Datenschutzbeauftragter für Versicherungen

Warum brauchen Versicherungen einen Datenschutzbeauftragten?

Versicherungsunternehmen verarbeiten in großem Umfang besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO. In der Lebens- und Krankenversicherung sind dies Gesundheitsdaten, in der Kfz-Versicherung Unfallberichte und in der Haftpflichtversicherung detaillierte Schadensschilderungen. Diese hochsensiblen Daten erfordern besonders strenge Schutzmaßnahmen.

Neben der DSGVO unterliegen Versicherungen dem Versicherungsaufsichtsgesetz (VAG), den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) und den Vorgaben der BaFin als Aufsichtsbehörde. Die Insurance Distribution Directive (IDD) regelt zudem den Vertrieb und stellt Anforderungen an die Dokumentation und den Umgang mit Kundendaten im Vermittlungsprozess.

Als externer Datenschutzbeauftragter für Versicherungen unterstützt DATUREX Sie bei der rechtskonformen Verarbeitung von Versicherungsnehmerdaten, der sicheren Abwicklung von Schadensfällen und der Einhaltung aller aufsichtsrechtlichen Vorgaben. Unsere TÜV-zertifizierten Experten kennen die regulatorischen Besonderheiten der Versicherungsbranche und die Erwartungen der BaFin an den Datenschutz.

Regulatorische Anforderungen: DSGVO trifft Versicherungsaufsichtsrecht

Die Versicherungsbranche bewegt sich in einem komplexen regulatorischen Umfeld. Das VAG (Versicherungsaufsichtsgesetz) regelt die Geschäftsorganisation und das Risikomanagement von Versicherungsunternehmen, einschließlich der Anforderungen an die Datensicherheit. Die Solvency-II-Richtlinie verstärkt diese Anforderungen auf europäischer Ebene.

Die VAIT (Versicherungsaufsichtliche Anforderungen an die IT) definieren ähnlich wie die BAIT im Bankensektor spezifische Anforderungen an die IT-Governance, das Informationssicherheitsmanagement und die Auslagerung von IT-Dienstleistungen. Die VAIT-Anforderungen überschneiden sich erheblich mit den technischen und organisatorischen Maßnahmen der DSGVO.

Das Versicherungsvertragsgesetz (VVG) und die IDD-Umsetzung regeln die vorvertraglichen Informationspflichten und Beratungsdokumentation. Jede Risikoprüfung, jedes Antragsformular und jeder Schadensfall löst umfangreiche Datenverarbeitungen aus, die sowohl versicherungsrechtlich als auch datenschutzrechtlich abgesichert sein müssen.

Wesentliche Datenkategorien bei Versicherungen

• Gesundheitsdaten: Arztberichte, Diagnosen, Vorerkrankungen, Pflegestufen in Kranken- und Lebensversicherung
• Schadensdaten: Unfallhergang, Schadenshoehe, Zeugenaussagen, Gutachten, Regulierungshistorie
• Risikobewertungsdaten: Berufsangaben, Hobbys, Vorschaeden, Scoringwerte
• Vertragsdaten: Policen, Beitraege, Leistungsauszahlungen, Kuendigungshistorie
• Vermittlerdaten: Provisionsabrechnungen, Bestandsuebertragungen, Beratungsprotokolle
• Rückversicherungsdaten: Anonymisierte und pseudonymisierte Schadensdaten für Rückversicherer

DSGVO-Checkliste für Versicherungen

• Gesundheitsdatenverarbeitung: Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO oder Verarbeitung gemäß § 213 VVG für die Risikoprüfung und Leistungsbearbeitung
• Schweigepflichtentbindung: Wirksame und spezifische Schweigepflichtentbindungserklärungen für die Einholung von Arztberichten
• Beratungsdokumentation: DSGVO-konforme Speicherung der IDD-Beratungsprotokolle mit klaren Aufbewahrungsfristen
• Auslagerungsmanagement: AVV mit Schadensregulierer, Sachverständigen, IT-Dienstleistern und Assistance-Gesellschaften gemäß VAIT
• Rückversicherung: Datenschutzkonforme Übermittlung von Schadensdaten an Rückversicherer, ggf. Anonymisierung oder Pseudonymisierung
• Betrugsprävention: Rechtsgrundlage für die systematische Prüfung von Schadensfällen auf Versicherungsbetrug (HIS-Abfragen)
• Technische Sicherheit: TOM gemäß DSGVO und VAIT, insbesondere Verschluesselung von Gesundheitsdaten und Zugriffsprotokollierung
• Betroffenenrechte: Prozesse für Auskunfts- und Löschungsrechte unter Berücksichtigung der langen Aufbewahrungsfristen im Versicherungsbereich

Was kostet ein externer Datenschutzbeauftragter für Versicherungen?

