Trust Automation ist der neue Norm für Versicherer. Lesen Sie hier, warum.

Mehr Lesen
blogs

Der Schutz von Persönlichen Daten Wird Noch Strenger

22 Jan 2018 - Duch

Udo Oelen ist Aufsichtsleiter der Privatwirtschaft bei der niederländischen Datenschutzbehörde (Nederlandse Autoriteit Persoonsgegevens). Am 25. Mai 2018 tritt die neue EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Er fasst die Auswirkungen dieser neuen europäischen Rechtsvorschriften auf die Versicherungsbranche zusammen. Und diese Auswirkungen sind zahlreich.

Datenschutz betrifft uns alle

Für Versicherungsgesellschaften ist das Aufdecken von Betrug eine wichtige Aufgabe. Und weil man seine Arbeit effizient durchführen will, wird Datenschutz ggf. zum Hindernis. Die Ergebnisse der FRISS-Umfrage „Insurance Fraud & Digital Transformation Survey 2016“ bestätigt dann auch, dass Datenschutz eine der signifikantesten Herausforderungen für die Versicherungsbranche darstellt.

Und außer, dass Sie Betrugsermittler sind, sind Sie auch ein „Mensch wie jeder andere“. Sie wollen auch nicht, dass die Urlaubsbilder ihrer Kinder im Internet verbreitet werden, Ihre ärztlichen Daten öffentlich oder Ihre finanziellen Transaktionen von der Bank an Werbefirmen verkauft werden. Datenschutz ist für Sie genauso wichtig wie für alle anderen auch. Datenschutz ist ein Grundrecht.

Strenge Voraussetzungen

Als Betrugsermittler sind Sie es gewöhnt, in die persönliche Lebenssphäre anderer einzudringen und die Privatdaten von anderen zu „durchstöbern“. Dies ist bei der Betrugsermittlung auch erlaubt, wenn auch unter strengen Voraussetzungen. Schließlich geht es dabei immer noch um Menschen und nicht um Risikoprofile, Algorithmen und auf rot, gelb oder grün stehende Ampeln.

Die derzeit geltenden strengen Voraussetzungen werden 2018 durch die erheblich strenger ausfallenden Datenschutz-Grundverordnung (DSGVO) ersetzt.

Zunächst werde ich die neuen Rechtsvorschriften kurz darstellen und anschließend auf die Punkte eingehen, die vor allem für die Versicherungsbranche gelten werden.

Die neue Verordnung tritt am 25. Mai 2018 in Kraft. Das Gesetz wurde bereits seit zwei Jahren angekündigt. Dadurch entfällt die Übergangsfrist, da sich die Gesellschaften seit eben diesen zwei Jahren hierauf vorbereiten konnten. Wie steht Ihre Gesellschaft eigentlich zu dieser Gesetzesvorschrift?

Die neue Gesetzesvorschrift, kurz zusammengefasst

Diese neue Gesetzesvorschrift war dringend nötig. Die bisher geltende Gesetzgebung stammt nämlich noch aus der Zeit, in der Sachen wie das Internet noch kaum bekannt waren. Inzwischen leben wir jedoch in der Ära des „Internet der Dinge“ und „Big Data“, weswegen Bedarf an neuen Regelungen hinsichtlich des Datenschutzes besteht. Die neue Gesetzgebung gilt für sämtliche EU-Mitgliedstaaten.

Hier nun in aller Kürze die wichtigsten Punkte des DSGVO:

  1. Sie stärkt die Rechte der Bürger,
    1. Bürger haben mehr Kontrolle über ihre eigene Privatsphäre. Der Verarbeitung von personenbezogenen Daten muss ausdrücklich zugestimmt werden und Unternehmen müssen dies auch nachweisen können. Die Zustimmung zur Verarbeitung muss auf genauso einfache Art und Weise widerrufen werden können, wie sie gegeben wurde.
    2. Bürger erhalten das Recht auf „Vergessen werden“ und das Recht auf Datenübertragbarkeit. Sie müssen ihre personenbezogenen Daten also vernichten oder an ein anderes Unternehmen übertragen lassen können.
    3. Bürger können bei der niederländischen Datenschutzbehörde Klage einreichen. Jede Beschwerde muss bearbeitet werden und kann gegebenenfalls zu Untersuchungen und möglicherweise zu Geldbußen führen. Zurzeit werden Beschwerden vor allem noch als Signalfunktion betrachtet.
  2. Das verleiht Unternehmen mehr Verantwortlichkeiten und Pflichten – mit der Betonung auf den Begriffen „Verantwortlichkeit“ und „Nachweisbarkeit“.
    1. Unternehmen müssen eine Verantwortlichkeit umsetzen: das heißt, dass sie nachweisen können, den Gesetzesvorschriften entsprochen zu haben.
    2. Unternehmen haben eine Dokumentationspflicht – eine Datenschutz-Administration, aus der hervorgeht, welche Daten verarbeitet wurden.
    3. Weitere Punkte sind eine verpflichtend durchzuführende Datenschutz-Folgeabschätzung sowie die Ernennung eines Datenschutzbeauftragten. Hierüber in Kürze mehr.

Die gute Nachricht: neben diesen Pflichten besteht auch eine Anzahl an Vorteilen. Die Gesetzgebung gilt international: das heißt für EU-Unternehmen, dass sie es nur mit einer einzigen Norm und nur einer einzigen Aufsichtsbehörde zu tun haben. Zudem bietet die neue Norm auch Hilfsmittel dafür, um zum Beispiel Konformität mit Verhaltenskodizes und Zertifizierungen herzustellen. Die Aufsichtsbehörden sind verpflichtet, hierbei unterstützend tätig zu werden.

