Datenschutz bei Versicherungen: Was sieht die DSGVO bei Versicherungen vor?

Versicherung & Datenschutz – wie geht das zusammen? Versicherer möchten immerhin auf viele Ihrer persönlichen Daten zugreifen, auch um Risiken für alle Beteiligten einschätzen zu können. Sie als Kund:in sollten sich dennoch darüber informieren, inwieweit der Schutz Ihrer Daten gewährleistet ist.
 

Datenschutz bei Versicherungen: Welche Daten darf der Versicherer erheben?

Je nach Art der Versicherung möchten – und müssen es teilweise auch – Unternehmen, die eine solche anbieten, unterschiedliche Informationen von ihren Kund:innen abfragen. Dies können zunächst einmal sogenannte personenbezogenen Daten wie Name, Adresse, Geburtstag oder Telefonnummer sein – Angaben, ohne die ein Vertrag in den meisten Fällen sowieso nicht zustande kommen kann. Laut Art. 6 Abs. 1 Buchstabe b der DSGVO ist die Verarbeitung von Daten zulässig, sofern sie für die Vertragserfüllung notwendig ist: Ohne die Angabe einer Adresse kann Ihnen als Kund:in der Versicherungsgesellschaft zum Beispiel der Vertrag oder sonstige Korrespondenz nicht zugestellt werden. Ein Unternehmen muss sich aber laut Art. 5 der DSGVO an folgende Grundsätze halten:

• Rechtmäßigkeit der Verarbeitung
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit der Datenverarbeitung
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Neben den sogenannten allgemeinen personenbezogenen Daten wie Name oder Adresse gibt es auch solche, die einem besonderen Schutz unterliegen. Das sind zum Beispiel Angaben zu ethnischer Herkunft, religiösen und politischen Ansichten oder sexueller Orientierung. Um derart sensible persönliche Daten von Ihnen erfragen zu dürfen, verlangt die DSGVO von Versicherungen das Einholen einer informierten, ausdrücklichen Einwilligung ihrer Kund:innen.
 

Was sind Datenschutz-Herausforderungen bei Versicherungen?

Ob Renten- oder Krankenversicherung – Versicherungsunternehmen sammeln eine große Menge an sensibler Kundendaten. Zwar gilt die Datenschutz-Grundverordnung für alle Versicherungen, aber allein die Anhäufung derart vieler persönlicher Daten stellt ein Risiko an sich dar. Denn auch diese Unternehmen arbeiten mit Technik und Computer-Systemen, die keinen absoluten Schutz vor Datenklau bieten können. Auch Sie als Verbraucher:in selbst können durch Ihr Verhalten die Sicherheit Ihrer Daten gefährden, zum Beispiel durch das Tragen eines Fitness-Armbands oder eines sogenannten Wearables. Viele Nutzer:innen sehen in den praktischen Gadgets Helfer zur Kontrolle von Fitness oder Gesundheit – und machen sich dabei nicht bewusst, dass sie hochpersönliche Daten aus der Hand geben. Denn für Fitness- und Gesundheit-Apps gilt dasselbe wie für den generellen Umgang mit allen Apps – Nutzer:innen müssen sich vor der Installation selbstständig darüber informieren, was mit den eigenen Daten passiert und wer darauf zugreifen kann. Wenn manche Krankenkassen dann auch noch einen Teil der Kosten für Fitness-Armbänder etc. übernehmen, kann es daran liegen, dass diese sich mindestens einen positiven Effekt auf die Gesundheit ihrer Kund:innen ausrechnen. Zwar müssen Besitzer:innen von Wearables ihre Daten bisher nicht mit ihrer Krankenkasse teilen, aber ein allzu unrealistisches Zukunftsszenario stellt dies auch nicht dar.
 

Welche Daten dürfen Versicherungen erheben und wann liegt eine Datenschutzverletzung vor?  

