicht verfehlt.

Konsequenzen für den Versicherungsvertreter

Denn der Vertreter, der den PC bedient, ist Datentypist, Consol- und Disketten-Operator, Arbeitsvorbereiter und Druck-Operator in einer Person und trägt deshalb eine erhebliche Verantwortung für die von ihm durchgeführte Datenverarbeitung. Deshalb muß der Versicherungsvertreter auf das Datengeheimnis verpflichtet und über die Straf- und Bußgeldvorschriften der Paragraphen 41 und 42 BDSG aufgeklärt werden. Ebenso sollte der Vertreter wissen daß es eine Aufsichtsbehörde für den Datenschutz gibt, die vor Ort, im Büro und in den Dateien des Vertreters die Einhaltung des BDSG überprüfen kann, wenn ein Betroffener sich beschwert.

Bei der Speicherung der Daten sollte der Vertreter daran denken, daß der Betroffene ein Recht auf Auskunft über die zu seiner Person gespeicherten Daten und deren regelmäßige Empfänger hat. Ebenso hat der Betroffene ein Recht auf Berichtigung, Sperrung und Löschung.

Für den ortsansässigen, allseits bekannten Vertreter könnte es möglicherweise peinlich werden, wenn durch eine Auskunft bei ihm unrechtmäßig gespeicherte Daten entdeckt werden. Denn die Speicherung personenbezogener Daten in Dateien eines PCs ist nur erlaubt, wenn

- der Betroffene (schriftlich) eingewilligt hat,

- die Speicherung im Rahmen eines Vertrags- oder eines vertragsähnlichen Vertrauensverhältnisses erfolgt (Anbahnung) oder

- die Speicherung zur Wahrung berechtigter Interessen erforderlich ist und kein Grund zur Annahme besteht, daß dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden (Werbung).

Der Vertreter, der seine Kunden durch langjährige Kontakte zum Teil bis in die Intimsphäre kennt, darf nicht einfach alles in seinem PC speichern, was er über den Kunden weiß, auch wenn die Datenspeicher noch billiger und der Wettbewerbskampf im Außendienst noch härter wird. Die Grenze der noch erlaubten Speicherung liegt in der Zweckbestimmung und Erforderlichkeit der Daten. Dort, wo Daten auf Vorrat oder nur als hilfreiche, nützliche Zusatzinformation gespeichert werden, begibt sich der Vertreter und letztlich die gesamte Versicherungswirtschaft in die Gefahr, Persönlichkeitsprofile zu erstellen oder leichtfertig mit den anvertrauten Kunden- und Interessentendaten umzugehen.

Werbewirksames Fortschrittssymbol

Bei der erstmaligen Speicherung (zum Beispiel nach einer zunächst erfolglosen Anbahnung) hat der Vertreter zu beachten, daß der Betroffene über die Speicherung seiner Daten benachrichtigt werden muß, wenn er nicht auf andere Weise Kenntnis von der Speicherung erlangt hat. Daß ein Vertreter personenbezogene Daten in einem PC speichert, ist noch nicht selbstverständlich. Der Vertreter muß daher den Kunden deutlich, am besten schriftlich, darauf hinweisen. Wenn Daten, zum Beispiel für eine Werbeaktion, unmittelbar aus dem Adreßbuch oder einer anderen allgemein zugänglichen Quelle entnommen werden, dann ist eine Benachrichtigung nicht erforderlich.

