BiPRO, Datenschutzverletzung & Automatisation

Als Werner Schlittkes* Handy summt, schaut er wie gewohnt kurz auf den Bildschirm.

„Hallo Herr Schlittke, Sie haben eine Mahnung erhalten. Mehr erfahren…“

Neugierig und auch etwas unangenehm berührt, klickt er auf den Link in der Nachricht. Er hat wohl vergessen, die Rechnung seiner Privathaftpflichtversicherung zu begleichen. Aber dann trifft es ihn wie der Blitz: Was er sieht, ist nicht seine Mahnung. Es ist eine lange Liste mit Namen, Anschriften und Mahnbeträgen. Sein Name findet sich auch auf der Liste. Kennt die Liste jetzt etwa jeder? Wie konnte das passieren?

 

*Klar, der Name wurde geändert. Geht schließlich um Datenschutz in diesem Beitrag…

digitales Schloss

Sinn und Unsinn von Datenaustausch & Automatisierung

Der Datenaustausch zwischen Vermittlern und Versicherern hilft, arbeitsaufwendige Vorgänge zu automatisieren. Vermittler brauchen nicht mehr jedes Dokument per Hand verarbeiten, also etwa

  • einen Briefumschlag öffnen
  • sich in Extranets einloggen um Korrespondenz abzuholen
  • Faxgeräte warten
  • Dokumente wieder einscannen
  • Dokumente den richtigen Kunden und Verträgen zuordnen

Das alles sind Arbeitsvorgänge, die sich durch einen vollautomatisierten Dokumenten- & Datenaustausch automatisieren lassen. So lässt sich eine Menge Geld in der Verwaltung sparen, was letztlich dem Kunden zugute kommt.

Mehr noch: Wird der richtige Geschäftsvorfall mitgeliefert, können sogar die Folgeprozesse automatisiert abgearbeitet werden. Etwa können

  • Beitragsänderungen Verträge und Forderungsmanagement angepasst werden
  • Rückfragen an den Kunden geleitet werden
  • Mahnungen nebst Handlungsempfehlungen an den Kunden geleitet werden

Das bedeutet noch mehr Arbeitsersparnis und noch mehr Kostenreduktion für den Kunden.

Darüber hinaus wird ein deutlich besserer Kundenservice möglich. Betreuungsaktionen, die bisher zu aufwendig oder teuer gewesen wären, sind auf einmal nahezu kostenfrei darstellbar. So kann der Kunde seine Dokumente direkt auf sein Smartphone erhalten, weltweit, zeitnah und extrem bequem.

Die Vorteile einer solchen Automatisation sind

  • Arbeitsersparnis & Kostenreduktion
  • Verbesserung & Beschleunigung von Kundenservices
  • Skalierbarkeit des Vertriebes

Automatisierung als Brandbeschleuniger von Datenschutzpannen

Was auf der einen Seite ein Vorteil ist, ist auf der anderen Seite ein Nachteil: die Skalierbarkeit.

Durch die Automatisation werden auch luxuriöse Kundenservices möglich, weil es keinen Unterschied macht, ob man diese nur für eine handverlesene Zahl exquisiter Kunden erbringen muss oder jeden Kunden mit herausragendem Service begleitet – macht ja die Maschine. Dummerweise macht es auch keinen Unterschied, wenn im System ein Datenschutzfehler passiert. Dann sind die Daten von einem Kunden ebenso schnell offenbart wie von 10.000.

Der Ernstfall

Das zu Anfang genannte Beispiel war leider kein reines Gedankenspiel. Tatsächlich liefert ein Versicherungsunternehmen im vorgangs- & kundenbezogenen BiPRO-Prozess für Mahnungen nicht die Mahninformation zu dem jeweiligen Einzelkunden, sondern hat stattdessen dort die gesamte Mahnliste eingestellt.

Letztlich ist der Fehler ursächlich nicht dramatisch. Früher haben auch nicht alle Versicherer die gesamte Korrespondenz an die gemeinsamen Kunden in Kopie dem Vermittler geschickt, sondern Vorgänge wie Mahnungen auf einer Liste zusammengefasst. Wir als Pool mussten das dann in mühseliger Handarbeit auseinanderschneiden, um jedem Vermittler für seinen Kunden die gewünschte Information zukommen zu lassen. Nun hat der Versicherer offenbar die gleiche Liste in Ermangelung einer anderen Quelle genommen und diese einfach technisch kundenbezogen mit ausgeliefert. Das wäre ungefähr so, als wenn man den Kunden angeschrieben hätte und ihm jemand die Mahnliste aller Kunden als Information beilegt, ohne darüber nachzudenken, dass auf der Liste ja noch Informationen für andere Kunden aufgeführt sind. Es handelt sich also um einen ganz normalen Fehler. Nur wurde dieser automatisiert.

