RA M. Kroll im Interview mit dem Versicherungsmagazin zum Thema "Datenschutz im Maklerbüro"
Datenschutz und IT-Sicherheit sind für Versicherungsmakler extrem wichtig, da sie täglich mit personenbezogenen Daten arbeiten. Welche grundlegenden Kenntnisse sie dazu benötigen, erläutert der Fachanwalt für Versicherungsrecht Matthias Kroll, Dr. Nietsch & Kroll Rechtsanwälte, Hamburg.
Wie wichtig ist das Thema Datenschutz und Schutz der IT für kleine Maklerbüros und Vermittler und weshalb sollten sie sich mit den Themen Datenschutz und IT-Sicherheit befassen?
Matthias Kroll: Diese Frage lässt sich bereits aus einem Rückblick auf die Datenpannen der vergangenen Jahre in der Versicherungswirtschaft beantworten. So titelte etwa die "Wirtschaftswoche" 2008: "Nürnberger Versicherung wegen Vertriebsmethoden in der Kritik." Es bestand der Verdacht, dass die Nürnberger mehr als 500.000 Datensätze von Kunden an ein externes Call-Center weitergegeben habe, um Riester-Verträge zu verkaufen.
In einem anderen Fall von 2010 war die Alte Leipziger betroffen: Auf einem Server des Versicherungskonzerns standen Versicherungsanträge von rund 3.600 Versicherten in einem Unterverzeichnis ungeschützt und für Jedermann zum Download bereit. Die frei verfügbaren Anträge wurden über einen Tarifrechner aufgenommen und enthielten personenbezogene Daten, wie Name, Geburtsdatum, Familienstand, Nationalität, Bankverbindung und Beruf. Der Versicherer hat nach Kenntnis der Panne das Datenleck binnen weniger Stunden am Nachmittag des 19. August 2010 beseitigt. Das Leck bestand laut Unternehmensangaben allerdings bereits seit Beginn des Jahres 2010.
Das "Handelsblatt" meldete am 31. März 2014, dass der Wüstenrot eine schwere Datenpanne unterlaufen ist: Datensätze von Versicherungsnehmern, die eigentlich zur Weiterleitung an einen Makler gedacht waren, sind an andere Kunden versandt worden.
Wie haben diese Pannen auf die Öffentlichkeit gewirkt?
Matthias Kroll: Aus Sicht der Kunden, belegt die Vielzahl von schweren Fehlern, dass der Schutz personenbezogener Daten von vielen Versicherern immer noch nicht ernst genug genommen wird. So werfen 50 Prozent der Bundesbürger der Finanzbranche explizit einen leichtfertigen Umgang mit dem Thema Datenschutz beim Einsatz sozialer Netzwerke vor. Gut jeder fünfte Kunde hält die Datenschutz-Anstrengungen der Finanzdienstleister dabei für schwächer als bei den klassischen Kommunikationskanälen Post und Telefon. Das ist das Ergebnis einer repräsentativen Befragung unter 1.000 Personen aus Deutschland. Dieses ernüchternde Ergebnis ist umso gravierender zu bewerten, wenn man sich vor Augen führt, in welche Bereiche der Versicherungsbranche, und insbesondere der Versicherungsvermittlung der Datenschutz hineinreicht.
Welche sind das?
Matthias Kroll: In der Praxis ist es praktisch nicht mehr möglich, einen Versicherungsvertrag ohne die Weitergabe von Daten an den Versicherer zu vermitteln. Hierbei ist es zunächst von grundlegender Bedeutung, sich die Richtungen der Datenströme sowie die Beteiligten vor Augen zu führen. Der Versicherer kann direkt mit dem Versicherungsnehmer einen Datentransfer vornehmen. In diesem Falle ist der Versicherungsvermittler datenschutzrechtlich nicht betroffen.
Und wenn der Makler Daten des Versicherungsnehmers an den Versicherer weiterleitet?