Der Vertreter, der zum Preis eines Klein- oder Mittelklassewagens in einen modernen PC investiert hat, wird diesen gewiß nicht im Hinterstübchen verbergen, sondern als Fortschrittssymbol werbewirksam in seinem Büro zur Schau stellen. Insbesondere dann, wenn der Vertreter dem Kunden Beispielrechnungen und Versicherungsangebote am farbigen Bildschirm vorführen will, ist ein Closed-Shop-Betrieb, wie er in der Anlage zu Paragraph 6 BDSG gefordert wird, völlig absurd. Die Datensicherungsanforderungen des BDSG sind zum Teil so offensichtlich auf Großrechner zugeschnitten, daß es insgesamt in Bausch und Bogen als völlig überzogen abzulehnen. Zumal, wenn die geforderten Datensicherungsmaßnahmen im Vergleich zum Anschaffungspreis des PCs recht hoch erscheinen, ist er schnell bereit, auf die Datensicherung ganz zu verzichten. Daß der Vertreter, der in EDV- und erst recht in Datenschutzfragen ein unbedarfter Laie ist, hier das Kind mit dem Bade ausschüttet, erkennt er spätestens dann, wenn er ein paar Dateien oder Programme versehentlich gelöscht hat oder plötzlich Disketten fehlen und die Konkurrenz mit besseren Daten und Programmen die größeren Geschäfte macht. Gefahren für die Sicherheit der Daten und Programme gibt es viele, auch wenn die Hersteller und Vertreiber der PCs in ihren Werbeprospekten kein einziges Wort davon erwähnen und so den Vertreter in dem Glauben lassen, daß hier anscheinend nichts passieren kann. Nicht nur die Gefahren für die Sicherheit der Daten sind im wesentlichen dieselben wie bei der Groß-EDV, auch die Schwierigkeiten, Datensicherungsmaßnahmen einzuführen, sind dieselben. Bis zum Beweis des Gegenteils sind die Datensicherungsmaßnahmen stets entweder zu teuer oder technologisch nicht machbar. Daß die Hersteller der PCs auf diesem nur wenig Profit versprechenden Gebiet einen großen Nachholbedarf haben, hat die vom Bifoa (Betriebswirtschaftliches Institut für Organisation und Automation Köln) im Auftrag des Bundesministeriums für Forschung und Technologie (BMFT) gefertigte Studie gezeigt.

Sicherheitsroutinen machen sich bezahlt

Daß die Entwicklung von Datensicherungsroutinen oder -programmen zu teuer ist, muß man bei einem kleinen Heizungsinstallateur gelten lassen. Für die Programme, die dem Vertreter vom Versicherungsunternehmen zur Verfügung gestellt werden und die zum Teil von mehreren Versicherungskonzernen tausendfach eingesetzt werden, gilt dies sicherlich nicht. Sicherheitsroutinen sind nicht teuer, wenn sie bereits bei der Konzeption der Programme mitbedacht wurden. Sie machen sich bezahlt, weil sie auch Fahrlässigkeitsfehler und falsche Benutzerbedienung verhindern.

Als Ersatz für die so nicht durchführbare Abgangskontrolle sollten meines Erachtens die auf den Disketten gespeicherten Daten nicht komprimiert, sondern auch verschlüsselt werden - und zwar für jeden Vertreter nach einem anderen Schlüssel. Durch eine Benutzeridentifikation, die vor wichtigen Anzeigebildern oder Eingabebildern wiederholt wird, könnte die Speicherkontrolle, die Benutzerkontrolle und die Zugriffskontrolle realisiert werden. Wenn die Eingabekontrolle durch ein automatisches Ausdrucken der eingegebenen Daten verwirklicht wird, dann kann die Eingabe nachträglich überprüft werden.

Speichernde Stelle im Sinne des BDSG

Billigprogramme, die dem Vertreter in Zukunft möglicherweise von allen Seiten angepriesen werden oder die vom begabten Sohn des Nachbarn gegen eine Aufbesserung des Taschengeldes erstellt werden, erreichen mit Sicherheit nicht die Zuverlässigkeit professionell konstruierter und getesteter Software. Vor dem Erwerb solcher Programme muß der Vertreter eindringlich gewarnt werden. Die Programme, die dem Vertreter vom Versicherungsunternehmen gestellt werden, sollten nur im Objekt-Code ausgeliefert werden, damit sie vor Nachahmung und Veränderung geschützt sind. Diese Datensicherungsprobleme sind weder neu noch typisch für die Versicherungswirtschaft.

