
English: 
Well, thanks a lot for your friendly introduction.
It is my great honour to be here as
part of the programme of ICA.
I'm very proud to be here and to talk to you about Actuarial Data Science
in context of Data Protection Regulation.
You may know me: I'm Stefan Nörtemann
and I'm chair of the new section of Actuarial Data Science of the DAV.
Let's come to our agenda.
During the next half an hour,
I want to talk about Data Protection
and the European Union in context of Actuarial Data Science Applications.
Let's start!
Let me quickly introduce
the topics we will be talking about.

German: 
Vielen Dank für Ihre freundlichen Worte.
Es ist mir eine große Ehre, heute Teil des
ICA-Programms zu sein. Ich bin stolz, hier mit Ihnen über
Datenschutz und Data Science
in der Versicherung zu sprechen.
Vielleicht kennen Sie mich bereits:
Mein Name ist Stefan Nörtemann
und ich bin Vorsitzender der neuen
DAV-Fachgruppe „Actuarial Data Science“.
Kommen wir zur Tagesordnung.
In der nächsten halben Stunde
möchte ich darüber sprechen, wie Datenschutz und die
Europäische Union bei der Anwendung von Data Science
in der Versicherung zusammenspielen.
Lassen Sie uns beginnen!
Zuerst stelle ich die Themen vor,
über die wir sprechen werden.

German: 
Wir leben in Zeiten
schneller technologischer Prozesse.
Und wir erleben, glaube ich, derzeit eine
Renaissance der künstlichen Intelligenz.
Die zentralen Treiber sind Big Player wie
Google, Facebook, Apple und so weiter.
Heutzutage ist es kein Problem,
neuronale Netze mit zweihundert
oder dreihundert verborgenen Schichten
zu trainieren.
Der Grund dafür ist, dass wir Cloud Computing
und sehr spezielle Software haben.
Und AlphaGo – vielleicht kennen Sie dieses Programm –
ist ein erstaunliches Beispiel für die
Leistungsfähigkeit des maschinellen Lernens.
Nun, AlphaGo gehört eigentlich der Vergangenheit an –
der neue Trend heißt „AlphaGo Zero“.
Wir leben in einer Renaissance
der künstlichen Intelligenz.
Und die Versicherungsbranche ist von all dem
in hohem Maße betroffen, denn wir setzen

English: 
We are living in times of fast technological processes.
And we are currently experiencing
a renaissance of artificial intelligence, I think.
The central drivers are big players like Google, Facebook, Apple and so on.
Nowadays, it is no problem
to train neural networks with
two hundred or three hundred
hidden layers.
The reason is that we have cloud computing
and very special software.
And AlphaGo - you may know AlphaGo -
is an amazing example of
the power of machine learning.
Well, AlphaGo is actually a thing of the past -
AlphaGo Zero is the new trend.
We are living in a renaissance of artificial intelligence.
And the insurance industry is
to a great extent affected by all of this,

German: 
Data-Mining-Algorithmen, künstliche Intelligenz,
maschinelles Lernen und andere Technologien ein,
um die Daten unserer Kunden zu analysieren.
Wir setzen teilweise sogar Predictive Marketing
oder analytische Preisfindung ein.
Aber dass wir die Vorteile des maschinellen Lernens
nutzen, bringt auch Pflichten mit sich.
Darüber hinaus sehen wir, wie neue Produkte
Trends auf dem Markt setzen.
Zum Beispiel: mehr individuelle Produkte
zu schaffen und dabei sowohl auf die Zeit als auch
das Verhalten der Kunden einzugehen.
Beispiele sind: Pay-as-you-drive, Telematikprodukte
oder Pay-as-you-live-Produkte.
Wir sind also wirklich von den Veränderungen
im Datenschutz betroffen.

English: 
because we are using data mining algorithms,
articifial intelligence, machine learning and
differerent techniques to analyse
our customers' data.
We may even perform predictive marketing
or analytic pricing.
But using the benefits of machine learning
also means we have various obligations.
In addition, we see new trending
products on the market.
For example: creating more individual products while
respecting the time as well as the
behaviour of the customers.
Examples are: Pay-as-you-drive, telematics products or pay-as-you-live products.
So we really are affected by changes in data protection.

German: 
Ein paar Sätze über unsere Motivation:
Wir sind Aktuare, deshalb beschäftigen wir uns
natürlich mit diesen Themen und
eben auch mit Datenschutz.
Aber was ist "Datenschutz"?
Datenschutz bedeutet, die Datenverarbeitung
vor Missbrauch zu schützen und das Recht
auf informationelle Selbstbestimmung zu wahren.
Im Zusammenhang mit Digitalisierung und
künstlicher Intelligenz gewinnt der Datenschutz immer
mehr an Bedeutung – leider nicht überall auf der Welt.
Doch konzentrieren wir uns nun
auf die Europäische Union.
Die Europäische Union ist ein Sonderfall,
denn bis letzten Monat hatten wir
zwei Richtlinien zum Datenschutz:
Richtlinie 95 definierte einen Mindeststandard –
'95' deutet auf das Jahr ihrer Gründung 1995 hin.
Sie definiert also einen Mindeststandard

English: 
Regarding our motivation: We are actuaries,
so we naturally deal with these topics
and are also concerned with data protection.
But what is "data protection"?
"Data protection" is protecting data processing from being abused and
protecting the right to informational self-determination.
In context of digitalisation and artificial intelligence,
data protection is gaining more importance
- unfortunately, not everywhere in the world.
But now, let's focus on the European Union.
The European Union is a special case,
because until last month, we have had two
directives with regard to data protection:
Directive 95 defined a minimum standard -
'95' hints to the year of its establishment in 1995.