In einem weiteren Beispiel lieferte uns ein anderer Versicherer Bestätigungen über Bestandsübertragungen in einer Liste aus – ebenfalls als Gesamtliste bei jedem einzelnen betroffenen Kunden.

blau direkt läuft gerade wegen seines hohen Automatisierungsgrades in solchen Fällen natürlich voll ins Messer. Niemand rechnet damit, dass im Vorgang „Mahnung Werner Schlittke“ ganze Kundenlisten geliefert werden. Es würde auch dem Sinn von Automation widersprechen, wenn man doch wieder jedes einzelne Dokument prüft.

Datenpannen unvermeidbar

Natürlich kann und muss man eine Menge tun, um Datenpannen zu vermeiden. Dies gerade dann, wenn man automatisiert Daten im großen Stil skaliert verarbeitet. Bevor eine Gesellschaft freigeschaltet wird, wird eine Zeit lang tatsächlich jedes gelieferte Dokument geprüft. Freilich hilft dies aber nur, wenn ein Fehler dann schon in der Datenlieferung enthalten ist und während des Controllingprozesses auftritt.

Am Ende ist aber auch eine fehlerhafte Datenlieferung ein menschlicher Fehler. Irgendwer hat eine unglückliche Entscheidung getroffen; fehlerhaft kommuniziert; einen Programmierfehler produziert. Shit happens.

In beiden aktuellen Fällen liegt der Fehler nicht bei blau direkt. Vielmehr sind blau direkt und seine Partner selbst Betroffene der aufgetretenen Fehler.  Das macht im ersten Moment vielleicht ärgerlich oder führt zu Verunsicherung, man muss es aber nüchtern abwägen, will man die Sache realistisch betrachten.

In der Automatisierung wirkt ein Fehler nicht einmal, sondern beispielsweise gleich 10.000 Mal. Die Fehlerquote wird dadurch aber nicht höher. Wenn ein Sachbearbeiter in einem von 200 Fällen ein Dokument beim falschen Kunden hinterlegt, kann man davon ausgehen, einen guten und genauen Mitarbeiter zu haben. Bezogen auf eine Million Dokumente, hat er dann aber auch irgendwann 5.000 Datenschutzverletzungen begangen. Er braucht nur eben sehr lange dafür und daher fällt es kaum auf.

blau direkt hat bereits mehr als 2 Mio. Dokumente automatisiert hinterlegt und dabei bis heute etwa 8.000 Dokumente mit Daten abgelegt, die nicht für den jeweiligen Kunden gedacht waren, der diese erhielt. Die Quote ist damit deutlich niedriger als bei einem guten Sachbearbeiter. Zudem konnten die Fehler oftmals bemerkt und korrigiert werden, bevor der Kunde die Dokumente wahrgenommen hat.

Was tun, wenn Datenpanne passiert?

Melden.

Wenn Dir als Makler auffällt, dass irgendwas bei einem Deiner Kunden drin ist, was da nicht reingehört, melde es schnell und still.

Schnell, weil wir dann zügig den Fehler identifizieren und beheben können. Damit stellen wir sicher, dass der Fehler sich nicht noch weiter multipliziert und noch mehr Kunden betroffen sind. Wir können sogar den bereits verursachten Fehler durch die fleißigen Mitarbeiter der Vertragspflegeabteilung korrigieren lassen, bevor der Fehler größere Kreise zieht; mehr und mehr Kunden den Fehler bemerken.

Still, weil Öffentlichkeit kontraproduktiv ist, denn ein Fehler muss noch keine Auswirkung haben. Er hat erst Auswirkungen, wenn er nicht rechtzeitig korrigiert werden kann. Damit lässt sich auch eine Meldung des Fehlers an die Datenschutzbehörden nach Artikel 33 DSGVO vermeiden, denn ein Fehler muss nicht gemeldet werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte natürlicher Personen führt. Durch eine schnelle, diskrete Behebung kann dies sichergestellt werden. Beim Schutz von Daten geht es um Privatsphäre. Öffentlichkeit auf Fehler zu lenken ist das Gegenteil vom Schutz der Privatsphäre.

Was Du nicht tun solltest

Schön, wenn Du einen solchen Fehler gleich in Deiner Lieblingsfacebook-Gruppe herausposaunst. Das ist aber unklug.

Klar ist uns das auch unangenehm und vielleicht bereitet Dir das diebische Freude. Nur:

  1. Wir sind nicht in dieser Facebookgruppe und bekommen das nicht mit. Dadurch wird der Fehler möglicherweise nicht behoben, bevor Schaden auftritt.
  2. Du ziehst Aufmerksamkeit auf den Fehler und verschlimmerst die Folgen. Bei Deinem Kunden sind beispielsweise die Mahnlisten mit anderen Kundennamen drin. Wahrscheinlich ist also auch der Name Deines Kunden bei anderen Vermittlern und deren Kunden drin. Die hatten das aber wahrscheinlich noch nicht bemerkt. Dank Deines Hinweises schauen jetzt aber viele nach und sehen das (jetzt erst) auch. Das heißt, die Daten Deines Kunden sind erst durch Deinen Wunsch nach Aufmerksamkeit in die Hände anderer Vermittler geraten. Statt alles dafür zu tun, das zu verhindern, hast Du selbst aktiv die Folgen der Datenpanne verschlimmert, vielleicht sogar erst erzeugt. Damit hast Du tatsächlich selbst einen Datenschutzverstoß begangen und zudem Dein Mandat Deinem Kunden gegenüber verletzt.

