IT-Dienste im Versicherungsgewerbe

Analysen für Telematik-Tarife rechtssicher outsourcen

30.11.2018 von Yannick Eckervogt, Ingo Weckmann und Mareike Gehrmann IDG ExpertenNetzwerk

Lagert eine Versicherung die Auswertung von Informationen über deren Kunden an ein Insurtech-Unternehmen aus, sollten rechtssichere Verträge geschlossen werden. Hintergründe und einen genauen Überblick dazu finden Sie in diesem Artikel.

Die analoge Übergabe von Informationen war gestern. Heute werden Daten per Telematik geteilt und verarbeitet.
Foto: Billion Photos - shutterstock.com

Wie die Wortschöpfung bereits verrät, ist Telematik eine Technik, welche die Bereiche Telekommunikation und Informatik verknüpft. Es ist also die Vernetzung verschiedener IT-Systeme mit Hilfe eines Telekommunikationssystems zur Ermittlung, Speicherung und Verarbeitung von Daten und Informationen.

Diese Technik ist besonders für Versicherungen interessant, um auf diese Weise neue Tarif-Pakete zu gestalten. Dies wird besonders am Beispiel der KfZ-Versicherung deutlich. Der Reiz hieran: Es gilt das "Pay-as-you-drive"-Prinzip. Der Versicherungsnehmer kann Prämien einsparen, wenn er vorausschauend und zurückhaltend fährt. Hierfür muss er jedoch über seine mobilen Endgeräte oder über das Fahrzeug selbst Informationen über sein Fahrverhalten preisgeben. Die Daten erhebt eine im Fahrzeug installierte Blackbox. Dies bedingt zugleich die Verarbeitung personenbezogener Daten.

Die anschließende Analyse und Auswertung der gewonnenen Informationen über die Versicherten erfolgt jedoch regelmäßig nicht durch die Versicherung selbst, sondern durch InsurTechs, an die dieser Verarbeitungsschritt ausgegliedert wird. Bei einer solchen Ausgliederung sind neben Datenschutz vor allem regulatorische Vorgaben zu beachten. Hierzu möchte dieser Beitrag einen kurzen Überblick geben.

Lesetipp: Wie Insurtech-Firmen die Versicherungen herausfordern

Telematik-Tarife als Resultat des technischen Fortschritts

Aufgrund des anhaltenden digitalen Wandels verfügen Versicherer über eine Vielzahl an neuen - wenn auch noch nicht vollständig ausgereiften - technischen Möglichkeiten zur besseren Analyse ihrer jeweiligen Versicherungsprodukte:

Im Bereich der (Risiko-) Lebensversicherung können Versicherer durch so genannte Tracking-Komponenten, wie beispielsweise Smartwatches oder Fitnesstracker, welche sie den Versicherten überlassen, deren jeweilige Vitaldaten erheben.
Auf dem Gebiet der Kfz-Haftpflichtversicherung werden regelmäßig GPS-Empfänger, Telematik-Box, Smartphone-App oder Diagnosestecker den Versicherten - gegebenenfalls gegen Entgelt - überlassen, um so Daten über die individuelle Fahrweise zu erhalten.
Zusätzlich werden von dem Versicherer zum Teil auch weitergehende Funktionen wie ein automatischer Unfallnotruf oder ein Car-Finder angeboten.

Die von dem Versicherten erhobenen Daten sollen es den Versicherern ermöglichen, flexiblere und risikogerechtere Prämienkalkulationen im Interesse ihrer Versicherungsnehmer vorzunehmen.

Lesetipp: BMW startet CarData-Plattform

Zusammenspiel zwischen Telematik-Tarifen und Outsourcing

In Zusammenhang mit Telematik-Tarifen werden immer häufiger Kooperationen zwischen den Versicherungsunternehmen und InsurTechs geschlossen, die als Outsourcing-IT-Dienstleister tätig werden können. Unter InsurTechs versteht man Versicherungsdienstleister, die mit digitalen Technologien arbeiten. Der Begriff Outsourcing oder Ausgliederung wird weit verstanden, sodass hierunter jede unternehmerische Tätigkeit oder Funktion zu fassen ist, die ein Versicherungsunternehmen normalerweise selbst übernehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt, vgl. § 7 Nr. 2 Versicherungsaufsichtsgesetzes ("VAG").

