Besonders relevant sind für die Assekuranz die neuen Bestimmungen zur Data Privacy, weil ihre Tätigkeit immer mit der Bearbeitung von Personendaten verbunden ist. Daten machen das Kerngeschäft aus und sind eine wichtige Grundlage für die Gestaltung neuer Produkte und Services.
Aus verschiedenen Quellen können personenbezogene Daten automatisiert ausgewertet werden. Mit diesem Profiling lassen sich zum Beispiel Persönlichkeitsprofile, Lebensumstände und Verhaltensweisen einer Person ableiten. Nicht für jedes Profiling braucht es eine Einwilligung der betroffenen Person. Eine solche Einwilligung ist aber nach den neuen Bestimmungen des DSG nötig, wenn das Profiling mit einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person verbunden ist.
Risiko-Profiling: Rechtsgrundlage erforderlich
Ohne Rechtsgrundlage geht gar nichts: Die Verarbeitung von Daten braucht nach dem neuen DSG immer eine zweckgebundene Begründung. Dies kann sich aus der unmittelbaren Vertragserfüllung selbst ergeben, wenn dazu personenbezogene Daten erforderlich sind – das beginnt schon mit der Rechnungsadresse.
Der Zweck kann darüber hinaus in der Erfüllung von gesetzlichen Auflagen wie etwa der Geldwäscheprävention begründet sein. Oder es braucht eine explizite Einwilligung des Kunden zur Datenverarbeitung, die über den unmittelbaren Vertrag hinausgeht. Kluges und transparentes «Consent-Management», also das Bemühen um die Einwilligung der Kundin zu dieser Form der Datenerhebung und -verarbeitung, ist daher ein unabdingbarer Baustein der digitalen Wirtschaft.
Anspruchsvolles Consent-Management
Wie sieht es an diesem Punkt aus bei der Assekuranz? Versicherungsverträge laufen über Jahrzehnte. Kontaktpunkte mit Kundinnen und Kunden sind bei Versicherern daher rar, vergleicht man es zum Beispiel mit Banken. «Das Consent-Management wird für Versicherer deshalb sehr anspruchsvoll», ist Rechtsanwalt Jürg Eberhart überzeugt.
Das bestätigt Matthias Brändle, Head Data Strategy bei der Mobiliar: Ein übergreifendes Einwilligungsmanagement zu installieren, sei ein grosses Projekt. «Es ist eine Herausforderung, Einwilligungen einzuholen, je nach Kundenwunsch wieder anzupassen und die korrekte Beachtung in den betroffenen Datenbearbeitungen sicherzustellen. Weiter gilt es, dies alles gesetzeskonform und trotzdem einfach verständlich zu kommunizieren und reibungslos in Prozesse einzubinden.»
Was wird wie für Kundinnen und Kunden transparenter? Sie können künftig spezifischer selbst steuern, wozu sie eine Einwilligung geben und wozu nicht. Eine Datenweitergabe an Dritte zu Marketingzwecken zum Beispiel braucht eine Einwilligung. Allgemein wird auch über notwendige Datenbearbeitungen weitreichender informiert, damit die Kunden und Kundinnen besser verstehen und einschätzen können, was mit ihren Personendaten passiert.
Rasch handeln bei Datenschutzverletzungen
Für Vorfälle, bei denen die Datensicherheit nach DSG verletzt wird, besteht künftig eine Pflicht zur Meldung an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), wenn dabei ein «hohes Risiko» für die Rechte und Freiheiten natürlicher Personen besteht. Doch was genau macht dieses hohe Risiko aus? Und wie wird das in der Praxis gehandhabt?
Klar sei die Sachlage in Fällen, in denen Hacker bei einem Cyberangriff Personendaten abgreifen, Datenträger wie USB-Sticks mit Personendaten gestohlen werden oder E-Mails an falsche Empfänger geraten, sagt Dr. Michèle Balthasar, Rechtsanwältin und Geschäftsführerin von Balthasar Legal AG, Zürich. Weniger klar sind für sie Fälle, in denen im Unternehmen eine IT-Schwachstelle (Vulnerability) entdeckt wird und Datenlecks zutage treten.
