Der Code of Conduct (CoC) bedeutet eine Konkretisierung der gesetzlichen Regelungen zum Daten- und Verbraucherschutz in Bezug auf die Aspekte der Versicherungswirtschaft und basiert auf dem Bundesdatenschutzgesetz (BDSG). Im Jahr 2013 hat sich die Versicherungswirtschaft mit dem CoC ein spezifisches Regelwerk zum Datenschutz auferlegt. Der Betroffene – ob nun als Versicherungsnehmer, als (mit)versicherte Person oder auch als Geschädigter – hat Anspruch darauf, dass mit seinen personenbezogenen sensiblen Daten sorgsam umgegangen wird.
Was bedeutet das nun in der Wirklichkeit von Assekuranz-Systemlandschaften?
Die bei Abgabe seines Antrages angefallenen personenbezogenen Daten des Betroffenen werden maschinell oder manuell durch Sachbearbeiter in versicherungstechnischen Anwendungen erfasst und in Datenbanken gespeichert. Diese versicherungstechnischen Anwendungen sind z. B. der Antragsdatenpool, das Partnersystem und das Vertragssystem. Die Daten aus dem Antragsdatenpool werden bei der maschinellen Verarbeitung auf die jeweiligen Systeme verteilt. Im Partnersystem landen die personenbezogenen Daten wie Anrede, Name, Vorname, Geburtsdatum, postalische Adressen und Telefonnummern bzw. E-Mail-Kontaktdaten, und ebenso die IBAN der Bankverbindung, über die das SEPA-Lastschriftverfahren zum Prämieneinzug durchgeführt wird. Im Vertragssystem werden die tarifierungsrelevanten Daten wie z. B. die Beitragshöhe bzw. Versicherungssumme und Risikomerkmale (Risikoort bzw. -objekt oder Vorerkrankungen) erfasst.
Schon durch die verteilte Datenhaltung ist ein gewisser Datenschutz gewährleistet. Mit einem Auszug aus nur einem System sind keine vollständigen Rückschlüsse auf die Gesamtheit der Daten zu einem Betroffenen möglich. Die Funktionstrennung der einzelnen versicherungstechnischen Anwendungen wirkt sich somit nicht nur auf die funktionalen Hoheiten aus, sondern hat auch Vorteile bzgl. des Datenschutzes.
Das Inkassosystem wird nur mit den für den Inkassovorgang notwendigen Daten versorgt. Das Drucksystem, welches z. B. die Police erzeugt, wird lediglich zum Zeitpunkt der Druckerstellung mit den notwendigen Daten versorgt. In der elektronischen Akte (eAkte) sind die Dokumente zu allen Vorgängen zu einem Betroffenen bzw. zu einem Vertrag in der Regel als PDF bzw. gescanntes Dokument gespeichert. Im Laufe eines Vertragslebens können Leistungen bzw. Schäden anfallen. Zu diesen Geschäftsvorfällen werden zusätzliche Systeme (Leistungs- bzw. Schadensystem) mit Daten bestückt. Das Exkassosystem wird mit Zahlungsinformationen versorgt, aber immer nur mit den Daten, die für die jeweiligen Geschäftsvorfälle benötigt werden. Die Daten in ihrer Gesamtheit werden nach den Regeln des CoC erfasst, verarbeitet und gespeichert. Das bedeutet, dass die Grundsätze der Transparenz, der Erforderlichkeit der verarbeiteten Daten sowie der Datenvermeidung und -sparsamkeit in besonderer Weise berücksichtigt werden. Dies gilt für die gesamte Laufzeit dieses Vertragsverhältnisses zwischen dem Versicherer und dem Betroffenen.
Ein Versicherungsvertrag läuft irgendwann einmal ab, entweder zu einem schon beim Antrag vereinbarten Zeitpunkt oder durch Kündigung; er wird storniert (Vertragsstorno). Ab diesem Zeitpunkt hat der Betroffene Anspruch darauf, dass seine Daten einem besonderen Schutz unterliegen. Sie müssen für bisher für den Versicherungsbetrieb erforderliche Zugriffe gesperrt werden. Am Ende des gesetzlich geforderten Vorhaltezeitraumes (z. B. gemäß Handelsgesetzbuch [HGB] 10 Jahre nach der letzten Buchung) müssen sie endgültig gelöscht werden.