Konkret werden dabei häufig die Auswertung und Verarbeitung der von den Telematik-Systemen ermittelten und aufgezeichneten Daten an die externen IT-Dienstleister ausgegliedert.

Versicherungsaufsichtsrechtliche Vorgaben

Beim Outsourcing haben Versicherer die Vorgaben der Aufsichtsbehörde, der Bundesanstalt für Finanzdienstleistungsaufsicht ("BaFin"), zu beachten: Gemäß § 32 Abs. 1 VAGbleibt ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Das ausgliedernde Versicherungsunternehmen hat sicherzustellen, dass durch die Ausgliederung die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der BaFin nicht beeinträchtigt werden.

Die pfiffigen Geschäftsideen der Insurtechs

Element Insurance
Als rein digitale Versicherungsplattform - inzwischen mit BaFin-Lizenz ausgestattet - ist Element im März 2017 angetreten, um sich im Segment der Sach-, Unfall- und Haftpflichversicherungen auszubreiten. Das Unternehmen, das vom Berliner Fintech-Company-Builder Fin Leap gegründet wurde, will Unternehmen verschiedener Branchen - vom E-Commerce bis zur klassischen Versicherung - unterstützen, individuelle und passgenaue Versicherungsprodukte für ihre Kunden zu schaffen.

Optisure
Eine Haftpflichtversicherung ausschließlich für IT-Freelancer bietet der Versicherungsmakler Optisure ab 29 Euro monatlich an. Das Unternehmen argumentiert damit, dass Freiberufler ihre hohen Risiken im Zusammenhang mit Rahmen- und Projektverträgen gesondert absichern sollten.

SmartInsurtech
SmartInsurtech schiebt sich als Plattform zwischen Versicherungskonzerne und deren Vertriebsorganisationen. Letzteren will die Hypoport-Tochter mit Web-basierten zentralen Standardlösungen helfen, ihre Hardware- und Lizenzkosten zu senken. Auch Provisionsabrechnungen und die Geschäftspost übernimmt SmartInsurtech.

Ottonova
Als erste vollständig digitale private Krankenversicherung ist Ottonova im Juli 2017 angetreten, Marktanteile zu erwerben. Das Unternehmen, das sich an dem US-Startup Oscar Health orientiert, hat eine Zulassung bei der Bafin bekommen und kann damit Verträge mit Kunden abschließen. Ins Beuteschema passen jüngere Akademiker, die keine Berührungsängste mit digitalen Technologien haben und gut verdienen.

PicSure
PicSure offeriert Versicherungskonzernen KI-Lösungen, mit denen diese einfach Sachverhalte verifizieren können. Mit einem Smartphone-Photo können beispielsweise Gegenstände wie ein Fahrrad aufgenommen und binnen Sekunden bewertet werden. Ebenso werden Bilder von Schadensfällen automatisiert beurteilt.

Wefox
Wefox bezeichnet sich als unabhängige Serviceplattform, auf der Versicherte ihre Verträge verwalten, Tarife vergleichen und sich beraten lassen können. Das Startup agiert anbieterneutral und bietet kostenfreie Services an, darunter Vertragsimport und Serviceleistungen. Es finanziert sich, indem es den Versicherungsgesellschaften Teile der Services abnimmt und dafür von ihnen kassiert. Auch hier geben Kunden eine Vertretungsvollmacht, die Wefox ermöglicht, die Vertragsdaten bei den Versicherungen abzufragen und in der App anzuzeigen.