Ein andere Datenschutzproblem aber, das seit Jahren in der Versicherungswirtschaft diskutiert wird und bis heute nicht entschieden ist, rückt durch die Einführung der PCs wieder in den Blickpunkt. Ist der Vertreter Dritter oder ist er es nicht? Der Kunde sieht es dem Vertreter meistens nicht ab, ob es sich um einen angestellten Mitarbeiter des Versicherungsunternehmens handelt oder ob ein selbständiger Handelsvertreter vor ihm steht, der selbst eine "speichernde Stelle" im Sinne des BDSG ist. Für den Kunden ist diese Unterscheidung auch nicht wichtig. Wichtig ist, daß seine Rechte als Betroffener gewahrt werden, und zwar egal von wem. Für den Vertreter entscheidet sich jedoch bei dieser Frage wer eigentlich die Verantwortung für die Einhaltung des Gesetzes trägt - der selbständige Vertreter oder das Versicherungsunternehmen. Ferner gibt es einige Vorschriften, die der Vertreter beachten muß, wenn er Dritter im Sinne des Gesetzes ist. So ist ein Datenschutzbeauftragter zu bestellen, wenn fünf oder mehr Arbeitnehmer ständig bei der Datenverarbeitung beschäftigt sind. Daß ein selbständiger Vertreter, so viele Mitarbeiter beschäftigt und daß alle diese Mitarbeiter auch personenbezogene Daten verarbeiten müssen, wird vermutlich äußerst selten oder nie vorkommen.

Wer ist verantwortlich?

Wahrscheinlicher ist dagegen, daß Einschränkungen bei der Datenübermittlung zu beachten sind. Dies gilt sowohl für die Übermittlung vom Versicherungsunternehmen zum Vertreter als auch umgekehrt. Das Versicherungsunternehmen hat Paragraph 24 BDSG sowie die Datenschutzklausel zu beachten, wenn sie Daten an den selbständigen Vertreter übermittelt. Von besonderen Ausnahmen abgesehen wird der Vertreter übermittelt. Von besondern Ausnahmen abgesehen wird der Vertreter deshalb nur die allgemeinen Kundendaten (Name, Anschrift, Geburtsdatum etc.) und von den Verträgen, die seiner Betreuung unterliegen, die technischen Daten (Versicherungssumme, Inkassodaten, etc. ) erhalten. Das Versicherungsunternehmen ist für diese Übermittlung verantwortlich und muß deshalb für ausreichende Zugriffssicherungen sorgen. Der selbständige Vertreter dagegen muß nach Paragraph 24 BDSG überprüfen, welche Daten er an das Versicherungsunternehmen übermitteln darf. Der Vertreter wird häufig Daten zur weiteren Vertragsanbahnung oder zu Verträgen des Kunden mit anderen Gesellschaften (Bausparkassen) speichern, die er nicht an das Versicherungsunternehmen übermitteln darf. Ein uneingeschränkter Zugriff des Versicherungsunternehmens auf die Daten des selbständigen Vertreters ist deshalb nicht zulässig.

Ein besonders heikler Spezialfall der Übermittlung, der viel Fingerspitzengefühl fordert, stellt die Bestandsübertragung an einen anderen Vertreter dar. Der Kunde, der dem Vertreter seine Daten zur Speicherung übergibt, weil er ihm aufgrund jahrelanger Beziehungen vertrauen kann, wird im allgemeinen nicht damit einverstanden sein, daß diese Daten automatisch dem Nachfolger des Vertreters übergeben werden und dieser so in seine privaten Belange Einblick nehmen kann.

Die Einführung von PCs im Außendienst ist nur dann sinnvoll, wenn das Versicherungsunternehmen die Daten und die Programme dafür bereitstellt. Denn nur durch die maschinelle Übernahme der Bestandsdaten und durch die Benutzung der Tarifprogramme des Versicherungsunternehmens wird sich der volle, gewünschte Rationalisierungseffekt einstellen, so daß sich die Anschaffung für den Vertreter rentiert. Der Vertreter muß deshalb eindringlich vor einem Alleingang gewarnt werden - es sei denn, er betrachtet den PC als sein Hobby.

Wenn das Versicherungsunternehmen jedoch die Daten und Programme zur Verfügung stellt und den durchaus sinnvollen PC-Einsatz ermöglicht, dann sollte es schon in seinem eigenen Interesse unbedingt auch eine umfassende Beratung und Aufklärung in Datenschutzfragen durchführen - sowohl für die Angestellten als auch für selbständige Vertreter. Denn die Fehler des Außendienstes fallen in jedem Falle auf das Versicherungsunternehmen zurück.

*Leiter des Erfahrungsaustauschkreises der GDD, Bonn