Die Generali Deutschland AG will Berufsunfähigkeits- oder Risikolebensversicherte ab 1. Juli 2016 mit ihrem „Smart Insurance“-Tarif „Vitality“ für gesundes Leben belohnen. Um davon zu profitieren, sollen die Kunden zunächst „ihre persönlichen Gesundheits- und Fitnessniveaus“ ermitteln. Dann sollen sie „ihre persönlichen Ziele“ festlegen – wer „Meilensteine“, etwa durch „Fitness und Bewegung, Verzicht auf das Rauchen sowie über den Einkauf gesunder Lebensmittel“ erreicht, erhält „Punkte“. Ab einer bestimmten Punktzahl gibt’s „einen bestimmten Status“ – etwa „Bronze“, „Silber“, „Gold“ oder „Platin“. „Mit Generali Vitality motivieren wir unsere Kunden zur Prävention und zu einem gesundheitsbewussten Lebensstil“, ist Giovanni Liverani, Vorstandsvorsitzender der Generali Deutschland AG, voll des Lobs.
Eine Versicherung, zwei Verträge
Um in den Genuss des Angebots zu kommen, brauchen die Versicherten „zwei Verträge“: einen Versicherungsvertrag „sowie einen weiteren Vertrag mit der […] Generali Vitality GmbH“. Damit will die Generali „eine rechtliche und organisatorische Trennung zwischen dem Versicherungsunternehmen und dem datenverarbeitenden Unternehmen“ gewährleisten, sodass das Versicherungsunternehmen „keinen Zugriff auf die vom Kunden freiwillig zur Verfügung gestellten Daten“ bekommt. Das Versicherungsunternehmen soll lediglich über den „Status“ informiert werden, „der maßgeblich für die Rabatte und Gutscheine bei Kooperationspartnern ist“.
Wie aber „ermitteln“ die Kunden „ihre persönlichen Gesundheits- und Fitnessniveaus“? Papiergestützt oder elektronisch? Mit welcher Technik werden Punkte gesammelt? Wie werden diese Daten übermittelt und bei der Generali gespeichert? Im Bundesdatenschutzgesetz sind Kontrolle von Zutritt, Zugang, Zugriff, Weitergabe, Auftrag (an Dritte) und Verfügbarkeit der Daten geregelt. Wie wird diese Vorschrift von der Generali Vitality GmbH umgesetzt?
Beim Datenschutz gibt sich die Generali schmallippig
Trotz einer telefonischen Ankündigung blieb Mark Valentiner von der Generali die Antwort zunächst ganz schuldig. Auf Nachfrage schickte er eine E-Mail mit den „Antworten auf Ihre Fragen zu Generali Vitality“. Beim Öffnen der Mail stellen wir fest: Das sind weder unsere Fragen geschweige denn die dazu gehörenden Antworten. Tatsächlich hat die Generali ein paar selbst gestellte Fragen beantwortet: „Wie werden die Teilnahme-Bedingungen und Konditionen des Vitality-Programms aussehen?“ oder „Wie rechnet sich Generali Vitality?“
Nach einer weiteren Nachfrage erfahren wir: „Wie ich Ihnen in unserem Telefongespräch letzte Woche bereits mitgeteilt habe, ist die Produkteinführung erst ab dem 1. Juli 2016 vorgesehen. Aus diesem Grund bitte ich Sie um Verständnis, dass wir zum jetzigen Zeitpunkt keine weiteren technischen Angaben zu unserem Vitality Produkt machen können.“
Eine Dienstleistung ohne Datenschutzkonzept
„Wer ein solches Sicherheitskonzept erstellen will, muss mindestens ein viertel- bis ein halbes Jahr Zeit einkalkulieren. Das ist insbesondere bei der Verarbeitung von Gesundheitsdaten wichtig – denn der Datenschutzbeauftragte muss eine sogenannte Vorabkontrolle durchführen“, sagt Mathias Gärtner, stellvertretender Vorsitzender der Nationalen Initiative für Informations- und Internetsicherheit e.V. „Und zwar vor der erstmaligen Inbetriebnahme“.
Die Generali, der nach Angaben von Wikipedia zweitgrößte Versicherer in Deutschland mit 13 Millionen Kunden will seiner Klientel Dienstleistungen einer neuen Gesellschaft verkaufen und scheint zwei Monate vor Aufnahme des Geschäftsbetriebs noch nicht über ein Sicherheitskonzept zu verfügen. Nach der kürzlich beschlossenen EU-Datenschutzgrundverordnung riskieren Unternehmen bei künftigen Datenschutzverstößen Bußgelder in Höhe von vier Prozent des Jahresumsatzes.
Es bleiben viele offene Fragen
Angenommen, die Generali Vitality GmbH kassiert ein solches Bußgeld – welche Konsequenzen wären damit verbunden? Beabsichtigt denn die GmbH, Gewinne zu erzielen – die wären ja notwendig, um daraus etwaige Bußgelder zu zahlen oder gar Schadenersatzansprüche von Kunden befriedigen zu können. Generali hat diese Fragen nicht beantwortet. Die Generali AG kann die Vitality GmbH jederzeit schließen. Was dann mit den Gesundheitsdaten der Nutzer passieren würde, ist völlig unklar. Die ursprüngliche rechtliche Trennung zwischen AG und GmbH ist dann keinen Schuss Pulver wert.