Matthias Kroll: In diesem Falle ist einmal das Austauschverhältnis zwischen dem Versicherungsnehmer und dem Versicherungsmakler betroffen, was datenschutzrechtlich zu erfassen ist, aber auch das Verhältnis zwischen dem Versicherer und dem Versicherungsmakler. Dieser Datenstrom ist selbstverständlich auch in die entgegengesetzte Richtung denkbar. Vorstellbar in diesem Dreiecksverhältnis ist auch, dass nur Daten zwischen dem Versicherungsmakler und dem Versicherungsnehmer ausgetauscht werden. All diese Konstellationen sind vom Vermittler datenschutzrechtlich zu erfassen und gegebenenfalls mit entsprechenden Maßnahmen zu regeln.
Was ist mit dem Datenaustausch zwischen Maklern und Dienstleistern?
Matthias Kroll: Erhöhte Anforderungen an die Einhaltung datenschutzrechtlicher Bestimmungen durch den Versicherungsmakler bestehen dann, wenn Dritte wie Pools oder Dienstleister in den Datenaustausch einbezogen werden. Dienstleister können dabei etwa Vergleicher, Kundenverwaltungsprogramme oder Call-Center sein, die als technische Dienstleister für den Makler fungieren. Hinzu kommen sonstige Dienstleister, wie Sachverständige, Rechtsanwälte, Steuerberater aber auch Adresshändler oder sogar ein Austausch mit Ombudsleuten. Ein weiterer Austausch von Daten kann auf Seiten des Vermittlers ferner mit Tippgebern, Unter- oder Obervermittlern und Kooperationspartnern erfolgen.
Sämtliche Datenströme mit den vorbenannten Beteiligten sind vom Vermittler zu bedenken und datenschutzrechtlich erforderlichenfalls zu regeln. Diese komplexen datenschutzrechtlichen Fragestellungen können sich noch dadurch verkomplizieren, wenn auf Seiten des Vermittlers Holding- oder Gruppen- Strukturen bestehen, so dass weitere Unternehmen in einer Holding-Konstruktion datenschutzrechtlich als "Dritte" angesehen werden können.
In welchen Bereichen spielt die Erfassung der Datenströme für Versicherungsmakler eine Rolle?
Matthias Kroll: Beim eigentlichen Vertragsmanagement und der Schadensabwicklung sowie auch bei der Akquise und Anbahnung von Versicherungsverträgen, also bei der Werbung. Weiterhin sind sämtliche Themen rund um das Internet auch in datenschutzrechtlicher Hinsicht zu beachten, wie Datenerhebungen (so gennantes Targeting oder Data-Mining). Für fast alle Online-Targeting-Formen werden HTTP-Cookies verwendet. Cookies dienen nicht nur als lokaler Speicher für Zugangs- und Vorgangsdaten. Durch die Analyse von Cookies kann das Nutzerverhalten im Web analysiert und nutzbar gemacht werden. Das Targeting hat in den vergangenen Jahren auch beim Vertrieb von Versicherungen und Finanzdienstleistungen erheblich an Bedeutung gewonnen. In diesen Bereich der Datenerhebung über das Internet fallen auch die Nutzung von Online-Kostenrechnern oder Online-Schufa-Auskünften.
Weiterhin ist der Datenschutz auch bei Bestandsübertragungen wegen Maklerwechsel oder Bestandsverkäufen zu beachten. Es ist also zu erkennen, dass eine Vielzahl von Beteiligten in den unterschiedlichsten Tätigkeitsbereichen bei der Versicherungsvermittlung in datenschutzrechtlicher Hinsicht berührt ist. Dies alles muss der Makler datenschutzrechtlich erfassen und falls erforderlich, regeln.
Welche grundlegenden Dinge Versicherungsmakler beim Datenschutz beachten müssen, können Sie in einem Fachaufsatz von Matthias Kroll hier lesen.
Erfahren Sie mehr zum Thema "Umgang mit Kundendaten" in der September-Ausgabe von Vericherungsmagazin. Sie sind noch kein Abonnent? Hier können Sie ein kostenloses Probeexemplar bestellen.
Autor(en): Umar Choudhry