14.04.2016
Politische Positionen 2016

Digitalisierung und Datenschutz – Daten sicher nutzbar machen

Die digitale Vernetzung bietet Verbrauchern und der Wirtschaft große Chancen für neue Geschäftsmodelle, schnellere Prozesse und mehr Service. Doch für die Ausschöpfung der Potenziale muss genügend Raum bleiben. Neue Technologien wie Big Data oder Cloud Computing benötigen einen innovationsfreundlichen Rechtsrahmen.

Das Geschäft der Versicherer verändert sich – wie fast alle anderen Lebensbereiche auch – durch die zunehmende digitale Vernetzung. Die Versicherer nutzen die Chancen einer zunehmenden Digitalisierung, um besser auf Kundenbedürfnisse eingehen zu können. Kunden werden immer mehr über diese digitalen Kommunikationskanäle betreut. Neue Wege in der Datenerfassung und Datennutzung ermöglichen mittel- bis langfristig auch neue innovative Produkte und Dienstleistungen.

Hier muss es für die Versicherer aber möglich sein, die Chancen auf Innovation auch zu ergreifen und digitale Kommunikationswege und automatisierte Verfahren entsprechend zu nutzen. Unternehmen können die technischen Potenziale der Digitalisierung zum Vorteil ihrer Kunden und ihrer betrieblichen Abläufe nur dann voll ausschöpfen, wenn ihnen dies auch rechtlich ermöglicht wird. Dafür bedarf es eines innovationsfreundlichen Regulierungsrahmens. Auch Versicherer müssen ihre Kunden auf den bevorzugten Kanälen ansprechen dürfen – und zwar sowohl in der Online- als auch der Offlinewelt. Versicherer arbeiten seit jeher mit Daten. Um Produkte zu entwickeln und Risiken zu bewerten, braucht es umfassende Datenanalysen.

Die GDV-Positionen
Medienbruchfreie digitale Verfahren in Wirtschaft und Verwaltung fördern
Mediengerechte Verfahren sind nicht nur für Wirtschaftsunternehmen attraktiv. Sie entsprechen auch den Erwartungen der Kunden. Die Betreuung der Kunden erfolgt auf deren Wunsch zunehmend über digitale Kommunikationskanäle. Bereits heute erhalten Versicherer rund ein Drittel ihrer Nachrichten über digitale Kanäle. Viele Kundenanliegen können dadurch schnell und effizient fallabschließend bearbeitet werden. Schutz und Integrität der Kundendaten haben dabei für die Versicherungswirtschaft oberste Priorität.
 
Um dem Kunden einen fallabschließenden digitalen Service bieten zu können, setzt sich die Versicherungswirtschaft dafür ein, dass Medienbrüche, die in heutigen Prozessen immer wieder anzutreffen sind, durch sichere und praktikable elektronische Möglichkeiten ersetzt werden. Dabei ist die sichere digitale Identität ein zentraler Baustein, um Vertrauen und Schutz für Kunden und Unternehmen gleichermaßen zu stärken und zu gewährleisten.
 
In diesem Zusammenhang begrüßen wir auch, dass etwa die EU-Datenschutzgrundverordnung keine Schriftform mehr vorsieht. Prozesse, die eine datenschutzrechtliche Einwilligung erfordern, können dadurch standardmäßig elektronisch gestaltet werden. Die Kommunikation zwischen Unternehmen und Kunden wird erheblich erleichtert.
 
Auch in der Kommunikation mit Behörden sollten für die Versicherer effiziente, sichere elektronische Prozesse möglich sein. Hier gilt es, wo möglich Schriftformerfordernisse abzubauen beziehungsweise durch praktikable und effiziente elektronische Verfahren zu ersetzen und standardisierte elektronische Kommunikation zu etablieren.
Vollautomatisierte Entscheidungen unterstützen
Bessere Computersysteme ermöglichen es den Versicherern viele Prozesse abschließend zu bearbeiten, ohne dass ein menschliches Eingreifen nötig wäre. So wird es künftig leichter möglich sein, innerhalb weniger Stunden Verträge zu schließen und Schadenersatzzahlungen automatisch anzuweisen. Wenn der Versicherer alle Informationen über elektronische Wege zur Verfügung gestellt bekommt, erhalten Versicherte schneller Versicherungsschutz und im Schadenfall wird das Geld schneller ausgezahlt.
 
