25.04.2017
Politische Positionen 2017

Digitalisierung und Datenschutz – Chancen der Digitalisierung sicher nutzen

Neue Geschäftsmodelle, schnellere Prozesse und mehr Service: Die digitale Vernetzung bietet Verbrauchern und der Wirtschaft große Chancen. Um diese Potenziale voll auszuschöpfen, muss Unternehmen jedoch genügend Spielraum für Innovation gegeben werden.

Digitale Kommunikationswege und automatisierte Verfahren bieten Verbrauchern und Unternehmen schnellere und effizientere Prozesse. Sie sollten nicht durch technologiefeindliche Regelungen erschwert werden. Deshalb muss jetzt an den rechtlichen Rahmenbedingungen einer digitalen Welt gearbeitet werden. Denn Unternehmen können die technischen Potenziale der Digitalisierung zum Vorteil ihrer Kunden nur ausschöpfen, wenn es rechtlich auch erlaubt ist. Versicherer müssen ihre Kunden wie andere Branchen auch auf den bevorzugten Kanälen ansprechen dürfen – und zwar in der Online- wie der Offlinewelt.

Versicherer arbeiten seit jeher mit Daten: Um Produkte zu entwickeln oder Risiken zu bewerten sind umfassende Datenanalysen erforderlich. Diese Analysen müssen weiterhin möglich sein, ansonsten könnten Risiken kaum exakt kalkuliert werden. Allerdings bleibt die Sicherheit der Daten infolge der zunehmenden Vernetzung eine der größten gesellschaftlichen und politischen Herausforderungen der kommenden Jahre. Die Versicherer gehen hier voran – um die Sicherheit ihrer eigenen Systeme weiter auf dem höchsten Standard zu halten. Und um ihre Rolle als Risikoträger auch für digitaleRisiken auszubauen. Versicherungen fürCyber-Risiken werden helfen, die Sicherheit in den Unternehmen zu erhöhen, die sich versichern. Hier ist gerade in kleinen und mittleren Unternehmen noch Nachholbedarf.

Die GDV-Positionen
Medienbruchfreie digitale Verfahren in Wirtschaft und Verwaltung fördern
Mediengerechte Verfahren sind für Wirtschaftsunternehmen ein wesentlicher Erfolgsfaktor. Sie entsprechen den Erwartungen der Kunden, auf deren Wunsch die Betreuung zunehmend über digitale Kommunikationskanäle erfolgt. Bereits heute erhalten Versicherer rund ein Drittel ihrer Nachrichten über digitale Kanäle. Viele Kundenanliegen können dadurch schnell und effizient fallabschließend bearbeitet werden. Schutz und Integrität der Kundendaten haben für uns dabei die oberste Priorität.
 
Für einen digitalen Rundumservice setzt sich die Versicherungswirtschaft dafür ein, Medienbrüche durch sichere und praktikable elektronische Kommunikationsprozesse zu ersetzen. Die sichere digitale Identität ist dabei ein zentraler Baustein, um Vertrauen und Schutz für Kunden und Unternehmen gleichermaßen zu stärken und zu gewährleisten. Wir begrüßen deshalb, dass die EU-Datenschutzgrundverordnung keine Schriftform mehr vorsieht. Prozesse, die eine datenschutzrechtliche Einwilligung erfordern, können dadurch standardmäßig elektronisch gestaltet werden. Die Kommunikation zwischen Unternehmen und Kunden wird erheblich erleichtert.
 
