Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) hat im März 2013 die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“, den so genannten Code of Conduct (CoC), veröffentlicht. Eine Vielzahl der Versicherer ist dem CoC bereits beigetreten. In den einzelnen Häusern herrschen jedoch noch viele Unsicherheiten bei den Details der Umsetzung.
Auf der dritten Fachkonferenz „Datenschutz in der Assekuranz: Umsetzung des Code of Conduct in der Versicherungswirtschaft“ der Versicherungsforen Leipzig kamen daher Datenschutzbeauftragte von Versicherungsunternehmen zusammen und diskutierten die Hürden bei der Umsetzung des CoC. Große Unklarheiten bestünden bei den Versicherern zum Beispiel beim Thema Löschen und Sperren. Die nicht mehr verwendeten Daten in den Systemen der Versicherer zu löschen sei ein Aufwand, den so gut wie kein Haus stemmen könne. Die Daten zu sperren sei dagegen technisch einfacher.
Doch auch dies sei mit vielen Fragen verbunden, denn zu definieren, wann welche Daten nicht mehr benötigt würden, sei häufig von Abteilung zu Abteilung unterschiedlich. Versicherer seien gut damit beraten, ein CoC-konformes Sperr- und Löschkonzept zu entwickeln, hinter dem ein explizites Berechtigungssystem zur Steuerung der Zugriffe auf Daten stehe.
Mit regelmäßigen Prüfungen der Aufsicht zu rechnen
Von ihren individuellen Erfahrungen bei der Einführung des CoC berichteten auf der Fachkonferenz unter anderem Vertreter der Ergo Direkt, der Nürnberger Versicherungsgruppe sowie des Axa Konzerns. In allen drei Vorträgen wurde deutlich, dass die Umsetzung des CoC ein umfangreiches Projekt sei, das gut geplant und strukturiert durchgeführt werden müsse. Malte-Michael Kaspar, Ergo Direkt, betonte, dass für eine erfolgreiche Umsetzung verschiedene Abteilungen von Anfang an mit ins Boot geholt werden müssten, denn der CoC berühre mehr Abteilungen, als es auf den ersten Blick scheine. Dirk Petrautzki, Nürnberger Versicherungsgruppe, empfahl zudem, immer auf Prüfungen vorbereitet zu sein. Auch wenn sich Versicherer selbst zum CoC verpflichteten, sei mit regelmäßigen Prüfungen der Aufsicht zu rechnen. Darauf, dass es auch sinnvoll sei, bei diesem Projekt den Vorstand frühzeitig einzubeziehen, wies Peter Mainzer von der Axa hin.
Datenverarbeitung wird transparenter
Mainzer ist auch davon überzeugt, dass „die Datenverarbeitung in der Versicherungswirtschaft sich bisher an den Generalnormen des Bundesdatenschutzgesetzes orientierte. Demgegenüber regelt der Code of Conduct die Datenverarbeitung aller relevanten Geschäftsprozesse in der Versicherungswirtschaft, wodurch die Rechtssicherheit für Unternehmen und Kunden erheblich verbessert wurde. Der CoC bewirkt eine Erhöhung der Transparenz der Datenverarbeitung in der Versicherungswirtschaft, wobei gleichzeitig eine Vereinfachung der Geschäftsprozesse erreicht wurde, wie bei der Beauftragung von Dienstleistern oder zur Übertragung von Beständen bei Ausscheiden von Vermittlern.“
Den Kunden nie außer Acht lassen
Allgemein zum Thema Datenschutz betonte auch Dr. Ulrich Eberhardt, Huk-Coburg-Rechtsschutzversicherung, dass vor allem die Erhebung personenbezogener Gesundheitsdaten komplexe Prozesse mit sich bringe. Obwohl es hierzu eine Reihe von Vorschriften gäbe, allen voran § 213 VVG, bestimme das „ob“ der Auskunftsverpflichtung zwar der Versicherer. Über das „wie“ entscheide jedoch immer noch der Versicherungsnehmer, um den Leistungsanspruch geltend zu machen. Bei allen Überlegungen zu Datenschutz und -erhebung dürfe daher der Kunde nicht außer Acht gelassen werden.
