Versicherungen leben von personenbezogenen Daten, und deren Sensibilität ist ihnen durchaus bewusst. Mit einem branchenspezifischen Verhaltenskodex verpflichten sie sich zu einheitlichen Standards bei der Einhaltung der Datenschutzgesetze. Zwei Besonderheiten der Branche verdienen einen genaueren Hinblick.
Das wichtigste Kapital von Versicherungen sind Daten, auf ihnen basiert ihr Geschäftsmodell. Je mehr Versicherungen über ihre Kunden wissen, desto besser ist die Ausgangslage für ein breites Spektrum an Analysen, beispielsweise für die Bestimmung von Risiken, die Festlegung von Prämien für Versicherungsnehmer, für die Entwicklung neuer Versicherungsprodukte oder die Vermarktung der Angebote. Selbstverständlich sind Daten erforderlich, damit Versicherungsnehmer angemessen beraten und passenden Tarifen zugeordnet werden können, sich Schäden regulieren lassen und ebenso wie bei vielen anderen Unternehmen für die vertragsgemäße Abwicklung von Versicherungsverhältnissen.
Code of Conduct
Dass Daten in jeder Hinsicht sensibles Material sind, ist Versicherungen bewusst. Seit dem Jahr 2012 gibt es den Code of Conduct (CoC), eine freiwillige Selbstverpflichtung der Versicherungsbranche für den Umgang mit personenbezogenen Daten. Den Verhaltenskodex hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) zusammen mit Datenschutzbehörde und Verbraucherzentrale entlang des Bundesdatenschutzgesetztes entwickelt; bereits kurze Zeit nach der Einrichtung des CoC waren die meisten deutschen Versicherungsunternehmen beigetreten. Der Kodex zielt darauf ab, dass die deutschen Versicherungen nach einheitlichen Standards bei der Einhaltung der Datenschutzgesetze vorgehen und darüber hinaus die Grundsätze der Transparenz, der Erforderlichkeit der verarbeiteten Daten und der Datenvermeidung und -sparsamkeit in besonderer Weise berücksichtigen. 2018 wurden die Verhaltensregeln an die DSGVO angepasst, die im übrigen für Versicherungen genauso verbindlich ist wie für alle anderen Unternehmen. Zwei kritische Punkte sollen dabei näher beleuchtet werden.
Datensparsamkeit
Die DSGVO setzt dem Sammeln und Verarbeiten von Daten enge Grenzen. Nach dem Grundsatz der Datensparsamkeit sollten nur die Daten erhoben, gespeichert und verarbeitet werden, die für die angegebenen Zwecke erforderlich sind. Die Erfassung beziehungsweise die Verwendung von Daten für darüber hinausgehende Zwecke ohne eine entsprechende Rechtsvorschrift oder eine Einwilligung des Kunden ist unzulässig. Datensparsamkeit lässt den Versicherungen (wie anderen Branchen auch) nicht besonders viel Spielraum, um beispielsweise an die Daten zu kommen, die für die Weiterentwicklung ihrer Angebote interessant sind. Da Unternehmen keine Datenschutzverletzung begehen, wenn sie Daten über das Erforderliche hinaus mit der Einwilligung des Betroffenen erheben und verarbeiten, gehen sie bei der Entwicklung von Anreizen durchaus kreativ vor. Sie nutzen dafür beispielsweise neue Apps oder Devices wie Fitness-Tracker und gewähren den Versicherungsnehmern Vorteile, wenn diese in die Verwendung dieser Daten einwilligen.
Datenweitergabe
Die Versicherungswirtschaft unterhält eine Warndatei, das Hinweis- und Informationssystem der Versicherungswirtschaft (HIS). Dieses Register soll die Branche bei der Aufdeckung und Prävention von Versicherungsbetrug und Versicherungsmissbrauch unterstützen, eine Art Schufa für Versicherer. Sie können dort Angaben in Anträgen oder bei der Aufklärung von Schadensfällen anhand der Datei prüfen bzw. Auffälligkeiten melden. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg hat in dem Paper „Datenschutzrechtliche Hinweise zum Hinweis- und Informationssystem der Versicherungswirtschaft (HIS)“ zusammengefasst, welche Angaben im HIS erfasst werden dürfen und, wichtig für Versicherungsnehmer, unter welchen Voraussetzungen.