Um dem Datenschutz auch ab dem Zeitpunkt des Vertragsstornos Rechnung zu tragen, kümmert sich eine sogenannte „CoC-Drehscheibe“. Das Vertragssystem meldet der CoC-Drehscheibe den Storno eines Vertrages. Das Vertragsstorno hat – nach Ablauf einer Karenzzeit – zur Folge, dass die Daten in allen betroffenen Systemen für den regulären Zugriff zu sperren sind. Gesperrte Daten sind in einer vollständigen, ungesperrten Ansicht lediglich dann sichtbar, wenn z. B. Revisionsgründe vorliegen. Zur Ansicht sind nur wenige Personen berechtigt, welche einer besonderen Sorgfaltspflicht unterliegen.
Die CoC-Drehscheibe weist also im „Sperrfall“ alle betroffenen Systeme an, die Daten zu diesem Vertrag zu sperren – auch das auslösende Vertragssystem. Das Sperren kann für jedes System andere Handlungsschritte bzw. Auswirkungen bedeuten. Für die Umsetzung wurde jeweils ein Konzept abgestimmt, wie dies für die einzelnen Systeme durchzuführen ist. Am Ende des gesetzlichen Vorhaltezeitraumes wird durch das Vertragssystem der CoC-Drehscheibe das endgültige Löschen angezeigt. Die CoC-Drehscheibe führt diese Meldung zuerst an den Vetoinstanzen vorbei. Bei den Vetoinstanzen können Einsprüche bzgl. des endgültigen Löschens vorliegen. Diese Einsprüche können z. B. aus offenen Forderungen oder Rechtsstreitigkeiten abgeleitet werden. Die Vetoinstanzen sind in der Regel das In-/Exkassosystem und die Rechtsabteilung. Liegen solche Einsprüche vor, so legt die CoC-Drehscheibe diesen Vorgang bis zur Auflösung der Einsprüche ab. Liegen keine Einsprüche seitens der Vetoinstanzen vor, so werden durch die CoC-Drehscheibe alle Systeme in einer vorbestimmten Reihenfolge zum endgültigen Löschen der Daten zu diesem Vorgang aufgefordert.Die Rückmeldungen werden ebenfalls in der CoC-Drehscheibe protokolliert.
Damit sind der rechtskonforme Datenschutz und der Schutz der Daten aus Sicht des Betroffenen vollständig eingehalten. Am 25.05.2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese hat Auswirkungen auf die Versicherungswirtschaft. Erhalten bleiben die bisherigen Grundsätze der Datensparsamkeit und Zweckbindung bzw. Erforderlichkeit bei der Datenerhebung, die Gewährleistung der Datensicherheit und das Recht auf Vergessen inklusive des informellen Selbstbestimmungsrechtes des Einzelnen. Änderungen für deutsche Unternehmen werden sich z. B. in Bezug auf die Aspekte Recht auf Datenübertragbarkeit, Datenschutz-Folgeabschätzungen, Rechenschaftspflichten, Meldungen an Aufsichtsbehörden und Einschränkungen bei der Verarbeitung ergeben. Die Umsetzungen werden durch die Orientierungshilfen des GDV (Gesamtverbands der deutschen Versicherungswirtschaft e. V.) unterstützt. Diese sind durch Erläuterungen für die Versicherungswirtschaft, die Einschränkung auf die relevanten Aspekte der EU-DSGVO und die Auflistung des konkreten Handlungsbedarfs dargestellt. Mit der Umsetzung des CoC wurde in der Versicherungswirtschaft ein entscheidender Schritt vollzogen. Nun geht es darum, die Aspekte der EU-DSGVO zu bewerten und die Umsetzung ebenfalls fristgerecht in Angriff zu nehmen.
Sie haben Fragen oder Anmerkungen? Dann hinterlassen Sie uns gerne einen Kommentar.