Finance IT


Code of Conduct

Wie die Barmenia den Datenschutz verankert hat

Dr. Steffen Lehmann ist Leiter Competence Center Consulting, Line of Business Insurance bei adesso.
Christian Nölke ist Senior Consultant und Projektleiter bei adesso. Er betreut regulatorische Projekte bei Banken und Versicherungen.
Ein branchenweit erarbeiteter Code of Conduct sorgt bei dem Gros der Versicherungsgesellschaften dafür, dass der Datenschutz mehr als nur eingehalten wird. Wie so etwas in den unternehmerischen Alltag implementiert werden kann, zeigt das Beispiel der Barmenia Versicherungen.
  • Der selbstauferlegte Code of Conduct ist für Versicherungen in der Umsetzung eine Herausforderung
  • Direktversicherungen haben andere Spielregeln als Versicherer mit Außendienstpartnern

Bei jedem Versicherungsabschluss übergibt der Kunde seinem Versicherer eine große Menge an sensiblen Daten. Das können Gesundheitsdaten im Rahmen des Abschlusses einer Lebens- oder Krankenversicherung sein, Informationen über Verwandtschaftsverhältnisse bei einer Familienversicherung oder Daten zu den eigenen Vermögensverhältnissen im Falle einer Vorsorgeversicherung. Ohne diese Daten ist es einem Versicherungsunternehmen nicht möglich, dem Kunden ein individuelles Angebot zu unterbreiten oder einen adäquaten Versicherungsschutz zu bieten. Trotzdem dürfte beim Kunden manchmal ein mulmiges Gefühl bleiben.

Die Barmenia Versicherungen verpflichten sich im Code of Conduct zu Datenschutz, der über das, was der Gesetzgeber vorschreibt, hinausgeht.
Die Barmenia Versicherungen verpflichten sich im Code of Conduct zu Datenschutz, der über das, was der Gesetzgeber vorschreibt, hinausgeht.
Foto: Barmenia

VersicherungenVersicherungen in Deutschland unterliegen, wie jedes Unternehmen, das personenbezogene Daten verarbeitet, dem Bundesdatenschutzgesetz (BDSG). Da es sich dabei um ein branchenübergreifendes, umfangreiches Gesetzeswerk handelt, hat sich die deutsche Versicherungswirtschaft im Jahr 2013 ein spezifischeres Regelwerk zum DatenschutzDatenschutz gegeben, den Code of Conduct. Alles zu Datenschutz auf CIO.de Top-Firmen der Branche Versicherungen

Code of Conduct legt Wert auf Verständlichkeit

Dieser Code of Conduct übernimmt viele abstrakte Regeln des BDSG, die aber für den Verbraucher verständlich und versicherungsspezifisch übersetzt wurden. So wird beispielsweise im BDSG häufig von "Betroffenen", von "Dritten" und von "Datenverarbeitenden Stellen" gesprochen, im Code of Conduct jedoch von "Kunden", "mitversicherten Personen" und "Versicherern". In einigen Regelungen geht der Code of Conduct sogar über die Vorschriften des BDSG hinaus. Beispielsweise wird in Artikel 5 gefordert, mündliche oder elektronische Einwilligungen eines Kunden immer noch einmal zu bestätigen. Das BDSG stellt diese Forderung nicht.

Versicherungen können dem Code of Conduct nach den Regularien des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) freiwillig beitreten. Umso erfreulicher ist es, dass bis heute eine Vielzahl dabei ist - zusammen machen diese Versicherer einen Marktanteil von über 80 Prozent aus.

Auch die Barmenia Versicherungen sind dem Code of Conduct beigetreten, und zwar bereits 2013 als eine der ersten Versicherungen überhaupt. Im damaligen Einführungsprojekt wurde der Code of Conduct zunächst in Einheiten zerlegt: kurze Abschnitte, einzelne Sätze und zum Teil Halbsätze. Für jede Einheit wurde erarbeitet, wie die Barmenia Versicherungen sie interpretiert, welche Verpflichtungen sich daraus ergeben und wie sie umgesetzt werden.

In der Hauptverwaltung der Barmenia Versicherungen weiß man: Ohne Datenschutz keine Geschäfte.
In der Hauptverwaltung der Barmenia Versicherungen weiß man: Ohne Datenschutz keine Geschäfte.
Foto: Barmenia

So lautet beispielsweise Abschnitt 3 des Artikels 13 des Code of Conduct: "Der Einsatz automatisierter Entscheidungshilfen wird dokumentiert". Hier mussten die Barmenia Versicherungen zunächst einmal den Begriff der automatisierten Entscheidungshilfen definieren und von automatisierten Entscheidungen abgrenzen, wie sie im vorhergehenden Abschnitt Code of Conduct erwähnt werden. Die Versicherung legte fest und dokumentierte, dass automatisierte Entscheidungen vollautomatisch ablaufen, während automatisierte Entscheidungshilfen den Sachbearbeiter lediglich unterstützen, er aber weiterhin das letzte Wort hat. Weiterhin wurde festgelegt, in welcher Form der Einsatz dokumentiert wird, ob also jeder Einzelfall der Nutzung einer automatisierten Entscheidungshilfe zu dokumentieren ist, oder ob der Abschnitt bedeutet, dass der Prozess der Nutzung zu dokumentieren ist. Hier haben sich die Barmenia Versicherungen für letzteres entschieden.

Der "Code of Conduct":

  • Einheitlicher Standard zum Datenschutz der deutschen Versicherungswirtschaft

  • Erstellt durch den Gesamtverband der Deutschen Versicherungswirtschaft e.V. mit seinen Mitgliedsunternehmen auf Grundlage des Bundesdatenschutzgesetzes

  • Abgestimmt mit Datenschutzaufsicht und Verbraucherschutz

  • Verpflichtung zu den Grundsätzen Transparenz, Erforderlichkeit der Verarbeitung, Datenvermeidung und Datensparsamkeit

Das Ziel dieser oft kleinteiligen Arbeit war es, ein ganzheitliches, vollständiges, nachvollziehbares und transparentes System zu etablieren. Schon in dieser frühen Phase wurden neben den Verantwortlichen für Datenschutz, Recht und Revision auch die Fachbereiche des Vertragswesens und der Leistungsbearbeitung einbezogen, liegt die Verarbeitung der Daten doch in der Verantwortung eben dieser Fachbereiche.

Im Laufe der Projektarbeiten fielen immer wieder Inhalte des Code of Conduct auf, die zunächst einfach klingen, in der konkreten Umsetzung aber eine enorme Herausforderung darstellen. In Artikel 20 etwa wird verlangt, dass der Kunde zu informieren ist, bevor seine Adress- und Vertragsdaten an einen Außendienstpartner übermittelt werden. Er soll ausreichend Zeit für einen eventuellen Widerspruch haben. Was einfach klingt, führt bei Versicherern mit einer eigenen Außendienstorganisation zu hohem administrativen Aufwand, den ein Direktversicherer nicht hat.

"Die Wahrung der informationellen Selbstbestimmung und der Schutz der Privatsphäre […] sind für die Versicherungswirtschaft ein Kernanliegen, um das Vertrauen der Versicherten zu gewährleisten."
Aus dem Code of Conduct

Andererseits muss in Zukunft jede Art von mündlicher Einwilligung des Kunden schriftlich bestätigt werden (Artikel 5). Hier sind Direktversicherer deutlich stärker betroffen, da für sie mündliche Einwilligungen eher zum Alltag gehören als für einen Versicherer mit Außendienst, der häufig den persönlichen Kontakt zum Kunden pflegt.

Zur Startseite