In einem Satz. Ein Versicherer oder Versicherungsvermittler wird DSGVO-konform, indem er Gesundheitsdaten (Art. 9) nur auf ausdrückliche Einwilligung oder § 22 BDSG stützt, das Profiling und Scoring in der Risikoprüfung nach Art. 22 transparent hält, die vermittlerrechtlichen Informations- und Registerpflichten (§ 34d GewO) mit dem Datenschutz verbindet und Kundendaten entlang der versicherungs- und steuerrechtlichen Fristen löscht.
Was muss ein Versicherer oder Vermittler für DSGVO-Konformität tun? Die Branche verarbeitet hochsensible Gesundheits-, Finanz- und Risikodaten und setzt umfangreiches Scoring ein. Konformität heißt: für Gesundheitsdaten die richtige Rechtsgrundlage (ausdrückliche Einwilligung, § 213 VVG), Transparenz beim automatisierten Scoring, saubere Trennung der Rollen zwischen Versicherer und Vermittler, ein bestellter Datenschutzbeauftragter und ein belastbares Löschkonzept. Dieser Leitfaden ergänzt den Beitrag DSGVO Versicherungen Deutschland. Grundlagen zu sensiblen Daten: Art. 9 DSGVO.
Wichtige Punkte
- Gesundheitsdaten nur auf ausdrückliche Einwilligung / § 213 VVG / § 22 BDSG.
- Automatisiertes Scoring: Transparenz nach Art. 22, kein Blackbox-Ablehnen.
- Vermittler und Versicherer: Rollen (Verantwortlicher / Auftragsverarbeiter) klären.
- Datenschutzbeauftragter regelmäßig Pflicht (sensible Daten als Kerngeschäft).
- AOK BW 1,24 Mio. € - Zweckentfremdung sensibler Daten ist teuer.
1. Welche Daten die Branche verarbeitet
Versicherer und Vermittler verarbeiten Kunden- und Antragsdaten, Gesundheitsdaten (Kranken-, Lebens-, Berufsunfähigkeitsversicherung), Schadendaten, Bonitäts- und Scoringdaten, Vorversicherungs- und Vertragsdaten. Gesundheits- und teils Daten über strafrechtliche Verurteilungen sind besondere Kategorien nach Art. 9/Art. 10 und heben das Schutzniveau erheblich.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Vertragsanbahnung / Antrag | Art. 6 Abs. 1 lit. b |
| Vertragsdurchführung / Schaden | Art. 6 Abs. 1 lit. b |
| Gesundheitsdaten (Antrag, Leistung) | Art. 9 Abs. 2 lit. a i.V.m. § 213 VVG |
| Risikoprüfung / Scoring | Art. 6 Abs. 1 lit. b/f; Art. 22 beachten |
| Betrugsabwehr / Hinweis- und Informationssystem | Art. 6 Abs. 1 lit. f |
| Vermittlung durch Makler/Vertreter | Art. 6 Abs. 1 lit. b |
| Beratungsdokumentation (§ 61 VVG) | Art. 6 Abs. 1 lit. c |
| Werbung / Cross-Selling | Art. 6 Abs. 1 lit. a |
3. Gesundheitsdaten und die VVG-Schweigepflichtentbindung
Gesundheitsdaten dürfen nur auf besonderer Grundlage verarbeitet werden. Bei der Risiko- und Leistungsprüfung ist die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a zentral, ergänzt durch § 213 VVG (Erhebung bei Dritten - Ärzten, Vorversicherern - nur mit gesonderter Einwilligung des Versicherungsnehmers). Die Schweigepflichtentbindung muss transparent, anlassbezogen und widerruflich sein; pauschale Blankoentbindungen sind unzulässig. Die Verarbeitung durch den Medizinischen Dienst des Versicherers ist streng zweckgebunden.
4. Profiling und Scoring (Art. 22)
Risikoklassifizierung, Beitrags-Scoring und Betrugsabwehr sind Profiling. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung (etwa automatische Ablehnung eines Antrags) ist nach Art. 22 DSGVO nur unter Ausnahmen zulässig - und dann mit dem Recht auf menschliches Eingreifen, Darlegung des eigenen Standpunkts und Anfechtung. Der Kunde ist über die involvierte Logik in verständlicher Form zu informieren. Reine Entscheidungsvorbereitung mit menschlicher Letztentscheidung fällt nicht unter Art. 22, unterliegt aber der Transparenzpflicht.
5. Vermittler und Versicherer - die Rollenfrage
Die datenschutzrechtliche Rollenverteilung ist der neuralgische Punkt der Branche:
- Der Versicherungsvertreter (§ 34d GewO, an einen Versicherer gebunden) handelt meist als verlängerter Arm des Versicherers - die Einordnung als Auftragsverarbeiter oder gemeinsam Verantwortlicher ist vertraglich zu klären.
- Der Versicherungsmakler ist als Sachwalter des Kunden regelmäßig eigenständig Verantwortlicher.
