Privat bleibt privat

In Kürze werden neue Regelungen eingeführt, die das Verhältnis von Versicherern und Kunden dramatisch verändern werden. Philipp Raether, Chief Privacy Officer der Allianz Gruppe, erklärt, welche Veränderungen auf uns zukommen und was dies für uns alle bedeutet.

Die meisten von uns sind heutzutage online unterwegs – die Privatsphäre ist dabei zu einer Art Luxus geworden. Das digitale Leben ist mittlerweile ein so fester Bestandteil unseres Alltags, dass es ein Leichtes ist zu vergessen, wie jung dieses Phänomen noch ist.


Es war erst im Jahr 1969, als die erste Nachricht von Computer zu Computer über das Netzwerk ARPANET verschickt wurde. Es sollte dann noch weitere 20 Jahre dauern, bevor damit die Grundlagen für das Internet der frühen neunziger Jahre geschaffen wurden.


Aus digitaler Sicht herrschte damals noch tiefstes Mittelalter. Es gab kein Google, Steve Jobs ging noch zur Schule und die Computermaus war erst einige Jahre vorher erfunden worden, wobei die meisten Menschen auch nicht gewusst hätten, was sie damit anfangen sollen. Dennoch hatte das Bundesland Hessen bereits im Jahr 1970 die Weitsicht, ein Datenschutzgesetz zu verabschieden.


Seitdem ist die digitale Welt exponentiell komplexer geworden. Smartphones und die Cloud haben uns vom PC losgelöst, sodass wir auch unterwegs konstanten Zugriff auf eine Fülle von Informationen haben. Das bedeutet aber auch, dass durchgängig Informationen über unsere Aktivitäten erfasst werden. Eine solche Sammlung, Verarbeitung und Übertragung von Daten ist mittlerweile aus dem Tagesgeschäft der meisten Unternehmen nicht mehr wegzudenken.


Wenn im Mai nächsten Jahres die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, wird die Europäische Union in Sachen Datenschutz im 21. Jahrhundert angekommen sein. In den europäischen Ländern gibt es bereits Datenschutzbestimmungen, aber die DSGVO hebt das Ganze auf ein völlig neues Level und verändert den gesamten Datenlebenszyklus grundlegend.


Mit Einführung der DSGVO wird der Schutz des Einzelnen („betroffene Person“) gestärkt und Unternehmen müssen den Datenschutz mehr in den Fokus rücken. Zudem werden Verstöße strenger geahndet. Grobe Verstöße können sogar zu Geldbußen von bis zu 20 Millionen Euro bzw. Strafen in Höhe von 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens im Vorjahr führen.
Für ein Unternehmen wie die Allianz beispielsweise würde ein schwerwiegender Verstoß bei einem weltweiten Jahresumsatz von etwa 120 Milliarden Euro im Jahr 2016 eine Höchststrafe von 5 Milliarden Euro nach sich ziehen.

Philipp Raether

In den 1990ern waren personenbezogene Daten (wie Name, Adresse, Telefon- und Kontonummern, E-Mail- und IP-Adressen usw.) bereits im Rahmen eines Datenschutzgesetzes geschützt. Die DSGVO stärkt diese Datenschutzrechte jedoch maßgeblich. Dadurch ergeben sich für uns eine Reihe neuer Rechte in Bezug auf unsere personenbezogenen Daten, wie zum Beispiel auch das sogenannte Recht auf Vergessenwerden sowie das Auskunftsrecht und das Recht auf Datenübertragbarkeit.

So kann beispielsweise ab Mai kommenden Jahres jede Person, die ihren Wohnsitz in der Europäischen Union hat – nicht nur EU-Bürger –, die zeitnahe Löschung ihrer personenbezogenen Daten aus Unternehmensdatenbanken anfordern. Sie hat dann auch das Recht zu erfahren, warum ggf. keine Löschung erfolgt. Dies schließt alle Daten ein, selbst Sicherungskopien. Die DSGVO erweitert die Definition des Begriffs „personenbezogene Daten“ auch auf Verlaufsinformationen wie Cookies und Mobilgerätekennungen. Je nach Zweck ist auch eine Einholung der Einwilligung eingeschlossen.

Diese Einwilligung muss eine freiwillige, in informierter Weise und unmissverständlich abgegebene Willensbekundung sein. Die DSGVO macht es zudem erforderlich, dass Unternehmen zusätzlich die ausdrückliche, informierte und unmissverständliche Einwilligungserklärung von Personen einholen, wenn Daten auf neue Art und Weise genutzt werden sollen. Diese Erklärung ist jederzeit widerrufbar.