ControlExpert
Das Unternehmen überprüft mithilfe intelligenter Algorithmen Schadensgutachten und Werkstattrechnungen auf Fehler. Damit hilft es Versicherern, Kosten zu senken. ControlExpert greift dabei auf eine Datenbank zurück, die jeden Tag um Tausende von Aufträgen aufgefüllt wird. Mit EasyClaim hat ControlExpert eine App herausgebracht, mit der Autofahrer einen Schaden direkt am Unfallort melden können.Anhand hochgeladener Fotos bekommen die Fahrer nach rund zwei Stunden eine Info, wie teuer die Reparatur wird und wo sich die nächste Werkstatt befindet

Kasko
Als digitale Versicherungsplattform für On-demand-Versicherungsprodukte bezeichnet sich Kasko. Das Unternehmen wendet sich als Vermittler mit den Angeboten großer Versicherer an digitale Marktplätze oder Reiseportale, wo entsprechende Angebote via Plugin oder API eingebunden werden können. Die Kunden haben den Vorteil kurzer Wege, außerdem müssen sie sich nicht um regulatorische Details oder technische Integration kümmern.

AppSichern
Kurzzeit-Versicherungen für besondere Situationen bietet AppSichern. Der Reiz liegt im schnellen und unkomplizierten Abschluss, der auf der Website oder über eine App getätigt werden kann. Das Startup bietet beispielsweise einen „24-Stunden-Drittfahrschutz“ für den Fall, dass ein Kunde sein Auto an einen Freund verleihen möchte. Kündigung ist nicht nötig, soll sie verlängert werden, wird der Vertrag nochmal unterzeichnet. Einen ähnlichen Dienst bietet Cuvva an.

Virado
Auf kleinteilige Produktversicherungen etwa für Smartphones, Tablets, Brillen, Gadgets, Fahrräder oder Haushaltswaren hat sich Virado spezialisiert. Das Startup richtet sich an Versicherungsmakler, die solche Produkte an Betreiber entsprechender E-Commerce-Seiten verkaufen. Virado bindet diese Angebote in die Homepages, Apps und Facebook-Seiten der B2B-Kunden aus dem Handel ein.

Wert14
Wert14 von der Rostocker SkenData GmbH ist eine Plattform für die Immobilienbewertung, die sich neuester Big-Data- und Machine-Learning-Technologien bedient, um zu einem schnellen und genauen Urteil zu kommen. Das Unternehmen erhielt 2017 den Insurance IT-Innovation Award der Uni St. Gallen.

Feelix
Ein breites Angebot rund um die digitale Finanzplanung bietet Feelix. Das Unternehmen will das Papierchaos in den Finanz- und Versicherungsordnern der Kunden beseitigen und bietet dafür eine App an. Verbraucher können damit ihre bestehenden Versicherungs-, Geldanlage-, Kredit- und Altersvorsorgeverträge managen. Hinzu kommen Vertrags- und Kreditcheck, mit denen Anwender herausfinden können, ob ihre Verträge noch aktuell und kostengerecht sind.

Fairr
Auf die Nische der Altersvorsorge-Lösungen rund um Riester- und Rürup-Rente hat sich fairr.de spezialisiert. Das Startup hilft Kunden, Zulagen und Steuervorteile in Anspruch zu nehmen. Das Unternehmen verzichtet auf Anschlussprovisionen und hält die Gebühren niedrig. Mit (Fonds-)Sparplänen für Riester- und Rürup-Rente verdient fairr.de Geld.

Friendsurance
Friendsurance ist zum einen ein klassischer Versicherungsmakler, der von den zirka 70 vertretenen Versicherungen bei Erfolg einen marktüblichen Bonus erhält. Zum anderen betreibt das Unternehmen ein Peer-to-Peer-Versicherungsmodell, in dem sich Versicherte zu kleinen Gruppen bis zu zehn Personen zusammenschließen und gegenseitig finanziell unterstützen. Kleinere Schäden werden aus diesem Topf bezahlt, bei größeren springt das Versicherungsunternehmen ein. Tritt bei den Versicherten kein Schaden ein, sinken die Versicherungskosten.