- Für weitergegebene Daten sind Auftragsverarbeitungsverträge oder Vereinbarungen über gemeinsame Verantwortlichkeit (Art. 26) nötig.
Der Vermittler unterliegt eigenen Beratungs- und Dokumentationspflichten (§ 61 VVG) und ist im Vermittlerregister (§ 34d Abs. 1 GewO) eingetragen.
6. Datenschutzbeauftragter, Verzeichnis, DSFA
Weil sensible Daten Kerngeschäft sind, ist ein Datenschutzbeauftragter regelmäßig zu benennen (Art. 37 Abs. 1 lit. c). Ein Art.-30-Verzeichnis ist Pflicht, und umfangreiche Gesundheitsdatenverarbeitung oder systematisches Scoring lösen häufig eine Datenschutz-Folgenabschätzung nach Art. 35 aus. Der Branchen-Code of Conduct der Versicherungswirtschaft (GDV-Verhaltensregeln nach Art. 40) bietet einen anerkannten Umsetzungsrahmen.
7. Aufbewahrungsfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Versicherungsverträge / Antrag | bis Ablauf Verjährung nach Vertragsende | § 195 BGB |
| Beratungsdokumentation | i.d.R. bis zu 5-10 Jahre | § 61 VVG / kaufm. Sorgfalt |
| Buchungsbelege, Provisionen | 10 Jahre | § 147 AO, § 257 HGB |
| Handels- und Geschäftsbriefe | 6 Jahre | § 257 HGB |
| Gesundheitsdaten (abgelehnter Antrag) | zeitnah nach Zweckende | Speicherbegrenzung |
| Bewerberdaten | 6 Monate nach Absage | AGG-Klagefrist |
Gesundheitsdaten aus abgelehnten oder beendeten Verträgen sind besonders streng auf Erforderlichkeit zu prüfen und zeitnah zu löschen (Recht auf Löschung).
8. Echte Bußgelder - was den Sektor betrifft
Der Versicherungs- und Gesundheitsdatenbereich ist ein Schwerpunkt der Aufsicht:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für Versicherer/Vermittler |
|---|---|---|---|---|
| 2020 | LfDI BW | AOK Baden-Württemberg (Krankenkasse) | 1.240.000 € | keine Zweckentfremdung von Gesundheits-/Kundendaten |
| 2019 | BfDI | 1&1 Telecom | 9.550.000 € | Identitätsprüfung vor Auskunft |
| 2019 | BlnBDI | Deutsche Wohnen (Immobilien) | 14.500.000 € | Löschfristen konsequent umsetzen |
Der AOK-Fall ist der direkt einschlägige: Die Krankenkasse nutzte Daten aus Gewinnspielen für Werbung, ohne wirksame Einwilligung und mit unzureichenden technisch-organisatorischen Maßnahmen. Für Versicherer und Vermittler die klare Lehre: sensible Kundendaten nur für den erhobenen Zweck, Cross-Selling nur mit sauberer Einwilligung.
9. Häufige Fehler
- Pauschale, unbefristete Schweigepflichtentbindungen statt anlassbezogener Einwilligung.
- Cross-Selling und Werbung ohne wirksame Einwilligung.
- Unklare Rolle zwischen Vermittler und Versicherer (kein AVV / keine Art.-26-Vereinbarung).
- Automatisierte Ablehnung ohne Transparenz und ohne menschliches Eingreifen (Art. 22).
- Gesundheitsdaten aus abgelehnten Anträgen bleiben gespeichert.
- Kein AVV mit Bestandsführungs- und IT-Dienstleistern.
10. Tool-Unterstützung
Legiscope unterstützt Versicherer und Vermittler beim Verarbeitungsverzeichnis, bei der DSFA für Scoring und Gesundheitsdaten, bei der Rollen- und AVV-Klärung zwischen Vermittler und Versicherer sowie einem Löschkonzept für sensible Bestandsdaten.
11. Datenpanne im Versicherungsvertrieb
Typische Szenarien: ein Fehlversand von Gesundheitsfragebögen oder Schadenakten an den falschen Kunden, ein verlorenes Notebook mit Bestandsdaten, ein gehacktes Vermittlerpostfach oder ein offen zugängliches Bestandsführungssystem. Weil regelmäßig Gesundheits- und Finanzdaten betroffen sind, ist das Risiko hoch - die 72-Stunden-Meldung nach Art. 33 DSGVO und die Benachrichtigung der Betroffenen nach Art. 34 sind dann in der Regel geboten. Vorsorge: Verschlüsselung, Zugriffsbeschränkung im Bestandssystem, sichere Übertragungswege für Gesundheitsdaten, getestete Backups. Meldewege: Datenpanne melden.
12. Umsetzung in fünf Schritten
- Datenlandkarte: Antrags-, Gesundheits-, Schaden-, Scoring- und Vertragsdaten sowie alle Dienstleister erfassen.
- Rollen klären: Vermittler (Makler/Vertreter) vs. Versicherer - Verantwortlicher, Auftragsverarbeiter oder gemeinsame Verantwortlichkeit (Art. 26) vertraglich festlegen.
