Die Datenschutz-Grundverordnung (DSGVO) ist zwar seit dem 25.05.2018 anwendbar, doch wie eine DSGVO-konforme elektronische Datenübermittlung ohne erheblichen Aufwand erfolgen kann, dazu scheint es in der Branche noch keine verbreitete Lösung zu geben. Insbesondere aus Sicht der Versicherungsmakler ist ein möglichst einheitliches und einfaches Verfahren statt eine Vielzahl an Varianten gefragt: Ohne besondere Maßnahmen erfolgt der Versand von E-Mail-Nachrichten über das Internet in unverschlüsselter Form im Klartext. Der Inhalt der E-Mail ist dadurch für jeden, der Zugriff auf die Datenübertragung hat, zu lesen – so wie Postkarten alle, die diese auf dem Transportweg in die Finger bekommen, lesen können.
Bereits das Bundesdatenschutzgesetz (BDSG) verpflichtete Unternehmen dazu, E-Mails, die personenbezogene Daten enthalten, zu verschlüsseln. Doch während das BDSG für Datenschutzverstöße Bußgelder von bis zu 300.000 € vorsah (wobei u. W. es kaum einen Datenschutzverstoß gab, bei dem diese Höchststrafe verhängt wurden), sieht die DSGVO Sanktionen von bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (je nachdem, was höher ist) vor. Wobei nicht zuletzt die Pflicht zur Benachrichtigung nach Art. 34 DSGVO zu einer verschärften Situation führt.
Art. 32 Abs. 1 DSGVO weist auf die Verschlüsselung personenbezogener Daten als Schutzmaßnahme hin. Zu berücksichtigen sind u. a. Stand der Technik und die Implementierungskosten. Werden Gesundheitsdaten übermittelt, dann genügt eine Transportverschlüsselung bei E-Mails den Anforderungen nicht, wie Helga Block, Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, in einer Mitteilung ausführt:
„Eine umfassende Absicherung der E-Mail-Kommunikation setzt den Einsatz von sowohl Transport- als auch Inhaltsverschlüsselung voraus. Bei der Entscheidung, ob eine Ende-zu-Ende-Verschlüsselung erforderlich ist, sind der Schutzbedarf der übertragenen Daten sowie die Angemessenheit der Maßnahme zu berücksichtigen. Sollen Daten mit hohem oder sehr hohem Schutzbedarf, insbesondere die in Art. 9 Abs. 1 DS-GVO genannten besonderen Kategorien personenbezogener Daten übermittelt werden, ist eine Ende-zu-Ende-Verschlüsselung erforderlich. Da Metadaten einer E-Mail nicht durch Ende-zu-Ende-Verschlüsselung geschützt werden, ist sicherzustellen, dass sie keine Daten mit hohem oder sehr hohem Schutzbedarf enthalten. Insbesondere ist der Betreff neutral zu wählen.“ Zusammengefasst:
Die größere Sicherheit besteht bei der Kombination beider Methoden. Die weniger aufwendige Transportverschlüsselung genügt bei der Übermittlung personenbezogener Daten mit normalem Schutzbedarf. Bei personenbezogenen Daten mit hohem Schutzbedarf, wie Gesundheitsangaben, ist die Ende-zu-Ende-Verschlüsselung notwendig. Wird diese eingesetzt ohne Kombination mit der Transportverschlüsselung, dann dürfen im Betreff keine personenbezogenen Daten aufgeführt werden.
Wenn mit der Ende-zu-Ende-Verschlüsselung gearbeitet wird, müssen beide Seiten über die entsprechende Technik verfügen. Bekannte Verfahren für die Ende-zu-Ende-Verschlüsselung sind PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions). Die beiden Standards sind jedoch untereinander nicht kompatibel. Aber die E-Mail-Clients von Sender und Empfänger müssen das für die Ende-zu-Ende-Verschlüsselung verwendete Verfahren unterstützten. Hier liegen Verschlüsselungsverfahren zugrunde, die in der Regel mit einem öffentlichen Schlüssel (zur Verschlüsselung) und einem privaten Schlüssel (Entschlüsselung) arbeiten. Die öffentlichen Schlüssel müssen vorher unter den Kommunikationspartnern ausgetauscht werden und den jeweiligen Empfängern zur Verfügung stehen. Da es unterschiedliche Lösungsanbieter gibt, ergibt sich zwangsweise, dass die verschiedenen Versicherer mit unterschiedlichen Verfahren arbeiten, so dass Makler über unterschiedliche Techniken verfügen müssten.
Zudem müsste der Makler die öffentlichen Schlüssel aller angebundenen Versicherer haben. Ein großer Aufwand liegt auch bei den Versicherern vor, denn die Sachbearbeiter müssten auf die öffentlichen Schlüssel aller angeschlossenen Makler zugreifen können. Dieser Aufwand schreit förmlich nach einem einfacheren DSGVO-konformen elektronischen Verfahren für Versicherungsmakler. In der Branche finden sich allerdings bisher nur vereinzelte Lösungen, wie bspw. Postbox oder einige Maklerportale mit Upload-Funktion. Letzteres sieht die Interessengemeinschaft Deutscher Versicherungsmakler e.V. (IGVM) als denkbare brancheneinheitliche Lösung an:
„Wenn Makler sich im Maklerportal Unterlagen downloaden können, dann ist das DSGVO-konform. Wenn es nun umgekehrt bei allen Maklerportalen die Möglichkeit gäbe, dass Makler auch individuelle Nachrichten und eigene Unterlagen heraufladen könnten, also das Maklerportal eine umfassende Upload-Funktion hätte, dann wäre das für Makler und Versicherer der einfachste Weg“, erläutert IGVM-Vorstandsmitglied Peter J. O. Bartz und ergänzt: „Der Versicherer könnte die Nachricht bereits durch in der Mitteilungsmaske vorgegebene Betreff-Links (wie z.B. Betrieb, Schaden, VSNR, SNR etc.) intern ‚kanalisieren’ und die Textmeldung samt Anhang des Vermittlers zeitgleich als Eingangsbestätigung o. ä. in dessen Postfach zur Verfügung stellen. So könnte der Vermittler den Vorgang nach dem Download aus seinem Postfach beim Versicherer einfach in seinem MVP archivieren. Hier gilt es die technische Umsetzung dieser relativ einfachen Funktionalität bei den Versicherern anzuregen, da hiermit im Interesse aller Beteiligten eine kostengünstige, einfache und (zukunfts-) sichere Variante der bidirektionalen Datenübermittlung nach den Grundsätzen der DSGVO entstehen könnte.“
‚vt’-Fazit: ++ Zwar können per ‚Gelber Post’ und Fax personenbezogene Daten DSGVO-konform übermittelt werden. Das dürfte aber keine dauerhafte Lösung sein
++ Wenn Versicherer Ihnen ‚anbieten’, dass Sie Daten per E-Mail unverschlüsselt übermitteln, sollten Sie hellhörig werden, denn Sie müssen die Vertraulichkeit der Daten gewährleisten
++ Die E-Mail Verschlüsselung ist technisch machbar und DSGVO-konform. Versicherungsmakler mit vielen Anbindungen müssten aber unterschiedliche technische Lösungen bereithalten und zahlreiche unterschiedliche öffentliche Schlüssel anwenden. Das ist umständlich und bedeutet Zeitaufwand – bei sinkenden Vergütungen. Eine mit wenig Aufwand praktikable elektronische Branchenlösung ist daher wünschenswert
++ Welche Erfahrung machen Sie mit Versicherern bzgl. DSGVO-konformer Übermittlung von personenbezogenen Daten und besonders schutzbedürftigen personenbezogenen Daten? Was halten Sie vom IGVM-Vorschlag der Upload-Funktion bei Maklerportalen? Bei welchen Versicherern können Sie eine solche Upload-Funktion bereits nutzen? Meldungen gerne an Ihre ‚vt’-Redaktion ([email protected]).
<object id="ieooui" classid="clsid:38481807-CA0E-42D2-BF39-B33AF135CC4D"></object>