German: 
für Datenschutz und verbietet generell
die Verarbeitung sensibler, personenbezogener Daten.
Diese Richtlinie trifft jedoch nicht zu,
wenn Sie eine ausdrückliche Zustimmung
der betroffenen Person haben oder wenn Sie
"wichtige Gründe" haben.
Was "wichtige Gründe" sind,
werde ich etwas später erläutern.
Die Richtlinie ist zuerst allgemein und muss
anschließend in nationales Recht umgesetzt werden.
Darüber hinaus haben wir eine zweite Richtlinie,
für die elektronische Kommunikation,
nämlich einen Anhang aus dem Jahr 2002.
Und weil alle Richtlinien in nationales Recht
umgesetzt werden müssen, hatten die
verschiedenen Staaten der Europäischen Union
den Datenschutz auch unterschiedlich reguliert.
Mit anderen Worten: Die Richtlinie wurde unterschiedlich
umgesetzt und auch die Begriffsdefinition von
z.B. „Privatsphäre“ unterschied sich je nach Land.

English: 
So, it defines a minimum standard for data protection and generally prohibits processing of sensitive, personal data.
This directive is not applicable, though, if you have an
explicit approval of the concerned person
or if you have "important reasons".
I will explain what "important reasons" are
a little later.
This directive, however, has to be transposed into national law.
Apart from that, we have a second directive, an appendix from 2002, for electronic communication.
And because directives have to be
transposed into national law,
we have had different regulation schemes in
different states of the European Union.
In other words: We have an inhomogenity of implementation and privacy arbitrage, for example.

German: 
Letzten Monat, vor zwei Wochen also,
hat sich diese Situation dann geändert.
Wir haben jetzt eine sogenannte Datenschutz-
Grundverordnung in der Europäischen Union.
Sie ist vor zwei Wochen umgesetzt worden
und ist sehr interessant, wie ich finde.
Die Datenschutz-Grundverordnung soll die alten
Richtlinien ersetzen und legt einen allgemeinen,
EU-weiten Rahmen fest – sie muss also nicht erst
in nationales Recht umgesetzt werden.
Seit dem 25. Mai letzten Monats regelt sie den
Datenschutz in der gesamten Europäischen Union.
Dass sie nicht mehr in nationales Recht umgesetzt
werden muss, wird zu einheitlichem Datenschutz
in allen Ländern der Europäischen Union führen.

English: 
Last month, so two weeks ago,
the situation changed.
We now have a so-called General Data Protection Regulation in the European Union.
It has been implemented two weeks ago
and it is very interesting, I think.
The General Data Protection Regulation is
supposed to replace the old directives and
it sets out a general, EU-wide framework -
so there's no need to transpose it into national law.
Since last month, the 25th of May, it regaulates data protection in the whole European Union.
Because there is no more need to
transpose it into national law,
it will lead to standardised data protection across
all countries in the European Union.

English: 
That means we will no longer have data protection islands in the European Union.
So, let's have a closer look at the regulation.
Since I have no more than half an hour for my presentation, I can only give you the keypoints.
First of all, the territorial scope.
Unsurprisingly, the General Data Protection Regulation is applicable if you are processing data in the European Union.
If you are doing business in the European Union,
you have to abide by the law of the General Data Protection Regulation.
This also applies if people living here, in the European Union, are affected by your activities.
For example: If you are Facebook USA and you have clients in Germany - I believe, there are currently
more than 20 million - then you, too, have to comply with the General Data Protection Regulation.
The reason for that is that the concerned persons are living here, in the European Union.

German: 
Das heißt, wir werden keine Datenschutzinseln mehr
in der Europäischen Union haben.
Schauen wir uns diese Verordnung einmal näher an.
Da ich für meine Präsentation nicht mehr
als eine halbe Stunde Zeit habe, kann ich
Ihnen nur die wichtigsten Punkte nennen.
Zunächst einmal der geografische Anwendungsbereich.
Die Datenschutz-Grundverordnung ist dann anzuwenden,
wenn Sie Daten in der Europäischen Union verarbeiten.
Wenn Sie in der Europäischen Union
geschäftlich tätig sind, müssen Sie sich an das Recht
der Datenschutz-Grundverordnung halten.
Dies gilt auch, sobald Menschen, die hier,
in der Europäischen Union, leben,
von Ihren Aktivitäten betroffen sind.
Zum Beispiel: Wenn Sie Facebook USA sind und Sie
Kunden in Deutschland haben – ich glaube, es sind
derzeit mehr als 20 Millionen –, dann müssen auch
Sie die Datenschutz-Grundverordnung einhalten.
Der Grund dafür ist, dass die Betroffenen hier,
in der Europäischen Union, leben.

German: 
Gemäß der Datenschutz-Grundverordnung
müssen Sie mehrere Grundsätze beachten,
wenn Sie mit Data Mining oder der Verarbeitung
personenbezogener Daten zu tun haben.
Diese sind: Rechtmäßigkeit, Fairness, Zweckbindung,
Transparenz, Genauigkeit und Speicherbegrenzung,
um nur einige zu nennen. Das sind die Grundsätze,
die Sie berücksichtigen müssen, wenn Sie mit
persönlichen Daten arbeiten.
So definiert Artikel 6 die Rechtmäßigkeit der Verarbeitung.
Und die Verarbeitung personenbezogener Daten
ist nur dann erlaubt, wenn Sie die Einwilligung
der betroffenen Person haben, d.h. der Person,
deren Daten Sie verwenden wollen.

English: 
In accordance with the General Data Protection Regulation, you have to take into account several
principles if you have anything to do with data mining
or processing of personal data.
There is: lawfulness, fairness, purpose limitation, transparency, accuracy and storage limitation,
to name a few.
These are the principles you have to take into account
if you are working with personal data.
So, article 6 defines the lawfulness of processing.
And the processing of personal data is only allowed
if you have the consent of the data subject,
that is: the concerned person whose data
you want to use. And remember:

English: 
A few slides ago, we mentioned the so-called "important reasons". I have listed them here for you.
One important reasons is:
You have a contract with the data subject
and you need the data to perform the contract. Another one is: You have a legal obligation to process the data.
Yet another possibility: You have to protect vital interests of the data subject.
There are several reasons why you would be allowed to use personal data of the data subject.
The data subjects now also have extended rights.
That is indeed new.
Each person has several rights, for example: the right to restrict processing.
'Restriction of processing' means that you as an insurance company may only use

German: 
Und denken Sie daran: Vor einigen Folien haben wir
die sogenannten "wichtigen Gründe" erwähnt.
Ich habe sie hier für Sie aufgelistet. Ein wichtiger
Grund ist: Sie haben einen Vertrag mit der
betroffenen Person und Sie benötigen die Daten,
um den Vertrag zu erfüllen. Ein weiterer Grund ist:
Sie sind gesetzlich dazu verpflichtet,
die Daten zu verarbeiten.
Noch eine Möglichkeit: Sie müssen lebenswichtige
Interessen der betroffenen Person schützen.
Es gibt mehrere Gründe, warum Sie die personenbezogenen
Daten der betroffenen Person verwenden dürfen.
Die betroffenen Personen haben nun auch
erweiterte Rechte. Das ist in der Tat neu.
Jede Person hat mehrere Rechte, zum Beispiel:
das Recht, die Verarbeitung einzuschränken.
„Recht auf Einschränkung der Verarbeitung " bedeutet,
dass Sie als Versicherungsunternehmen nur die Daten
verwenden dürfen, die Sie für die Vertragserfüllung

German: 
wirklich benötigen – irgendwelche anderen Daten
zu erheben, ist gesetzeswidrig!
Abgesehen davon hat jede betroffene Person
das " Recht auf Vergessenwerden", was bedeutet:
Sie müssen Daten, die Sie nicht zur Bearbeitung
benötigen, löschen usw.
Ich habe die Rechte der betroffenen Personen
und alle Details hier aufgelistet, damit Sie das
heute Nachmittag auf Ihrem Heimweg lesen können.
Was ebenfalls neu ist: Verstöße.
Bei der alten Datenverordnung – und "alt" bedeutet hier:
„vor etwa zwei Wochen“ –, da gab es keine Verstöße.
Sie konnten tun, was Sie wollten, ohne entgegen
einer Verordnung zu handeln.
Es versteht sich von selbst,
dass wir durchaus Prinzipien hatten.
Doch jetzt werden Sie zur Rechnung gezogen, wenn
Sie die Rechte einer betroffenen Person verletzen.

English: 
the data you really need to fulfill the contract
- collecting any other data is against the law!
Apart from that, every data subject has the 'right to be forgotten', which means:
You have to delete data you don't need for processing, and so on.
I listed the subject data's rights and all the details here for you to read on your way home this afternoon.
What is also new: infringements.
With the old data regulation - and 'old' means about two weeks ago - there were no infringements.
You could do whatever you wanted to without acting against any regulation. It goes without saying that
we have had principles. But now you will have to suffer infringements if you violate any data subject's rights.

English: 
Several penalties are foreseen. You have to pay as much as 20 million EUR for one (!) data protection violation.
In addition, you have to compensate
for material and immaterial damage.
And you may lose reputation.
So, this is new.
There are several other penalties that might be imposed.
Let's have a look at the impact on the insurance industry and business cases in context of Actuarial Data Science.
I am a lecturer at the German Actuarial Academy for Computer Science and Actuarial Data Science.

