In einem Satz. Versicherungsunternehmen in Deutschland unterliegen einer komplexen Verschachtelung aus DSGVO, VVG (Versicherungsvertragsgesetz), VAG (Versicherungsaufsichtsgesetz, BaFin-Aufsicht), dem GDV Code of Conduct als Branchenstandard und bei Krankenversicherern den besonders strengen Anforderungen an Gesundheitsdaten nach Art. 9 DSGVO und § 22 BDSG.
Versicherungen verarbeiten besonders sensible Daten in großem Umfang: Gesundheit (PKV), Finanzen, Lebenssituation, Schadensgeschichte. BaFin und BfDI/LDA überwachen parallel. Der Code of Conduct des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) ist 2018 als erster DSGVO-Verhaltenskodex genehmigt worden und Branchenstandard.
Wichtige Punkte
- Doppelaufsicht: BaFin (VAG) und BfDI/LDA (DSGVO).
- GDV Code of Conduct ist genehmigter DSGVO-Verhaltenskodex (Art. 40).
- Gesundheitsdaten der PKV: Art. 9 + § 22 BDSG + § 213 VVG (Schweigepflichtentbindung).
- Telematik-Tarife: hohe Transparenzanforderungen, Profiling iSv Art. 22 möglich.
- Schadenregulierung: berechtigte Interessen + Hinweis- und Informationssystem (HIS).
1. Rechtsgrundlagen
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Antragstellung | Art. 6 Abs. 1 lit. b (Vertragsanbahnung) |
| Vertragsabwicklung | Art. 6 Abs. 1 lit. b |
| Schadensregulierung | Art. 6 Abs. 1 lit. b + lit. f |
| Risikoprüfung Gesundheit | Art. 9 Abs. 2 lit. h + § 22 BDSG + § 213 VVG |
| HIS-Abfrage | Art. 6 Abs. 1 lit. f |
| Marketing | Einwilligung (Art. 6 Abs. 1 lit. a) |
2. GDV Code of Conduct
Erster genehmigter DSGVO-Verhaltenskodex (Art. 40) in Deutschland (2018). Inhalte:
- Mustertexte für Informationspflichten
- Datenkategorien-Kataloge je Sparte
- Aufbewahrungsfristen-Standards
- AVV-Muster für Versicherungsbranche
Bindend für GDV-Mitglieder, faktisch Branchenstandard.
3. Gesundheitsprüfung in der PKV
Antragstellung in der privaten Krankenversicherung verlangt umfangreiche Gesundheitsangaben. Rechtlich:
- § 213 VVG: Versicherer darf Auskünfte einholen
- Pauschale Schweigepflichtentbindung unzulässig (BGH 2021)
- Stattdessen: Einzelfall-Entbindungserklärung
- Recht auf “vorläufige Einsicht” durch Versicherten
4. Hinweis- und Informationssystem (HIS)
Branchen-Datei zur Betrugsprävention, betrieben durch informa Insurance Risk and Fraud Prevention. Einträge bei:
- Auffälliger Schadensmeldung
- Vertragsende wegen Risikoausschluss
- Bekannten Betrugsversuch
Rechtsgrundlage Art. 6 Abs. 1 lit. f. Informationspflicht gegenüber Betroffenen, Auskunftsrecht über informa.
5. Telematik-Tarife (Kfz)
Pay-as-you-drive- oder Pay-how-you-drive-Tarife sammeln Geo-, Geschwindigkeits- und Beschleunigungsdaten. Datenschutzfragen:
- Hohe Transparenzanforderungen (Art. 13/14)
- Profiling und ggf. automatisierte Entscheidungen iSv Art. 22
- Datenminimierung — wirklich nur erforderliche Daten?
- DSFA verpflichtend
Siehe DSGVO Artikel 22.
6. Schadensregulierung
Verarbeitung umfasst:
- Schadensmeldung mit Hergang
- Gutachten und Sachverständigeneinholung
- Rechtsanwaltskorrespondenz
- Polizeiprotokolle
- Bei Personenschaden: Gesundheitsdaten
Rechtsgrundlage Art. 6 Abs. 1 lit. b (Versicherungsvertrag) plus ggf. Art. 9 Abs. 2 lit. h für Gesundheitsdaten.
7. Auftragsverarbeitung im Versicherungsbereich
Typische Auslagerungen:
- Schadenregulierungsdienstleister
- Sachverständige und Werkstätten
- IT-Dienstleister (Bestandsverwaltung, Vertrieb)
- Vermittler (auch eigenständig Verantwortlich!)
GDV CoC enthält Muster-AVV. Für Cloud-Auslagerungen BSI-C5-Niveau erwartet. Siehe AVV-Muster.
8. Aufbewahrungsfristen
| Dokument | Frist | Grundlage |
|---|---|---|
| Versicherungsverträge | 10 Jahre nach Beendigung | § 257 HGB |
| Schadensakten | 10 Jahre nach Abschluss | § 257 HGB / § 195 BGB |
| Gesundheitsdaten | bis Verjährung Schadensansprüche | § 195/199 BGB |
| Werbeeinwilligungen | bis Widerruf | DSGVO |
9. Datenpannen
Typische Vorfälle in der Branche:
- Vermittler-Datenträgerverlust
- Fehlversand (Brief, Mail, Post)
- Vermittler-Wechsel mit Datenmitnahme (Verstoß!)
- IT-Hack (Beispiel: Bertelsmann Tochter 2023)
Meldepflicht 72h, bei Vermittler-Verstößen oft auch BaFin-Meldung.
10. Sanktionsbeispiele
| Fall | Sanktion | Behörde |
|---|---|---|
| Versicherungsmakler (Akten in Container) | €40.000 | LfDI BaWü |
| Privatversicherer (HIS-Eintrag fehlerhaft) | €150.000 | LDI NRW |
| Krankenversicherer (Tarifprüfung) | €900.000 | BayLDA |
| Versicherer (Cookies Marketing) | €65.000 | BfDI |
11. Tool-Unterstützung
Legiscope verwaltet GDV-konforme Datenkategorien, Aufbewahrungsfristen, AVV mit Vermittlern und DSFA für Telematik-Tarife.
Fazit
Versicherungen sind Datenverarbeitung als Geschäftsmodell. Wer den GDV Code of Conduct konsequent umsetzt und § 213 VVG sauber handhabt, hat das Bußgeldrisiko unter Kontrolle — wer es nicht tut, sieht sich schnell mit sechsstelligen Sanktionen konfrontiert.
FAQ
Ist der GDV Code of Conduct verpflichtend?
Für GDV-Mitglieder ja, für alle Versicherer Branchenstandard. Aufsichtsbehörden orientieren sich daran bei Bewertungen.
Darf ich pauschale Schweigepflichtentbindung verlangen?
Nein, BGH hat dies untersagt. Nur Einzelfall-Entbindungserklärung mit Recht auf vorläufige Einsicht.
Telematik-Tarif ohne Einwilligung möglich?
Nein, die freiwillige Wahl des Tarifs ist faktisch Einwilligung. Plus umfassende Informationspflichten und DSFA.
Welche Aufbewahrungsfrist für Schadensakten?
Regel 10 Jahre nach Abschluss (§ 257 HGB), bei Personenschäden bis zur Verjährung möglicher Ansprüche (bis 30 Jahre).
HIS-Eintrag: Was darf der Versicherer eintragen?
Nur belastbare Anhaltspunkte für Auffälligkeit, mit Informationspflicht gegenüber Betroffenem. Falscheinträge: Bußgeldrisiko und Schadensersatz.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial