Was bedeutet Datenschutz bei Versicherungen *? Worauf müssen Versicherungen * in Sachen Datenverarbeitung und Sparsamkeit achten?

ver.de hat das Ziel, Deutschlands erste nachhaltige Versicherung* im Bereich Sachversicherungen aufzubauen – von den Kunden*innen (Mitgliedern) mitgestaltet und mit einer offengelegten, ökologisch-sozialen Kapitalanlage.

Neben Nachhaltigkeit ist ver.de die Partizipation durch unsere Genossenschaft, die Gemeinwohl-Orientierung und die Transparenz und Fairness wichtig. Das ist unkonventionell in der Versicherungswirtschaft.

Transparenz und Fairness gegenüber den ver.de Kund*innen

Da gehört für uns Datenschutz und Datensicherheit dazu. Bei ver.de gehen wir grundsätzlich sparsam, verantwortungsvoll und transparent mit Daten um.

Daten sind das neue Gold

Diesen Satz hast Du vielleicht schon mal gehört. Gerade deshalb finden wir es wichtig, verantwortungsvoll und sparsam mit den Daten unserer Kund*innen, Mitglieder und Partner*innen umzugehen und uns streng an die Datenschutzgesetze zu halten.

Zum Glück haben wir dabei wertvolle Unterstützung verschiedener Personen, die uns beraten und ein Auge auf unseren Datenschutz haben. Dazu gehört ver.de Partnerin Vicky Eichhorn, die uns bei unserer Webseite, im SEO-Marketing und bei Fragen zum Datenschutz zur Seite steht.

Im heutigen Interview mit ver.de-Redakteurin Elena Sulzbeck erzählt Vicky Eichhorn, was Datenschutz bedeutet, welche Verantwortungen sich daraus für den Datenschutz bei Versicherungen * ergeben und worauf Du selbst als Privatperson achten kannst, wenn es um den Schutz Deiner Daten geht.

* Erst nach vollständiger Finanzierung und Zulassung durch die BaFin darf sich ver.de als „Versicherung“ bezeichnen.

Datenschutz – Was ist das?

Elena: Fangen wir ganz am Anfang an: Was ist Datenschutz und wie funktioniert Datenschutz in Deutschland?

Vicky: Eine eindeutige Definition des Begriffes Datenschutz gibt es so nicht. Datenschutz ist vielmehr – wie der Name schon sagt – der Schutz von Daten und Informationen. Die DSGVO erklärt Datenschutz in Artikel 1 als Schutz von Menschen und deren Grundrechten durch gesetzliche Einschränkungen darüber, wie und von wem ihre personenbezogenen Daten verarbeitet werden dürfen.

Nicht irgendwelcher Daten, sondern sogenannter personenbezogener Daten wie zum Beispiel Name, Alter und Adresse, aber auch Religionszugehörigkeit, sexuelle Ausrichtung oder Herkunft von Privatpersonen.

Wir als Gesellschaft sehen diese Informationen als schützenswert an – zurecht wie ich finde, um weitestmögliche Chancengleichheit zu gewähren und Diskriminierung vorzubeugen.

Diese Ansicht fußt historisch auf der Vorstellung, dass es zwei gesellschaftliche Sektoren gibt: privat und öffentlich, auch wenn diese heutzutage zunehmend schwer zu trennen sind.

Daraus leitet sich für mich als Privatperson und Bürgerin das Persönlichkeitsrecht ab, dass Unternehmen und die Öffentlichkeit nicht alles über mich wissen dürfen.

Datenschutz ermöglicht mir die Kontrolle über meine persönlichen Daten und schützt mich so vor Beeinträchtigungen meiner Privatsphäre.

Dabei kann man an die ärztliche Schweigepflicht, das Postgeheimnis oder Steuergeheimnis denken.

