Zwischen Datenschutz und direktem Draht zum Kunden
Sie soll die Privatsphäre der Kunden schützen, doch sie könnte zum Bremsklotz für digitale Geschäftsmodelle der Versicherer werden: Die von der EU geplante ePrivacy-Verordnung könnte innovative Angebote deutlich komplizierter machen.
Kaum haben sich Europas Versicherer auf die Datenschutz-Grundverordnung (DSGVO) eingestellt, plant die EU das nächste Regelwerk zum Datenschutz: Die ePrivacy-Verordnung soll personenbezogene Daten in der elektronischen Kommunikation umfangreicher als bisher schützen. Mit erheblichen Folgen – möglicherweise auch für die digitalen Geschäftsmodelle von Versicherungsunternehmen.
Die ePrivacy-Verordnung soll sowohl die Inhalte der Kommunikation umfassen, also Gesprächs- und Nachrichteninhalte, als auch die Metadaten des Kommunikationsvorgangs. Dazu zählen etwa der Zeitpunkt oder die Dauer eines Kontakts. Dahinter steht der Gedanke, dem Einzelnen die vollständige Souveränitat über seine Daten zu geben. Beim Surfen im Netz sollen keine Daten aus den Nutzergeräten erhoben werden. Dies schließt die Erhebung über das Setzen von Cookies ein.
Bisher haben das EU-Parlament und die Kommission ihre Vorstellungen dazu vorgelegt. „Unser Entwurf stellt einen Mittelweg zwischen einem hohen Verbraucherschutzniveau und Innovationsmöglichkeiten für Unternehmen dar“, erklärte Andrus Ansip, Kommissar für den digitalen Binnenmarkt. Der Rat der Europäischen Union, das Gremium der nationalen Regierungen, arbeitet unter der Präsidentschaft Finnlands noch an seinem Vorschlag. 2020 wollen sich Rat, Kommission und Parlament auf eine gemeinsame Fassung einigen.
Heute üblicher Datenaustausch mit Kunden könnte verboten werden
Wann die ePrivacy-Verordnung in Kraft tritt, ist noch nicht abzusehen. Trotzdem ist das Projekt bereits von großer Relevanz. Denn sobald die Regelung verabschiedet ist, gilt sie in sämtlichen EU-Ländern unmittelbar – was gravierende Auswirkungen auf das Verhältnis von Versicherern und Versicherten haben könnte.
„Die geplante ePrivacy-Verordnung kann Versicherungsunternehmen in zentralen Bereichen betreffen, die im Zuge der Digitalisierung immer wichtiger werden“, sagt Martina Vomhof, Leiterin Datenschutz und Grundsatzfragen beim GDV. Dazu zähle vor allem die elektronische Kommunikation mit Kunden, wenn diese etwa ihrem Versicherer einen Schaden per App mitteilen. Auch der Datenaustausch mit Geräten, wie sie bei einem vernetzten Auto im Rahmen eines Telematik-Versicherungsvertrags eingebaut werden, wären betroffen. Denn solche digitalen Versicherungshelfer wären in ihrer bisherigen Form möglicherweise nicht mehr erlaubt, wenn sich bestimmte Regelungsentwürfe durchsetzen, ist Vomhof überzeugt. Aus Sicht der Versicherer wäre dies kontraproduktiv in einer Zeit, in der Kunden im Alltag immer mehr mit vernetzten Geräten zu tun haben und sich praktische, digitale Lösungen wünschen.
Zum Hintergrund: Die DSGVO schützt das informationelle Selbstbestimmungsrecht der Verbraucher. Die ePrivacy-Verordnung geht deutlich weiter. Denn sie soll ergänzend zur DSGVO auch noch die Vertraulichkeit der elektronischen Kommunikation schützen. Und das könnte das Erheben und Auswerten von Nutzerdaten für Unternehmen im Zusammenhang mit elektronischer Kommunikation erheblich komplizierter machen.
Gedacht für Kommunikationsanbieter, anwendbar auf alle Unternehmen
Die ePrivacy-Verordnung zielt eigentlich in erster Linie auf Telekommunikationsanbieter sowie auf sogenannte Over-the-top-Dienstleister (OTT) wie den Videotelefonie-Anbieter Skype und den Messengerdienst WhatsApp. Sie soll verhindern, dass die Kommunikationsdaten der Nutzer von den dahinter stehenden Techkonzernen ausgewertet und weiterverkauft werden. Aber das Regelwerk beinhaltet auch Pflichten für Website-Betreiber und andere Firmen, die Informationen aus Digitalgeräten erheben. Und damit potenziell auch für Versicherer, die etwa Messengerdienste für ihre Kunden oder Dienstleistungen rund ums Smart Home anbieten wollen.