German: 
Dafür sind mehrere Strafen vorgesehen. Für eine (!)
Datenschutzverletzung müssen Sie bis zu
20 Millionen Euro zahlen. Darüber hinaus
müssen Sie materielle und immaterielle
Schäden entschädigen. Und Sie können
Ihren Ruf verlieren. Das ist also neu.
Es gibt noch andere Strafen,
die verhängt werden können.
Werfen wir einen Blick auf die Auswirkungen
auf die Versicherungswirtschaft und auf
Geschäftsfälle im Zusammenhang mit
Actuarial Data Science.
Ich bin Dozent für Computer Science und Actuarial
Data Science an der Deutschen Aktuar Akademie.

English: 
In our seminars, we brainstormed business cases which depend on data science, machine learning or artificial intelligence.
This here is only one example depicting several business cases for actuaries in context of data science.
There are more; this is just a selection. But it's one example of our brainstormings showing
what you can do - today or in the future -
with the data of data subjects.
And I have chosen for you two business cases to analyse the impact of data protection
in context of these business cases.
Let's have a look at a concrete case example.
Case example no. 1: Predictive marketing.
What is "predictive marketing"?
Predictive marketing is when you have a look at the data in your system and you want to find correlations to

German: 
In unseren Seminaren haben wir zu Geschäftsfällen
gebrainstormt, die auf Data Science, maschinelles Lernen
oder künstliche Intelligenz angewiesen sind.
Dies hier ist nur ein Beispiel, das mehrere Geschäftsfälle
für Aktuare im Zusammenhang mit Data Science darstellt.
Es gibt noch mehr; dies ist nur eine Auswahl, die zeigen soll,
was Sie – heute oder in Zukunft – mit den Daten
der betroffenen Personen tun können.
Und ich habe für Sie zwei Geschäftsfälle ausgewählt,
um die Auswirkungen des Datenschutzes
im Zusammenhang mit diesen
Geschäftsfällen zu analysieren.
Schauen wir uns ein konkretes Fallbeispiel an.
Fallbeispiel Nr. 1: Predictive Marketing.
Was ist "Predictive Marketing"?
Predictive Marketing ist, wenn Sie einen Blick
auf die Daten in Ihrem System werfen und
Korrelationen zu anderen Kunden finden wollen,

English: 
other clients to determine a targeted sales approach
for this specific client.
We all know this from Amazon. Browsing Amazon, you will get information that other clients, for example,
have bought the same article that you just bought.
And to analyse the impact of data protection,
we have here four exemplary levels of information
about our customers.
On the first level, we use only the customer information drawn from existing contracts.
On At the second level, we use additional
external, public information.the second level, we use additional
external, public information about our customers.
On the third level, we include social media data on top
and on the fourth level, we additionally take into account the online behaviour of the customer.
It's a long shot, but it's technically possible.

German: 
um diesen einen spezifischen Kunden
zu Verkaufszwecken gezielt anzusprechen.
Wir alle kennen das von Amazon. Wenn Sie auf
Amazon stöbern, wird Ihnen Informationen angezeigt,
dass z.B. andere Kunden denselben Artikel gekauft haben,
den Sie gerade kauften. Und um die Auswirkungen
des Datenschutzes zu analysieren, habe ich
Kundeninformationen in vier Ebenen eingeteilt.
Auf der ersten Ebene verwenden wir nur
Kundeninformationen aus bestehenden Verträgen.
Auf der zweiten Ebene verwenden wir zusätzlich externe,
öffentliche Informationen über unsere Kunden.
Auf der dritten Ebene beziehen wir
darüber hinaus Social-Media-Daten ein,
und auf der vierten Ebene berücksichtigen wir
zusätzlich zum Vorherigen das Online-Verhalten
des Kunden. Das ist zwar nur fiktiv,
aber technisch möglich.

German: 
Im nächsten Schritt verwenden Sie Ihr
Machine-Learning-Tool, um die Informationen
Ihrer Kunden zu analysieren. Zum Beispiel:
Unüberwachtes maschinelles Lernen für das Clustering
oder künstliche neuronale Netze. Auf diese Weise
erhalten Sie Informationen über die Zusammenhänge
des Kundenverhaltens. Lassen Sie mich Ihnen
ein fiktives Beispiel geben: Das ist Mister X.
Mister X ist 50 Jahre alt. Er ist seit zehn Jahren
Kunde Ihrer Versicherungsgesellschaft.
Er hat eine Risikoversicherung mit einer
Versicherungssumme von 50.000 EUR im Todesfall.
Auf Stufe 1 wollen wir nur die Kundeninformationen
verwenden, die wir bereits in unserem System haben.
Wir geben diese Daten in unser Machine-Learning-Tool ein,
und es wird uns die Korrelation liefern,

English: 
In the next step, you use your machine learning tool to analyse the information of your customers.
For example: unsupervised machine learning for clustering or artificial neural netwoks.
Like this, you can get information about the
correlations of customer behaviour.
Let me give you a fictive example: This is Mister X.
Mister X is 50 years old. He's been a client of your insurance company for ten years.
He has a risk insurance with an insured sum of 50,000 EUR in case of death.
And on level 1, we only want to use the customer information that we are already have in our system.
We enter this data into our machine learning tool and it will give us the correlation

English: 
that 67% of 50-year-old clients with risk insurance have an additional disability insurance.
That's the information our machine learning tool gives us.
Now we want to make Mister X a special offer
regarding this specific disability insurance.
Is it legal or is it not? We will see.
On level 2, we use additional public information about Mister X. Mister X is an actuary.
He's about 50 years and he's earning probably more than 100,000 EUR per year. That's a very high sum.
We don't know this from Mister X. We know it from the DAV income survey. Let's have a look at the income survey:
Actuary, 50 years old, income about 100,000 EUR... This is not true! I know Mister X. He earns less.
But the income survey gives us the information
that his income is this much.

