INFORMATIONEN

Was bedeutet die Datenschutz-Grundverordnung für Versicherungsunternehmen in Bezug auf den Datenschutz?

Da im Leben so viel schief gehen kann, kann eine Versicherung Ihnen Sicherheit geben. Im Gegenzug verlangen diese Unternehmen eine große Menge an persönlichen Informationen von ihren Kunden. Steht dies im Einklang mit der Allgemeinen Datenschutzverordnung (DSGVO)?

Welches Verhältnis besteht zwischen Versicherung und Datensicherheit? Die Versicherer brauchen schließlich Zugang zu vielen Ihrer persönlichen Daten, um die Risiken für alle Beteiligten abschätzen zu können. Als Kunde sollten Sie sich jedoch erkundigen, inwieweit Ihre Daten geschützt sind.

Datenschutz bei der Versicherungsgesellschaft: Welche Daten darf der Versicherer sammeln?

Je nach Art der Versicherung wollen – und müssen – die Versicherungsgesellschaften unterschiedliche Informationen von ihren Kunden verlangen. In erster Linie kann es sich dabei um „personenbezogene Daten“ wie Name, Adresse, Geburtstag oder Telefonnummer einer Person handeln – Informationen, ohne die in den meisten Fällen kein Vertrag geschlossen werden kann. Die Verarbeitung von Daten ist nach Artikel 6 Absatz 1 Buchstabe b DSGVO zulässig, wenn sie für die Erfüllung des Vertrags erforderlich ist: Der Vertrag oder andere Korrespondenz kann beispielsweise nicht an Sie als Kunden der Versicherungsgesellschaft weitergeleitet werden, wenn Sie keine Adresse angeben. Nach Artikel 5 der Datenschutz-Grundverordnung muss ein Unternehmen jedoch die Regeln befolgen.

  • Verarbeitung; Rechtmäßigkeit der Verarbeitung
  • Verarbeitung in gutem Glauben.
  • Transparenz
  • Zweckbindung
  • Datensparsamkeit
  • Genauigkeit der Datenverarbeitung
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Neben den so genannten allgemeinen personenbezogenen Daten wie Name und Adresse unterliegen bestimmte Daten einem besonderen Schutz. Dazu gehören Details wie ethnische Zugehörigkeit, religiöse und politische Überzeugungen sowie die sexuelle Orientierung. Die DSGVO verpflichtet die Versicherungsunternehmen, die informierte und ausdrückliche Zustimmung ihrer Kunden einzuholen, bevor sie solche sensiblen personenbezogenen Daten abfragen.

    Welche Probleme gibt es bei der Datensicherheit für Versicherungsunternehmen?

    Versicherungsunternehmen sammeln eine Menge sensibler Kundendaten, sei es für eine Renten- oder Krankenversicherung. Obwohl alle Versicherungsunternehmen die Allgemeine Datenschutzverordnung einhalten müssen, ist die bloße Anhäufung so vieler personenbezogener Daten an sich schon ein Risiko. Denn diese Unternehmen verwenden Technologien und Computersysteme, die nicht vollständig gegen Datendiebstahl gesichert sind. Sie als Verbraucher können die Sicherheit Ihrer Daten durch bestimmte Verhaltensweisen gefährden, z. B. durch das Tragen eines Fitnessarmbands oder eines anderen so genannten Wearables. Viele Nutzer betrachten die nützlichen Geräte als Hilfsmittel zur Bestimmung von Fitness oder Gesundheit – und sind sich nicht bewusst, dass sie dabei sehr persönliche Informationen preisgeben. Da für Fitness- und Gesundheitsanwendungen die gleichen Regeln gelten wie für alle anderen Apps, müssen sich die Nutzer vor der Installation darüber informieren, was mit ihren Daten geschieht und wer Zugriff darauf hat. Wenn bestimmte Krankenkassen einen Teil der Kosten für Fitnessarmbänder und Ähnliches erstatten, dann möglicherweise, weil sie sich zumindest einen positiven Effekt auf die Gesundheit ihrer Kunden ausrechnen. Allerdings sind die Besitzer von Wearables bisher nicht verpflichtet, ihre Daten an ihre Krankenkasse weiterzugeben,

    Welche Informationen können Versicherungsunternehmen erlangen, und wann kann es zu einer Datenverletzung kommen?

    Nach der DSGVO darf ein Versicherer nur Informationen von Ihnen verlangen, die für den Abschluss des Vertrags erforderlich sind. Für die Verarbeitung von Gesundheitsdaten im Zusammenhang mit dem Versicherungsverhältnis bestehen neben den laufenden Versicherungsverträgen weitere Rechtsansprüche. Zum einen könnte das Versicherungsunternehmen bei der Verarbeitung besonderer Kategorien personenbezogener Daten, die nicht ausdrücklich für die Vertragsdurchführung erforderlich sind, die ausdrückliche Einwilligung des Versicherten gemäß Artikel 9 Absatz 2 Buchstabe a) DSGVO einholen. Alternativen sind Art. 9 Abs. 2 lit. e DSGVO (die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person öffentlich zugänglich gemacht hat) und Art. 9 Abs. 2 lit. f DSGVO (die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person eindeutig öffentlich gemacht hat). (Die Verarbeitung ist für die Begründung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

    Das Versicherungsunternehmen kann sich auch auf Art. 9 Abs. 2 lit. c DSGVO auch in anderen, eng begrenzten Ausnahmefällen berufen, etwa wenn der Versicherungsnehmer oder die versicherte Person aufgrund einer Krankheit oder Verletzung nicht in der Lage ist, ihre Einwilligung selbst zu erteilen.

    Besondere Kategorien personenbezogener Daten, einschließlich Gesundheitsdaten, dürfen von nicht-öffentlichen Stellen verarbeitet werden, wenn dies zum Zwecke der Gesundheitsversorgung, der Beurteilung der Arbeitsfähigkeit eines Beschäftigten, der medizinischen Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder der Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich erfolgt oder auf der Grundlage eines Vertrages zwischen der betroffenen Person und einem Angehörigen der Gesundheitsberufe und diese Daten gemäß BDSG 22+*/Absatz 1 lit. b verarbeitet werden.

    Zusammenfassung

    Es gibt keine Rechtsgrundlage für die Verarbeitung, es sei denn, eine der vorgenannten Erlaubnisse wird erteilt. Gemäß Art. 9 DSGVO ist die Datenverarbeitung untersagt, wenn die Gefahr eines schwerwiegenden Datenschutzverstoßes besteht.

    Darüber hinaus muss in jedem Fall – d. h. unabhängig von der Anzahl der Mitarbeiter, die routinemäßig personenbezogene Daten verarbeiten – ein DSB bestellt werden, wenn die Haupttätigkeit des Verantwortlichen oder des Auftragsverarbeiters bei der umfangreichen Verarbeitung besondere Datenkategorien im Sinne von Artikel 9 DSGVO sind. Es liegt im Ermessen des Versicherungsunternehmens, ob es einen internen Datenschutzbeauftragten einstellt oder ein externes Unternehmen beauftragt. Ein Versicherer hingegen muss mit einer hohen Geldstrafe rechnen, wenn er seiner Verantwortung in diesem Bereich nicht nachkommt.

    Was gilt als sensible Daten?

    Das Surfen im Internet kann eine Gefahr für die Privatsphäre der Internetnutzer darstellen. Aufgrund ihrer Existenz und der Informationen, die sie dem betreffenden Internetnutzer bieten,

    mehr »