Bei jedem Versicherungsabschluss übergibt der Kunde seinem Versicherer eine große Menge an sensiblen Daten. Das können Gesundheitsdaten im Rahmen des Abschlusses einer Lebens- oder Krankenversicherung sein, Informationen über Verwandtschaftsverhältnisse bei einer Familienversicherung oder Daten zu den eigenen Vermögensverhältnissen im Falle einer Vorsorgeversicherung. Ohne diese Daten ist es einem Versicherungsunternehmen nicht möglich, dem Kunden ein individuelles Angebot zu unterbreiten oder einen adäquaten Versicherungsschutz zu bieten. Trotzdem dürfte beim Kunden manchmal ein mulmiges Gefühl bleiben.
Versicherungen in Deutschland unterliegen, wie jedes Unternehmen, das personenbezogene Daten verarbeitet, dem Bundesdatenschutzgesetz (BDSG). Da es sich dabei um ein branchenübergreifendes, umfangreiches Gesetzeswerk handelt, hat sich die deutsche Versicherungswirtschaft im Jahr 2013 ein spezifischeres Regelwerk zum Datenschutz gegeben, den Code of Conduct.
Code of Conduct legt Wert auf Verständlichkeit
Dieser Code of Conduct übernimmt viele abstrakte Regeln des BDSG, die aber für den Verbraucher verständlich und versicherungsspezifisch übersetzt wurden. So wird beispielsweise im BDSG häufig von "Betroffenen", von "Dritten" und von "Datenverarbeitenden Stellen" gesprochen, im Code of Conduct jedoch von "Kunden", "mitversicherten Personen" und "Versicherern". In einigen Regelungen geht der Code of Conduct sogar über die Vorschriften des BDSG hinaus. Beispielsweise wird in Artikel 5 gefordert, mündliche oder elektronische Einwilligungen eines Kunden immer noch einmal zu bestätigen. Das BDSG stellt diese Forderung nicht.
Versicherungen können dem Code of Conduct nach den Regularien des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) freiwillig beitreten. Umso erfreulicher ist es, dass bis heute eine Vielzahl dabei ist - zusammen machen diese Versicherer einen Marktanteil von über 80 Prozent aus.
Auch die Barmenia Versicherungen sind dem Code of Conduct beigetreten, und zwar bereits 2013 als eine der ersten Versicherungen überhaupt. Im damaligen Einführungsprojekt wurde der Code of Conduct zunächst in Einheiten zerlegt: kurze Abschnitte, einzelne Sätze und zum Teil Halbsätze. Für jede Einheit wurde erarbeitet, wie die Barmenia Versicherungen sie interpretiert, welche Verpflichtungen sich daraus ergeben und wie sie umgesetzt werden.
So lautet beispielsweise Abschnitt 3 des Artikels 13 des Code of Conduct: "Der Einsatz automatisierter Entscheidungshilfen wird dokumentiert". Hier mussten die Barmenia Versicherungen zunächst einmal den Begriff der automatisierten Entscheidungshilfen definieren und von automatisierten Entscheidungen abgrenzen, wie sie im vorhergehenden Abschnitt Code of Conduct erwähnt werden. Die Versicherung legte fest und dokumentierte, dass automatisierte Entscheidungen vollautomatisch ablaufen, während automatisierte Entscheidungshilfen den Sachbearbeiter lediglich unterstützen, er aber weiterhin das letzte Wort hat. Weiterhin wurde festgelegt, in welcher Form der Einsatz dokumentiert wird, ob also jeder Einzelfall der Nutzung einer automatisierten Entscheidungshilfe zu dokumentieren ist, oder ob der Abschnitt bedeutet, dass der Prozess der Nutzung zu dokumentieren ist. Hier haben sich die Barmenia Versicherungen für letzteres entschieden.
Der "Code of Conduct":
Einheitlicher Standard zum Datenschutz der deutschen Versicherungswirtschaft
Erstellt durch den Gesamtverband der Deutschen Versicherungswirtschaft e.V. mit seinen Mitgliedsunternehmen auf Grundlage des Bundesdatenschutzgesetzes
Abgestimmt mit Datenschutzaufsicht und Verbraucherschutz
Verpflichtung zu den Grundsätzen Transparenz, Erforderlichkeit der Verarbeitung, Datenvermeidung und Datensparsamkeit
Das Ziel dieser oft kleinteiligen Arbeit war es, ein ganzheitliches, vollständiges, nachvollziehbares und transparentes System zu etablieren. Schon in dieser frühen Phase wurden neben den Verantwortlichen für Datenschutz, Recht und Revision auch die Fachbereiche des Vertragswesens und der Leistungsbearbeitung einbezogen, liegt die Verarbeitung der Daten doch in der Verantwortung eben dieser Fachbereiche.
