Datenschutz in der Versicherungswirtschaft

Eine Vielzahl der Versicherer ist dem CoC bereits beigetreten. „Der Code of Conduct Datenschutz bietet den Versicherungsunternehmen die Möglichkeit, gegenüber ihren Kunden, das in sie gesetzte Vertrauen und die Sicherheit zu stärken.“, erklärte Axel Hervatin, Architekturmanagement & Integrationsarchitekturen, Talanx Systeme AG.

Mit dem Code of Conduct Datenschutz können Versicherer Vertrauen und Sicherheit stärken

Derzeit herrschen in den einzelnen Häusern jedoch noch viele Unsicherheiten bei den Details der Umsetzung. Auf der dritten Fachkonferenz „Datenschutz in der Assekuranz: Umsetzung des Code of Conduct in der Versicherungswirtschaft“ der Versicherungsforen Leipzig am 5. und 6. November 2014 kamen daher Datenschutzbeauftragte von Versicherungsunternehmen zusammen und diskutierten die Herausforderungen der Umsetzung des CoC.

Große Unklarheiten bestehen bei den Versicherern zum Beispiel beim Thema Löschen und Sperren. Die nicht mehr verwendeten Daten in den Systemen der Versicherer zu löschen ist ein Aufwand, den so gut wie kein Haus stemmen kann. Die Daten zu sperren ist dagegen technisch einfacher. Doch auch dies ist mit vielen Fragen verbunden, denn zu definieren, wann welche Daten nicht mehr benötigt werden, ist häufig von Abteilung zu Abteilung unterschiedlich. Versicherer sind gut damit beraten, ein CoC-konformes Sperr- und Löschkonzept zu entwickeln, hinter dem ein explizites Berechtigungssystem zur Steuerung der Zugriffe auf Daten steht.

CoC berührt mehr Abteilungen, als es auf den ersten Blick scheint

Von ihren individuellen Erfahrungen bei der Einführung des CoC berichteten auf der Fachkonferenz unter anderem Vertreter der ERGO Direkt, der Nürnberger Versicherungsgruppe sowie des AXA Konzerns. In allen drei Vorträgen wurde deutlich, dass die Umsetzung des CoC ein umfangreiches Projekt ist, das gut geplant und strukturiert durchgeführt werden muss. Malte-Michael Kaspar (ERGO Direkt) betonte, dass für eine erfolgreiche Umsetzung verschiedene Abteilungen von Anfang an mit ins Boot geholt werden müssen, denn der CoC berühre mehr Abteilungen, als es auf den ersten Blick scheint. Dirk Petrautzki (Nürnberger Versicherungsgruppe) empfahl zudem, immer auf Prüfungen vorbereitet zu sein. Auch wenn sich Versicherer selbst zum CoC verpflichten, ist mit regelmäßigen Prüfungen der Aufsicht zu rechnen. Darauf, dass es auch sinnvoll ist, bei diesem Projekt den Vorstand frühzeitig einzubeziehen, wies Peter Mainzer (AXA) hin.

Ein ebenfalls sensibel zu behandelnder Aspekt ist die Auftragsdatenverarbeitung, denn auch Dienstleister, die z.B. Gesundheitsdaten verarbeiten, müssen im Sinne des CoC geprüft werden. Dr. Joachim Müller (Ceyoniq Consulting) empfahl, dies über die Anwendung einer Prüfliste zu gewährleisten. Wenn eine Risikobewertung nach Aktenlage jedoch unklar sein sollte, ist zudem eine Vor-Ort-Kontrolle empfehlenswert.

Allgemein zum Thema Datenschutz betonte auch Dr. Ulrich Eberhardt (HUK-COBURG-Rechtsschutzversicherung), dass vor allem die Erhebung personenbezogener Gesundheitsdaten komplexe Prozesse mit sich bringt. Obwohl es hierzu eine Reihe von Vorschriften gibt, allen voran § 213 VVG, bestimmt das „ob“ der Auskunftsverpflichtung zwar der Versicherer. Über das „wie“ entscheide jedoch immer noch der Versicherungsnehmer, um den Leistungsanspruch geltend zu machen. Bei allen Überlegungen zu Datenschutz und -erhebung darf daher der Kunde nicht außer Acht gelassen werden. Zudem gab Dr. Eberhardt, welcher viele Jahre in der Datenschutzkommission des GDV als stellvertretender Vorsitzender tätig war, einen Einblick in die Entstehung und Hintergründe des CoC.