Auch in der Kommunikation mit Behörden sollten für die Versicherer effiziente, sichere elektronische Prozesse möglich sein. Hier gilt es, weitere Schriftformerfordernisse abzubauen, durch praktikable elektronische Verfahren zu ersetzen und standardisierte elektronische Kommunikation zu etablieren. Verfahren würden beschleunigt und effizienter.
Vollautomatisierte Entscheidungen unterstützen
Leistungsfähigere Rechensysteme ermöglichen es den Versicherern, viele Prozesse abschließend zu bearbeiten, ohne dass ein menschliches Eingreifen nötig wäre. Durch vollautomatisierte Verfahren wird es künftig leichter möglich sein, innerhalb kürzester Zeiträume Verträge zu schließen und Schadenersatzzahlungen automatisch anzuweisen. Wenn der Versicherer alle Informationen über elektronische Wege zur Verfügung gestellt bekommt, erhalten Versicherte schneller Versicherungsschutz, und im Schadenfall wird das Geld schneller ausgezahlt – dies selbstverständlich unter Berücksichtigung des Datenschutzes und der Datensicherheit.
 
Diese Effizienzgewinne sollten nicht durch zu hohe regulative Anforderungen behindert werden. Die Versicherungswirtschaft benötigt eine Erlaubnis für automatisierte Entscheidungen nicht nur im Vertragsverhältnis, sondern auch in anderen Rechtsverhältnissen, z. B. für den Geschädigten in der Haftpflichtversicherung. In jedem Fall muss es möglich bleiben, Entscheidungen vollautomatisiert zu treffen – und damit dem Verlangen der Kunden zu entsprechen.
E-Mail als Kommunikationsweg stärken
Verbraucher sollten bei der Kommunikation mit ihrem Versicherer selbst darüber entscheiden können, auf welchem Weg sie mit dem Unternehmen kommunizieren wollen. Auch wenn viele Versicherer mittlerweile sehr sichere elektronische Kommunikationskanäle anbieten, zum Beispiel über geschützte Kundenportale, bevorzugen viele Verbraucher für ihre Anfragen weniger abgesicherte Kommunikationskanäle wie E-Mail. Sie haben kein Verständnis, wenn sie die Antwort des Versicherers nicht zeitnah, sondern erst Tage später per Brief erhalten. Um dem Wunsch der Kunden nach einer direkten und schnellen Kommunikation via E-Mail entsprechen zu können, sollten die Datenschutzbehörden keine Vorgaben für die Nutzung des Kommunikationsweges machen. Es braucht praktikable, kundenfreundliche Lösungen, sodass Anfragen auch per E-Mail abgewickelt werden können.
Vollautomatisierte Entscheidungen unterstützen
Leistungsfähigere Rechensysteme ermöglichen es den Versicherern, viele Prozesse abschließend zu bearbeiten, ohne dass ein menschliches Eingreifen nötig wäre. Durch vollautomatisierte Verfahren wird es künftig leichter möglich sein, innerhalb kürzester Zeiträume Verträge zu schließen und Schadenersatzzahlungen automatisch anzuweisen. Wenn der Versicherer alle Informationen über elektronische Wege zur Verfügung gestellt bekommt, erhalten Versicherte schneller Versicherungsschutz, und im Schadenfall wird das Geld schneller ausgezahlt – dies selbstverständlich unter Berücksichtigung des Datenschutzes und der Datensicherheit.
 