In Deutschland funktioniert Datenschutz über Ausnahmen, im Fachjargon heißt das Verbotsprinzip mit Erlaubnisvorbehalt. Grundsätzlich darf niemand Deine Daten erheben, speichern, verarbeiten oder weitergeben, außer

• Du hast eingewilligt. Das passiert, wenn Du bei allen Cookie-Banner auf „akzeptieren“ klickst.
• Es liegt ein berechtigtes Interesse vor. Unternehmen, die Dir eine Ware schicken sollen, benötigen dafür beispielsweise die Lieferadresse.
• Es gibt gesetzliche Vorgaben, wie zum Beispiel Meldepflichten bei Versicherungen.

Wenn personenbezogene Daten erhoben werden, braucht es dafür also gute Gründe. Das gilt in allen Branchen – auch beim Datenschutz bei Versicherungen.

Elena: Warum ist Datenschutz Deiner Meinung nach wichtig?

Vicky: Mir geht es beim Thema Datenschutz in erster Linie um persönliche Integrität und Freiheit. Salopp formuliert geht es einfach niemanden etwas an, wie alt ich bin oder welcher Religion ich angehöre. Das ist Privatsache.

Dann entgegnen mit Leute manchmal, dass meine Daten niemanden interessieren und nicht weiter von Belang sind – falsch. In Zeiten des digitalen Turbokapitalismus sind Daten ein hohes Gut.

Heutzutage interessieren sich sehr viele Firmen für meine – und Deine – persönlichen Daten. Sie werden zu Profilen verarbeitet, verkauft und dienen der Aussteuerung von Inhalten und Werbung im Internet. Andere verdienen viel Geld damit.

Gegen Werbung habe ich grundsätzlich nichts. Problematisch wird es aber, wenn die Werbung mich über die Grenzen der persönlichen Privatsphäre hinüber verfolgt, wie Damian Bradfield eindrucksvoll in dem Buch „The Trust Manifesto“ ausführt.

Gleichzeitig werden so „Meinungsblasen“ erzeugt. Die Artikel, die Du am Ende von Beiträgen in Online-Medien gezeigt bekommst, richten sich nach Deinen Vorlieben.

Es mag sein, dass das für Dich bequem ist, aber ich sage: Wenn Dich etwas interessiert, wirst Du es gern eigenständig recherchieren. Du brauchst diese Empfehlungen nicht.

Sie dienen nur dem Zweck, Dich länger am Bildschirm zu halten, damit Du mehr Klicks erzeugst – ganz abgesehen davon, dass diese gezielte Werbeschaltung auf lange Sicht Deine Welterfahrung einschränkt. Wohin das führen kann, haben wir ja jüngst in den USA beobachtet.

Darüber hinaus können persönliche Daten in den falschen Händen schlicht und ergreifend missbraucht werden. Das kann bei einem Kaltakquise-Anruf anfangen, aber eben auch bei Versicherungsbetrug, Kreditkartenklau oder falscher Nachrede enden.

Elena: Was können Bürger*innen vom Datenschutz erwarten? Was fällt alles unter den Datenschutz?

Vicky: Datenschutz gilt nur im Geschäftsfeld. Wenn ich privat Deine Telefonnummer oder E-Mail-Adresse weitergebe, damit auch Du die Fotos von der letzten Feier geschickt bekommen kannst, fällt das nicht unter die gesetzlichen Regelungen zum Datenschutz und kann also auch nicht belangt werden.

Im Geschäftsumfeld fallen alle Informationen und Daten unter den Datenschutz, die personenbeziehbar sind, auch wenn man oft von personenbezogenen Daten liest. Dabei reicht sozusagen der Konjunktiv aus: Alle Daten, die auf eine natürliche Person hinweisen könnten.

IP-Adressen sind zum Beispiel solche Informationen: Sie sind natürlich keine Personen, könnten aber im Einzelfall einer konkreten Person eindeutig zugeordnet werden und sind deshalb schützenswert. Die gängigsten personenbeziehbaren Daten sind:

• Vor- und Zuname
• Adresse und E-Mail-Adresse
• Telefonnummer und IP-Adresse
• Geburtsdatum und Geschlecht
• Gesundheitsdaten
• Versicherungsdaten

Man könnte auch sagen: Alle Daten, die sich irgendwie mit einem echten Menschen in Verbindung bringen ließen, unterliegen im Unternehmensumfeld dem Datenschutz.