German: 
dass 67% der 50-jährigen Kunden mit Risikoversicherung
zusätzlich eine Invaliditätsversicherung haben.
Das ist die Information, die uns unser
Machine-Learning-Tool uns liefert.
Jetzt wollen wir Mister X ein Sonderangebot
für genau diese Invaliditätsversicherung machen.
Ist das legal oder illegal?
Das werden wir sehen.
Auf Stufe 2 verwenden wir zusätzliche
öffentliche Informationen über Mister X.
Mister X ist Aktuar. Er ist etwa 50 Jahre alt und
verdient wahrscheinlich mehr als 100.000 EUR pro Jahr.
Das ist eine sehr hohe Summe.
Wir wissen das jedoch nicht von Mister X.
Diese Information haben wir nämlich der
DAV-Einkommenserhebung entnommen.
Werfen wir einen Blick auf diese Einkommenserhebung:
Versicherungsmathematiker, 50 Jahre alt,
Einkommen ca. 100.000 EUR... Doch das ist nicht
wahr! Ich kenne Herrn X und er verdient weniger.
Aber laut der Einkommenserhebung
ist sein Einkommen in etwa so hoch.

English: 
And our machine learning tool gives us the information that 88% of comparable clients have a much higher sum insured.
50,000 EUR is not much and certainly less than 250,000 EUR.
The question is: Is it legal to give Mister X a special offer based on the information of the DAV income survey?
We will see.
On the third level, we additionally use social media data from Mister X.
Mister X is a father of two little children and
he likes parachute jumping.
I learned this from his Facebook account, his
LinkedIn account or some other profile.
This is public information. Public social media data.
And 57% of comparable clients have an
additional compensation insurance.
A compensation insurance might be
a good idea in this case.
The question is: Is it legal to give a custom offer, especially for Mister X and

German: 
Unser Machine-Learning-Tool verrät uns außerdem,
dass 88% von vergleichbaren Kunden
eine viel höhere Versicherungssumme haben. 50.000 EUR
ist nicht viel und sicherlich weniger als 250.000 EUR.
Die Frage ist: Ist es legal, Herrn X auf Grundlage
der Informationen aus der DAV-Einkommenserhebung
ein Sonderangebot zu machen?
Wir werden sehen.
Auf der dritten Ebene nutzen wir zusätzlich
Social-Media-Daten von Mister X.
Mister X ist Vater von zwei kleinen Kindern
und springt gerne Fallschirm.
Ich habe dies auf seinem Facebook-Konto, seinem
LinkedIn-Konto oder einem anderen Profil erfahren.
Dies sind öffentliche Informationen.
Öffentliche Social-Media-Daten.
Und 57% von vergleichbaren Kunden haben
Zusätzlich eine Unfallversicherung.
Eine Unfallversicherung könnte in diesem Fall
eine gute Idee sein.
Die Frage ist: Ist es hinsichtlich der Datenschutz-
Grundverordnung legal, ein individuelles Angebot,

English: 
based on the information of his Facebook account, in context of general data protection?
On the fourth level, we take a look at the Internet behaviour of Mister X. And Mister X's favourite page
is Porsche - Porsche is a big sportscar manufacturer
in Germany. You might know it.
He's dreaming of a Porsche 911
which is a very sophisticated sportscar.
It costs about 100,000 EUR and we know
he's currently dreaming of it.
And 77% of comparable clients that are dreaming of buying a Porsche 911 have concluded
an additional dread disease insurance.
I don't know why, but this is the information
our machine learning tool has given us. And I want to make him a special offer along the lines of:
If you purchase a Porsche 911, you will get a
dread disease insurance on top.
The question is: Is that legal?
Let's have a look at level 1.

German: 
speziell für Herrn X und basierend auf Informationen
aus seinem Facebook-Konto, abzugeben?
Auf der vierten Ebene werfen wir einen Blick auf das
Internet-Verhalten von Mister X.
Tja, die Lieblingsseite von Mister X ist Porsche –
Porsche ist ein großer Sportwagenhersteller in Deutschland.
Vielleicht kennen Sie die Marke. Er träumt nun von einem
Porsche 911, einem sehr hochwertigen Sportwagen.
Dieser kostet etwa 100.000 EUR und wir wissen,
dass das Mister Xs Traum ist.
Und 77% von vergleichbaren Kunden,
die vom Kauf eines Porsche 911 träumen,
haben zusätzlich eine Dread-Disease-
Versicherung abgeschlossen.
Ich weiß nicht warum, aber das ist die Information,
die unser Machine-Learning-Tool ausgegeben hat.
Und ich möchte ihm ein Sonderangebot im Sinne von
„Wenn Sie einen Porsche 911 kaufen, erhalten Sie
von uns eine Dread-Disease-Versicherung.“ machen.
Die Frage ist: Ist das legal?
Werfen wir einen Blick auf Ebene 1.

