Wie die Wortschöpfung bereits verrät, ist Telematik eine Technik, welche die Bereiche Telekommunikation und Informatik verknüpft. Es ist also die Vernetzung verschiedener IT-Systeme mit Hilfe eines Telekommunikationssystems zur Ermittlung, Speicherung und Verarbeitung von Daten und Informationen.
Diese Technik ist besonders für Versicherungen interessant, um auf diese Weise neue Tarif-Pakete zu gestalten. Dies wird besonders am Beispiel der KfZ-Versicherung deutlich. Der Reiz hieran: Es gilt das "Pay-as-you-drive"-Prinzip. Der Versicherungsnehmer kann Prämien einsparen, wenn er vorausschauend und zurückhaltend fährt. Hierfür muss er jedoch über seine mobilen Endgeräte oder über das Fahrzeug selbst Informationen über sein Fahrverhalten preisgeben. Die Daten erhebt eine im Fahrzeug installierte Blackbox. Dies bedingt zugleich die Verarbeitung personenbezogener Daten.
Die anschließende Analyse und Auswertung der gewonnenen Informationen über die Versicherten erfolgt jedoch regelmäßig nicht durch die Versicherung selbst, sondern durch InsurTechs, an die dieser Verarbeitungsschritt ausgegliedert wird. Bei einer solchen Ausgliederung sind neben Datenschutz vor allem regulatorische Vorgaben zu beachten. Hierzu möchte dieser Beitrag einen kurzen Überblick geben.
Lesetipp: Wie Insurtech-Firmen die Versicherungen herausfordern
Telematik-Tarife als Resultat des technischen Fortschritts
Aufgrund des anhaltenden digitalen Wandels verfügen Versicherer über eine Vielzahl an neuen - wenn auch noch nicht vollständig ausgereiften - technischen Möglichkeiten zur besseren Analyse ihrer jeweiligen Versicherungsprodukte:
Im Bereich der (Risiko-) Lebensversicherung können Versicherer durch so genannte Tracking-Komponenten, wie beispielsweise Smartwatches oder Fitnesstracker, welche sie den Versicherten überlassen, deren jeweilige Vitaldaten erheben.
Auf dem Gebiet der Kfz-Haftpflichtversicherung werden regelmäßig GPS-Empfänger, Telematik-Box, Smartphone-App oder Diagnosestecker den Versicherten - gegebenenfalls gegen Entgelt - überlassen, um so Daten über die individuelle Fahrweise zu erhalten.
Zusätzlich werden von dem Versicherer zum Teil auch weitergehende Funktionen wie ein automatischer Unfallnotruf oder ein Car-Finder angeboten.
Die von dem Versicherten erhobenen Daten sollen es den Versicherern ermöglichen, flexiblere und risikogerechtere Prämienkalkulationen im Interesse ihrer Versicherungsnehmer vorzunehmen.
Lesetipp: BMW startet CarData-Plattform
Zusammenspiel zwischen Telematik-Tarifen und Outsourcing
In Zusammenhang mit Telematik-Tarifen werden immer häufiger Kooperationen zwischen den Versicherungsunternehmen und InsurTechs geschlossen, die als Outsourcing-IT-Dienstleister tätig werden können. Unter InsurTechs versteht man Versicherungsdienstleister, die mit digitalen Technologien arbeiten. Der Begriff Outsourcing oder Ausgliederung wird weit verstanden, sodass hierunter jede unternehmerische Tätigkeit oder Funktion zu fassen ist, die ein Versicherungsunternehmen normalerweise selbst übernehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt, vgl. § 7 Nr. 2 Versicherungsaufsichtsgesetzes ("VAG").
Konkret werden dabei häufig die Auswertung und Verarbeitung der von den Telematik-Systemen ermittelten und aufgezeichneten Daten an die externen IT-Dienstleister ausgegliedert.
Versicherungsaufsichtsrechtliche Vorgaben
Beim Outsourcing haben Versicherer die Vorgaben der Aufsichtsbehörde, der Bundesanstalt für Finanzdienstleistungsaufsicht ("BaFin"), zu beachten: Gemäß § 32 Abs. 1 VAGbleibt ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Das ausgliedernde Versicherungsunternehmen hat sicherzustellen, dass durch die Ausgliederung die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der BaFin nicht beeinträchtigt werden.
Zu diesem Zweck hat sich das ausgliedernde Versicherungsunternehmen die erforderlichen Auskunfts- und Weisungsrechte gegenüber dem IT-Dienstleister durch diesen vertraglich zusichern zu lassen sowie gemäß § 23 Abs. 3 VAG für den gesamten Bereich der Ausgliederung vorab schriftliche Leitlinien eigenverantwortlich aufzustellen.
Die internen Leitlinien haben dabei die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen sowie die zu implementierenden Berichts- und Überwachungspflichten über den gesamten Zeitraum der Ausgliederung festzulegen.
Zudem muss darin, der in einem weiteren Schritt vorzunehmende, Überprüfungsprozess (due Diligence) festgelegt sein, der vor der Entscheidung über den Abschluss einer Ausgliederungsvereinbarung durchzuführen ist.
Die Leitlinien sind mindestens einmal jährlich zu überprüfen sowie bei wesentlichen Änderungen unternehmensinterner oder externer Umstände entsprechend anzupassen. Im Übrigen muss die Geschäftsleitung die Absicht der Ausgliederung der BaFin mitsamt den Entwürfen der Ausgliederungsvereinbarungen gemäß § 47 Nr. 8 VAG anzeigen.
Für die Ausgliederung von Schlüsselfunktionen, namentlich versicherungsmathematische Funktion, Compliance, interne Revision und Risikomanagement, muss stets ein Ausgliederungsbeauftragter bestellt werden. Wobei im Kontext von Telematik-Tarifen und der ausgegliederten Datenverarbeitung vor allem die versicherungsmathematische Funktion betroffen sein dürfte.
Die Aufgabe des Ausgliederungsbeauftragten, als verantwortliche Person einer der genannten Schlüsselfunktionen innerhalb des Unternehmens, besteht vor allem in der Überwachung der Tätigkeitsausübung des jeweiligen externen Dienstleisters. Der Ausgliederungsbeauftragte muss ferner zuverlässig und fachlich geeignet im Sinne des § 24 Abs. 1 VAG sein.
Zum Video: Analysen für Telematik-Tarife rechtssicher outsourcen
Um der besonderen Bedeutung von IT bei den Versicherungsunternehmen zusätzlich Rechnung zu tragen, hat die BaFin auf Basis des VAG am 02. Juli 2018 das Rundschreiben 10/2018 zu den "Versicherungsaufsichtlichen Anforderungen an die IT" (VAIT) veröffentlicht.
Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen.
Zentrales Ziel dieses Rundschreibens ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Unternehmen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben.
Lesetipp: Risikomanagement - Was Unternehmen beachten müssen
Daneben adressiert das Rundschreiben auchVorgaben für Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen: Danach müssen Versicherungsunternehmen bei einer Ausgliederungen von IT-Dienstleistungen vorab eine Risikoanalyse durchführen. Dabei ist es unerheblich, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt. Die aus einer solchen Risikoanalyse in Bezug auf sonstige IT-Dienstleistungsbeziehungen abgeleiteten Maßnahmen sollen angemessen in der Gestaltung des Dienstleistungsvertrags mit dem IT-Dienstleister berücksichtigt werden.
Des Weiteren haben die Versicherungsunternehmen eine vollständige, strukturierte Vertragsübersicht vorzuhalten. Die noch in der Entwurfsfassung im Vergleich zu den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen ("MaGo") vorgesehene Verschärfung, dass die Risikoanalyse in Bezug auf sonstige Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen regelmäßig und anlassbezogen überprüft werden soll, wurde entschärft: Die Analyse ist nur noch bei wesentlichen Änderungen des Risikoprofils erneut durchzuführen. Gegegenenfalls sind die Vertragsinhalte anzupassen.
Weitere Schutzvorgaben
Neben den versicherungsrechtlichen treffen Versicherer und IT-Dienstleister, weitere gesetzliche Vorgaben zum Schutz der IT-Systeme und zum Schutz der verarbeitenden personenbezogenen Daten.
1. IT-Sicherheit
Besonders in Bezug auf die IT-Systeme, mit denen die Informationen verarbeitet werden, stellt sich die Frage, ob diese nicht den erhöhten Sicherheitsanforderungen des IT-Sicherheitsgesetzes genügen müssen.
Dies ist nach der BSI KRITIS-Verordnung dann zu bejahen, wenn bei der Inanspruchnahme einer Versicherungsleistung ein IT-System, wie zum Beispiel ein Vertragsverwaltungssystem, eingesetzt wird, das jährlich eine bestimmte Anzahl von Leistungsfällen abwickelt. Die BSI-Kritis-Verordnung gibt hierbei für verschiedene IT-Systeme unterschiedliche Fallzahlen vor.
Wird diese Tätigkeit nun an einen IT-Dienstleister ausgelagert, bleibt der Versicherer nach § 1 Nr. 2 BSI KritisV weiterhin Verantwortlicher. Denn anders als im Finanzwesen kommt es nicht allein darauf an, welches Unternehmen das IT-System innehat und betreibt (tatsächliche Sachherrschaft). Vielmehr sind im Versicherungswesen auch rechtliche Umstände, wie das Weisungsrecht des Versicherers, zu beachten. Deshalb ist der Versicherer oft selbst als so genannter KRITIS-Betreiber anzusehen, auch wenn er die Leistung an einen Dritten auslagert hat (vgl. § 7 Abs. 8 BSI-KritisV).
Der Versicherer muss dann dafür Sorge tragen, dass angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik getroffen werden, um die Funktionserhaltung der Leistung "Telematik" zu gewährleisten.