Die Kosten richten sich nach der Größe des Versicherungsunternehmens, den betriebenen Versicherungssparten und der Komplexität der Datenverarbeitungsprozesse. Für kleinere Versicherungsvereine auf Gegenseitigkeit beginnen unsere Betreuungspakete ab 400 Euro monatlich. Größere Versicherer mit Gesundheitsdatenverarbeitung und umfangreichen IT-Auslagerungen erfordern individuelle Kalkulationen.

Ein externer DSB bietet gerade für Versicherungen erhebliche Vorteile: spezialisierte Kenntnisse der Versicherungsregulatorik, Unabhängigkeit von internen Hierarchien und die Fähigkeit, zwischen Datenschutzanforderungen und geschäftlichen Notwendigkeiten kompetent zu vermitteln. Die DSGVO-Bußgelder von bis zu 4 Prozent des Jahresumsatzes und zusätzliche BaFin-Sanktionen machen einen kompetenten DSB zur unverzichtbaren Investition.

§ 38 BDSG und die Auswirkung auf Versicherungen

Versicherungsunternehmen erfüllen die Benennungspflicht nach § 38 BDSG ausnahmslos. Die Verarbeitung besonderer Kategorien personenbezogener Daten – insbesondere Gesundheitsdaten in der Kranken- und Lebensversicherung – begründet zudem eine eigenständige Benennungspflicht gemäß Art. 37 Abs. 1 lit. c DSGVO.

Auch Versicherungsvermittler und Makler können der Benennungspflicht unterliegen, wenn sie regelmäßig umfangreiche Kundendatenbanken pflegen und besondere Datenkategorien verarbeiten. Insbesondere Krankenversicherungsmakler, die regelmäßig mit Gesundheitsdaten arbeiten, benötigen einen DSB unabhängig von der Mitarbeiterzahl.

Die BaFin erwartet darüber hinaus, dass der Datenschutzbeauftragte in das Governance-System des Versicherungsunternehmens eingebunden ist und regelmäßig an die Geschäftsleitung berichtet. Diese Anforderung geht über die reine DSGVO-Compliance hinaus und ist Teil der aufsichtsrechtlichen Erwartungen.

Rückversicherung und konzern­interne Daten­transfers

Bei der Rückversicherung werden umfangreiche Versicherungsnehmerdaten an Rückversicherungsunternehmen weitergegeben, die häufig außerhalb der EU ansässig sind. Diese Drittlandtransfers erfordern geeignete Garantien nach Kapitel V der DSGVO, typischerweise Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules). Konzerninterne Datentransfers zwischen Versicherungsgesellschaften müssen ebenfalls auf einer klaren Rechtsgrundlage basieren – das sogenannte Konzernprivileg existiert in der DSGVO nicht. Jede Weitergabe von Gesundheitsdaten innerhalb des Konzerns erfordert eine eigenständige Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO. Darüber hinaus müssen Versicherungsunternehmen die VAIT-Anforderungen (Versicherungsaufsichtliche Anforderungen an die IT) der BaFin einhalten, die detaillierte Vorgaben für das IT-Risikomanagement, die Informationssicherheit und das Auslagerungsmanagement enthalten. Die regelmäßige Prüfung durch die BaFin umfasst dabei auch die Einhaltung datenschutzrechtlicher Vorgaben.

Datenschutz-Folgenabschätzung (DSFA) für Versicherungen

Versicherungsunternehmen müssen für zahlreiche Kernprozesse DSFAs durchführen:

• Risikoprüfung und Underwriting: Systematische Bewertung von Gesundheitsdaten und Lebensstilfaktoren für die Antragsannahme
• Automatisierte Schadensbearbeitung: KI-gestützte Erstbewertung von Schadensfällen und automatisierte Regulierungsentscheidungen
• Betrugserkennungssysteme: Systematische Analyse von Schadensmustern und HIS-Abfragen (Hinweis- und Informationssystem der Versicherungswirtschaft)
• Telematik-Tarife: Erfassung und Auswertung von Fahrverhaltendaten über Telematik-Boxen oder Smartphone-Apps in der Kfz-Versicherung
• Gesundheits-Apps: Digitale Gesundheitsprogramme, die Vitalwerte, Bewegungsdaten und Ernährungsgewohnheiten erfassen

DATUREX begleitet Versicherungen bei der systematischen Durchführung aller erforderlichen DSFAs und stellt sicher, dass innovative Produkte wie Telematik-Tarife und Gesundheits-Apps datenschutzkonform gestaltet werden.

Häufige Fragen: Datenschutzbeauftragter für Versicherungen

Dürfen Versicherungen Gesundheitsdaten ohne Einwilligung verarbeiten?