English: 
Level 1: Using the information you already have from your customer.
And it's only legal if the client explicitly approved of receiving special offers.
In other words: If he signed an explicit approval that you may use the information
you already have about your customer to give him special offers.
If you have a signature, his explicit approval,
you can do this.
You can make him a special offer for his insurance portfolio based on level 1 information.
What about level 2, 3 and 4?
No. Sorry. You may not do this.
You have no reason to claim an exception due to article 6. You remember? Article 6, "important reasons".
These here are not "important reasons".
And you also have to respect the purpose limitation.

German: 
Ebene 1: Informationen über ihren Kunden verwenden,
die Sie bereits haben.
Und das ist nur dann legal, wenn der Kunde dem Erhalt
von Sonderangeboten ausdrücklich zugestimmt hat.
Mit anderen Worten: Wenn er ausdrücklich
zugestimmt und unterschrieben hat, dass Sie
Informationen über Ihren Kunden, die Sie bereits besitzen,
verwenden dürfen, um ihm Sonderangebote zu machen.
Wenn Sie eine Unterschrift haben, seine ausdrückliche
Zustimmung, dann können Sie das tun.
Sie können ihm auf der Grundlage von Informationen aus
Ebene 1 ein Sonderangebot für eine Versicherung machen.
Was ist mit Ebene 2, 3 und 4?
Nein. Tut mir leid. Das dürfen Sie nicht.
Sie haben keinen Grund, sich auf eine Ausnahme
auf Grundlage von Artikel 6 zu berufen.
Erinnern Sie sich daran? Artikel 6, "wichtige Gründe".
Das hier sind keine "wichtigen Gründe".

German: 
Sie müssen sich auch an die Zweckbindung halten.
Sie müssen Daten auf ein Minimum reduzieren.
Sie müssen Informationen über Ihre Kunden fair
und transparent verwenden. Das alles trifft hier nicht zu.
Und eins noch: Sie kennen das Einkommen von
Mister X nicht. Sie können es durch die DAV-
Einkommenserhebung lediglich schätzen. Und die
Einkommenserhebung wiederum verwendet ungefähre Werte.
Es ist nicht Mister Xs tatsächliches Einkommen.
Das müssen Sie also im Hinterkopf behalten:
Sie können nur Informationen, die Sie bereits
in Ihren Systemen haben, verwenden, um einem
Mister X ein individuelles Angebot zu machen.
Und jetzt: Predictive Marketing bei Amazon –
eine erstaunliche Sache für die Versicherungsbranche.
Die Datenschutz-Grundverordnung schränkt
unsere Rechte in gewisser Weise ein.
Und denken Sie an die Bußgelder: 20 Millionen Euro oder
vier Prozent des Vorjahresumsatzes – für jedes Mal, jeden

English: 
You have to minimise data. You have to use information about your clients fairly and in a transparent way.
It's all not valid here. Especially one thing:
You don't know Mister X's income.
You only have an idea because of the
DAV income survey.
And the income survey uses estimated values.
This is not Mister X's real income.
So, this is what you have to bear in mind: You can only use information you already have in your systems
in order to make a Mister X a custom offer.
So, predictive marketing at Amazon - an amazing story for the insurance industry.
The General Data Protection Regulation
restricts our rights in some way.
And remember the infringements: 20 million EUR or four percent of last year's earnings -

English: 
for every instance, every time one violates the regulation. So, this was the first example.
As to the business case "predictive marketing": Predictive marketing for insurers may be complicated.
There's one thing about article 9 of GDPR that is also new:
If the personal data are manifestly made public by the data subject - then you can use it.
That's the question: Is a Facebook or LinkedIn account "manifestly made public"? That depends.
We have a yellow traffic light here - sometimes it may be allowed to use Facebook data.
Let's have a look at the second example case:
pay-as-you-live.

German: 
Einzelfall, in dem man gegen die Verordnung verstoßen hat.
Dies war also das erste Beispiel.
Zum Thema "Predictive Marketing":
Predictive Marketing kann für Versicherer kompliziert sein.
Eines ist ebenfalls neu an Artikel 9 der DSGVO:
Wenn die betroffene Person selbst ihre
persönlichen Daten offensichtlich öffentlich macht –
dann können Sie sie verwenden.
Das ist hier die Frage: Ist ein Facebook-
oder LinkedIn-Konto "offensichtlich öffentlich"?
Das kommt darauf an. Hier ist die Ampel gelb – manchmal
kann es erlaubt sein, Daten aus Facebook zu verwenden.
Schauen wir uns den zweiten Beispielfall an: Pay-as-you-live.
Wir alle kennen Pay-as-you-drive- und Telematikprodukte.

German: 
Pay-as-you-live ist in Deutschland oder der EU
allerdings nicht allzu verbreitet.
Auch dieser Beispielsfall hat drei Ebenen.
Auf der ersten Ebene verwenden wir Fitness-Wearables.
Wir verwenden Fitness-Wearables, die Fitnessdaten
über die betroffene Person sammeln und
an unseren Kunden übermitteln.
Es gibt mehrere Anbieter auf dem Markt:
Fitbit, Nike+, Runtastic, und so weiter.
Oder vielleicht zählt Ihre Apple Watch
die Schritte, die Sie heute Morgen gegangen sind.
Auf der zweiten Ebene verwenden wir zusätzlich
medizinische Wearables, die medizinische Daten
sammeln und übertragen.
Beispiele sind: Puls, Blutdruck, Kalorienverbrauch
und so weiter. Es gibt mehrere Produkte auf dem Markt.
AliveCor und iBGStar zum Beispiel. Sie können sogar
Informationen in die Cloud übertragen.

English: 
We all know pay-as-you-drive and telematics products. But pay-as-you-live in Germany or the European Union
is maybe not too common.
Our example case also has three levels.
On the first level, we use fitness wearables.
We use fitness wearables which collect and transmit fitness data pertaining to the data subject; to our client.
There are several things on the market.
Fitbit, Nike+, Runtastic, things like that.
Or maybe your Apple Watch counts the steps you walked this morning.
On the second level, we use additonal medical wearables that collect and transmit medical data.
Examples are: pulse, blood pressure, calories burned and so on. There are several products at the market.
AliveCor and iBGStar, for instance.
You can even transmit information onto the cloud.

English: 
On the third level, we also use behavioural data pertaining to the insured person.
For example: Facebook likes, buying behaviour and so on. So these are three levels of collecting data.
And then, based on this data, we calculate price surcharges and reductions for a specific standard product.
Let me give you one example, a pay-as-you-live product: risk insurance, benefit only in case of death.
On level 1, we use fitness data with the fitness wearable and we make a special offer, for example:
A 10% rebate if targets are reached for x days last year. A target could be: 100 days of more than 1,000 steps.
Then we could give a 10% rebate.
And on level 2, additional medical data based on a medical wearable, we could further
offer a 20% rebate if exceed limits are
reached less than 10 times a year.

German: 
Auf der dritten Ebene verwenden wir darüber hinaus
Verhaltensdaten der versicherten Person. Zum Beispiel:
Facebook-Likes, Kaufverhalten und so weiter.
Dies sind also drei Ebenen der Datenerfassung.
Und dann berechnen wir auf der Grundlage dieser Daten
Preiszu- und -abschläge für ein bestimmtes Standardprodukt.
Lassen Sie mich Ihnen ein Beispiel nennen,
ein Pay-as-you-live-Produkt:
Risikoversicherung, Leistung nur im Todesfall.
Auf Ebene 1 verwenden wir Fitnessdaten
mit dem Fitness Wearable und wir erstellen
ein Sonderangebot, zum Beispiel:
Einen Rabatt von 10%, wenn die Ziele an x Tagen
im letzten Jahr erreicht wurden.
Ein Ziel könnte sein: 100 Tage mit je mehr als 1.000 Schritten.
Dann könnten wir einen Rabatt von 10% gewähren.
Und auf Ebene 2, zusätzliche medizinische Datennauf
Grundlage eines medizinischen Wearable, könnten wir
weiterhin einen Rabatt von 20% gewähren, wenn die
Grenzwerte weniger als 10 Mal pro Jahr überschritten werden.

German: 
Dies könnte sich zum Beispiel auf den
Blutzuckerspiegel beziehen.
Ist es in Ordnung, diese Informationen für ein
produktbezogenes Sonderangebot zu verwenden?
Ja, das ist erlaubt. Aufgrund von Artikel 6 (1)(b):
Die Verarbeitung ist für die Erfüllung des Vertrags
zwischen der Versicherungsgesellschaft und
der betroffenen Person erforderlich.
Der Kunde hat den Bedingungen dieses Produkts
vorerst zugestimmt. Er wird sein Fitness- oder
medizinisches Wearable verwenden, sodass es Ihnen
erlaubt ist, Produktangebote zu machen
und Rabatte auf Käufe zu gewähren.
Ein drittes Beispiel: Wir haben einen Kunden mit Diabetes.
So ein Fall ist normalerweise nicht versicherbar.
Sie erinnern sich: Leistung nur im Todesfall.
Es handelt sich also um einen Kunden,
dessen Diabetes normalerweise nicht versicherbar ist.

English: 
This could be applied to the blood sugar level or something like that.
Is it okay to use this information for a special product offer? Yes, it is. Because of article 6 (1)(b):
The processing is necessary for the performance of the contract between the insurance company and the data subject.
For the moment, the customer agreed to the terms of this product. He will use his fitness or medical wearable,
so you are allowed to make product offers and give rebates on purchases.
A third example: We have a client with diabetes.
That case is ormally not insurable.
You remember: Benefit only in case of death. So, it's a client whose diabetes is normally not insurable.

German: 
Aber mit einem speziellen medizinischen Wearable,
das regelmäßig den Blutzuckerspiegel misst,
können wir ihm ein Sonderangebot machen.
Wir könnten die Versicherung auf ein Jahr begrenzen
und den Blutzuckerspiegel im Laufe dieses Jahres täglich messen.
Wenn der Blutzuckerspiegel den Richtwert
weniger als 10 Mal überschreitet, können wir den Vertrag
um ein weiteres Jahr verlängern.
Auf diese Weise können wir eine Versicherungsleistung
im Todesfall für eine Person mit Diabetes gewähren.
Ist es in Ordnung, dies zu tun? Ja, vielleicht.
Das Problem ist: Es handelt sich hier um sehr sensible,
persönliche Daten, die medizinische
Auswirkungen haben können.

English: 
But, using a special medical wearable which regularly measures the blood sugar level, we can make him a special offer.
We could limit the insurance for one year and measure the blood sugar level every day over the course of this year.
If the blood sugar level exceeds the benchmark less than 10 times, we can renew the contract for one more year.
Like this, we can give an insurance benefit in case of death for a person with diabetes.
Is it okay to do this? Yes, maybe. The problem is: We have very sensitive personal data allowing for

English: 
a medical impact. The data subject's data risks being hacked and shared with anyone.
So, in this case we have special obligations
due to article 35 of GDPR:
We have to do a data protection impact assessment, because the data we want to use for our product are very sensitive.
There are several things to do for you: You have to analyse the effects in case of abused data,
if someone hacks the cloud,
and you have to inform the client.
So, you have several things to do
in the data protection impact assessment.
If you completed the data protection impact assessment, it is possible

German: 
Die Daten der betroffenen Person laufen Gefahr,
gehackt und mit jedermann geteilt zu werden.
In diesem Fall haben wir also besondere
Verpflichtungen aufgrund von Artikel 35 des GDPR:
Wir müssen eine Datenschutz-Folgenabschätzung
durchführen, weil die Daten, die wir für unser Produkt
verwenden wollen, sehr sensibel sind.
Es gibt mehrere Dinge, die Sie dann tun müssen:
Sie müssen die potenziellen Auswirkungen eines
Datenmissbrauchs analysieren
Wenn also jemand die Cloud hackt,
und Sie müssen den Kunden darüber informieren.
Sie haben also bei einer Datenschutz-Folgenabschätzung
allerlei Dinge zu erledigen.
Sobald Sie die Datenschutz-Folgenabschätzung
abgeschlossen haben, ist es möglich,

German: 
Produkte zu individualisieren und die Daten
der betroffenen Person zu verwenden.
Mein Vortrag neigt sich dem Ende zu.
30 Minuten reichen wirklich gerade aus, um einige
Grundzüge zu skizzieren und zwei prominente
Geschäftsfälle zu analysieren.
Ich hoffe, Sie haben verstanden, dass das Verwenden
von künstlicher Intelligenz oder Big Data zu mehreren
Konflikten führt. Big Data vs. Datenreduzierung und
Sparsamkeit im Umgang mit Daten;
das sind zwei Prinzipien der Verordnung.
Uns stehen so viele Daten zur Verfügung,
und doch sind wir verpflichtet, Daten zu reduzieren.
Insurance Analytics: Es gibt mehrere Erkenntnisse,
die wir aus der Datenanalyse mitnehmen können.
Es ist uns erlaubt, unsere Kunden zu analysieren,
doch gibt es dabei mehrere Verbotsprinzipien.

English: 
to customise the products and to
use the data subject's data.
My presentation draws to a close.
30 minutes are really just enough to sketch a few outlines and analyse two high-level business cases.
I hope you understood that there are several conflicts when using artificial intelligence or big data;
big data vs. data reduction and data economy, which are two principles of the regulation.
We have so many data, but we are also required
to reduce data.
Insurance analytics: There are several things we can learn from analysing data.
We are allowed to analyse our customers, but there are several prohibition principles.

German: 
Wir haben innovative Produkte, aber wir müssen
auch prüfen, ob sie das Recht auf informationelle
Selbstbestimmung beeinträchtigen.
Wir sind alle Aktuare – wir sind keine Juristen!
Es liegt an den Juristen, Details zu interpretieren.
Aber ich denke, wir als Aktuare müssen uns unserer
erstaunlichen Machine-Learning-Tools bewusst sein.
Ich hoffe, es ist mir gelungen, Datenschutzbestimmungen
im Kontekt von Actuarial Data Science kurz und knapp zu erklären.
Das ist nun das Ende meines Vortrags.
Wenn Sie Fragen haben, zögern Sie nicht, sie zu stellen.
Vielen Dank.
[Applaus]

English: 
We have innovative products, but we also have to check if they affect the right of informational self-determination.
We are all actuaries - we are not lawyers!
It's up to the lawyers to interpret the details.
But I think we as actuaries need to be conscious
of our amazing machine learning tools.
I hope I managed to explain data protection regulation in context of Actuarial Data Science in a nutshell.
This is the end of my presentation.
If you have any questions, don't hesitate to ask.
Thank you very much.
[Applause]