  1. Datenschutzvertreter erhalten größere Befugnisse. Wir sprachen hier bereits darüber, dass alle Beschwerden bearbeitet werden müssen und über die Verpflichtung, Unternehmen bei der Befolgung dieser Gesetzgebung zu helfen. Die Bußgelder, die bei Verstößen verhängt werden können, wurden beträchtlich erhöht.

Auswirkungen auf die Versicherungsbranche

Wie wirkt sich diese Gesetzgebung nun vor allem auf die Versicherungsbranche aus? Die Grundprinzipien bleiben weitestgehend unberührt: es existiert bereits eine Grundlage für die Erhebung und Verarbeitung von Daten. Dies fällt in Ihrer Branche häufig unter: „berechtigtes Unternehmensinteresse“. Auch wichtig: Sie dürfen nur die Daten erheben, die für das angestrebte Ziel notwendig sind. Und das ist nur das, was muss – nicht alles, was geht. Die Verarbeitung muss zudem verhältnismäßig sein: schlagen Sie lieber beschränkt und konzentriert in Quellen nach, als dass Sie breit angelegt Informationen sammeln.

Gartner gibt an, dass Unternehmen in zunehmendem Maße Gebrauch von Technologien machen, mit denen sie aus allerlei öffentlichen Quellen stammende strukturierte und unstrukturierte Daten verarbeiten. Ein solches Vorgehen wäre mit der neuen Gesetzgebung nicht mehr vereinbar.

Für Ihre Branche weise ich zudem noch auf das Subsidiaritätsprinzip hin. Dies umfasst, dass das Ziel mit den am wenigsten einschneidenden Mitteln erreicht werden soll. Jemanden heimlich zu filmen, um so Betrug nachzuweisen, ist, wenn man diesen Nachweis auch auf weniger eingreifende Art und Weise erbringen kann, unzulässig.

Des Weiteren möchte ich gerne noch darauf aufmerksam machen, dass die Verarbeitung von besonderen personenbezogenen Daten noch strengere Voraussetzungen zu erfüllen hat. Hierunter fallen zum Beispiel ärztliche oder strafrechtliche Daten.

Neben diesen bereits bestehenden Grundsätzen werden künftig verschiedene neue Pflichten auf Sie zukommen.

  1. Verarbeitungsregister . In diesen Registern wird aufgeführt, welche Daten zu welchem Zweck und auf welcher Grundlage sie verarbeitet werden, wie sie geschützt sind und woher sie stammen und ob sie auch für andere Zwecke genutzt werden dürfen. Hierbei handelt es sich um ein von jedem personenbezogene Daten verarbeitenden Unternehmen verpflichtend anzulegendes Register, das von der Aufsichtsbehörde kontrolliert werden kann. Ein Verarbeitungsregister wie dieses wird für Unternehmen, welche vor allem mit Big Data und automatischen Beschlussmodellen arbeiten, vielleicht eine Herausforderung darstellen. Denn Big Data charakterisieren sich häufig dadurch, dass ihr Ursprung nicht (mehr) deutlich ist.
  2. „Data Protection Impact Assessment“ (DPIA; dt. in etwa: Datenschutz-Folgeabschätzung) – Dieses ist bei Verarbeitungen, welche mit hohen Risiken einhergehen, verpflichtend durchzuführen. Diese betrifft Unternehmen, welche Information für Profiling sammeln und in großangelegtem Maße besondere personenbezogene Daten verarbeiten. Sie müssen wahrscheinlich eine solche Abschätzung vornehmen und bei Bedarf die entsprechenden Maßnahmen treffen. In unserer Eigenschaft als Aufsichtsbehörde können und müssen wir Ihnen hierbei behilflich sein und beratend zur Seite stehen.
  3. Der Datenschutzbeauftragte – Diese Funktion besteht zwar bereits, erhält jedoch beträchtlich mehr Gewicht. Die Ernennung eines solchen Beauftragten ist zum Beispiel Pflicht für Unternehmen, welche für die Erstellung von Risikoeinschätzungen Personen in erheblichem Umfang verfolgen müssen – etwas, was Ihnen sicher nicht fremd ist.

Setzen Sie Ihre Schritte. Und das zur richtigen Zeit.

Ich habe Ihnen soeben einige Punkte erläutert. Aber dies waren nur ein paar. So hat die DSGVO einen 10-Schritte-Plan, welche Sie in den kommenden Wochen und Monaten umgesetzt haben müssen. Bis zum 25. Mai 2018 ist es nicht mehr weit und somit empfehle ich Ihnen, diese Punkte in aller Ernsthaftigkeit anzugehen.

Diese Maßnahmen müssen und können eingeführt werden und sind notwendig – denn mit ihnen werden die personenbezogenen Daten aller Menschen geschützt… und somit Ihre. Denn Datenschutz wollen wir schließlich alle.

Demo Vereinbaren

Etablieren Sie ein schnelleres, einheitliches Underwriting und nutzen Sie die automatisierte Schadenfallbearbeitung.

Abonnieren

Toll, dass Sie sich für unsere kostenlosen Inhalte interessieren. Sie können viele coole und interessante Downloads, Pressemitteilungen, Blogs und mehr erwarten