Ein Versicherer sollte laut DSGVO nur solche Daten von Ihnen verlangen, die für die Vertragserfüllung notwendig sind. Neben einem etwaigen bestehenden Versicherungsvertrag existieren weitere gesetzliche Erlaubnistatbestände für die Verarbeitung von Gesundheitsdaten im Zusammenhang mit dem Versicherungsverhältnis. Zum einen könnte das Versicherungsunternehmen im Falle einer Verarbeitung besonderer Kategorien personenbezogener Daten, welche nicht konkret zur Vertragserfüllung erforderlich sind, eine ausdrückliche Einwilligung der/des Versicherten nach Art. 9 Abs. 2 lit. a DSGVO einholen. Falls eine solche nicht eingeholt wurde, existieren als Alternativen noch Art. 9 Abs. 2 lit. e DSGVO (die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat) und Art. 9 Abs. 2 lit. f DSGVO (die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

In anderen, engen Ausnahmefällen, in denen der Versicherungsnehmer bzw. Versicherte krankheits- oder verletzungsbedingt nicht in der Lage ist, seine Einwilligung selbst zu erteilen, kann sich das Versicherungsunternehmen auch auf Art. 9 Abs. 2 lit. c DSGVO (die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu erteilen) berufen.

Gemäß § 22 Abs. 1 lit. b BDSG dürfen besondere Kategorien personenbezogener Daten, d.h. auch Gesundheitsdaten, durch nicht-öffentliche Stellen verarbeitet werden, wenn dies zum Zweck der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- und Sozialbereich oder aufgrund eines Vertrags der betroffenen Person mit einem Angehörigen eines Gesundheitsberufs erforderlich ist und diese Daten von ärztlichem Personal oder durch sonstige Personen, die einer entsprechenden Geheimhaltungspflicht unterliegen, oder unter deren Verantwortung verarbeitet werden. Zu den Systemen im Gesundheitsbereich gehören auch private Krankenversicherungen sowie private Unfallversicherungen.

Bei Nichtvorliegen einer der o.g. Erlaubnistatbestände für die Verarbeitung fehlt die Rechtsgrundlage für die Verarbeitung eine Datenverarbeitung darf nach Art. 9 DSGVO grundsätzlich nicht stattfinden, da ansonsten die Gefahr einer nicht unerheblichen Datenschutzverletzung besteht.

Abgesehen davon ist nach Art. 37 Abs. 1 lit. c DSGVO in jedem Fall – also unabhängig von der Anzahl der Beschäftigten, welche regelmäßig personenbezogene Daten verarbeiten – ein DSB zu bestellen, soweit die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO liegt. Ob die Versicherung eine:n interne:n Datenschutzbeauftragte:n beschäftigt, oder eine externe Kraft heranzieht, ist jedem Unternehmen selbst überlassen. Kommt er / sie seiner / ihrer Pflicht in dieser Sache jedoch nicht nach, muss ein Versicherer mit einer hohen Geldstrafe rechnen.
 

Code of Conduct: Datenschutzkodex des Gesamtverbandes der Deutschen Versicherungswirtschaft

Seit 2012 gibt es den Code of Conduct. Dieser Datenschutzkodex wurde vom Gesamtverband der Deutschen Versicherungswirtschaft verfasst, um die Einhaltung des Datenschutzes auch für Versicherungen einheitlich zu gestalten. Für die Verbraucher:innen sollte so mehr Sicherheit in Bezug auf den Umgang mit ihren Daten gewährleistet werden. Der Beitritt zu dem Abkommen, das mit den Datenschutzbehörden erarbeitet wurde und auf dem Bundesdatenschutzgesetz basiert, ist jedoch freiwillig. Unternehmen, die dem Code of Conduct beitreten, verpflichten sich aber, die Regelungen zum Datenschutz einzuhalten und für Überprüfungen durch die Datenschutzbehörden zur Verfügung zu stehen.

Die meisten Versicherungen Deutschlands sind dem Datenschutzkodex schon beigetreten. Dennoch sollten Sie als Verbraucher:innen sich darüber informieren, ob dies für ihr Versicherungsunternehmen ebenso gilt. In jedem Fall sollten Sie stets achtsam bleiben und bei Ihrem Versicherer nachfragen, wenn Ihnen die Erhebung mancher Daten nicht gerechtfertigt erscheint.