Versicherungsbetriebe > Strategie

07.12.2017 von Herbert Loerch, General Manager EMEA bei Hyland

Versicherer und DSGVO: Technologische Detailtiefe ist entscheidend

Eigentlich ist die Finanzindustrie bei den Vorbereitungen hinsichtlich Datenschutz-Grundverordnung (DSGVO) in der Regel weiter als andere Unternehmen – eigentlich. Mit Blick auf die Branchen-Besonderheiten zeigt sich jedoch, dass es auch in dieser Branche mehr als genug zu tun gibt, wie die Consultants von EY (Ernst & Young) herausgefunden haben. 

Herbert Loerch, General Manager EMEA bei Hyland

So geben beispielsweise 43 Prozent der in einer Studie von EY befragten Unternehmen an, dass sie Bank- und Finanzdienstleistungen anbieten, 40 Prozent davon verarbeiten Versichertendaten.(1) Eine Betriebskrankenkasse etwa erfordert, dass sich der Datenschutz mit der Verarbeitung von Gesundheitsdaten einerseits und den besonders geschützten Personenversichertendaten andererseits auseinandersetzt. Hier existieren also gleich zwei unterschiedliche Fronten, die auch bei jeder anderen Versicherung bedacht werden sollten. Oder man denke an den mehr als alltäglichen Versicherungsfall des Auffahrunfalls: Wie lange darf die Assekuranz diese Daten künftig speichern, muss sie diese irgendwann selbsttätig löschen oder greifen hier Möglichkeiten der Anonymisierung und Pseudonymisierung?

 

Kurz gesagt: Die Versicherungsbetriebe sollten zu jeder Zeit alle Details im Blick behalten. Sie müssen demnach künftig in Windeseile selbst aus Big Data die entsprechenden Daten einwandfrei identifizieren können und dürfen dabei keine Restanten übriglassen. Dies betrifft vor allem das durch die DGSVO erwirkte Recht auf Vergessenwerden des Versicherungsnehmers.


Um diesen klaren Blick zu bekommen, lohnt ein Blick in andere Branchen. Etwa in die Logistik. Revolutionär war hier seinerzeit die Einführung der dynamischen Lagerhaltung, auch als „Chaos-Lager“ bekannt. Paletten erscheinen dort auf den ersten Blick wild gemixt. Der Rasenmäher teilt sich friedlich seinen Platz mit Hundefutter und Parfum. Produkte haben keinen festen Lagerplatz, sondern werden auf beliebigen, gerade nicht belegten Stellen abgelegt. Und exakt dieses Prinzip ist es, das der Versicherungsbranche auch bei der Bewältigung der DSGVO in ihrem Information-Management weiterhilft: Es ist völlig gleichgültig, wo Daten im Unternehmen gespeichert sind. Einzig und allein dem „Wie“ kommt in diesem Kontext eine besondere Rolle zu, selbst wenn es so genanntes Big Data ist. Es braucht schlicht und einfach eine zentrale und verlässliche Instanz. Das Information-Management muss diese zentrale Drehscheibe im „Datenlager“ bilden. Die technologischen Voraussetzungen dafür lassen sich klar umreißen: Zentrale Instanz meint, dass sich über eine Information Management Platform jedwede Art von personenbezogener Datei identifizieren lässt. Dies gelingt durch die Markierung aller relevanten Inhalte mit den zugehörigen Metadaten. Diese Informationen können dann mit dem Dokument gespeichert und dynamisch mit allen zugehörigen Inhalten verlinkt werden. Somit lassen sich schnell und komfortabel alle Informationen für einen bestimmten Kunden, Fall, Vorfall oder Antrag finden. Alles ist eindeutig identifizierbar.



Eine zweite wichtige Voraussetzung für die DSGVO ist die lückenlos nachvollziehbare Historie einer Datei. So besagen die Datenschutz-Verfügungen in der DSGVO beispielsweise, dass eine natürliche Person das Recht hat, ihre Daten löschen zu lassen – es handelt sich hierbei um das bereits angesprochene Recht auf Vergessenwerden. Ein qualifizierter Records-Management-Prozess ermöglicht dies durch ein automatisiertes Verfahren, das einen eindeutigen Lebenszyklus definiert – von der Erstellung des Dokuments, der Deklaration als Record (Aufzeichnung) bis hin zum endgültigen Löschen. Derart können Versicherer die Aufbewahrungsdauer entsprechend behördlicher Auflagen bestimmen oder automatisch eine Datei aufgrund eines bestimmten Ereignisses oder einer bestimmten Anfrage löschen.



Auf diese Weise sind also wesentliche Maßgaben der DSGVO sichergestellt: Dokumente können nicht nur eindeutig identifiziert und lokalisiert werden, auch ihr „Lebenslauf“ ist dank des Informationsmanagements einwandfrei nachvollziehbar. In diesem Konzept fehlt nun nur noch ein letzter Sicherheitsaspekt: So verlangt die DSGVO angemessene Maßnahmen zum Schutz von sensiblen und personenbezogenen Daten. Im Mittelpunkt steht hier beim Information-Management eine adäquate Verschlüsselung, so dass kritische Informationen wie personenbezogene Daten und Dokumente, in jeder Phase (Speicherung, Übertragung zwischen Servern, Verarbeitung) maximal geschützt sind. Integrierte Funktionen, wie strikte Kennwort-Richtlinien und eine detaillierte Rechteverwaltung bieten darüber hinaus Kontrolle darüber, wer genau Zugang zu Informationen hat und wozu diese verwendet werden dürfen.

Fazit:

Der DSGVO korrekt zu entsprechen, ist kein Hexenwerk, sondern ein Fall für das Information-Management. Dies muss jedoch lückenlos und sicher sein. Zudem muss es den Charakter der zentralen Distanz haben, die alle relevanten Dateien „kennt“ und ebenso Kenntnis sämtlicher Lebenszyklus-Phasen jedes einzelnen Dokumentes hat. Dann sind auch Versicherungsunternehmen auf der sicheren Seite.

(1) Bereit für die EU-Datenschutzgrundverordnung? Studie zum Reifegrad von Datenschutzmanagementsystemen in Unternehmen.
(http://www.ey.com/Publication/vwLUAssets/ey-bereit-fuer-die-eu-datenschutzgrundverordnung/$FILE/ey-bereit-fuer-die-eu-datenschutzgrundverordnung.pdf)