Vollständig anonymisierte Daten unterliegen nicht dem Datenschutz.

Elena: Datenschutz wird ja gesetzlich vorgeschrieben. Welche Datenschutzgesetze gibt es in Deutschland?

Vicky: Seit 2018 regelt die Datenschutzgrundverordnung (DSGVO), auch GDPR (General Data Protect Regulation) genannt, für die gesamte europäische Union den Datenschutz.

Das hierzulande geltende Bundesdatenschutzgsetz (BDSG) ist beinahe identisch mit der DSGVO.

Elena: Bei ver.de unterscheiden wir zwischen Datenschutz, Datensicherheit und Datensparsamkeit. Kannst Du uns die Unterschiede zwischen diesen Begriffen erklären?

Vicky: Ja, gern.

Datenschutz

Hier geht es um Deine Rechte als Betroffene*r der Datenverarbeitung Deiner personenbezogenen Daten. Du hast das Recht, diese Daten bei Unternehmen einzusehen und sie verändern oder löschen zu lassen.

Datensicherheit

Sie bezieht sich auf die Vertraulichkeit, Verfügbarkeit und Integrität der Daten, die Unternehmen von Dir erheben, verarbeiten oder speichern. Datensicherheit meint sowohl den Umgang mit Geschäftsdaten als auch mit den personenbezogenen Daten, die in den Geschäftsdaten inkludiert sind.

• Vertraulichkeit: Nur die Personen, die Deine Daten wirklich bearbeiten dürfen, haben Zugang zu ihnen.
• Verfügbarkeit: Deine Daten sind in den Unternehmen gescheit geschützt durch Passwörter oder saubere Passwörter.

• Integrität: Die IT-Systeme, auf denen Unternehmen Deine Daten hantieren, müssen sicher sein, beispielsweise durch Verschlüsselungen, Redundanzen oder Kryptohashes.

Datensparsamkeit

Hiermit beschreibt man den Grundsatz, dass man nur die Daten erheben darf, die wirklich notwendig sind, damit das Unternehmen seine Dienstleistung erbringen kann.

In der Praxis ist das manchmal gar nicht so einfach umzusetzen. Bei ver.de habt ihr ja zum Beispiel entschieden, dass ihr beim Buchen der BIKE Fahrradabsicherung die Anrede erhebt (Herr, Frau, divers).

Natürlich kann man hinterfragen, ob das wirklich nötig ist, um die Absicherung als Dienstleistung zu erwerben. Ihr habt entschieden: ja. Denn eine förmliche Anrede findet ihr bei Vertragswerken immer noch angemessen.

Für den ver.de-Newsletter benötigt ihr de facto nur eine gültige E-Mail-Adresse, also fragt Ihr auch nur diese ab.

Datenschutz bei Versicherungen und in der Versicherungswirtschaft

Anmerkung: Erst nach vollständiger Finanzierung und der Zulassung durch die BaFin darf ver.de sich als Versicherung bezeichnen.

Elena: Es gibt also die Datenschutz-Grundverordnung. Was bedeutet das für den Datenschutz bei Versicherungen? Was müssen Versicherer tun?

Vicky: Im Grunde dasselbe wie alle anderen Unternehmen. Versicherer haben es jedoch mit besonders schützenswerten Daten zu tun, weil diese Daten oft sensibel sein können.

Stelle Dir vor, die Allgemeinheit erfährt von Deinen Operationen, Deinem Verhalten im Straßenverkehr oder welche Gegenstände Du in Deiner Hausratsversicherung extra abgesichert hast.