Im Laufe der Projektarbeiten fielen immer wieder Inhalte des Code of Conduct auf, die zunächst einfach klingen, in der konkreten Umsetzung aber eine enorme Herausforderung darstellen. In Artikel 20 etwa wird verlangt, dass der Kunde zu informieren ist, bevor seine Adress- und Vertragsdaten an einen Außendienstpartner übermittelt werden. Er soll ausreichend Zeit für einen eventuellen Widerspruch haben. Was einfach klingt, führt bei Versicherern mit einer eigenen Außendienstorganisation zu hohem administrativen Aufwand, den ein Direktversicherer nicht hat.
"Die Wahrung der informationellen Selbstbestimmung und der Schutz der Privatsphäre […] sind für die Versicherungswirtschaft ein Kernanliegen, um das Vertrauen der Versicherten zu gewährleisten."
Aus dem Code of Conduct
Andererseits muss in Zukunft jede Art von mündlicher Einwilligung des Kunden schriftlich bestätigt werden (Artikel 5). Hier sind Direktversicherer deutlich stärker betroffen, da für sie mündliche Einwilligungen eher zum Alltag gehören als für einen Versicherer mit Außendienst, der häufig den persönlichen Kontakt zum Kunden pflegt.
Fach- und Umsetzungskonzept
Aus der Interpretation des Code of Conduct wurden letztlich ein Fach- und ein Umsetzungskonzept erstellt, die nun in Teilprojekten realisiert werden. Das Teilprojekt "Technische Anforderungen" setzt die Aspekte um, die sich in technischen Systemen niederschlagen. Dazu gehört etwa das Prüfen von Regeln zum Sperren und Löschen nicht mehr notwendiger Daten oder die verstärkte Nutzung anonymisierter Daten, wo immer dies möglich ist. Das wird durch die IT der Barmenia Versicherungen implementiert.
Unter anderem wird bei den Systemen für die Vertragsführung darauf geachtet, dass Daten, die nicht mehr aufbewahrt werden müssen, konsistent und vollständig gelöscht werden. Außerdem wird sichergestellt, innerhalb des Unternehmens mit anonymen Daten ohne Personenbezug zu arbeiten, soweit dies möglich ist.
Das Teilprojekt Fachliche Anforderungen umfasst fachliche und organisatorische Aspekte, die sich nicht in technischen Systemen niederschlagen. Um ein Beispiel zu nennen: Die Erstellung von Arbeitsanweisungen, die regeln, wem die Versicherung welche Auskünfte erteilen darf. Darf beispielsweise eine versicherte Person einer Krankenversicherung erfahren, wie hoch die Versicherungsbeiträge sind? Natürlich nicht, diese Information steht nur dem Versicherungsnehmer zu.
Ziel dieses Teilprojektes ist es, die Mitarbeiter mit standardisierten Maßnahmen und Arbeitsanweisungen so zu unterstützen, dass sich der Umgang mit dem Thema Datenschutz im täglichen Handeln verankert - als Unternehmenswert quasi.
Datenschutz ist selbstverständlich geworden
Durch die Arbeiten am Code of Conduct ist das Thema Datenschutz für die Fachbereiche der Barmenia Versicherungen ganz selbstverständlich geworden. Regelungen aus dem Code of Conduct werden automatisch in Verträge mit externen Dienstleistern integriert. So werden alle Dienstleister, die Daten der Barmenia Versicherungen erhalten, aufgefordert, sorgsam damit umzugehen, und auf das Datengeheimnis verpflichtet. Zudem wird ein Vertrag zur Auftragsdatenverarbeitung geschlossen.
Dieser sieht beispielsweise vor, die Barmenia Versicherungen sofort zu informieren, sobald es beim beauftragten Dienstleister zu Verstößen gegen Auflagen des Datenschutzes oder der IT-Sicherheit kommt. Bei der Auswahl neuer Systeme wird strikt darauf geachtet, dass sie die technischen Anforderungen des Code of Conduct, beispielsweise die Möglichkeit, Datensätze sperren oder löschen zu können, erfüllen.
Diese Maßnahmen haben die Barmenia Versicherungen in ihren Bemühungen, den Datenschutz als Unternehmenswert zu verstehen und zu verankern, einen entscheidenden Schritt weiter gebracht. Das Projekt zur Implementierung des Code of Conduct befindet sich aktuell in der Umsetzungsphase. Alle Fach- und Umsetzungskonzepte sind erstellt, viele Regelungen sind bereits eingeführt.
Es spricht nichts gegen eine plan- und fristgerechte Umsetzung zum Ende dieses Jahres, dafür ziehen alle an einem Strang. Die persönlichen Daten eines Kunden sind die Basis des Versicherungsgeschäfts. Die sensible Umgang und der Schutz dieser Daten ist die Voraussetzung für eine vertrauensvolle Zusammenarbeit und langfristige Kundenbeziehung. Der Datenschutz ist zu einem Pfeiler des unternehmerischen Handelns geworden. Darüber informieren die Barmenia Versicherungen sowohl ihre Bestands- als auch Neukunden regelmäßig. Die Kunden sollen wissen, dass sich die Gesellschaft der Sensibilität der Daten, die zur Regelung der Versicherungsangelegenheiten benötigt werden, bewusst ist.