„Es geht vor allem darum, welche elektronischen Kommunikationsdaten Telekommunikations- und OTT-Anbieter von ihren Kunden erfassen, auswerten und zum Beispiel für Werbezwecke weiterverarbeiten dürfen“, so Vomhof. „Deshalb ist es aus unserer Sicht sinnvoll, den Anwendungsbereich der Verordnung weitestgehend auf Telekommunikationsanbieter und OTT-Dienstleister zu beschränken..“ Denn die Anbieter elektronischer Kommunikationsdienste müssten die Vertraulichkeit von Informationen zu Gesprächsteilnehmern und Nachrichteninhalten in der Kommunikation sicherstellen.
Zudem pochen die Versicherer auf eine klare Abgrenzung der ePrivacy-Verordnung zum Geltungsbereich der Datenschutz-Grundverordnung. So finden sich zurzeit sowohl in der DSGVO als auch in den ePrivacy-Entwürfen Regelungen zur Direktwerbung über elektronische Kommunikationsdienste. „In solchen Fällen sollte man in der ePrivacy-Verordnung auf weitere Regelungen verzichten“, sagt Vomhof. „Wir hoffen, dass das finale Regelwerk keine Dopplungen enthalten wird.“ Andernfalls wäre Konfusion programmiert.
Kommission, Rat und Parlament streiten noch
Die Vorstellungen des Rats auf der einen sowie von Parlament und Kommission auf der anderen Seite weichen zum Teil noch erheblich voneinander ab: Nach den Entwürfen der Abgeordneten und der Kommission soll es Unternehmen künftig grundsätzlich verboten sein, elektronische Kommunikationsdaten ihrer Kunden zu verarbeiten. Ausnahmen werden an umfangreiche Bedingungen und Pflichten geknüpft.
Setzen sich Kommission und Parlament durch, wäre es für Unternehmen deutlich schwieriger, Cookies und Social-Media-Plug-ins zu verwenden – selbst wenn die Nutzer zuvor eingewilligt hätten. Auch die sogenannte Machine-to-Machine-Kommunikation (M2M) könnte erheblich eingeschränkt werden. Betroffen wären etwa auch Fälle, bei denen Versicherer elektronisch auf Daten von Heimgeräten oder Autos zugreifen.
Laut dem Verordnungsentwurf des Rats gelten Unternehmen, die über eigene Kommunikationskanäle mit Kunden in Kontakt stehen, dagegen selbst als Endnutzer – und dürfen M2M-Technologien nutzen. Das wäre für Versicherer, die beispielsweise über eine eigene App mit ihren Kunden kommunizieren, extrem wichtig.
Die Verordnungsentwürfe gehen inhaltlich weit auseinander
Und noch in einem weiteren Punkt weicht der Rat der Europäischen Union mit seinem Vorschlag von den Vorstellungen von Parlament und Kommission ab: Laut DSGVO dürfen Versicherer Daten aus Geräten, etwa einem vernetzten Fahrzeug, ohne gesonderte Einwilligung erheben und verarbeiten, wenn dies zur Umsetzung einer Kfz-Telematikpolice erforderlich ist. Und das soll dem Ratsentwurf zufolge auch so bleiben.
Die beiden anderen Entwürfe sehen dagegen vor, die aktuelle Regelung erheblich zu verschärfen. Setzen sie sich durch, müssen Versicherer eine zusätzliche Einwilligung des Kunden einholen, um die Fahrzeugdaten erheben zu dürfen, die zur Erfüllung des Vertrages erforderlich sind. „In der rechtlichen Systematik passt es nicht zusammen, dass sich Parteien vertraglich einigen, aber danach weitere Einwilligungen eingeholt werden müssen“, sagt GDV-Expertin Vomhof. Eine solche Vorgabe wäre nicht nur juristisch schwierig zu bewerten, sondern auch in der Praxis kaum umsetzbar. Wie es dann weiterginge mit elektronisch gestützten Versicherungsangeboten, ist nicht absehbar.
Text: André Schmitt-Carré