11.04.2018 - dvb-aktuell

Wie sicher ist die E-Mail-Kommunikation zwischen Vermittler und Versicherer?

Die deutsche-versicherungsboerse.de (dvb) macht mit dem aktuellen Projekt VersicherungsMail.de auf ein datenschutzrechtliches Problem aufmerksam, von dem die gesamte Branche betroffen ist. Klärung tut Not.

Wie sicher ist die E-Mail-Kommunikation zwischen Vermittler und Versicherer?

Die deutsche-versicherungsboerse.de (dvb) macht mit dem aktuellen Projekt VersicherungsMail.de auf ein datenschutzrechtliches Problem aufmerksam, von dem die gesamte Branche betroffen ist. Klärung tut Not.

Versicherungsmail.deE-Mail ist technisch sicher

Um eventuellen Missverständnissen gleich vorzubeugen: Die Kommunikation per E-Mail ist aus technischer Sicht mittlerweile im Regelfall hinreichend vor Zugriffen Dritter geschützt. Man kann die E-Mail heute nicht mehr mit der offenen Postkarte vergleichen, bei der ein Briefträger den Urlaubsgruß von Tante Käthe von Mallorca sehen kann. Durch die flächendeckende Verbreitung der Transportwegeverschlüsselung zwischen den kommunizierenden Mailservern ist eher der Vergleich mit einem Einschreiben angebracht, das der Briefträger gegen Quittung persönlich und verschlossen beim Empfänger abgibt. Die eingesetzte TLS-Verschlüsselung ist bisher nicht erfolgreich angegriffen worden und entspricht auch unbestritten den hohen Anforderungen der Datenschützer.

Trotzdem akzeptieren die Datenschützer diesen Kommunikationsweg nicht für die Übermittlung von personenbezogenen Daten zwischen Vermittler und Versicherer, wenn der Makler nicht über einen eigenen abgesicherten Mailserver verfügt. Das betrifft jeden Vermittler, der beispielsweise E-Mail-Dienste von Strato, 1und1, T-Online oder Office365 verwendet – also praktisch jeden kleinen bis mittelständischen Vermittler. Die geäußerten Bedenken der Juristen: Bei einem von Dritten betriebenen E-Mail-Server besteht die theoretische Möglichkeit, dass ein Administrator mal einen Blick in den Datenstrom wirft. Im obigen Beispiel vergleichbar mit einem Briefträger, der das Einschreiben vor der Zustellung einmal kurz öffnet und einsieht.

Bedenken der Datenschützer

Lassen Sie uns an dieser Stelle nicht über Hochsicherheitslösungen beim Betrieb von Rechenzentren und die zu überwindenden Sicherheitsmaßnahmen, wie einer technischen Zugriffskontrolle, diskutieren. Vergessen Sie auch vertragliche Regelungen wie Verschwiegenheitsverpflichtungen oder den Datentreuhänder auf Seiten Ihres E-Mail-Dienstleisters: Einige Landesdatenschutzbeauftragte haben deutlich gemacht, auf eine durchgehende Verschlüsselung des E-Mail-Verkehrs zu bestehen. Die Ende-zu-Ende-Verschlüsselung wird sich im Praxiseinsatz für Versicherungsvermittler hingegen niemals durchsetzen - dafür ist die technische Einrichtung einfach zu anspruchsvoll und die Anforderungen an die Endgeräte zu hoch.

Abhilfe ist nicht in Sicht, es haben sich schon größere Versicherungskonzerne an dem Thema die Zähne ausgebissen. Einige Marktteilnehmer lassen es darauf ankommen, andere versenden passwortgeschützte ZIP- und PDF-Dateien, die im Alltag maximal unhandlich sind. Oder sie legen die Post im Extranet ab, was wiederum bei der Vermittlerschaft auf wenig Begeisterung stößt, wenn sie zu Tagesbeginn in unzählige Extranets gehen müssen, um ihre Post abzuholen.

Selbst Versicherer haben also vor dem überbordenden Datenschutz kapituliert, aufwändige Rechtsgutachten und technische Sicherheitsanalysen führten zu keinerlei Einlenken bei den staatlichen Datenschützern. Über die Sinnhaftigkeit von deren Ansinnen braucht man trotz Generation „Facebook“ und ungehemmter Datenfreizügigkeit von Smartphone-Benutzern einfach nicht zu diskutieren. Der Jurist eines großen VU fasste es wie folgt zusammen: „Es ist eine Schande für ein Industrieland wie Deutschland, dass der Einsatz von E-Mail bis heute nicht gesetzlich geklärt ist.“

Abhilfe durch BiPRO-Normen

Derzeit gibt es keine Lösung für dieses Problem. Ist dieser Zustand zu akzeptieren? Die Antwort kann nur „nein“ heißen. Es braucht gemeinsame Branchenkräfte, um die Interessen von Versicherer und (kleineren) Vermittlern gegenüber dem Gesetzgeber durchzusetzen.