Textquelle: Versicherungsforen Leipzig, Bildquelle: © Cumulus
Auf der dritten Fachkonferenz „Datenschutz in der Assekuranz: Umsetzung des Code of Conduct in der Versicherungswirtschaft“ der Versicherungsforen Leipzig kamen daher Datenschutzbeauftragte von Versicherungsunternehmen zusammen und diskutierten die Hürden bei der Umsetzung des CoC. Große Unklarheiten bestünden bei den Versicherern zum Beispiel beim Thema Löschen und Sperren. Die nicht mehr verwendeten Daten in den Systemen der Versicherer zu löschen sei ein Aufwand, den so gut wie kein Haus stemmen könne. Die Daten zu sperren sei dagegen technisch einfacher.
Doch auch dies sei mit vielen Fragen verbunden, denn zu definieren, wann welche Daten nicht mehr benötigt würden, sei häufig von Abteilung zu Abteilung unterschiedlich. Versicherer seien gut damit beraten, ein CoC-konformes Sperr- und Löschkonzept zu entwickeln, hinter dem ein explizites Berechtigungssystem zur Steuerung der Zugriffe auf Daten stehe.
Mit regelmäßigen Prüfungen der Aufsicht zu rechnen
Von ihren individuellen Erfahrungen bei der Einführung des CoC berichteten auf der Fachkonferenz unter anderem Vertreter der Ergo Direkt, der Nürnberger Versicherungsgruppe sowie des Axa Konzerns. In allen drei Vorträgen wurde deutlich, dass die Umsetzung des CoC ein umfangreiches Projekt sei, das gut geplant und strukturiert durchgeführt werden müsse. Malte-Michael Kaspar, Ergo Direkt, betonte, dass für eine erfolgreiche Umsetzung verschiedene Abteilungen von Anfang an mit ins Boot geholt werden müssten, denn der CoC berühre mehr Abteilungen, als es auf den ersten Blick scheine. Dirk Petrautzki, Nürnberger Versicherungsgruppe, empfahl zudem, immer auf Prüfungen vorbereitet zu sein. Auch wenn sich Versicherer selbst zum CoC verpflichteten, sei mit regelmäßigen Prüfungen der Aufsicht zu rechnen. Darauf, dass es auch sinnvoll sei, bei diesem Projekt den Vorstand frühzeitig einzubeziehen, wies Peter Mainzer von der Axa hin.
Datenverarbeitung wird transparenter
Mainzer ist auch davon überzeugt, dass „die Datenverarbeitung in der Versicherungswirtschaft sich bisher an den Generalnormen des Bundesdatenschutzgesetzes orientierte. Demgegenüber regelt der Code of Conduct die Datenverarbeitung aller relevanten Geschäftsprozesse in der Versicherungswirtschaft, wodurch die Rechtssicherheit für Unternehmen und Kunden erheblich verbessert wurde. Der CoC bewirkt eine Erhöhung der Transparenz der Datenverarbeitung in der Versicherungswirtschaft, wobei gleichzeitig eine Vereinfachung der Geschäftsprozesse erreicht wurde, wie bei der Beauftragung von Dienstleistern oder zur Übertragung von Beständen bei Ausscheiden von Vermittlern.“
Den Kunden nie außer Acht lassen
Allgemein zum Thema Datenschutz betonte auch Dr. Ulrich Eberhardt, Huk-Coburg-Rechtsschutzversicherung, dass vor allem die Erhebung personenbezogener Gesundheitsdaten komplexe Prozesse mit sich bringe. Obwohl es hierzu eine Reihe von Vorschriften gäbe, allen voran § 213 VVG, bestimme das „ob“ der Auskunftsverpflichtung zwar der Versicherer. Über das „wie“ entscheide jedoch immer noch der Versicherungsnehmer, um den Leistungsanspruch geltend zu machen. Bei allen Überlegungen zu Datenschutz und -erhebung dürfe daher der Kunde nicht außer Acht gelassen werden.
Textquelle: Versicherungsforen Leipzig, Bildquelle: © Cumulus
Autor(en): versicherungsmagazin.de