Gemäß § 213 VVG dürfen Versicherer Gesundheitsdaten erheben und verarbeiten, soweit dies für die Begründung, Durchführung oder Beendigung des Versicherungsvertrags erforderlich ist. Eine gesonderte Einwilligung nach Art. 9 DSGVO ist in diesem Rahmen nicht erforderlich. Für darüber hinausgehende Zwecke wie Präventionsprogramme ist jedoch eine Einwilligung notwendig.

Wie lange dürfen Versicherungsdaten gespeichert werden?

Versicherungsverträge begründen lange Aufbewahrungsfristen: Handelsrechtlich 10 Jahre, Ansprüche aus Versicherungsverträgen verjähren erst nach 3 Jahren ab Kenntnis. Bei Lebensversicherungen kann die Vertragslaufzeit 30 Jahre und mehr betragen. Gesundheitsdaten aus der Risikoprüfung müssen nach Vertragsende und Ablauf der Verjährungsfristen gelöscht werden.

Was ist das HIS und welche Datenschutzregeln gelten?

Das Hinweis- und Informationssystem (HIS) ist eine branchenweite Datenbank zur Betrugsprävention. Die Meldung und Abfrage von Daten im HIS erfordert eine sorgfältige Abwägung zwischen dem berechtigten Interesse der Versicherungswirtschaft und den Rechten der Betroffenen. Betroffene müssen über HIS-Einträge informiert werden und haben ein Auskunftsrecht.

Welche Datenschutzanforderungen gelten für Telematik-Tarife?

Telematik-Tarife erfordern eine wirksame Einwilligung des Versicherungsnehmers, da die Erfassung von Fahrverhaltendaten weit über das für den Versicherungsvertrag Erforderliche hinausgeht. Die DSFA muss die Risiken der Bewegungsprofilierung bewerten, und es muss ein gleichwertiger Tarif ohne Telematik angeboten werden.

Kostenlose Erstberatung für Versicherungen

Entsprechen Ihre Datenschutzprozesse den aktuellen Anforderungen von DSGVO, VAG und VAIT? Unsere TÜV-zertifizierten Datenschutzexperten mit Erfahrung in der Versicherungsbranche analysieren Ihre Compliance-Situation – von der Gesundheitsdatenverarbeitung über die Schadensregulierung bis zur IT-Auslagerung. Nutzen Sie unsere kostenlose Erstberatung.

Kontaktieren Sie uns telefonisch unter 0351 205 314 83 oder per E-Mail an kontakt@daturex.de.

Unsere Datenschutz-Leistungen für Versicherungen

• Externer Datenschutzbeauftragter: Spezialisierte Betreuung an der Schnittstelle von DSGVO und Versicherungsaufsichtsrecht
• VAIT-Compliance: Abstimmung der technischen Maßnahmen mit den VAIT-Anforderungen der BaFin
• Gesundheitsdaten-Management: Datenschutzkonforme Prozesse für Risikoprüfung, Leistungsbearbeitung und Schweigepflichtentbindung
• BaFin-Prüfungsbegleitung: Unterstützung bei aufsichtsrechtlichen Prüfungen im Datenschutzbereich
• Produktdatenschutz: Privacy-by-Design-Beratung für neue Versicherungsprodukte wie Telematik und Gesundheits-Apps
• Mitarbeiterschulungen: Schulungen für Underwriter, Schadensbearbeiter, Vermittler und IT-Mitarbeiter
• Datenpannenmanagement: Sofortmaßnahmen bei Datenschutzvorfällen mit paralleler Meldung an Aufsichtsbehörde und BaFin

Verwandte Branchen

Erfahren Sie mehr über Datenschutz in verwandten Branchen:

• Datenschutzbeauftragter für Banken
• Datenschutzbeauftragter für Finanzdienstleister
• Datenschutzbeauftragter für Steuerberater

• Datenschutz versicherungsmakler
• Datenschutz finanzdienstleister
• Datenschutz rechtsanwaelte

Häufig gestellte Fragen

Braucht mein Unternehmen einen Datenschutzbeauftragten?

Wenn mindestens 20 Personen ständig mit personenbezogenen Daten arbeiten, besondere Datenkategorien verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist, müssen Sie einen DSB bestellen.

Was kostet ein externer Datenschutzbeauftragter?

Bei der DATUREX GmbH beginnen die Kosten ab 250 €/Monat als Pauschale. Darin enthalten sind alle gesetzlichen Pflichtaufgaben, Schulungen und laufende Beratung. Alle Preise im Überblick →

Was passiert bei einem Datenschutzverstoß?

Bußgelder bis zu 20 Millionen Euro oder 4% des Jahresumsatzes drohen. Dazu kommen Reputationsschäden und mögliche Schadensersatzansprüche Betroffener.