Haftpflicht Helden
Wer in wenigen Minuten online eine private Haftpflichtversicherung für 72 Euro jährlich abschließen will, ist bei den Haftpflicht Helden richtig. Als BaFin-zugelassener Partner im Hintergrund agiert die NV-Versicherungen VVaG. Haftpflicht Helden beschreibt transparent, was mit den Gebühren der Versicherten passiert. Wer Freunde überzeugt, sich ebenfalls dort zu versichern, senkt je nach Anzahl der Mitversicherten seine Kosten und die der Freunde.

Community Life
Als Community rund um Versicherungen präsentiert sich Community Life. Das Unternehmen bietet eine Berufsunfähigkeits- und eine Lebensversicherung und stützt sich dabei auf Angebote der internationalen Versicherungsgruppe iptiQ. Größter Vorteil ist die Anbindung an eine Community, in der über Versicherungen diskutiert wird, die neue Produkte mitentwickelt und die durch den Zusammenschluss Versicherter Lobby-Vorteile schafft.

Zu diesem Zweck hat sich das ausgliedernde Versicherungsunternehmen die erforderlichen Auskunfts- und Weisungsrechte gegenüber dem IT-Dienstleister durch diesen vertraglich zusichern zu lassen sowie gemäß § 23 Abs. 3 VAG für den gesamten Bereich der Ausgliederung vorab schriftliche Leitlinien eigenverantwortlich aufzustellen.
Die internen Leitlinien haben dabei die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen sowie die zu implementierenden Berichts- und Überwachungspflichten über den gesamten Zeitraum der Ausgliederung festzulegen.
Zudem muss darin, der in einem weiteren Schritt vorzunehmende, Überprüfungsprozess (due Diligence) festgelegt sein, der vor der Entscheidung über den Abschluss einer Ausgliederungsvereinbarung durchzuführen ist.
Die Leitlinien sind mindestens einmal jährlich zu überprüfen sowie bei wesentlichen Änderungen unternehmensinterner oder externer Umstände entsprechend anzupassen. Im Übrigen muss die Geschäftsleitung die Absicht der Ausgliederung der BaFin mitsamt den Entwürfen der Ausgliederungsvereinbarungen gemäß § 47 Nr. 8 VAG anzeigen.

Für die Ausgliederung von Schlüsselfunktionen, namentlich versicherungsmathematische Funktion, Compliance, interne Revision und Risikomanagement, muss stets ein Ausgliederungsbeauftragter bestellt werden. Wobei im Kontext von Telematik-Tarifen und der ausgegliederten Datenverarbeitung vor allem die versicherungsmathematische Funktion betroffen sein dürfte.
Die Aufgabe des Ausgliederungsbeauftragten, als verantwortliche Person einer der genannten Schlüsselfunktionen innerhalb des Unternehmens, besteht vor allem in der Überwachung der Tätigkeitsausübung des jeweiligen externen Dienstleisters. Der Ausgliederungsbeauftragte muss ferner zuverlässig und fachlich geeignet im Sinne des § 24 Abs. 1 VAG sein.

Zum Video: Analysen für Telematik-Tarife rechtssicher outsourcen

Um der besonderen Bedeutung von IT bei den Versicherungsunternehmen zusätzlich Rechnung zu tragen, hat die BaFin auf Basis des VAG am 02. Juli 2018 das Rundschreiben 10/2018 zu den "Versicherungsaufsichtlichen Anforderungen an die IT" (VAIT) veröffentlicht.
Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen.
Zentrales Ziel dieses Rundschreibens ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Unternehmen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben.

Lesetipp: Risikomanagement - Was Unternehmen beachten müssen

Daneben adressiert das Rundschreiben auchVorgaben für Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen: Danach müssen Versicherungsunternehmen bei einer Ausgliederungen von IT-Dienstleistungen vorab eine Risikoanalyse durchführen. Dabei ist es unerheblich, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt. Die aus einer solchen Risikoanalyse in Bezug auf sonstige IT-Dienstleistungsbeziehungen abgeleiteten Maßnahmen sollen angemessen in der Gestaltung des Dienstleistungsvertrags mit dem IT-Dienstleister berücksichtigt werden.