Diese Effizienzgewinne sollten nicht durch zu hohe regulative Anforderungen behindert werden. Die Versicherungswirtschaft benötigt eine Erlaubnis für automatisierte Entscheidungen nicht nur im Vertragsverhältnis, sondern auch in anderen Rechtsverhältnissen, z. B. für den Geschädigten in der Haftpflichtversicherung. In jedem Fall muss es möglich bleiben, Entscheidungen vollautomatisiert zu treffen – und damit dem Verlangen der Kunden zu entsprechen.
Level Playing Field für traditionelle und neue Wettbewerber weiterentwickeln
Die gegenwärtigen Regulierungsinitiativen wie etwa die Strategie zur Schaffung eines digitalen Binnenmarktes der EU-Kommission oder die Überlegungen zur Plattformregulierung der deutschen Bundesregierung werden das Marktumfeld für die digitale Wirtschaft maßgeblich bestimmen. Damit sich in diesem Umfeld die besten Unternehmen durchsetzen können, ist es wichtig, bei der Ausgestaltung des Ordnungsrahmens für die digitale Welt ein Level Playing Field zwischen den verschiedenen Anbietern sicherzustellen. Die Unternehmen, aus welchen Branchen auch immer, müssen im fairen Wettbewerb miteinander agieren können. Wichtig sind hier nicht nur die rechtliche und regulatorische Gleichbehandlung von Newcomern wie FinTechs und traditionellen Anbietern sowie ein innovationsfreundlicher Rechtsrahmen, sondern auch die Verhinderung von Datenmonopolen, zum Beispiel im Bereich des vernetzten Kfz (siehe unten: Vernetztes Kfz). Nur so können die Chancen der Digitalisierung im freien Wettbewerb bestmöglich ausgeschöpft werden – im Interesse von Versicherungskunden, Anbietern und Gesellschaft.
Bagatellgrenzen für Rechtssicherheit in der Sharing Economy schaffen
Eine wichtige Voraussetzung für bedarfsgerechten Versicherungsschutz ist die klare und rechtssichere Abgrenzung zwischen privaten und gewerblichen Transaktionen. Im Bereich der Haftpflichtversicherung oder der Rechtsschutzversicherung gibt es zwar spezielle Produkte für die Absicherung der Risiken aus gewerblicher Tätigkeit. Im Bereich der Sharing Economy aber – beispielsweise bei der Vermittlung von Fahrdiensten oder Privatunterkünften – verschwimmen die Grenzen zwischen privaten und gewerblichen Dienstleistungen. Schwellenwerte bzw. Bagatellgrenzen, unterhalb derer Aktivitäten in der Sharing Economy dem privaten Bereich zuzurechnen sind, könnten hier für eine sinnvolle Abgrenzung sorgen.
Modernen Datenschutz der Realität anpassen
Im Zeitalter der digitalen Vernetzung muss das Prinzip der Datensparsamkeit weiterentwickelt werden. Auch wenn weiterhin nur so viele Daten verarbeitet werden sollen, wie es für den jeweiligen Zweck erforderlich ist, muss sich der Datenschutz einer neuen Realität stellen. Bis zum Jahr 2020 werden schätzungsweise 5,4 Milliarden Geräte ständig Daten erfassen und mit dem Internet kommunizieren – und dabei häufig auch auf Personen beziehbare Daten aufzeichnen. Informationelle Selbstbestimmung bedeutet auch, den Nutzern die Souveränität zu geben, unterschiedlichste Formen der Verarbeitung der durch und über sie erfassten Daten zuzulassen. Nur so ist Fortschritt in einer digitalisierten Welt möglich.
Nationale Datenschutzregeln noch 2017 umsetzen
Der europäische Gesetzgeber hat bei der Verabschiedung der Europäischen Datenschutzgrundverordnung in einzelnen Bereichen bewusst Lücken für nationale Regelungen gelassen. Das Umsetzungsgesetz, das diese Öffnungsklauseln ausfüllt, sollte der deutsche Gesetzgeber unbedingt noch in dieser Legislaturperiode verabschieden. Nur so erhalten die Unternehmen die Rechtssicherheit, die sie für ihre Investitionsentscheidungen benötigen.
 
Sollte eine nationale Anpassung erst nach Mai 2018 in Kraft treten können, sind sinnlose Doppelinvestitionen zu befürchten – und zwar erst für eine Anpassung an die europäischen Datenschutzregeln und später dann für eine Anpassung an die deutsche Umsetzung. Wenngleich eine Vereinheitlichung des Datenschutzrechts in der EU grundsätzlich wünschenswert ist, sollten diese Öffnungsklauseln für eine praxisgerechte Anwendung des Datenschutzrechts genutzt werden. Für die Versicherungswirtschaft sind insbesondere klare Regelungen für Statistiken mit Gesundheitsdaten und vollautomatisierte Entscheidungen erforderlich.
Statistische Nutzung von Gesundheitsdaten ermöglichen
Um Risiken adäquat einschätzen und verlässliche Tarife und Produkte entwickeln zu können, müssen Versicherer auf Basis richtiger und vollständiger Daten kalkulieren. Auch zur Erfüllung der versicherungsaufsichtsrechtlichen Solvenzanforderungen (Solvency II) benötigen Versicherer verlässliche Statistiken. In die Statistiken müssen Daten aus Schadenfällen einfließen, zu denen in der Personenversicherung sowie in der allgemeinen Haftpflicht- und Kfz-Haftpflichtversicherung auch Gesundheitsdaten gehören. Mit der EU-Datenschutzgrundverordnung hat es der europäische Gesetzgeber den nationalen Parlamenten überlassen, die Anforderungen an die Nutzung der Gesundheitsdaten für statistische Zwecke weiterhin zu erlauben und auszugestalten.
 
