Telematik ist das Schlagwort der Stunde in der deutschen Versicherungswirtschaft. Der Begriff ist eine Fusion aus Telekommunikation und Informatik und beschreibt die Heranziehung verschiedener persönlicher Daten zur Risikokalkulation von Versicherungstarifen. Derzeit kommen erste Test- und Nischentarife auf den deutschen Markt, z.B. in der KFZ-Haftpflichtversicherung und der Krankenversicherung. Dieser Beitrag beschäftigt sich mit dem Grundprinzip dieser Tarife und leuchtet die datenschutzrechtliche Zulässigkeit aus.

Symbolbild: Ein rotes Auto fährt eine Bergstraße hinauf

Smart Devices, Apps & Co

Neuwagen sind schon heute vollgepackt mit Sensoren und messen Anfahr- und Bremsverhalten, Auffahrdichte, Gurtstraffung, Geschwindigkeit, Tageszeit, Witterungsverhältnisse und vieles mehr. Irgendwie treffend spricht Schleswig-Holsteins Landesdatenschutz-beauftragter Weichert bereits vom KFZ als „großes Smartphone mit Rädern“. Aus den hochgranularen, im Sekundentakt gesammelten Daten lassen sich individuelle Profile zum Fahrverhalten ableiten. Wer vorausschauend fährt, sich an die Geschwindigkeitsbegrenzung hält und den Wagen nachts sowie bei Eis und Schnee stehen lässt, kann so schnell einige hundert Euro bei der KFZ-Haftpflicht sparen. In den USA wird bereits jeder siebte Neuvertrag unter dem Motto „pay as you drive“ abgeschlossen.

Trendsetter sind auch Wearables und Gesundheits-Apps, mit welchen sich per Smartphone das eigene Leben vermessen lässt. Fitnesstraining, Anzahl der täglichen Schritte, Body-Mass-Index, Ernährungsverhalten und Kalorienaufnahme, ja selbst der eigene Schlaf – alles kann aufgezeichnet, vermessen und analysiert werden, um das perfekte Monitoring des persönlichen Gesundheitszustandes (Health Tracking) zu erhalten. Wen wundert es da, dass sich die Krankenversicherungen brennend für diese Daten interessieren. Schon länger belohnen Krankenkassen den regelmäßigen Gang ins Fitness-Studio, zu Vorsorgeuntersuchungen etc. mit Bonuspunkten und Gutscheinen. Mit einem angekündigten „Vitality“-Programm ebnet die Generali Versicherung derzeit den Weg für Telematik-Tarife und möchte sogar den Einkauf gesunder Lebensmittel honorieren. Das Programm soll schrittweise Lebens-, Berufsunfähigkeits- und Krankenversicherungen abdecken.

Dein persönliches Risikoprofil

Telematik-Tarife gründen auf der Bildung von Persönlichkeitsprofilen, sei es zum Fahrverhalten oder zum Lebenswandel. Dem Schutz des Persönlichkeitsrechts dient (auch) das Datenschutzrecht. § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) normiert ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich nur dann erlaubt ist, wenn sie gesetzlich gerechtfertigt ist oder wenn der Betroffene in die Verarbeitung eingewilligt hat. Damit der Schutz des BDSG „greift“, müssen die Daten also „personenbezogen“ sein. Nach der Legaldefinition des § 3 Abs. 1 BDSG fallen darunter Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Da Telematik-Tarife gerade das persönliche Verhalten des Versicherungsnehmers, also einer natürlichen Person, in den Fokus stellen, ist der Personenbezug bei Krankenversicherungen unproblematisch zu bejahen. Die KFZ-Versicherung ist nicht personen- sondern fahrzeuggebunden und der KFZ-Versicherung ist nicht bekannt, ob der Versicherungsnehmer oder ein Dritter zum Zeitpunkt der Datenerhebung das Fahrzeug nutzt. Individuelle Fahrzeugeinstellungen, Fahrdynamik, Nutzungszeiten und Strecken bilden jedoch in ihrer Kombination individuelle Fingerprints, die einer bestimmbaren Person zugeordnet werden können.

Ob die Daten direkt von der Versicherung verarbeitet werden oder ob ein Dienstleister zwischengeschaltet ist, der die Risikoprofile erstellt und der Versicherung nur einen Punktwert mitteilt, spielt dabei nur eine untergeordnete Rolle.

Gesetzliche Rechtfertigung

Eine spezialgesetzliche Rechtsgrundlage für die Datenverarbeitung bei Telematik-Tarifen gibt es nicht. Anders ist es z.B. beim Notfall-System eCall, welches ab Frühjahr 2018 für PKW-Neuwagen in der EU gesetzlich vorgeschriebenen werden soll.

Wenn die gesamte Datenverarbeitung auf einer vertraglichen Regelung basiert, kann sie jedoch gemäß § 28 Abs. 1 Satz 1 Nr. 1 BDSG gerechtfertigt sein. Danach ist eine Datenerhebung zulässig, wenn sie für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses erforderlich ist. Im Rahmen von Versicherungsverträgen ist nur die Verwendung solcher Daten zulässig, die für den konkreten Vertrag von Bedeutung sind. Das Merkmal der Erforderlich dürfte erfüllt sein, da die Datenerhebung und Profilbildung gerade dem Kern von Telematik-Tarifen entspricht. Die Erhebung und Verarbeitung der personenbezogenen Daten sind für die konkrete Vertragsdurchführung und damit für die Erfüllung der vertraglichen Pflichten des Versicherers unerlässlich.