Des Weiteren haben die Versicherungsunternehmen eine vollständige, strukturierte Vertragsübersicht vorzuhalten. Die noch in der Entwurfsfassung im Vergleich zu den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen ("MaGo") vorgesehene Verschärfung, dass die Risikoanalyse in Bezug auf sonstige Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen regelmäßig und anlassbezogen überprüft werden soll, wurde entschärft: Die Analyse ist nur noch bei wesentlichen Änderungen des Risikoprofils erneut durchzuführen. Gegegenenfalls sind die Vertragsinhalte anzupassen.

Weitere Schutzvorgaben

Neben den versicherungsrechtlichen treffen Versicherer und IT-Dienstleister, weitere gesetzliche Vorgaben zum Schutz der IT-Systeme und zum Schutz der verarbeitenden personenbezogenen Daten.

1. IT-Sicherheit

Besonders in Bezug auf die IT-Systeme, mit denen die Informationen verarbeitet werden, stellt sich die Frage, ob diese nicht den erhöhten Sicherheitsanforderungen des IT-Sicherheitsgesetzes genügen müssen.

Dies ist nach der BSI KRITIS-Verordnung dann zu bejahen, wenn bei der Inanspruchnahme einer Versicherungsleistung ein IT-System, wie zum Beispiel ein Vertragsverwaltungssystem, eingesetzt wird, das jährlich eine bestimmte Anzahl von Leistungsfällen abwickelt. Die BSI-Kritis-Verordnung gibt hierbei für verschiedene IT-Systeme unterschiedliche Fallzahlen vor.

So binden Sie Ihre IT-Sicherheitsexperten

Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind.

Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen.

Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben.

Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern.

Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind.

Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat.

Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko.

Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen.

Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen.

Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.

Wird diese Tätigkeit nun an einen IT-Dienstleister ausgelagert, bleibt der Versicherer nach § 1 Nr. 2 BSI KritisV weiterhin Verantwortlicher. Denn anders als im Finanzwesen kommt es nicht allein darauf an, welches Unternehmen das IT-System innehat und betreibt (tatsächliche Sachherrschaft). Vielmehr sind im Versicherungswesen auch rechtliche Umstände, wie das Weisungsrecht des Versicherers, zu beachten. Deshalb ist der Versicherer oft selbst als so genannter KRITIS-Betreiber anzusehen, auch wenn er die Leistung an einen Dritten auslagert hat (vgl. § 7 Abs. 8 BSI-KritisV).

Der Versicherer muss dann dafür Sorge tragen, dass angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik getroffen werden, um die Funktionserhaltung der Leistung "Telematik" zu gewährleisten.
Darüber hinaus können sich Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Ausfällen oder Beeinträchtigung der IT-Systeme ergeben. Es ist also darauf zu achten, dass sich die Versicherer, zur Erfüllung dieser Aufgaben, ausführliche Weisungsrechte gegenüber ihrem IT-Dienstleister vorhalten.

Auch nach weiteren spezialgesetzlichen Regelungen können sich Anforderungen ergeben. So zum Beispiel beim Betreiben einer App (vgl. § 13 Abs. 7 TMG). Die Anforderungen des Telekommunikationsgesetzes (TMG) treffen den Anbieter von digitalen Diensten, also jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies sind nach der weitgefassten Definition sowohl die Versicherungsunternehmen, als auch die Telematik Unternehmen.

2. Datenschutz

Auch datenschutzrechtlich gibt es einige Besonderheiten zu beachten. Viele Telematik-Angebote beziehen sich gerade auf die Verarbeitung von Gesundheitsdaten der Versicherten. Die EU-Datenschutzgrundverordnung(DSGVO) gibt jedoch gerade für Gesundheitsdaten vor, dass eine Verarbeitung grundsätzlich nicht gestattet ist, es sei denn, es liegt ausnahmsweise ein Rechtfertigung vor.
Eine solche Rechtfertigungsgrundlage wird nur in der Einwilligung des Betroffenen zu sehen sein.

IT-Sicherheit: Menschliche Datenschutz-Fails

Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert.

Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“).

USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten.

Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem".

Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.

Aus der DSGVO ergeben sich daneben aber auch noch viele weitere Anforderungen. So ist bereits bei der Planung und Programmierung der Software der Datenschutz mit einzubeziehen (Privacy by Design).
Darüber hinaus sind die Voreinstellungen in der Software datenschutzfreundliche zu gestalten (Privacy by Default). Letzteres bedeutet, dass der Nutzer aktiv die "Häkchen" als Zustimmung zur Verarbeitung seiner personenbezogenen Daten setzt - und diese nicht bereits gesetzt sind.

Darüber hinaus fordert auch die DSGVO, dass die IT-Systeme, mit denen die personenbezogenen Daten verarbeitet werden, zum Schutz der personenbezogenen Daten zu schützen sind. So sollen unter Berücksichtigung des Standes der Technik geeignete und organisatorische Maßnahmen zu treffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).

Vor allem aber ist der Betroffene umfassend über die gesamte Datenverarbeitung, die Empfänger der Daten sowie seine Rechte auf Auskunft, Berichtung, Löschung und Sperrung zu informieren.

Ein guter Vertrag ist Grundvoraussetzung

Versicherer und IT-Dienstleister sind somit gefordert, die Einhaltung der gesetzlichen Vorgaben in einen Vertrag zu gießen. Elementar für den Versicherer sind darüber hinaus aber noch zwei weitere Aspekte:

Sicherstellung der Verfügbarkeit
Hinreichende Unterstützung des IT-Dienstleisters beim Exit

1. Verfügbarkeit
Der Versicherer sollte über vertragliche Abreden sicherstellen, dass die Leistung "Telematik" stets für ihn und seine Versicherte verfügbar ist. Denn nur dann funktioniert auch das Geschäftsmodell.
Sollte es dennoch einmal zu Störungen oder einem Ausfall kommen, ist ein schnelles Handeln hinsichtlich des IT-Dienstleisters notwendig, um den Schaden für alle Beteiligten zu minimieren und die Funktionsfähigkeit schnellstmöglich wiederherzustellen. Dies erfolgt regelmäßig über die Vereinbarung von schnellen Reaktions- und Lösungszeiten, deren Verletzung eine Vertragsstrafe nach sich zieht.

2. Exit
Nach Beendigung des Vertragsverhältnisses gilt es alle Informationen und Daten wieder zum Versicherer zurückzuführen oder einem neuen IT-Dienstleister zur Verfügung zu stellen. Dies wird regelmäßig über die Vereinbarung von gewissen Übergangsleistungen des alten IT-Dienstleisters ermöglicht. Diese sind eindeutig zu definieren.
Um zudem keine bösen Überraschungen zu erleben, sollten auch die Regelungen zur Vergütung dieser Übergangsleistungen aufgenommen werden.

Zum Video: Analysen für Telematik-Tarife rechtssicher outsourcen

Schlussfolgerung

Die Ausgliederung einer Datenverarbeitung im Rahmen von Telematik-Tarifen unterliegt stets der Beachtung von regulatorischen Vorgaben. Obwohl die Letztverantwortung bei der Geschäftsleitung des Versicherers liegt, haben auch die IT-Dienstleister aufgrund der obligatorischen Bestimmungen in der betreffenden Ausgliederungsvereinbarung erhebliche vertragliche Pflichten gegenüber dem Versicherer einzugehen und zu erfüllen. Ergänzt werden die regulatorischen Aspekte von den Vorgaben zur IT-Sicherheit und zum Datenschutz.

Versicherer und IT-Dienstleister sollten deshalb bei der Vertragsanbahnung jeweils entsprechend Zeit einzuplanen, um im Vorfeld die gesetzlichen Anforderungen sorgfältig und einvernehmlich zu klären und vertraglich festzulegen.