Dieses Angebot sollte der deutsche Gesetzgeber unbedingt nutzen, um Versicherungen weiterhin eine vollständige und repräsentative Statistik zu ermöglichen. Würde jeder Kunde separat in die Nutzung seiner Daten für statistische Zwecke einwilligen müssen, käme es aufgrund mangelnder Datenbasis zu Verzerrungen und Ungenauigkeiten in der Statistik, die nicht auszugleichen wären. Dies gilt umso mehr für geschädigte Dritte in der Haftpflichtversicherung, die in keinem Vertragsverhältnis zum Versicherer stehen. Ansonsten müssten zusätzliche Sicherheitszuschläge einkalkuliert werden, die Versicherungen teurer machen würden. Zudem würde der administrative Aufwand einer zusätzlichen Einwilligung Kosten verursachen. Hervorzuheben ist, dass aus den Statistiken, die Versicherer zur Tarifkalkulation oder Erfüllung von Solvenzanforderungen erstellen, keine Schlüsse auf einzelne Kunden gezogen werden können.
Diskussion über Digitalisierung und Versicherungstarifierung versachlichen
Die zunehmende Digitalisierung verändert auch die Produkte und Tarife der Versicherer. Verbesserungen in Risikobewertung und -klassifizierung werden möglich. Großes Potenzial besteht auch hinsichtlich einer besseren Unterstützung der Kunden bei der Reduzierung von Risiken und der Prävention – und damit für ein besseres gesellschaftliches Risikomanagement. Die digitale Vernetzung bringt für Versicherer auch die Möglichkeit, neue Daten für neuartige Produkte zu nutzen. Beispiele sind Telematik-Tarife in der Kfz-Versicherung oder Programme in der Lebensversicherung, die gute Fitnessdaten mit Boni belohnen. Die Entwicklung dieser Modelle und Produkte steht noch am Anfang. Wie bei jeder neuen Technologie ergeben sich auch im Zuge der zunehmenden Digitalisierung viele Chancen, aber auch neue Herausforderungen.
 
Es gibt aber keine Anzeichen dafür, dass etwa eine durch digitale Ansätze noch individuellere Prämienkalkulation den Zugang zu Versicherungsschutz für bestimmte Versichertengruppen erschweren könnte. Einschränkungen der informationellen Selbstbestimmung drohen schon angesichts des bestehenden Wettbewerbs und der damit verbundenen Wahlfreiheit der Kunden nicht. Welche innovativen Versicherungslösungen sich am Markt etablieren, wird sich erst künftig im Wettbewerb um die Kunden entscheiden. Die Versicherungswirtschaft ist sich ihrer gesellschaftlichen Verantwortung im digitalen Zeitalter sehr bewusst.
 
Wichtig ist, dass ein gesellschaftlicher Austausch über die Auswirkungen der Digitalisierung auf die Versicherungsprodukte und Tarife stattfindet. Die Versicherer stellen sich der gesellschaftlichen Diskussion und wollen sie aktiv mitgestalten.
Einheitliche Rechtsauslegung im Datenschutz stärken
Eine immer stärker globalisierte Wirtschaft braucht auch länderübergreifende Regeln im Datenschutz. Die Versicherungswirtschaft hat die Europäische Datenschutzgrundverordnung deshalb bereits früh unterstützt. Ein einheitliches europäisches Datenschutzrecht muss von den europäischen Aufsichtsbehörden aber auch einheitlich ausgelegt werden. Es darf nicht sein, dass die in Deutschland stark föderal ausgelegte Struktur des Datenschutzes zu starken regionalen Abweichungen bei der Auslegung der Datenschutzregeln führt. Konkurrierende Ansichten verschiedener Behörden sorgen für Rechtsunsicherheit.
 