Wenn Du meinst, wir tun nicht genug, um Datenschutzfehler zu vermeiden oder wenn Du meinst, dass Du uns mal eins reinwürgen willst, dann melde solche Fehler der Datenschutzbehörde. Das bedeutet dann vielleicht Stress für uns. Den müssen wir dann eben aushalten. Du trampelst damit aber wenigstens nicht auf der Privatsphäre der betroffenen Kunden herum. Die können nämlich nichts dafür und daher sollten wir diese unabhängig von unserem Verhältnis untereinander auch immer vorrangig schützen.

Was wir tun

Was wir in solchen und vergleichbaren Fällen machen:

  1. Fehler identifizieren
  2. Verantwortlichen informieren
  3. Sofern möglich Fehler beheben oder Fehlerwirkung eindämmen
  4. Verantwortlichen informieren über Meldepflicht nach Artikel 33 DSGVO
  5. Fehler nach Artikel 33 DSGVO dokumentieren

In den vorliegenden Fällen können Makler demnach davon ausgehen, dass alles erledigt ist. Sollte der Fehler durch den Kunden bemerkt und der Makler angezeigt werden, kann dieser auf seinen Auftragsdatenverarbeiter (Ihr habt genau deswegen mit blau direkt eine AVV geschlossen! Das nimmt Euch aus der Schusslinie.) verweisen. Wir haben als solcher den Fehler beseitigt, dokumentiert und eine Meldung nach Artikel 33 über den Verantwortlichen initiiert.

Mit anderen Worten: Für Euch (und Eure Kunden) ist alles gut.




3 Kommentare zu “BiPRO, Datenschutzverletzung & Automatisation

  1. Immer wieder spannend zu lesen, wenn Du Deine Gedanken zu Themen notierst.
    Ich bin völlig bei Dir. Die DSGVO macht uns allen (egal ob Verbraucher oder Dienstleister) das Leben nicht leichter. Insofern sollten wir zusammenhalten und den anderen bei einfachen Fehlern (die gehören zum Leben dazu, nein, sie sind Leben) nicht auch noch Stress verursachen. Der Fehler und die Behebung in der heutigen komplexen Zeit ist wahrlich anstrengend und aufwendig genug. Dazu noch Verteidigungslinien aufbauen zu müssen kostet unnötig Kraft und Zeit, die für das eigentliche Business fehlen.
    Es lohnt sich aus meiner Sicht, wenn sich jeder von uns wieder auf sein Können fokusssiert und mit seiner Leistungsfähigkeit punktet. Die Schwäche oder den Fehler eines anderen zu nutzen, scheint mir nicht dauerhaft zielführend. Immer Miteinander werden wir gemeinsam erfolgreich sein.

  2. Vielen Dank für den guten Beitrag!
    Wir kontrollieren unsere automatisiert zugegangenen Dokumente alle. Es sind ab und zu auch Fehler in den Policen oder Nachträgen seitens der VU. Und auch wir beantragen schon mal etwas nicht ganz korrekt, weil wir evtl. etwas falsch verstanden haben oder einfach eine Fehleigabe der Grund war. Fehler gehören dazu.

    Wir melden immer, wenn wir etwas finden. Und wir haben die Erfahrung gemacht, dass es immer gut ankommt, wenn wir dabei zu den Kunden ehrlich sind und das Gespräch suchen. Denn sie sind ja letztlich die Betroffenen.

  3. Vielen Dank für die Betrachtungsweise.
    Wir sollten endlich damit aufhören über Fehler öffentlich zu meckern. Ich denke wir sind eine Gemeinschaft uns sollte vermehrt dazu übergehen auch mal Dinge intern zu regeln, noch besser zu lösen, nur so kommen wir auf lange Sicht weiter.
    Wir sollten einfach mal akzeptieren, dass nicht alles sofort funktioniert und nicht immer einen benennen wo es angeblich besser läuft.
    Selbstverständlich sollten wir da kritisieren wo es angebracht ist, dann aber bitte an der richtigen Stelle und nicht auf irgendwelchen Plattformen.
    Ich glaube das keiner von den Beteiligten gerne Fehler macht, produziert oder erklären will, um so beachtlicher ist es, wenn man diese dann so offen anspricht.
    Geben wir uns doch gemeinsam die Zeit welche nötig ist um in Zunft solche Prozesse zu verbessern.

Komentar verfassen

Die E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.