Die Verarbeitung personenbezogener Daten gehört zum Kerngeschäft der Versicherungswirtschaft. Besonders sensibel ist dabei der Umgang mit Gesundheitsdaten, die etwa im Rahmen von Leistungsprüfungen, Risikobewertungen oder Vertragsabschlüssen verarbeitet werden. Der Tätigkeitsbericht 2025 der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) greift dieses Thema unter Punkt 9.4 auf und berichtet über einen aktualisierten „Code of Conduct“ (CoC) für den Umgang mit Kundendaten in der Versicherungsbranche. Die neuen Verhaltensregeln sollen Unternehmen mehr Orientierung geben und zugleich den datenschutzrechtlichen Schutz der Versicherten stärken.
Warum Versicherungsdaten datenschutzrechtlich besonders sensibel sind
Versicherungsunternehmen verarbeiten regelmäßig umfangreiche personenbezogene Informationen ihrer Kundinnen und Kunden. Neben allgemeinen Vertrags- und Kontaktdaten betrifft dies häufig auch Gesundheitsdaten, Angaben zu Erkrankungen, ärztliche Befunde oder Informationen über Behandlungen. Diese Daten zählen nach Art. 9 DSGVO zu den besonders geschützten Kategorien personenbezogener Daten.
Gerade im Versicherungsbereich entstehen dadurch erhebliche datenschutzrechtliche Anforderungen. Unternehmen müssen sicherstellen, dass Gesundheitsdaten nur für klar definierte Zwecke verarbeitet werden, der Zugriff streng beschränkt bleibt und eine ausreichende Transparenz gegenüber den Betroffenen gewährleistet wird. Hinzu kommt, dass Versicherungsunternehmen vielfach mit externen Dienstleistern, Gutachtern oder Rückversicherern zusammenarbeiten, wodurch zusätzliche Risiken für Vertraulichkeit und Datensicherheit entstehen können.
Neue Verhaltensregeln für die Versicherungswirtschaft
Vor diesem Hintergrund hat die Versicherungswirtschaft gemeinsam mit den Datenschutzaufsichtsbehörden einen aktualisierten Code of Conduct entwickelt. Solche branchenspezifischen Verhaltensregeln sind in Art. 40 DSGVO ausdrücklich vorgesehen und sollen die praktische Anwendung datenschutzrechtlicher Vorgaben erleichtern.
Der neue CoC konkretisiert zahlreiche bislang praxisrelevante Auslegungsfragen, insbesondere unter welchen Voraussetzungen Versicherungsunternehmen Gesundheitsdaten verarbeiten dürfen. Darüber hinaus enthält er Vorgaben zu verschiedenen praxisrelevanten Verarbeitungssituationen innerhalb der Branche. Dazu gehören etwa Regelungen zur Leistungsbearbeitung, zur Kommunikation mit beteiligten Stellen sowie zu internen organisatorischen Maßnahmen. Ziel der Verhaltensregeln ist es, ein einheitlicheres Datenschutzniveau innerhalb der Branche zu schaffen und zugleich den Unternehmen mehr Rechtssicherheit bei komplexen Verarbeitungsvorgängen zu geben.
Welche Aussagen trifft der CoC konkret?
Zu den wichtigsten Regelungsinhalten des CoC gehört vor allem die Definition zentraler Begriffe wie etwa der „wissenschaftliche Forschung“, um ein einheitliches Verständnis innerhalb der Branche zu schaffen. Ausführlich geregelt wird etwa die praktische Ausgestaltung des Auskunftsrechts nach Art. 15 DSGVO. Versicherungsunternehmen dürfen Auskünfte danach grundsätzlich gestuft erteilen: Zunächst erhalten Betroffene Informationen zu den aktuell verarbeiteten Vertragsdaten sowie einen Überblick über weitere mögliche Verarbeitungsvorgänge. Zugleich müssen Versicherer darauf hinweisen, dass Betroffene ihre Anfrage präzisieren können, etwa durch Benennung konkreter Zeiträume oder Geschäftsvorgänge. Erfolgt keine Einschränkung, bleibt das Unternehmen allerdings verpflichtet, eine vollständige Auskunft zu erteilen.
Der CoC enthält darüber hinaus Vorgaben zur sicheren Kommunikation mit anwaltlichen Vertretungen und verlangt für die direkte Übersendung sensibler Daten an Rechtsanwältinnen und Rechtsanwälte einen Nachweis der Empfangsvollmacht.
Auch die Transparenzpflichten gegenüber Versicherten werden konkretisiert: Versicherungsunternehmen müssen nachvollziehbar über eingesetzte Dienstleister informieren und dürfen hierfür strukturierte Dienstleisterlisten verwenden.
Weitere Regelungen betreffen die Verarbeitung von Gesundheitsdaten in Regressfällen, bei denen sich Versicherer Aufwendungen von Schädigern zurückholen. Der CoC stellt klar, dass hierfür unter bestimmten Voraussetzungen keine gesonderte Einwilligung erforderlich ist, sofern die Verarbeitung zur Durchsetzung von Rechtsansprüchen notwendig ist.
Zudem enthält der Kodex Vorgaben zur datenschutzrechtlichen Einwilligungsfähigkeit Minderjähriger und geht davon aus, dass Jugendliche ab Vollendung des 16. Lebensjahres grundsätzlich die notwendige Einsichtsfähigkeit besitzen.
Schließlich regelt der CoC auch die künftige Überwachungsstelle, die die Einhaltung der Verhaltensregeln kontrollieren soll, einschließlich Berichtspflichten gegenüber den Datenschutzaufsichtsbehörden.
Welche Rolle spielt die LDI?
Die Datenschutzaufsichtsbehörden waren unmittelbar an der Abstimmung der neuen Verhaltensregeln beteiligt. Der Tätigkeitsbericht der LDI NRW verdeutlicht damit zugleich die Rolle der Aufsichtsbehörden bei branchenspezifischen Datenschutzstandards. Ein Code of Conduct entfaltet seine praktische Bedeutung erst dann, wenn er von den zuständigen Datenschutzbehörden geprüft und genehmigt wird.
Fazit
Der aktualisierte Code of Conduct für die Versicherungswirtschaft verdeutlicht, wie stark Datenschutzfragen mittlerweile in spezialisierten Branchenprozessen verankert sind. Gerade der Umgang mit Gesundheitsdaten erfordert klare organisatorische und rechtliche Leitlinien. Die neuen Verhaltensregeln sollen hierfür einen verbindlicheren Rahmen schaffen und gleichzeitig mehr Transparenz und Rechtssicherheit fördern. Für Versicherungsunternehmen dürfte der CoC damit künftig eine wichtige Orientierungshilfe bei der datenschutzkonformen Gestaltung ihrer Prozesse darstellen.
Die Beteiligung der LDI NRW zeigt zudem, dass die Aufsichtsbehörden verstärkt auf kooperative Steuerungsinstrumente setzen. Statt ausschließlich auf Sanktionen oder Einzelverfahren zu reagieren, sollen branchenspezifische Standards dazu beitragen, datenschutzrechtliche Anforderungen frühzeitig in betriebliche Prozesse zu integrieren.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