Unternehmen aber müssen sich auf Auslegungen im Datenschutz verlassen können. Deshalb sollte auch in Deutschland ein Kohärenzverfahren zwischen den föderalen Datenschutzbehörden etabliert werden, wie es bereits auf EU-Ebene praktiziert wird. Der Zwang zu einer Abstimmung unter den deutschen Datenschutzbehörden würde verhindern, dass Datenschutzrecht von Bundesland zu Bundesland unterschiedlich ausgelegt wird.
Cyber-Gefahren ernst nehmen
Viele Verbraucher und Entscheider in kleinen und mittleren Unternehmen unterschätzen die Gefahr von Cyber-Bedrohungen. Sie müssen stärker für die Gefahren aus dem Netz sensibilisiert werden. Die Versicherungswirtschaft unterstützt die Bundesregierung in ihrem Ansatz, Prävention zu stärken und wirkt aktiv daran mit, die IT-Sicherheit gerade in mittelständischen Unternehmen zu verbessern.
 
So hat die VdS Schadenverhütung GmbH (VdS), eine Tochtergesellschaft des GDV, einen „Quick-Check“ zur Cyber-Sicherheit erarbeitet. Damit können kleine und mittelständische Unternehmen eine automatisierte Selbstauskunft über ihr IT-Sicherheitsniveau erhalten. Zudem hat die VdS Schadenverhütung GmbH ein Prüfverfahren für Informationssicherheit entwickelt, das mit einem Zertifikat (VdS 3473) verbunden ist. VdS testiert so dem überprüften Unternehmen, dass es Maßnahmen gegen die wichtigsten Cyber-Gefahren umgesetzt hat. Solche Prüfverfahren können dabei helfen, Cyber-Risiken wirkungsvoll vorzubeugen.
 
Darüber hinaus hat der GDV ein Muster-Deckungskonzept für eine Cyber-Police entwickelt, die kleine und mittelständische Unternehmen vor den Folgen von Cyber-Angriffen schützt. Wir sind damit der erste Versicherungsmarkt in Europa, der flächendeckend eine solche Versicherung für den Mittelstand anbietet – zur Stärkung des Standortes Deutschlands und jedes hier tätigen kleinen und mittelständischen Unternehmers.
Rahmenbedingungen für sicheres Smart Home setzen
Die Ausstattung von Alltagsgegenständen mit Netzwerkfunktionalität schreitet weiter voran. Dabei ist jedoch die Cyber-Sicherheit in vielen Fällen fraglich. Produzenten sollten daher unter anderem verpflichtet werden, Produkte des Internet of Things und Smart Home für einen Mindestzeitraum mit sicherheitsrelevanten Updates und entsprechendem Support zu bedienen. Dabei sollte sich der Mindestzeitraum für Support und Updates nach der Produktkategorie richten. So ist etwa für Smart Home-Geräte, die fest mit dem Gebäude verbunden werden (z. B. IP-fähige Kameras, Gegensprechanlagen), ein Support- und Updatezeitraum von mindestens 10 Jahren anzusetzen. Verbraucher sollten auch aktiv auf einen Ablauf des Supportzeitraums hingewiesen werden, damit leicht angreifbare Geräte erkannt und ausgetauscht werden können.
 
Für sicherheitsrelevante Geräte (z. B. IP-Überwachungskameras) sollten Penetrationstests verpflichtend sein. Die Ergebnisse dieser Tests sollten jedermann zugänglich sein. Zudem sollten Geräte wie vernetzte Kühlschranke, Waschmaschinen oder Kaffeeautomaten mit einem sogenannten „Legacy Mode“ ausgestattet werden müssen, sodass die Geräte ohne die Netzwerkfunktionalität weiter genutzt werden können.
Sichere IT-Infrastrukturen und Online-Identifizierung weiter ausbauen
Für die Sicherheit digitaler Daten sind sichere Übertragungswege von zentraler Bedeutung. Gerade wenn es um hochsensible Daten geht, muss eine elektronische Kommunikation besonders geschützt werden. Um die sichere Online-Kommunikation mit Kunden zu stärken, müssen sichere IT-Verfahren für die Authentifizierung gestärkt werden. Die Lösungen für eine sichere Kommunikation müssen sich dabei eng am Alltag der Verbraucher orientieren. Die Versicherer haben mit der Trusted German Insurance Cloud (TGIC) bereits eine Möglichkeit für abgesicherte, webbasierte Kommunikation über eine Cloud vorgelegt. Mit der Zertifizierung der TGIC haben die Versicherer gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) einen Beitrag für die Etablierung von Sicherheitsstandards für Cloud-Lösungen gesetzt. Mindeststandards zum Schutz elektronischer Geschäftsprozesse sollten für alle Branchen etabliert werden.
Schutz für Verkehrsopfer nicht aufweichen
Eine Kernaufgabe der Kfz-Haftpflichtversicherung ist der verlässliche Schutz von Verkehrsopfern. Für deren Entschädigung spielt es keine Rolle, ob der Fahrer einen Fehler gemacht oder ein technisches System versagt hat. Die Versicherung deckt sowohl die Verschuldenshaftung des Fahrers als auch die Gefährdungshaftung, die sich aus der Betriebsgefahr eines jeden Fahrzeuges ergibt. Diese ebenso klaren wie bewährten Regeln entfalten ein Höchstmaß an Schutz und Sicherheit für Verkehrsopfer. Dabei muss es bleiben. Das bewährte Modell der Kfz-Haftpflichtversicherung umfasst selbstverständlich auch das automatisierte Fahren.
 
Eine Produkthaftung des Herstellers würde das Verkehrsopfer bei Fehlern des automatisierten Fahrzeuges nicht ausreichend schützen, da sie für die Entschädigung von Unfallopfern weder ausgelegt noch geeignet ist. Einem Verkehrsopfer ist nicht zuzumuten, einen eventuellen Produktfehler gegenüber dem Autohersteller nachweisen zu müssen. Der erste und direkte Ansprechpartner eines Verkehrsopfers bleibt daher auch in Zukunft die Kfz-Haftpflichtversicherung. Sie entschädigt das Unfallopfer und wird für etwaige Regressansprüche praktikable Lösungen mit den Automobilherstellern finden. Das ist die ideale Lösung – auch für eine automobile Zukunft, in der immer öfter nicht der Fahrer, sondern das automatisierte Auto selbst beschleunigt, bremst und lenkt.
Offene und standardisierte Schnittstellen für Kfz-Daten schaffen
Im Zuge der eCall-Einführung ab 31. März 2018 soll eine standardisierte, sichere und diskriminierungsfrei zugängliche Schnittstelle für den Austausch von Kfz-Daten geschaffen werden. Eine solche offene und standardisierte Schnittstelle gewährleistet, dass der Verbraucher die Kontrolle über seine Daten hat und frei wählen kann, wem er seine Kfz-Daten zur Verfügung stellt.
 
Nur in einem solchen Fall kann der Verbraucher sich für das jeweils beste Angebot und für den von ihm bevorzugten Dienstleister entscheiden – sei es der Automobilhersteller, Versicherer, Kfz-Betrieb oder Automobilclub. Das schafft faire Wettbewerbsbedingungen. Es darf nicht dazu kommen, dass einzig die Autohersteller alleinigen Zugang zu den Kfz-Daten haben. Ansonsten würden andere Dienstleister ausgeschlossen und einzelne Märkte dauerhaft abgeschottet werden – zulasten eines fairen Wettbewerbs und einer Angebotsvielfalt für den Verbraucher.