Im März 2013 hat der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) die „Verhaltensregeln für den Umgang mit personenbezogenen Daten durch die deutsche Versicherungswirtschaft“ (Code of Conduct) veröffentlicht. Ein von Verbraucher- und Datenschützern zertifiziertes Produkt.

 

Im Jahr 2013 bezeichnet die Fachzeitung „Versicherungswirtschaft heute“ Code of Conduct als „ein konsequenter Schritt in Richtung Datenschutz“. (Wohlgemerkt, das BDSG gibt es seit 1990 !!!)

 

Bis Ende Juli 2014 sind dieser „Selbstverpflichtung“ 269 Versicherungsgesellschaften beigetreten.

 

Stellt eine Ehefrau fest, dass ihr Mann fremdgeht, fragt sie sich: „Was hat die Andere, was ich nicht habe?“

 

Als Datenschutzbeauftragter muss ich mich fragen: “Was hat der Code of Conduct, was das BDSG nicht hat?“

 

Seit dem 20.12.1990 haben wir in der BRD ein Bundesdatenschutzgesetz (BDSG), welches im Lauf der Jahre immer wieder verbessert worden ist.

 

Es ist lobenswert, dass die Versicherungswirtschaft dies nach fast einem Viertel-Jahrhundert erkannt hat und dies mit dem Code of Conduct auch verdeutlichen will.

 

Allerdings stellt sich die Frage nach Sinn und Zweck dieser Selbstverpflichtung. Auf 18 DIN A4 Seiten mit 31 Artikeln enthält diese Selbstverpflichtung mehr oder weniger das, was der Gesetzgeber ohnehin vorschreibt.

 

Bei näherer Betrachtung dieser Selbstverpflichtung in Verbindung mit der alltäglichen Praxis vor Ort kommt Erstaunliches zum Vorschein:

 

1. Artikel 30 gewährt dem beitretenden Versicherungsunternehmen eine 2-Jahresfrist zur Umsetzung der technischen und organisatorischen Maßnahmen. - Dies widerspricht m.E. den gesetzlichen Vorgaben -

 

2. u.a. Artikel 5 Ziff. 4

Die Selbstverpflichtung umfasst auch die Tätigkeit der Versicherungsvermittler- und Makler.(?) Hier wird wohl bewusst „die einholende(n) Stelle(n)“ sowohl in der Einzahl, als auch in der Mehrzahl benannt.

 

- Bei der überwiegenden Anzahl der Vermittler handelt es sich um selbständige Vermittler gem. HGB § 84ff oder Makler gem. § 93 ff. Damit sind diese Vermittler, zumindest was die Datenerhebung anbetrifft aber nicht nur, unstrittig gem. BDSG die „verantwortliche Stelle“ und unterliegen somit auch vollumfänglich dem BDSG.

D.h. logischerweise, dass jeder Vermittler die gesetzlich vorgeschriebenen datenschutzrechtlichen Mindestanforderungen erfüllen muss.

- Von mir vorgenommene Stichproben vor Ort haben allerdings ergeben, dass kaum ein     

Vermittler, zumeist aus Unkenntnis, die Mindestanforderungen des BDSG erfüllt.

 

3. Wie sieht denn der Datenfluss in der Versicherungswirtschaft aus (wo kommen die Daten her - wo gehen die Daten hin)? Mal abgesehen von den reinen Direktversicherungsgesellschaften. Die Daten werden doch üblicherweise nicht von den Versicherern erhoben und an die Vermittler weitergegeben sondern umgekehrt und zwar von rd. 240.000 registrierten Vermittler an die Gesellschaften.

Solange der m.E. überwiegende Teil der Vermittler nicht einmal die gesetzlich vorgeschriebenen Mindestanforderungen an den Datenschutz kennt (und handhabt) und die Versicherungs-gesellschaften dagegen nichts unternehmen, muss man den Code of Conduct wohl oder übel als Augenwischerei betrachten. Augenwischerei seitens der Versicherungswirtschaft um vielleicht jahrzehntelange datenschutzrechtliche Versäumnisse zu vertuschen. Augenwischerei seitens der Aufsichtsbehörden um jahrzehntelange Pflichtversäumnisse zu überspielen.

 

Was ist von einer Versicherungswirtschaft zu halten, die sich in Unkenntnis (oder vielleicht doch Kenntnis) der Unkenntnis ihrer Vermittler im Code of Conduct so tut, als ob dieser auch für Vermittler gelten würde, der GDV aber auf Nachfrage schriftlich bestätigt, dass diese datenschutzrechtlichen Verhaltensregeln

 

Auf Nachfrage hat der GDV sogar schriftlich bestätigt, dass die Einwilligungen i.S. des Artikels 5 des Code of Conduct „zwar oftmals bzw. regelmäßig“ von Vermittlern eingeholt werden, einholende Stelle im Sinne der Regelung soll aber das Versicherungsunternehmen sein, das als verantwortliche Stelle die auf die Einwilligung gestützte Datenverarbeitung auch durchführen (lassen) will.

 

Man muss sich das mal ganz klar vor Augen führen: Bei den rd. 240.000 registrierten Vermittlern handelt es sich in der Regel um rechtlich Selbständige. Alle diese Vermittler erheben, verarbeiten und nutzen zumindest bei jeder Vermittlung personenbezogene Daten (BDSG § 1 Abs. 2 Ziff. 3) unterliegen damit zweifelsfrei dem BDSG und sind somit zwangsläufig die „verantwortliche Stelle“. Dass sie diese Daten logischerweise im Rahmen ihrer Vermittlertätigkeit an das jeweilige Versicherungsunternehmen oder an einen Maklerpool zur Weitergabe an ein VU weitergeben, versteht sich von selbst.

 

Was nutzt also ein Code of Conduct, dem, wie bereits erwähnt, 269 Versicherungsunternehmen beigetreten sind, wenn ihre rd. 240.000 Vermittler, wie ebenfalls bereits erwähnt, zumeist nicht einmal die im Bundesdatenschutzgesetz vorgeschriebenen Mindestanforderung kennen.

 

Wenn es die Versicherungsunternehmen mit dem Datenschutz wirklich ernst nehmen wollen, sollten sie ihren Vermittlern außer unzähligen Produktschulungen auch mal eine Datenschutzschulung anbieten. Dann, aber wirklich erst dann, kann man anfangen zu glauben, dass es die Versicherungsunternehmen mit dem Datenschutz ehrlich meinen.

 

Hausen, im November 2014