Versicherungsbetriebe > Strategie

26.03.2018 von Martin Philipp, Geschäftsführer der SC-Networks GmbH

Die wichtigsten DSGVO-Änderungen anhand von sechs To-dos erklärt

Um Versicherungsnehmern bestmögliche Leistungen und einen umfassenden Service bieten zu können, sind sowohl Versicherer als auch Makler auf persönliche Kundeninformationen angewiesen. Der sichere Umgang mit diesen höchst sensiblen Daten unterliegt strengen gesetzlichen Vorgaben – selbst wenn es nur darum geht, (potenzielle) Mitglieder mit relevanten Informationen zu versorgen.

Martin Philipp, Geschäftsführer der SC-Networks GmbH

Versicherer und Makler wissen natürlich genau über Datenschutz Bescheid: Immerhin vertrauen ihnen Kunden tagtäglich äußerst persönliche Informationen an. Dass allerdings schon beim Newsletter-Abonnement bzw. einer Kunden-werben-Kunden-Aktion personenbezogene Daten erhoben und weiterverarbeitet werden, die es ebenso zu schützen gilt, ist weniger offensichtlich.

Doch auch beim E-Mail-Marketing und beim Lead Management, bei dem Interessentenkontakte zunächst generiert und anschließend schrittweise – zum Beispiel mit informativen Inhalten per E-Mail – bis zum Vertragsabschluss weiterent­wickelt werden, gilt es, auf datenschutzrechtliche Aspekte zu achten. Wollen Assekuranz­unternehmen nicht Gefahr laufen, mit Bußgeldern bestraft zu werden, sollten sie schnellstens überprüfen, ob alle Ihre Prozesse rechtskonform sind – und sie gegebenenfalls anpassen. Denn die Tage der Übergangsfrist zur Umsetzung der neuen EU-Datenschutzgrundverordnung (DSGVO) sind gezählt: am 25. Mai 2018 löst sie das bisherige, nationale Daten­schutzrecht ab. Anhand von sechs To-dos werden die wichtigsten ­Änderungen und Auswirkungen der ­DSGVO auf das E-Mail-Marketing und Lead ­Management von Versicherungs­unternehmen erläutert.

 

1. Holen Sie die ausdrückliche Einwilligung des Betroffenen ein.

Die DSGVO vereinfacht die Nutzung personenbezogener Daten für marketingspezifische Zwecke deutlich. Nichtsdestotrotz dürfen Versicherer und Makler persönliche Daten zu kommerziellen Zwecken nur erheben und nutzen, wenn sie ein berechtigtes Interesse hierfür nachweisen können. Daneben ist zu beachten, dass Versicherungsunternehmen die ausdrückliche Einwilligung des Empfängers dafür benötigen, ihm Werbe-Mails zukommen zu lassen, die den Empfänger beispielsweise über ein neues Versicherungsprodukt informieren oder auf attraktive Tarifoptionen hinweisen.

To-do: Für Ihr E-Mail-Marketing und Ihren Lead Management-Prozess bedeutet das, dass Sie in jedem Fall eine aus­drückliche Einwilligung des Betroffenen einholen müssen. Andernfalls ist es untersagt, jegliche Arten von Werbe-­­E-Mails zu versenden.

2. Weisen Sie auf das Widerrufsrecht hin.

Nach wie vor hat der Betroffene jederzeit das Recht, der Nutzung seiner Daten zu Zwecken der E-Mail-Werbung zu widersprechen. Daran ändert sich auch mit der DSGVO nichts. Darum muss das Online-Einwilligungsformular mit einem gut sichtbaren Hinweis auf das Widerrufsrecht ­versehen sein.

To-do: Speziell im E-Mail-Marketing bedeutet dies, dass nicht nur die Einwilligungserklärung, sondern auch alle weiteren E-Mails neben dem Hinweis auf das Widerrufsrecht eine Abmeldemöglichkeit bieten müssen. Auch Ihre Kunden dürfen ihre – zum Beispiel bei Vertragsbeginn erteilte – Einwilligung zum Erhalt von Werbe-Mails jederzeit widerrufen, ohne Auswirkungen auf das Versicherungsverhältnis.