Diese Effizienzgewinne sollten nicht durch zu hohe regulative Anforderungen behindert werden. Die Versicherungswirtschaft benötigt eine Erlaubnis für automatisierte Entscheidungen nicht nur im Vertragsverhältnis, sondern auch in anderen Rechtsverhältnissen, z. B. für den Geschädigten in der Haftpflichtversicherung. In jedem Fall muss es möglich bleiben, Entscheidungen vollautomatisiert zu treffen, mit denen dem Verlangen der Kunden entsprochen wird.
E-Mail als Kommunikationsweg stärken
Verbraucher sollten bei der Kommunikation mit ihrem Versicherer selbst über den Kommuniktionsweg entscheiden können. Auch wenn viele Versicherer mittlerweile sehr sichere elektronische Kommunikationskanäle anbieten, zum Beispiel über geschützte Kundenportale, bevorzugen viele Verbraucher dennoch weniger abgesicherte Kommunikationskanäle wie E-Mail für ihre Anfragen. Sie haben kein Verständnis, wenn Sie die Antwort des Versicherers nicht zeitnah, sondern erst Tage später per Brief erhalten. Um dem Wunsch der Kunden nach einer direkten und schnellen Kommunikation via E-Mail entsprechen zu können, sollten die Datenschutzbehörden keine Vorgaben machen, die die Nutzung des Kommunikationsweges praktisch unmöglich machen. Es braucht hier praktikable Lösungen, so dass Anfragen auch über E-Mail abgewickelt werden können.
Sichere IT-Infrastrukturen und Online-Identifizierung weiter ausbauen
Für die Sicherheit digitaler Daten sind sichere Übertragungswege von zentraler Bedeutung. Gerade wenn es um sensibelste Daten geht, muss eine elektronische Kommunikation besonders geschützt werden. Um die sichere Online-Kommunikation mit Kunden zu stärken, müssen sichere Verfahren für die Authentifizierung gestärkt werden. Die Lösungen für eine sichere Kommunikation müssen sich aber am Alltag der Verbraucher orientieren. Die Versicherer haben mit der Trusted German Insurance Cloud (TGIC) bereits eine Möglichkeit für abgesicherte, webbasierte Kommunikation über eine Cloud vorgelegt. Mit der Pilotzertifizierung der TGIC haben die Versicherer gemeinsam mit dem BSI einen Beitrag für die Etablierung von Sicherheitsstandards von Cloud-Lösungen gesetzt. Mindeststandards zum Schutz elektronischer Geschäftsprozesse sollten für alle Branchen etabliert werden.
Cyber-Gefahren ernst nehmen
Verbraucher müssen stärker für Cyber-Gefahren sensibilisiert werden. Die Branche setzt sich daher selbst für die Aufklärung der Verbraucher ein. Auch in kleineren und mittleren Unternehmen wird die Gefahr vor Cyber-Bedrohungen zumeist noch unterschätzt. Die Versicherungswirtschaft unterstützt die Bundesregierung in ihrem Ansatz, Prävention zu stärken und gerade auch mittelständische Unternehmen für ITSicherheit zu sensibilisieren. So hat die VdS Schadenverhütung GmbH (VdS), eine Tochtergesellschaft des GDV, einen „Quick-Check“ zur Cyber-Sicherheit erarbeitet. Damit können kleine und mittelständische Unternehmen eine automatisierte Selbstauskunft über ihr IT-Sicherheitsniveau erhalten.
 
Zudem hat VdS gemeinsam mit dem Projektzentrum Hannover IT ein Prüfverfahren für Informationssicherheit entwickelt, das mit einem Zertifikat (VdS 3473) verbunden ist. VdS testiert so dem überprüften Unternehmen, dass es Maßnahmen gegen die wichtigsten Cyber-Gefahren umgesetzt hat. Allerdings muss sich erst noch zeigen, ob dieses Prüfsiegel vom Markt angenommen wird. Tatsächlich könnten solche Prüfverfahren dabei helfen, Cyber-Risiken zu bewerten. Und das wiederum könnte auch die Basis für einen individuellen Versicherungsschutz sein.
Mit Modernisierung des Steuerrechts Unternehmen nicht überfordern
Die Finanzämter sollen zukünftig Einkommensteuerbescheide vollautomatisiert erteilen können. Eine Voraussetzung hierfür ist, dass die Versicherer die von den Kunden gezahlten Beiträge zu Riester- und Renten sowie Krankenversicherungen und auch die ausgezahlten Renten elektronisch an die Finanzverwaltung melden.
 
Die Versicherungswirtschaft begrüßt die geplante Modernisierung des Steuerrechts ausdrücklich. Der von der Bundesregierung hierzu vorgelegte Gesetzentwurf enthält aber noch einige Schwachstellen. So ist es nicht fair, wenn die zur Datenlieferung verpflichteten Unternehmen mit Sanktionen belegt werden, weil die Daten zum Beispiel durch Fehler auf Seiten der Finanzverwaltung nicht rechtzeitig ankommen. Das Verspätungsgeld in Höhe von jährlich 50.000 Euro sollte generell entfallen und nicht nur dann, wenn in jedem Einzelfall nachgewiesen wird, dass den Versicherer kein Verschulden trifft. Angesichts mehrerer Hunderttausend jährlicher Meldungen würde dies die Unternehmen überfordern. Auch die geplante Haftungsregelung für die Unternehmen sollte entschäft werden.
Modernen Datenschutz der Realität anpassen
Im Zeitalter der digitalen Vernetzung muss das Prinzip der Datensparsamkeit weiterentwickelt werden. Auch wenn das Grundprinzip der Vermeidung von Datenerfassung und -speicherung weiter wünschenswert und vernünftig ist, muss sich der Datenschutz einer Realität stellen, in der bis zum Jahr 2020 schätzungsweise 5,4 Milliarden Geräte ständig Daten erfassen und mit dem Internet kommunizieren – und dabei häufig auch auf Personen beziehbare Daten aufzeichnen. Die Konzentration sollte darauf liegen, den Nutzern mehr Souveränität über die durch und über sie erfassten Daten zu geben.
Offene und standardisierte Schnittstellen für Kfz-Daten schaffen
Im Zuge der eCall-Einführung ab 31. März 2018 soll eine standardisierte, sichere und diskriminierungsfrei zugängliche Schnittstelle für den Austausch von Kfz-Daten geschaffen werden. Durch eine derartige offene und standardisierte Schnittstelle behält der Verbraucher die Kontrolle über seine Daten und kann das beste Angebot auswählen – z. B. Automobilhersteller, Versicherer, Kfz-Betrieb oder Automobilclub. Das schafft faire Wettbewerbsbedingungen. Der Verbraucher muss die Wahlfreiheit haben, wem er seine Kfz-Daten zur Verfügung stellt. Nur in einem solchen Fall kann der Verbraucher sich für das jeweils beste Angebot und für den von ihm bevorzugten Dienstleister entscheiden.
 
Es darf nicht dazu kommen, dass einzig die Autohersteller alleinigen Zugang zu den Kfz-Daten haben. Ansonsten würden andere Dienstleister ausgeschlossen und einzelne Märkte dauerhaft abgeschottet werden – zulasten eines fairen Wettbewerbs und einer Angebotsvielfalt für den Verbraucher.
Statistische Nutzung von Gesundheitsdaten ermöglichen
Um Risiken adäquat einschätzen und verlässliche Tarife und Produkte entwickeln zu können, müssen Versicherer auf Basis verlässlicher und repräsentativer Daten kalkulieren. Auch das Versicherungsaufsichtsrecht verweist die Versicherer für das geforderte Risikomanagement auf verlässliche Statistiken. Dazu gehören besonders in der Personenversicherung auch Gesundheitsdaten.

Mit der EU-Datenschutzgrundverordnung hat es der europäische Gesetzgeber den nationalen Parlamenten überlassen, die Nutzung der Gesundheitsdaten für statistische Zwecke weiterhin zu erlauben. Dies sollte der deutsche Gesetzgeber nutzen, um Versicherungen weiterhin eine vollständige und repräsentative Statistik zu ermöglichen. Würde jeder Kunde separat einwilligen müssen, käme es zu Verzerrungen und Ungenauigkeiten in der Statistik, die nicht auszugleichen wären. Deshalb müssten Sicherheitszuschläge einkalkuliert werden, die Versicherungen teurer machen würden. Zudem würde der administrative Aufwand einer zusätzlichen Einwilligung Kosten verursachen. Hervorzuheben ist, dass aus den Statistiken keine Schlüsse auf einzelne Kunden gezogen werden können.