- Verzeichnis und DSFA: Art.-30-Verzeichnis anlegen, Folgenabschätzung für Scoring und Gesundheitsdaten dokumentieren, DSB benennen.
- Einwilligungen: Schweigepflichtentbindung (§ 213 VVG) anlassbezogen und widerruflich gestalten; Werbeeinwilligungen sauber trennen.
- Löschkonzept: Gesundheitsdaten abgelehnter Anträge zeitnah löschen, Belege 10 Jahre aufbewahren.
13. Betroffenenrechte in der Praxis
Kunden machen ihre Rechte gegenüber Versicherer und Vermittler geltend - oft im Schaden- oder Leistungsfall, mit der Monatsfrist (Art. 12 Abs. 3):
- Auskunft (Art. 15): Antrags-, Gesundheits-, Schaden- und Scoringdaten sind offenzulegen - einschließlich der Information über eine automatisierte Risikobewertung und die involvierte Logik.
- Berichtigung (Art. 16): unrichtige Angaben korrigieren.
- Löschung (Art. 17): Gesundheitsdaten abgelehnter Anträge sind zeitnah zu löschen; Vertrags- und Buchungsbelege bleiben bis Fristablauf gesperrt.
- Widerspruch (Art. 21) gegen Werbung/Cross-Selling: sofort umzusetzen. Beim Profiling zu Direktwerbezwecken besteht ein absolutes Widerspruchsrecht.
- Recht auf menschliches Eingreifen bei automatisierten Entscheidungen (Art. 22) - siehe automatisierte Entscheidungen.
- Beschwerde und Schadensersatz: Kunden wenden sich an die Aufsichtsbehörde (Art. 77); Verstöße bei Gesundheitsdaten können Ansprüche nach Art. 82 begründen.
Ein standardisierter Auskunftsprozess über Bestandssystem, Scoring und Vermittlerakte ist entscheidend - gerade weil die Auskunft im Leistungsstreit strategisch eingesetzt wird.
Fazit
Für Versicherungen und Vermittler laufen die höchsten Datenschutzrisiken zusammen: Gesundheitsdaten, Scoring und komplexe Vermittlerbeziehungen. Entscheidend sind anlassbezogene Schweigepflichtentbindungen, Transparenz beim automatisierten Scoring, eine geklärte Rollenverteilung und ein striktes Löschkonzept. Der AOK-Fall zeigt, wie teuer die Zweckentfremdung sensibler Daten ist. Für Kapitalanlage- und Finanzierungsprodukte mit eigener Aufsicht siehe DSGVO Banken und Fintech.
FAQ
Auf welche Rechtsgrundlage stütze ich Gesundheitsdaten?
Auf die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a, ergänzt durch § 213 VVG für die Erhebung bei Dritten (Ärzte, Vorversicherer). Pauschale Blankoentbindungen sind unzulässig - die Einwilligung muss anlassbezogen und widerruflich sein.
Ist der Versicherungsmakler Auftragsverarbeiter des Versicherers?
Nein, in der Regel nicht. Der Makler ist Sachwalter des Kunden und meist eigenständig Verantwortlicher. Der gebundene Vertreter kann dagegen Auftragsverarbeiter oder gemeinsam Verantwortlicher sein - die Einordnung ist vertraglich zu klären.
Darf ich Anträge vollautomatisch ablehnen?
Nur unter den Ausnahmen des Art. 22 und mit Recht auf menschliches Eingreifen, Darlegung des Standpunkts und Anfechtung. Der Kunde ist über die Logik der Entscheidung verständlich zu informieren.
Brauche ich einen Datenschutzbeauftragten?
In der Regel ja. Die umfangreiche Verarbeitung von Gesundheits- und Risikodaten als Kerngeschäft löst die Pflicht nach Art. 37 Abs. 1 lit. c aus.
Wie lange darf ich Gesundheitsdaten aus einem abgelehnten Antrag speichern?
Nur so lange, wie es für den konkreten Zweck erforderlich ist. Nach Abschluss der Antragsprüfung ohne Vertragsschluss sind sie zeitnah zu löschen, soweit keine Aufbewahrungspflicht greift.
Darf ich Bestandsdaten für Cross-Selling anderer Sparten nutzen?
Nur mit tragfähiger Grundlage. Die Nutzung von Kundendaten für die Bewerbung weiterer Sparten ist nicht automatisch von der ursprünglichen Vertragsbeziehung gedeckt. Für Werbung per E-Mail ist eine Einwilligung oder die enge Bestandskundenausnahme (§ 7 Abs. 3 UWG) nötig; Gesundheitsdaten dürfen ohnehin nicht für Werbung zweckentfremdet werden. Der AOK-Fall zeigt, dass gerade die Zweckentfremdung sensibler Daten hart sanktioniert wird.
Behördeninformationen: DSK und BfDI; Gesetzestext § 213 VVG unter gesetze-im-internet.de/vvg_2008.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial