Bei jedem Versicherungsabschluss übergibt der Kunde seinem Versicherer eine große Menge an sensiblen Daten. Das können Gesundheitsdaten im Rahmen des Abschlusses einer Lebens- oder Krankenversicherung sein, Informationen über Verwandtschaftsverhältnisse bei einer Familienversicherung oder Daten zu den eigenen Vermögensverhältnissen im Falle einer Vorsorgeversicherung. Ohne diese Daten ist es einem Versicherungsunternehmen nicht möglich, dem Kunden ein individuelles Angebot zu unterbreiten oder einen adäquaten Versicherungsschutz zu bieten. Trotzdem dürfte beim Kunden manchmal ein mulmiges Gefühl bleiben.
Foto: Barmenia
Versicherungen in Deutschland unterliegen, wie jedes Unternehmen, das personenbezogene Daten verarbeitet, dem Bundesdatenschutzgesetz (BDSG). Da es sich dabei um ein branchenübergreifendes, umfangreiches Gesetzeswerk handelt, hat sich die deutsche Versicherungswirtschaft im Jahr 2013 ein spezifischeres Regelwerk zum Datenschutz gegeben, den Code of Conduct.
Code of Conduct legt Wert auf Verständlichkeit
Dieser Code of Conduct übernimmt viele abstrakte Regeln des BDSG, die aber für den Verbraucher verständlich und versicherungsspezifisch übersetzt wurden. So wird beispielsweise im BDSG häufig von "Betroffenen", von "Dritten" und von "Datenverarbeitenden Stellen" gesprochen, im Code of Conduct jedoch von "Kunden", "mitversicherten Personen" und "Versicherern". In einigen Regelungen geht der Code of Conduct sogar über die Vorschriften des BDSG hinaus. Beispielsweise wird in Artikel 5 gefordert, mündliche oder elektronische Einwilligungen eines Kunden immer noch einmal zu bestätigen. Das BDSG stellt diese Forderung nicht.
Versicherungen können dem Code of Conduct nach den Regularien des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) freiwillig beitreten. Umso erfreulicher ist es, dass bis heute eine Vielzahl dabei ist - zusammen machen diese Versicherer einen Marktanteil von über 80 Prozent aus.
Auch die Barmenia Versicherungen sind dem Code of Conduct beigetreten, und zwar bereits 2013 als eine der ersten Versicherungen überhaupt. Im damaligen Einführungsprojekt wurde der Code of Conduct zunächst in Einheiten zerlegt: kurze Abschnitte, einzelne Sätze und zum Teil Halbsätze. Für jede Einheit wurde erarbeitet, wie die Barmenia Versicherungen sie interpretiert, welche Verpflichtungen sich daraus ergeben und wie sie umgesetzt werden.
Foto: Barmenia
So lautet beispielsweise Abschnitt 3 des Artikels 13 des Code of Conduct: "Der Einsatz automatisierter Entscheidungshilfen wird dokumentiert". Hier mussten die Barmenia Versicherungen zunächst einmal den Begriff der automatisierten Entscheidungshilfen definieren und von automatisierten Entscheidungen abgrenzen, wie sie im vorhergehenden Abschnitt Code of Conduct erwähnt werden. Die Versicherung legte fest und dokumentierte, dass automatisierte Entscheidungen vollautomatisch ablaufen, während automatisierte Entscheidungshilfen den Sachbearbeiter lediglich unterstützen, er aber weiterhin das letzte Wort hat. Weiterhin wurde festgelegt, in welcher Form der Einsatz dokumentiert wird, ob also jeder Einzelfall der Nutzung einer automatisierten Entscheidungshilfe zu dokumentieren ist, oder ob der Abschnitt bedeutet, dass der Prozess der Nutzung zu dokumentieren ist. Hier haben sich die Barmenia Versicherungen für letzteres entschieden.
Der "Code of Conduct":
Einheitlicher Standard zum Datenschutz der deutschen Versicherungswirtschaft
Erstellt durch den Gesamtverband der Deutschen Versicherungswirtschaft e.V. mit seinen Mitgliedsunternehmen auf Grundlage des Bundesdatenschutzgesetzes
Abgestimmt mit Datenschutzaufsicht und Verbraucherschutz
Verpflichtung zu den Grundsätzen Transparenz, Erforderlichkeit der Verarbeitung, Datenvermeidung und Datensparsamkeit
Das Ziel dieser oft kleinteiligen Arbeit war es, ein ganzheitliches, vollständiges, nachvollziehbares und transparentes System zu etablieren. Schon in dieser frühen Phase wurden neben den Verantwortlichen für Datenschutz, Recht und Revision auch die Fachbereiche des Vertragswesens und der Leistungsbearbeitung einbezogen, liegt die Verarbeitung der Daten doch in der Verantwortung eben dieser Fachbereiche.
Im Laufe der Projektarbeiten fielen immer wieder Inhalte des Code of Conduct auf, die zunächst einfach klingen, in der konkreten Umsetzung aber eine enorme Herausforderung darstellen. In Artikel 20 etwa wird verlangt, dass der Kunde zu informieren ist, bevor seine Adress- und Vertragsdaten an einen Außendienstpartner übermittelt werden. Er soll ausreichend Zeit für einen eventuellen Widerspruch haben. Was einfach klingt, führt bei Versicherern mit einer eigenen Außendienstorganisation zu hohem administrativen Aufwand, den ein Direktversicherer nicht hat.
"Die Wahrung der informationellen Selbstbestimmung und der Schutz der Privatsphäre […] sind für die Versicherungswirtschaft ein Kernanliegen, um das Vertrauen der Versicherten zu gewährleisten."
Aus dem Code of Conduct
Andererseits muss in Zukunft jede Art von mündlicher Einwilligung des Kunden schriftlich bestätigt werden (Artikel 5). Hier sind Direktversicherer deutlich stärker betroffen, da für sie mündliche Einwilligungen eher zum Alltag gehören als für einen Versicherer mit Außendienst, der häufig den persönlichen Kontakt zum Kunden pflegt.