Diskussion über Digitalisierung und Versicherungstarifierung versachlichen
Die zunehmende Digitalisierung verändert auch die Produkte und Tarife der Versicherer. Verbesserungen in Risikobewertung und -klassifizierung werden möglich. Großes Potenzial besteht auch hinsichtlich einer besseren Unterstützung der Kunden bei Risikoreduzierung und Prävention und damit eines besseren gesellschaftlichen Risikomanagements. Die digitale Vernetzung bringt für Versicherer auch die Möglichkeit, neue Daten für neuartige Produkte zu nutzen. Beispiele sind Telematik-Tarife in der Kfz-Versicherung oder Programme in der Lebensversicherung, die gute Fitnessdaten mit Boni belohnen. Die Entwicklung dieser Modelle und Produkte steht noch am Anfang.
 
Wie bei jeder neuen Technologie ergeben sich auch im Zuge der zunehmenden Digitalisierung viele Chancen, aber auch neue Herausforderungen und potenzielle Risiken. Es gibt aber keine Anzeichen dafür, dass etwa eine durch digitale Ansätze noch individuellere Prämienkalkulation den Zugang zu Versicherungsschutz für bestimmte Versichertengruppen erschweren könnte oder Einschränkungen der informationellen Selbstbestimmung drohen. Welche innovativen Versicherungslösungen sich am Markt etablieren, wird sich erst künftig im Wettbewerb um die Kunden entscheiden.
 
Die Versicherungswirtschaft ist sich ihrer gesellschaftlichen Verantwortung im digitalen Zeitalter sehr bewusst. Wichtig ist, dass ein gesellschaftlicher Austausch über die Auswirkungen der Digitalisierung auf die Versicherungsprodukte und Tarife stattfindet, den die Versicherer aktiv vorantreiben werden. Die Versicherer stellen sich der gesellschaftlichen Diskussion und wollen sie aktiv mitgestalten.
Einheitliche Rechtsauslegung im Datenschutz stärken
Eine immer stärker globalisierte Wirtschaft braucht auch länderübergreifende Regeln im Datenschutz. Deshalb hat die Versicherungswirtschaft die EU-Datenschutzgrundverordnung bereits früh unterstützt. Ein einheitliches europäisches Datenschutzrecht muss aber auch einheitlich in Europa von den Aufsichtsbehörden ausgelegt werden. Es darf nicht sein, dass die in Deutschland stark föderal ausgelegte Struktur des Datenschutzes zu starken regionalen Abweichungen bei der Auslegung der Datenschutzregeln führen. Konkurrierende Ansichten verschiedener Behörden sorgen allein für Rechtsunsicherheit. Unternehmen müssen sich auf Auslegungen im Datenschutz verlassen können.

Dabei werden die Versicherer weiterhin auf Sicherheit und Schutz der Daten setzen: Als erste Branche in Deutschland hat die Versicherungswirtschaft 2012 eine freiwillige Selbstverpflichtung zum Datenschutz abgeschlossen, die mit den Datenschutzbehörden abgestimmt wurde. Der sogenannte Code of Conduct präzisiert die allgemeinen Vorgaben des Bundesdatenschutzgesetzes für die Branche. Er gibt somit den Versicherern klare Leitlinien und sichert ihren Kunden ein hohes Datenschutzniveau zu. Die Versicherer müssen dabei umfassende Datenschutz- und Datensicherheitskonzepte vorweisen. Der Code of Conduct erfüllt das neue europäische Datenschutzniveau zu einem großen Teil schon heute. Er soll nun weiterentwickelt und dem neuen europaeinheitlichen Datenschutzrecht komplett angepasst werden.

Mit dem Krisenreaktionszentrum der deutschen Versicherungswirtschaft (LKRZV) haben die Versicherer zudem als eine der ersten Branchen eine zentrale Infrastruktur für die Kommunikation bei Sicherheitsvorfällen etabliert. Ungeachtet dessen, ob die Versicherungswirtschaft unter das neue IT-Sicherheitsgesetz für kritische Infrastrukturen fallen wird oder nicht: Die Kernanforderungen des Gesetzes hat die Branche schon längst erfüllt.

Auch bei der Entwicklung sicherer Kommunikation sind die Versicherer Vorreiter: Im März 2015 wurde die Trusted German Insurance Cloud (TGIC) als erste Cloud-Lösung Deutschlands vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach deutschen und internationalen Standards zertifiziert. Das zeigt: Daten von Kunden sind bei Versicherern sicher aufgehoben.