Darüber hinaus können sich Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Ausfällen oder Beeinträchtigung der IT-Systeme ergeben. Es ist also darauf zu achten, dass sich die Versicherer, zur Erfüllung dieser Aufgaben, ausführliche Weisungsrechte gegenüber ihrem IT-Dienstleister vorhalten.
Auch nach weiteren spezialgesetzlichen Regelungen können sich Anforderungen ergeben. So zum Beispiel beim Betreiben einer App (vgl. § 13 Abs. 7 TMG). Die Anforderungen des Telekommunikationsgesetzes (TMG) treffen den Anbieter von digitalen Diensten, also jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies sind nach der weitgefassten Definition sowohl die Versicherungsunternehmen, als auch die Telematik Unternehmen.
2. Datenschutz
Auch datenschutzrechtlich gibt es einige Besonderheiten zu beachten. Viele Telematik-Angebote beziehen sich gerade auf die Verarbeitung von Gesundheitsdaten der Versicherten. Die EU-Datenschutzgrundverordnung(DSGVO) gibt jedoch gerade für Gesundheitsdaten vor, dass eine Verarbeitung grundsätzlich nicht gestattet ist, es sei denn, es liegt ausnahmsweise ein Rechtfertigung vor.
Eine solche Rechtfertigungsgrundlage wird nur in der Einwilligung des Betroffenen zu sehen sein.
Aus der DSGVO ergeben sich daneben aber auch noch viele weitere Anforderungen. So ist bereits bei der Planung und Programmierung der Software der Datenschutz mit einzubeziehen (Privacy by Design).
Darüber hinaus sind die Voreinstellungen in der Software datenschutzfreundliche zu gestalten (Privacy by Default). Letzteres bedeutet, dass der Nutzer aktiv die "Häkchen" als Zustimmung zur Verarbeitung seiner personenbezogenen Daten setzt - und diese nicht bereits gesetzt sind.
Darüber hinaus fordert auch die DSGVO, dass die IT-Systeme, mit denen die personenbezogenen Daten verarbeitet werden, zum Schutz der personenbezogenen Daten zu schützen sind. So sollen unter Berücksichtigung des Standes der Technik geeignete und organisatorische Maßnahmen zu treffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
Vor allem aber ist der Betroffene umfassend über die gesamte Datenverarbeitung, die Empfänger der Daten sowie seine Rechte auf Auskunft, Berichtung, Löschung und Sperrung zu informieren.
Ein guter Vertrag ist Grundvoraussetzung
Versicherer und IT-Dienstleister sind somit gefordert, die Einhaltung der gesetzlichen Vorgaben in einen Vertrag zu gießen. Elementar für den Versicherer sind darüber hinaus aber noch zwei weitere Aspekte:
Sicherstellung der Verfügbarkeit
Hinreichende Unterstützung des IT-Dienstleisters beim Exit
1. Verfügbarkeit
Der Versicherer sollte über vertragliche Abreden sicherstellen, dass die Leistung "Telematik" stets für ihn und seine Versicherte verfügbar ist. Denn nur dann funktioniert auch das Geschäftsmodell.
Sollte es dennoch einmal zu Störungen oder einem Ausfall kommen, ist ein schnelles Handeln hinsichtlich des IT-Dienstleisters notwendig, um den Schaden für alle Beteiligten zu minimieren und die Funktionsfähigkeit schnellstmöglich wiederherzustellen. Dies erfolgt regelmäßig über die Vereinbarung von schnellen Reaktions- und Lösungszeiten, deren Verletzung eine Vertragsstrafe nach sich zieht.
2. Exit
Nach Beendigung des Vertragsverhältnisses gilt es alle Informationen und Daten wieder zum Versicherer zurückzuführen oder einem neuen IT-Dienstleister zur Verfügung zu stellen. Dies wird regelmäßig über die Vereinbarung von gewissen Übergangsleistungen des alten IT-Dienstleisters ermöglicht. Diese sind eindeutig zu definieren.
Um zudem keine bösen Überraschungen zu erleben, sollten auch die Regelungen zur Vergütung dieser Übergangsleistungen aufgenommen werden.
Zum Video: Analysen für Telematik-Tarife rechtssicher outsourcen
Schlussfolgerung
Die Ausgliederung einer Datenverarbeitung im Rahmen von Telematik-Tarifen unterliegt stets der Beachtung von regulatorischen Vorgaben. Obwohl die Letztverantwortung bei der Geschäftsleitung des Versicherers liegt, haben auch die IT-Dienstleister aufgrund der obligatorischen Bestimmungen in der betreffenden Ausgliederungsvereinbarung erhebliche vertragliche Pflichten gegenüber dem Versicherer einzugehen und zu erfüllen. Ergänzt werden die regulatorischen Aspekte von den Vorgaben zur IT-Sicherheit und zum Datenschutz.
Versicherer und IT-Dienstleister sollten deshalb bei der Vertragsanbahnung jeweils entsprechend Zeit einzuplanen, um im Vorfeld die gesetzlichen Anforderungen sorgfältig und einvernehmlich zu klären und vertraglich festzulegen.