Ob Du dann noch eine Chance beim nächsten Bewerbungsgespräch hättest? Ob Dein Hausrat noch sicher wäre? Oder ob Dir noch irgendjemand sein oder ihr Fahrzeug ausleihen würde?

Deshalb ist Datenschutz bei Versicherungen besonders wichtig. Es gilt gemäß der DSGVO für einige Versicherungsdaten, vor allem die medizinischen, ein erhöhtes Schutzniveau. Das heißt, die gesetzlichen Anforderungen an Vertraulichkeit und Datensicherheit sind höher als bei anderen Daten.

Bei Verletzung der Sorgfaltspflicht müssen Versicherungen dann auch mit höheren Bußgeldern rechnen und haben deshalb intern strengere Vorgaben an das Verhalten der Mitarbeiter*innen und Compliance-Verhaltensregeln.

Da ist es auch nur folgerichtig, dass Versicherungsunternehmen in der deutschen Versicherungswirtschaft DSGVO-Versicherungen anbieten und für sich selber nutzen.

Elena: Dürfen Versicherungen Daten weitergeben?

Vicky: Ein ganz klares: Es kommt darauf an. Wie bereits erwähnt ist der Datenschutz ausnahmegeregelt. Folglich dürfen Versicherungen Daten zunächst nicht weitergeben. Aber es gibt Ausnahmen:

• wenn der Gesetzgeber es vorschreibt
• bei gewissen Meldepflichten
• mitunter bei der Vertragsabwicklung
• und natürlich, wenn ich als Person durch eine Einwilligung der Weitergabe zugestimmt habe

Elena: Daten müssen vom Gesetz her eine Zeit lang gespeichert werden, richtig? Wie lange werden Versicherungsdaten gespeichert? Was sieht der Datenschutz bei Versicherungen hier vor?

Vicky: Die Daten werden so lange gespeichert, so lange der Versicherungsvertrag läuft. Die weitere gesetzliche Gewährleistungsfrist beträgt zwei Jahre. Das muss beim Datenschutz bei Versicherungen berückrichtigt werden.

Aber ehrlich gesagt könnte ich mir zumindest vorstellen, dass Versicherungen die Daten so lange speichern, wie sie theoretisch auf einen Schadensfall rechtlich belangt werden könnten. Sicher bin ich mir aber nicht, dafür kenne ich mich in der Versicherungswirtschaft zu wenig aus.

Elena: Wir bemühen uns um Datensparsamkeit und versuchen, nur die wirklich notwendigen Daten zu speichern. Welche Versicherungsdaten benötigt eine Versicherung wirklich bei einem Unfall oder Schadensfall?

Vicky: Das ist eine schwierige Frage, weil sie meines Erachtens viel mit Vertrauen oder eben Misstrauen gegenüber den Versicherten zu tun hat.

Denn ob zum Beispiel das Fahrrad im Schadensfall ordnungskonform an- und abgeschlossen gewesen ist, kann kein*e Versicherungsanbieter*in jemals wirklich wissen. Deswegen den Kund*innen zu unterstellen, sie würden ihr Rad nicht abgeschlossen haben, halte ich für zwieträchtig.

Denn bei Versicherungen geht es doch um Solidarität – da darf man den Geschädigten ruhig erstmal glauben, finde ich. Gleichwohl gibt es eben auch Versicherungsbetrug und dagegen muss man sich als Unternehmen natürlich absichern. Ich will also ehrlich gesagt diesbezüglich nicht mit Versicherungen oder Euch tauschen.

Im Ernst: Versicherungen benötigen genau die Daten, die zur Klärung von Schadensfällen nötig sind. Nicht mehr und nicht weniger. Und so sollte der Datenschutz bei Versicherungen auch gestaltet sein.

Übrigens finde ich es gut, wie ver.de mit dem Thema umgeht. Ihr informiert proaktiv über die Kriterien für sichere Fahrradschlösser und gebt Tipps zur Diebstahlprävention. So schafft Ihr ein Bewusstsein für richtiges Ab- und Anschließen von Fahrrädern – und geht transparent mit den erforderlichen Kriterien für einen Diebstahlschutz um.

