Versicherungsunternehmen entdecken das Potential von Informationen aus dem vernetzten KfZ für ihr Leistungsangebot. Eine Prämienbemessung anhand einer Analyse des Fahrverhaltens von Versicherten liegt da nahe – ebenso wie die Fragen nach den datenschutzrechtlichen Implikationen eines solchen Angebots.
Einige durchaus praxisrelevante Vorgaben in Bezug auf den Umgang mit personenbezogenen Daten im Rahmen eines „Telematik-Tarifes“ durch ein Versicherungsunternehmen hat nun die Datenschutzaufsichtsbehörde in Nordrhein-Westfalen veröffentlicht. Der Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen (LfDI) hat heute seinen Tätigkeitsbericht (PDF) für die Jahre 2013/2014 veröffentlicht.
In einem eigenen Abschnitt (Ziffer 5.1) berichtet der Landesdatenschutzbeauftragte über seine Prüfung bzw. beratende Einschätzung eines Telematik-Tarifes und der zugrunde liegenden Datenverarbeitungsprozesse. Zunächst stellt der LfDI fest, dass seiner Ansicht nach „grundsätzliche Bedenken“ bestünden, da die über eine in dem KfZ fest installierte Box gesammelten Datenmengen für ein Bewegungsprofil missbraucht werden könnten.
Auch konkrete Anforderungen formuliert der LfDI:
So dürften bei der Verarbeitung eingeschaltete Telekommunikationsunternehmen und Telematik-Unternehmen Daten über das Fahrverhalten keiner Person zuordnen können. Der LfDI verlangt eine Trennung in zwei Datenkreise (komplette Fahrdaten einerseits, Daten für die Zuordnung zur Person andererseits).
Daten müssen sowohl in der Telematik-Box (also lokal) als auch bei Übertragung und Speicherung nach dem jeweils aktuellen technischen Standard verschlüsselt werden. Zudem müsse die Box so gestaltet werden, dass Zugriffe und Manipulationen an der Hardware von außen ausgeschlossen sind.
Es stellt sich freilich die wohl berechtigte Frage, ob ein solcher (eventuell auch mit krimineller Energie ausgeführter Zugriff) tatsächlich vollständig ausgeschlossen werden können.
Zudem verlangt die Behörde, dass bei mehreren Fahrerinnen und Fahrern sich diese individuell vor Fahrtantritt entscheiden können müssen, ob sie eine Aufzeichnung ihres Fahrverhaltens dulden. Hier muss man meines Erachtens aber ebenso anmerken, dass es den Betroffenen wohl (als selbstbestimmten Individuen) auch möglich sein muss, generell, etwa bei Vertragsabschluss festzulegen, dass ihr Fahrverhalten aufgezeichnet wird und sie dem möglicherweise im Einzelfall widersprechen können.
Recht interessant erscheint auch noch die Anforderung des LfDI, dass der Versicherer einen Aufkleber zur Verfügung stellen müsse, der (z.B. auf dem Lenkrad angebracht) darauf hinweist, dass eine individuelle Fahrtaufzeichnung stattfinde. Hierbei handelt es sich sozusagen um die „Telematik-spezifische Datenschutzerklärung bzw. –hinweis“. Nichtsdestotrotz verlangt der LfDI auch, dass die Versicherungsnehmer im Vorfeld umfassend und verständlich über die Datenverarbeitung zu unterrichten sind.
Pingback: Die Woche im Datenschutz (KW20 2015) | Externer Datenschutzbeauftragter Bayern |
Pingback: Datenschutz und Datenwoche: BigData, TrueCrypt, Telematik, EUDataP: Datenschutzbeauftragte, BYOD, Bundestag-Hacker, Verbraucherthema | Das Datenschutz-Blog