IT-Dienste im Versicherungsgewerbe

Analysen für Telematik-Tarife rechtssicher outsourcen

30.11.2018
Von  ,  IDG ExpertenNetzwerk und  IDG ExpertenNetzwerk


Dr. Yannick Eckervogt berät Versicherer und sonstige Unternehmen in versicherungsrechtlichen Fragestellungen. Er hat sich dabei auf das Versicherungsaufsichtsrecht sowie auf die Beratung von (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen spezialisiert. Er promivierte zum Thema „Die Innenhaftung des hauptamtlichen Leitorgans einer Krankenkasse – Die Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG) und ihre Übertragbarkeit“ an der Westfälischen Wilhelms-Universität Münster.


Ingo Weckmann ist auf die regulatorische Beratung im Versicherungswesen spezialisiert. Auf diesem Gebiet berät er Versicherer, InsurTechs und sonstige Unternehmen im Hinblick auf aufsichts- sowie vertriebsrechtliche Anforderungen. Zusätzlich spezialisiert er sich auf die besonderen regulatorischen Anforderungen an private Krankenversicherungen. Weiterhin berät er (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen. Ingo Weckmann studierte in Bayreuth und Münster. 2009 verlieh ihm die Uni Münster den Master of Laws (LL.M.) im Bereich Versicherungsrecht und 2017 promovierte er zu rechtsdienstleistungs- und versicherungsrechtlichen Fragestellungen.
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Sie ist spezialisiert auf die Technologie-Branche und den Bereich Datenschutz. Dort begleitet sie Unternehmen und Behörden bei der erfolgreichen Umsetzung komplexer Digitalisierungsprojekte (u.a. IT-Beschaffung, Agile Softwareprojekte, IT-Sourcing) und berät zu Lizenzmanagement, Datenschutz und Cyber-Security. Zudem verfügt sie über umfangreiche Erfahrungen beim Führen komplexer Gerichts- und DIS-Schiedsverfahren. Seit 2015 ist sie Mitglied im Expertennetzwerk der Computerwoche.

Weitere Schutzvorgaben

Neben den versicherungsrechtlichen treffen Versicherer und IT-Dienstleister, weitere gesetzliche Vorgaben zum Schutz der IT-Systeme und zum Schutz der verarbeitenden personenbezogenen Daten.

1. IT-Sicherheit

Besonders in Bezug auf die IT-Systeme, mit denen die Informationen verarbeitet werden, stellt sich die Frage, ob diese nicht den erhöhten Sicherheitsanforderungen des IT-Sicherheitsgesetzes genügen müssen.

Dies ist nach der BSI KRITIS-Verordnung dann zu bejahen, wenn bei der Inanspruchnahme einer Versicherungsleistung ein IT-System, wie zum Beispiel ein Vertragsverwaltungssystem, eingesetzt wird, das jährlich eine bestimmte Anzahl von Leistungsfällen abwickelt. Die BSI-Kritis-Verordnung gibt hierbei für verschiedene IT-Systeme unterschiedliche Fallzahlen vor.

Wird diese Tätigkeit nun an einen IT-Dienstleister ausgelagert, bleibt der Versicherer nach § 1 Nr. 2 BSI KritisV weiterhin Verantwortlicher. Denn anders als im Finanzwesen kommt es nicht allein darauf an, welches Unternehmen das IT-System innehat und betreibt (tatsächliche Sachherrschaft). Vielmehr sind im Versicherungswesen auch rechtliche Umstände, wie das Weisungsrecht des Versicherers, zu beachten. Deshalb ist der Versicherer oft selbst als so genannter KRITIS-Betreiber anzusehen, auch wenn er die Leistung an einen Dritten auslagert hat (vgl. § 7 Abs. 8 BSI-KritisV).

Der Versicherer muss dann dafür Sorge tragen, dass angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik getroffen werden, um die Funktionserhaltung der Leistung "Telematik" zu gewährleisten.
Darüber hinaus können sich Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Ausfällen oder Beeinträchtigung der IT-Systeme ergeben. Es ist also darauf zu achten, dass sich die Versicherer, zur Erfüllung dieser Aufgaben, ausführliche Weisungsrechte gegenüber ihrem IT-Dienstleister vorhalten.

Auch nach weiteren spezialgesetzlichen Regelungen können sich Anforderungen ergeben. So zum Beispiel beim Betreiben einer App (vgl. § 13 Abs. 7 TMG). Die Anforderungen des Telekommunikationsgesetzes (TMG) treffen den Anbieter von digitalen Diensten, also jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies sind nach der weitgefassten Definition sowohl die Versicherungsunternehmen, als auch die Telematik Unternehmen.

2. Datenschutz

Auch datenschutzrechtlich gibt es einige Besonderheiten zu beachten. Viele Telematik-Angebote beziehen sich gerade auf die Verarbeitung von Gesundheitsdaten der Versicherten. Die EU-Datenschutzgrundverordnung(DSGVO) gibt jedoch gerade für Gesundheitsdaten vor, dass eine Verarbeitung grundsätzlich nicht gestattet ist, es sei denn, es liegt ausnahmsweise ein Rechtfertigung vor.
Eine solche Rechtfertigungsgrundlage wird nur in der Einwilligung des Betroffenen zu sehen sein.

Aus der DSGVO ergeben sich daneben aber auch noch viele weitere Anforderungen. So ist bereits bei der Planung und Programmierung der Software der Datenschutz mit einzubeziehen (Privacy by Design).
Darüber hinaus sind die Voreinstellungen in der Software datenschutzfreundliche zu gestalten (Privacy by Default). Letzteres bedeutet, dass der Nutzer aktiv die "Häkchen" als Zustimmung zur Verarbeitung seiner personenbezogenen Daten setzt - und diese nicht bereits gesetzt sind.

Darüber hinaus fordert auch die DSGVO, dass die IT-Systeme, mit denen die personenbezogenen Daten verarbeitet werden, zum Schutz der personenbezogenen Daten zu schützen sind. So sollen unter Berücksichtigung des Standes der Technik geeignete und organisatorische Maßnahmen zu treffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).

Vor allem aber ist der Betroffene umfassend über die gesamte Datenverarbeitung, die Empfänger der Daten sowie seine Rechte auf Auskunft, Berichtung, Löschung und Sperrung zu informieren.

Ein guter Vertrag ist Grundvoraussetzung

Versicherer und IT-Dienstleister sind somit gefordert, die Einhaltung der gesetzlichen Vorgaben in einen Vertrag zu gießen. Elementar für den Versicherer sind darüber hinaus aber noch zwei weitere Aspekte:

  • Sicherstellung der Verfügbarkeit

  • Hinreichende Unterstützung des IT-Dienstleisters beim Exit

1. Verfügbarkeit
Der Versicherer sollte über vertragliche Abreden sicherstellen, dass die Leistung "Telematik" stets für ihn und seine Versicherte verfügbar ist. Denn nur dann funktioniert auch das Geschäftsmodell.
Sollte es dennoch einmal zu Störungen oder einem Ausfall kommen, ist ein schnelles Handeln hinsichtlich des IT-Dienstleisters notwendig, um den Schaden für alle Beteiligten zu minimieren und die Funktionsfähigkeit schnellstmöglich wiederherzustellen. Dies erfolgt regelmäßig über die Vereinbarung von schnellen Reaktions- und Lösungszeiten, deren Verletzung eine Vertragsstrafe nach sich zieht.

2. Exit
Nach Beendigung des Vertragsverhältnisses gilt es alle Informationen und Daten wieder zum Versicherer zurückzuführen oder einem neuen IT-Dienstleister zur Verfügung zu stellen. Dies wird regelmäßig über die Vereinbarung von gewissen Übergangsleistungen des alten IT-Dienstleisters ermöglicht. Diese sind eindeutig zu definieren.
Um zudem keine bösen Überraschungen zu erleben, sollten auch die Regelungen zur Vergütung dieser Übergangsleistungen aufgenommen werden.

Schlussfolgerung

Die Ausgliederung einer Datenverarbeitung im Rahmen von Telematik-Tarifen unterliegt stets der Beachtung von regulatorischen Vorgaben. Obwohl die Letztverantwortung bei der Geschäftsleitung des Versicherers liegt, haben auch die IT-Dienstleister aufgrund der obligatorischen Bestimmungen in der betreffenden Ausgliederungsvereinbarung erhebliche vertragliche Pflichten gegenüber dem Versicherer einzugehen und zu erfüllen. Ergänzt werden die regulatorischen Aspekte von den Vorgaben zur IT-Sicherheit und zum Datenschutz.

Versicherer und IT-Dienstleister sollten deshalb bei der Vertragsanbahnung jeweils entsprechend Zeit einzuplanen, um im Vorfeld die gesetzlichen Anforderungen sorgfältig und einvernehmlich zu klären und vertraglich festzulegen.