Wirksamkeit der Vertragsregelungen

Im Versicherungsvertrag müssen die Regelungen über die Erhebung und die Verarbeitung der personenbezogenen Daten wirksam sein. Dies erfordert zum einen, dass der Versicherungsnehmer hinreichend informiert wird, er also weiß, worauf er sich einlässt. Zum anderen müssen die Versicherungsbedingungen wirksam in den Vertrag einbezogen werden in Hinblick auf die AGB-rechtlichen Anforderungen der §§ 305 ff BGB.

Wenn der Versicherungsnehmer nicht selber fährt

Da die KFZ-Versicherung fahrzeug- und nicht fahrergebunden ist, kann dies zu Problemen führen, wenn der Versicherungsnehmer nicht selber am Steuer sitzt, sondern eine andere Person das Fahrzeug führt. Wie bereits oben beschrieben, lassen sich aus individuellen Fahrzeugeinstellungen, Fahrdynamik, Nutzungszeiten und Strecken personenbeziehbare Fahrerprofile bilden. Auch für diesen Personenkreis bedarf es einer gesetzlichen Rechtfertigung oder einer Einwilligung in die Datenverarbeitung.

Selbst wenn der Versicherungstarif die Nutzung des Fahrzeugs durch weitere Fahrer zulassen sollte, diese also vom Versicherungsschutz gedeckt wären, müsste sichergestellt werden, dass auch diese Personen über die Verarbeitung ihrer Daten hinreichend informiert werden. Direkt über die Versicherungsbedingungen wird das nicht erfolgen können, weil regelmäßig nur der Versicherungsnehmer als Vertragspartner der Versicherung den Vertrag abschließt. Eine Rechtfertigung über § 28 Abs. 1 Satz 1 Nr. 1 BDSG erscheint daher zweifelhaft. Denkbar wäre, dass der Versicherungsnehmer in den Vertragsbestimmungen dazu verpflichtet wird, von möglichen weiteren Nutzern wirksame Einwilligungen einzuholen. Eine andere Möglichkeit wäre, dass der Fahrer vor Beginn der Fahrt im Fahrzeug auf die Datenerhebung hingewiesen wird, z.B. über das bordeigene Infosystem, und er sein Einverständnis gibt.

Wahlfreiheit

Die Entscheidung für oder gegen einen Telematik-Tarif kann und soll jeder selber treffen. Gerade diese Entscheidungsfreiheit ist schließlich das tragende Element des Rechts auf informationelle Selbstbestimmung. Voraussetzung ist aber auch, dass eine echte Wahlfreiheit besteht. Dies ist jedenfalls solange unproblematisch gegeben, wie es klassische Versicherungstarife am Markt gibt.

Solange sich Telematik-Tarife in der Erprobungsphase befinden und eher als Nischenprodukt am Markt erscheinen, ist die Wahlfreiheit unproblematisch gegeben. Mit zunehmender Verbreitung dieser Tarife könnte sich das Blatt aber wenden. Schon heute würde jeder dritte Deutsche seine persönlichen Gesundheit- und Fitnessdaten an die Krankenversicherung geben, wenn er dafür Vorzüge erhält. Wenn die Mehrheit der Versicherten eine Überwachung durch den Versicherer in Kauf nimmt und sich Telematik-Tarife zum De-facto-Standard der Versicherungswirtschaft entwickeln, dürfte es zunehmend schwerer werden, sich diesen Bedingungen zu entziehen. Wer ohne Überwachung Auto fahren, Sport treiben oder wie auch immer sein Leben genießen möchte, könnte sich bald aus Sicht der Versicherungen verdächtig machen und mit deutlich höheren Prämien belastet werden. Steigender Verhaltensdruck gepaart mit finanziellen Nachteilen kann den Betroffenen durchaus in seiner (echten) Wahlfreiheit beschränken.

Fazit

Telematik-Tarife sind datenschutzrechtlich „interessant“, weil die Bildung von persönlichen Risikoprofilen elementarer Teil des Geschäftsmodells ist. Jede Profilbildung birgt die Gefahr, den Betroffenen in seiner Freiheit einzuschränken. Die günstigere Versicherungsprämie kostet eben den Preis der Verhaltenskontrolle. In der Regel wird die Datenverarbeitung über § 28 Abs. 1 Satz 1 Nr. 1 BDSG gerechtfertigt sein. Problemkreise zeichnen sich aber ab bei Betroffenen, die nicht selber Versicherungsnehmer sind sowie in einem Zukunftsszenario, wo Telematik-Tarife das klassische Tarifmodell der Versicherungen abgelöst haben und keine echte Wahlfreiheit mehr besteht. Wenn es so kommt.

Sebastian Herting ist Rechtsanwalt und zertifizierter Datenschutzbeauftragter. Er unterstützt Unternehmen mit lösungsorientierter Beratung zu Daten, Technologie, KI und Marketing.