3. Legen Sie ein Verfahrensverzeichnis an.

Die DSGVO sieht vor, dass künftig anstelle des Datenschutzbeauftragten der Verantwortliche selbst – also die Unternehmensführung – ein Verzeichnis über alle Verarbeitungstätigkeiten zu führen hat.


To-do: Legen Sie bereits jetzt die Zu­ständigkeiten für Ihr E-Mail-Marketing und Ihr Lead Management fest und beginnen Sie mit der Erstellung des Verfahrens­ver­zeichnisses. Ihr Datenschutzbeauftragter kann dieses auch weiterhin erstellen – doch haftet künftig der Verantwortliche.

4. Nutzen Sie für die Einwilligung Checkbox und Double-Opt-in.

Holen Versicherer oder Makler die Einwilligung des Betroffenen ein, ist darauf zu achten, dass er der Nutzung seiner personenbezogenen Daten freiwillig zustimmt. Gemäß der DSGVO besteht darüber eine Nachweispflicht. Versicherungsunternehmen sind erst dann auf der sicheren Seite, wenn sie sich eine online gegebene Einwilligung – zum Beispiel für das Abonnement eines Newsletters – bestätigen lassen, indem Sie dem Betroffenen per E-Mail einen Bestätigungslink zusenden. Die Notwendigkeit eines solchen Double-Opt-in ist aber erst dann erfüllt, wenn der Nutzer auf den Link klickt.

To-do: Ergänzen Sie Ihre Onlineformulare um eine entsprechende, nicht vorausgefüllte Checkbox zur Einwilligungserklärung. Da die Einwilligung nachweisbar zu sein hat, müssen Sie jeden Schritt des Double-Opt-in-Prozesses in Ihrem System transparent protokollieren.

5. Holen Sie auch für das Anlegen und Führen von Nutzerprofilen die Einwilligung ein.

Gemäß DSGVO ist die Erstellung ­pseudo­nymisierter Nutzerprofile, etwa für Interessenten beziehungsweise potenzielle Neukunden, zukünftig nur auf Grundlage der Einwilligung des Betroffenen erlaubt. Die Zulässigkeit eines personalisierten Trackings des Nutzerverhaltens und die entsprechenden Rahmenbedingungen sollen zukünftig durch eine neue E-Privacy-Verordnung der EU geregelt werden. Diese soll ebenfalls zum 25. Mai in Kraft treten, liegt aber bisher lediglich als Entwurf vor und ist stark umstritten. Danach soll jede Überwachung der elektronischen Kommunikation grundsätzlich verboten sein – es sei denn, sie ist über eine Aus­nahmeregelung erlaubt.

To-do:
Wenn Sie ganz sichergehen wollen, ­holen Sie zukünftig sowohl für das Anlegen und Führen von Nutzerprofilen als auch das Tracking die Einwilligung Ihrer Nutzer ein.

6. Beachten Sie das Recht auf Datenübertagung.

Besonders wichtig für Assekuranzunternehmen: Die DSGVO erlaubt die Speicherung personenbezogener Daten in strukturierter, maschinenlesbarer Form.  Auf Anfrage Dritter, zum Beispiel eines neuen Datenverantwortlichen oder des Versicherungsnehmers selbst, sind sie verpflichtet, persönliche Daten in Kopie zu überlassen. Damit wahrt die DSGVO das Recht des Betroffenen, diese Daten auf ein anderes Unternehmen zu übertragen, etwa bei einem Wechsel des Ver­sicherungspartners. Betroffene dürfen nicht nur Einsicht in ihre persönlichen Daten nehmen, sondern diese auch an einen Wettbewerber übermitteln lassen.

To-do: Prüfen Sie, ob Ihr System den ­Datenexport in üblichen Formaten oder per Schnittstelle ermöglicht.

Jetzt handeln


Damit Sie keine hohen Bußgelder riskieren, weil Sie beispielsweise Ihren Newsletter an vermeintliche Interessenten – jedoch ohne rechtskräftige Einwilligung und ohne ­Abmeldelink – versenden, sollten Sie jetzt handeln. Wenn Sie diese sechs Punkte ­beherzigen, sind Sie bestens gerüstet, wenn die Schonfrist der DSGVO am 25. Mai 2018 endet.

Weitere Informationen erhalten Sie im Leitfaden „Jetzt auf die neue ­DSGVO vorbereiten!“, den Sie hier kostenlos herunterladen können.