Im Kern verfolgt die DSGVO einen Ansatz des „eingebauten Datenschutzes“ (Privacy by design) und der datenschutzfreundlichen Voreinstellungen (Privacy by default). „Eingebauter Datenschutz“ heißt hier, dass bei allen Services oder Geschäftsprozessen, bei denen personenbezogene Daten verwendet werden, der Datenschutz während des gesamten Lebenszyklus im Vordergrund stehen muss. Das bedeutet, dass Datenschutz zur unternehmensweiten Norm werden muss, insbesondere da Unternehmen nachweisen müssen, dass sie angemessene Sicherheitsmaßnahmen verfolgen und die Einhaltung kontrolliert wird.

„Datenschutzfreundliche Voreinstellungen“ implizieren, dass automatisch die strengsten Privatsphäreeinstellungen gelten, sobald ein Kunde ein neues Produkt oder einen neuen Service erwirbt. Dies schließt auch eine zeitliche Begrenzung mit ein. Personenbezogene Daten dürfen nur für den Zeitraum der Produkt- oder Servicebereitstellung aufbewahrt werden.

Letztlich führt die DSGVO neue Datensicherungskonzepte ein, die auf gesundem Menschenverstand basieren: Minimierung der Erfassung personenbezogener Daten, Löschung nicht mehr gültiger personenbezogener Daten, Einschränkung des Zugriffs und Gewährleistung der Datensicherheit über den gesamten Lebenszyklus hinweg. Im Kern geht es darum, dass der Zugriff auf personenbezogene Daten ein Privileg ist und Unternehmen daher entsprechend verantwortungsvoll damit umgehen müssen.

Dies mag zwar alles ganz simpel erscheinen, im Umgang mit Daten gibt es aber in der Regel viele Variablen. Die DSGVO macht daher strenge Vorgaben in Sachen Compliance, von denen nicht nur europäische Unternehmen betroffen sind. Sie hat auch Auswirkungen auf den Export von personenbezogenen Daten in Länder, die nicht zur EU gehören, z. B. zur Verarbeitung im Ausland. Sie hat also auch weltweite Relevanz. Wenn eine e-Commerce-Seite außerhalb von Europa Daten von EU-Bürgern erhebt oder verarbeitet, gelten beispielsweise auch die Anforderungen der DSGVO.

Tatsächlich besteht die größte Veränderung darin, dass die DSGVO die Unternehmen mehr in die Verantwortung nimmt. Dies gilt insbesondere für Versicherer, da die Datenexplosion in den letzten Jahrzehnten mehr über die Kunden preisgegeben hat. Die gesammelten Daten machen eine genauere Zeichnung möglich, um effektive Versicherungspolicen zu erstellen und umzusetzen.

Die Entwicklung der Technologie in neuen Bereichen wie Telematik und Telemedizin spielt ebenfalls eine Rolle. Die Versicherer müssen äußerst vorsichtig vorgehen, um sicherzustellen, dass aus all diesen Quellen gesammelte personenbezogene Daten auf transparente und verantwortungsvolle Art und Weise verwendet und gespeichert werden. Dem Kunden muss dabei alles entsprechend verständlich gemacht werden.

Wir bei der Allianz haben ein dreijähriges, mehrstufiges Programm durchgeführt, um die gruppenweite Einhaltung der DSGVO sicherzustellen. Im Rahmen dieses Programms implementiert die Allianz umfassende verbindliche Regeln in Bezug auf die Übertragung personenbezogener Daten.

Die Anforderungen der DSGVO entsprechen unserer Ansicht nach unseren Anstrengungen in Sachen Digitalisierung. Bei dieser Gelegenheit können wir die Systeme in der gesamten Gruppe harmonisieren, um die Komplexität zu reduzieren und die Effizienz zu steigern. In der Allianz wird der Schutz der Privatsphäre unserer Kunden in Zukunft – wie auch schon in der Vergangenheit – an erster Stelle stehen.

Diese Aussagen stehen, wie immer, unter unserem Vorbehalt bei Zukunftsaussagen

 

Gregor Wills
Allianz SE
Tel.: +49 89 3800 61313

E-Mail senden

06.03.2024

Allianz SE verlängert Verträge der Vorstandsmitglieder Sirma Boshnakova und Günther Thallinger

mehr dazu

01.03.2024

Allianz completes the acquisition of Tua Assicurazioni in Italy

mehr dazu

28.02.2024

Global insolvency outlook: Reality check

mehr dazu