Generell erfordern Datenschutzverletzungen gemäss Michèle Balthasar ein schnelles und beherztes Handeln, wie sie an der 16. Tagung zum Datenschutz des Europa-Instituts der Universität Zürich betonte. Dabei sei es wichtig, den Vorfall sofort intern der zuständigen Stelle zu melden und dann zügig Massnahmen zu ergreifen. So könne das Risiko verringert werden.
Die Umsetzung braucht Erfahrung
Die vorläufigen Erkenntnisse lassen den folgenden Schluss zu: Im Umgang mit dem neuen DSG müssen auch Versicherungen jetzt mit Unsicherheiten umgehen lernen. Bei der diesjährigen Tagung zum Datenschutz des Europa-Instituts in Zürich waren sich die anwesenden Rechtsanwälte und Rechtsanwältinnen einig: Wenn ein Versicherungsunternehmen die Fallen des neuen Datenschutzgesetzes kennt und sich professionell damit auseinandersetzt, kann es künftige Bussen oder Reputationsschäden vermeiden. Weil es bei der Umsetzung noch einige offene Punkte gibt, werden wohl erst im Laufe der Zeit (Gerichts-)Entscheide klären, was im Einzelfall das beste Vorgehen ist.
Klar wird auch: Der Weg zur «DSG Compliance» ist ziemlich komplex. Das Metathema Datenschutz samt seiner diffizilen Auslegung von Persönlichkeitsrechten sprengt die Grenzen der Fachbereiche. Die Integration des DSG in Unternehmensprozesse ist daher sicherlich nicht nur eine Aufgabe für die IT.
Datenschutz: Von der Pflicht zur Kür
Mit dem richtigen Ansatz lässt sich das Thema von einer externen Pflicht zur strategischen Kür aufwerten und kann bedeutende Vorteile beim Aufbruch in die Zukunft der Digitalisierung bringen. Das sind die wesentlichen Chancen:
- Datenmanagement im Unternehmen verbessern: Die Totalrevision des DSG ist eine gute Gelegenheit, um IT- und Data-Governance-Strukturen im Unternehmen auf den neuesten Stand zu bringen. Es bietet sich eine Überprüfung und eventuell auch Neuordnung der bestehenden Daten und Strukturen zur Datenverarbeitung an. Eine moderne Datenorganisation führt zu einer höheren Datenqualität, zu verbesserten Standards und damit auch zu mehr Werthaltigkeit der vorhandenen Daten. Klare Verantwortlichkeiten und effiziente Prozesse fördern einen reibungslosen Workflow.
- Reputation stärken: Der Ruf zählt. Die IT-Technologie und die Verwertung von Daten haben sich in den vergangenen Jahren rapide weiterentwickelt. Oft nutzten Konsumenten bisher die neuen Online-Plattformen und -Dienste, ohne sich gross um das Kleingedruckte zu kümmern. Inzwischen ist der Schutz der eigenen Privatsphäre zu einem gesellschaftlichen Trend geworden. Auch Nutzerinnen ohne spezielles IT-Know-how wehren sich neuerdings verstärkt gegen «Überwachung» beim Surfen im Internet. Wer Datenschutz bereits im Markenkern verankert hat und nicht mit Verstössen auffällt, hat Vorteile. Solchen Unternehmen werden die Konsumenten in Zukunft eher ihr Vertrauen schenken.
- Digitale Geschäftsmodelle gestalten: Datenschutz ist keine Zusatzfunktion, sondern gehört zentral zur DNA digitaler Wertschöpfung. Nicht nur datenverarbeitende IT-Unternehmen, sondern auch klassische Versicherer weiten heute ihre Aktivitäten aus, suchen nach neuen datengetriebenen Geschäftsmodellen und werden in Ökosystemen aktiv, die einen intensiven Datenaustausch erfordern. Das gelingt aber nur mit dem Einverständnis und der Kooperation der Kundinnen und Kunden.