Datenschutz und Privatpersonen

Elena: Warum ist Datenschutz für Privatpersonen wichtig?

Vicky: Wie bereits erwähnt bezieht sich Datenschutz auf Privatpersonen und regelt, inwieweit Unternehmen die Daten von Privatpersonen nutzen dürfen. Für Verbraucher*innen geht es um Transparenz und somit um Kontrolle und Souveränität über die eigenen Daten.

Ich darf die Daten jederzeit einsehen und korrigieren oder löschen lassen beziehungsweise die Verarbeitung untersagen. Es schützt mich somit vor ungebührlicher Nutzung der Daten durch unbefugte Dritte.

Elena: Welche 3 oder 4 Tipps hast Du für Privatpersonen in Bezug auf Datenschutz?

Vicky: Es ist für mich verblüffend, wie sorglos wir alle mit unseren Daten umgehen. Viele digitale Dienste sind genauso konzipiert und designt. Der Kurzfilm von Tobias Schlage und Brent Forrest visualisiert das sehr eindrücklich.

In Kreisen digitaler Produktentwickler*innen kursiert seit Jahren das Buch „Don´t make me think“ von Steve Krug als Mantra: Nutzer*innen digitaler Dienstleistungen sollen bloß nicht nachdenken müssen über das, was sie da tun – nämlich unbedarft Informationen über sich hergeben und am Ende mehr konsumieren.

Ich halte das für einen Affront gegen uns als mündige und denkende Bürger*innen und Verbraucher*innen. Wir möchten gern über Angebote und Dienstleistungen nachdenken und uns informieren oder nicht? Dazu gehört auch, wie Unternehmen mit unseren Daten umgehen. Deshalb rate ich:

1. Prüfe, wem Du Deine Daten anvertraust. Tatsächlich kann man sich auch mal Datenschutzerklärungen durchlesen, ehe man bestätigt, dass man sie zur Kenntnis genommen hat. Einige sind sehr gut geschrieben.
2. Klicke bei Cookiebannern immer nur die notwendigen Cookies an.
3. Gib nur die Daten an, die wirklich nötig sind. Oft verstecken sich in Formularen zwischen wenigen Pflichtfeldern optionale Dateneingaben wie Geburtstag oder Telefonnummer. Nutze, wenn möglich, Gastzugänge fürs Onlineshoppen.
4. Wähle die Dienstleister*innen aus, die Datenschutz ernst nehmen und hohe Integrität bei der Datensicherheit und der Datensparsamkeit an den Tag legen. Dahinter steckt oft ein Datenschutzkodex und die ganze Firmenphilosophie.

Über Vicky Eichhorn

Vicky Eichhorn arbeitet als zertifizierte Produkt- und Medienmanagerin seit über 10 Jahren im Digitalen. Ehrlicherweise hat sie lange auch gut von den Geschäftsmodellen gelebt, die auf der freizügigen Verarbeitung personenbezogener Daten basiert. Dann hat sie die Techgenossen eG aus der Taufe gehoben, um es besser zu machen.

Die IT-Genossenschaft will digitale Produkte nachhaltig und zukunftsgerecht entwickeln. Was ver.de im Versicherungssektor sein will, streben die Techgenossen in der Softwareentwicklung an. Hier ist Vicky zuständig für Content, Suchmaschinenoptimierung und Produktmanagement und büffelt derzeit fleißig für die Datenschutzbeauftragten-Prüfung.

Hast Du Fragen zum ver.de Datenschutz? Oder zum Datenschutz bei Versicherungen oder im Allgemeinen? Schicke sie uns gerne per Email. Vicky und ver.de werden sie gut wie möglich beantworten.

Hinweis: Die vorstehenden Aussagen geben die persönliche Meinung der Verfasserin wieder; eine Haftung für die Richtigkeit kann nicht übernommen werden.