Kenner der Szene werden nun fragen, warum man die Kommunikation zwischen Makler und Versicherer nicht über BiPRO-Services führt, wie z.B. durch den Einsatz des easy Clients mit der Postkorb-Funktion. Trotz der sehr erfreulichen Verbreitung von BiPRO als Branchenstandard wird es noch einige Zeit in Anspruch nehmen, bis die vollständige Ausbaustufe erreicht ist. Daher ist BiPRO momentan keine Lösung für dieses Problem, da sie erst mittelfristig greifen wird.

Der Arbeitsdruck bei den Vermittlern ist groß, die elektronischen Prozesse zwischen Makler und Versicherer stecken hingegen noch in den Kinderschuhen. Vermittler und auch die zuständigen Verbände stehen einer Brückentechnologie im Moment sehr positiv gegenüber. Zitat eines Vermittlers: „Wenn ich eine Anfrage mit Personendaten per E-Mail an einen Underwriter senden kann, mit dem ich gerade telefoniere, ist das im Moment noch die beste Möglichkeit, um Zeit einzusparen“.

Am 23. April 2018 wird die dvb im Rahmen eines Workshops die Teilnehmer aus Versicherungsgesellschaften und Verbänden über die juristischen und fachlichen Details dieser Situation informieren. Erfahrene Datenschützer und Techniker referieren und werden die Teilnehmer über die juristischen und fachlichen Details der Situation auf den aktuellen Stand bringen.

In einer streitbaren Diskussion sollen die Branchenvertreter für den fachlichen Diskurs fit gemacht werden, damit die Versicherer und andere Dienstleister eine Entscheidung darüber herbeiführen können, wie das Thema E-Mail-Kommunikation angegangen und für alle Teilnehmer rechtssicher gestaltet werden kann. Idealerweise wird ein gemeinsames Vorgehen abgestimmt, um die Zustimmung der Datenschützer herbeizuführen.

Informationen zur Initiative sind unter www.VersicherungsMail.de zu finden.

Henning Plagemann, deutsche-versicherungsboerse.de

Kommentare

Peter Föll - am 11.04.2018

Das Problem ist doch relativ klein. Ein Versicherungsmakler ist ein Unternehmer und sollte als solcher eine Homepage haben. Der Weg zum eigenen Mailserver ist dann doch keine große Sache. Das kann man sehr schnell und günstig umsetzen.
Insofern ist es klar, dass die Datenschutzbehörde diese kleine Hürde nicht als Ausrede akzeptiert.

Klaus Bauer Fachmann fuer alles Profi fuer nichts eifriger Waehler - am 11.04.2018

Zwischenzeitlich sollte jeder Wissen, dass es im Netz nur eingeschränkte und keine absolute Sicherheit gibt.

Bei näherer Betrachtung diverser Makler als auch Vermittlerplattformen könnte man sich biegen vor lachen, wenn es nicht einherginge mit dem aktuellen Zuckerber-Skandal besser bekannt als "Facebook". Böse Zungen sprechen vom dummen Fratzenbuch... anderen gefallen die Bildchen so sehr dass sie selbst zur Trojanerverteilerstelle werden.

Mami und Papi und auch Kevin finden es megacool....

Ach ja: jetzt macht man den Vermittlern Druck und droht mit dem Paragraphen, weil man seit 20 Jahren genauso wie im Bundestagsnetz unter Mama Merkel (2015) geschlafen hat?

Neue Technik neues Risiko und Ransomware dazu...

Kommentar verfassen:

Die Redaktion liest alle Kommentare sorgfältig und beachtet sie, auch wenn nicht jeder einzelne beantwortet wird. Anonym verfasste Texte können nicht berücksichtigt werden. Veröffentlicht werden nur Beiträge, die auf den jeweiligen Artikel und sein Thema seriös und sachbezogen eingehen. Die Redaktion behält sich vor, vor Kommentare zu kürzen oder zu modifizieren. Für veröffentlichte Kommentare gewährt der Leser der dvb das unentgeltliche, zeitlich und örtlich unbegrenzte und nicht ausschließliche Recht, diese Aussagen ganz oder teilweise zu nutzen, zu veröffentlichen, zu bearbeiten und zu verbreiten. Der veröffentlichte Kommentar gibt ausschließlich die persönliche Auffassung des Verfassers wieder.

Mit * markierte Textfelder müssen ausgefüllt werden.