Suche
  • Ein Fachblog zum Informieren und diskutieren
Suche Menü

Der Code of Conduct Datenschutz schafft eine neue Vertrauensbasis beim Kunden. Aber wie schaffen Sie die Einführung?

CoC

Informationssicherheit und Datenschutz genießen eine symbiotische Beziehung. Ohne eine funktionierende Informationssicherheit kann man Daten nicht schützen. Datenschutz, im Gegenzug, liefert der Informationssicherheitsabteilung gute Argumente für eine Investition in Informationssicherheit. Weder die Informationssicherheit noch der Datenschutz stellen einen Selbstzweck dar, sondern sie dienen dazu, Geschäftsprozesse aufrechtzuhalten, gesetzliche Anforderungen zu erfüllen und, vor allem, Kunden zufrieden zu stellen und ihr Vertrauen zu gewinnen. Wie man den Zeitungen entnehmen kann, werden Firmen, die unvorsichtig mit Kundendaten umgehen, an den Pranger gestellt und können sich auch mit hohen Straf- bzw. Entschädigungszahlungen konfrontiert sehen – der damit einhergehende Imageschaden lässt sich schlecht messen, ist aber ebenfalls immens.

Bei dem Code of Conduct Datenschutz handelt es sich um eine Konkretisierung der allgemeinen Vorgaben des Bundesdatenschutzgesetzes. Mit diesen umfassenden Datenschutz- und Datensicherheitskonzepten können die Versicherungsunternehmen einen hohen Standard an Schutz und Integrität von Kundendaten bewerkstelligen.

Die Versicherungswirtschaft war übrigens die erste Branche in Deutschland, die sich einer freiwilligen Verpflichtung im Datenschutz unterzogen hat. Inzwischen sind annähernd 300 Versicherungsunternehmen dem Code of Conduct beigetreten, was einem Marktanteil von weit über 90 Prozent entspricht.

Dennoch sind die Herausforderungen bei der Implementierung bzw. Umsetzung des Code of Conduct bei vielen Versicherern nicht wirklich klar umrissen, daher herrschen aktuell noch viele Unsicherheiten. In der Informationssicherheit wird im Allgemeinen von der Vertraulichkeit, Integrität und Zuverlässigkeit von Daten gesprochen, beim Datenschutz dagegen von Daten, die schützenswert sind. In der Informationssicherheit wird der Schutz von wertvollen Daten durch die Klassifizierung dargestellt und durch die Vergabe von Zugriffsrechten und die Verwendung von Verschlüsselungstechniken umgesetzt. Die erforderlichen Maßnahmen werden teilweise durch gesetzliche Anforderungen vorgegeben, lassen sich aber auch durch eine Kosten/Nutzen-Rechnung im Rahmen eines Risikomanagement-Programms ermitteln.

Die Herausforderung beginnt oft schon damit, dass viele Firmen gar nicht wissen, wo ihre schützenswerten Daten liegen. Hierzu kann der Datenschutz zunächst die Informationssicherheit erhöhen, indem ein Privacy Impact Assessment (PIA) durchgeführt wird. Das Ziel eines PIAs ist die Identifizierung von schützenswerten Daten, egal wo sie liegen (z.B. auf SharePoint, in Datenbanken, auf dem Schreibtisch usw.). Nachdem die Daten identifiziert wurden, sollten Datenschutz- und Informationssicherheitsbeauftragter gemeinsam überlegen, welche Klassifizierung (und damit verbunden auch, welche technischen Kontrollen) die Daten erhalten sollen und wie man den Compliance-Anforderungen gerecht werden kann.

Obwohl es durchaus wünschenswert ist, arbeiten der Datenschutz- und der Informationssicherheitsbeauftragte erfahrungsgemäß selten in derselben Abteilung. Nichtdestotrotz müssen sie sich regelmäßig austauschen, um ein gemeinsames Verständnis von Datenschutz zu schaffen und die Vertraulichkeit der Daten sicherzustellen.

Dies ist heute wichtiger denn je, denn auch die Versicherungswirtschaft ist durch zunehmende digitale Vernetzung aller Lebensbereiche immer mehr gezwungen, einen Nachweis über den sicheren Umgang mit vertraulichen Daten zu gewährleisten.

Eine weitere Schwierigkeit stellt der Zeitdruck zur Implementierung dar. Mit dem Beitritt zum Code of Conduct verpflichten sich die Versicherungsunternehmen, notwendige technische Änderungen an Datenverarbeitungsverfahren bei der zuständigen Aufsichtsbehörde im ersten Kalenderjahr nach dem Beitritt vorzulegen und im zweiten Kalenderjahr die Fertigstellung zu melden.

Auch das Thema „Löschen von Daten“ ist keineswegs trivial. Die Versicherungsunternehmen sollen mindestens einmal jährlich prüfen, ob gespeicherte personenbezogene Daten noch benötigt werden. Ist dies nicht der Fall, müssen diese Daten gelöscht werden. Dies kann u.a. einen größeren Anpassungsbedarf in den Prozessen und in der IT-Landschaft zur Folge haben.

Nicht zuletzt sollte die Größe des Implementierungsprojekts nicht unterschätzt werden. Mit Hilfe einer expliziten Planung und strukturierten Durchführung, was auch eine Berücksichtigung von verschiedensten Abteilungen im Projekt beinhaltet, die im ersten Moment als nicht notwendig erachtet werden, kann eine erfolgreiche Umsetzung des Projekts unterstützt werden.

Somit stellt sich die Frage: Haben Sie in Ihrem Unternehmen in ihrem Projekt bei der Implementierung des Code of Conduct folgende Aspekte berücksichtigt?

  • Einplanen des Zeitdrucks bis zur endgültigen Fertigstellung
  • Übernahme von Verantwortung (u.a. Löschen von Daten)
  • Aufzeigen von Transparenz (u.a. Umgang mit personenbezogenen Daten)
  • Berücksichtigung von Mehraufwand (u.a. Berücksichtigung der gesamten Wertschöpfungskette oder auch Schnittstellen zu Dienstleistern)
  • Beachtung der Abhängigkeit (u.a. Nachziehen von Veränderungen bei Änderung des CoC)
  • Klarheit bei Ungewissheit (u.a. Umgang mit unkonkreten und unbestimmten Vorgaben aus CoC)

Wenn Sie alle Aspekte positiv abhaken können, steht einer erfolgreichen Umsetzung des Code of Conduct eigentlich nichts mehr im Wege bzw. haben Sie den Code of Conduct erfolgreich umgesetzt.

Wenn Ihre Reaktion bei nur einem Aspekt „Nicht berücksichtigt“ lautet, sollten Sie Ihren Projektplan anpassen bzw. optimieren, sonst laufen Sie Gefahr zu scheitern. Ist der Code of Conduct bei Ihnen bereits eingeführt, sollten Sie schnellstmöglich beginnen die „offenen Flanken“ zu schließen. Mit einer Prüfung der Einhaltung der regulatorischen Anforderungen seitens der Aufsicht ist immer zu rechnen, auch wenn Sie sich selbst zum Code of Conduct verpflichtet haben.

Sie sind dem Code of Conduct noch nicht beigetreten?

Dann wird es langsam Zeit. Die Konkurrenz erarbeitet sich gerade einen Vertrauensvorsprung beim Kunden!

Autor:

Herr Oliver Wittich ist seit über 13 Jahren in der Versicherungsbranche tätig. Er ist Senior Consultant bei der Metafinanz GmbH mit den Aufgabenschwerpunkten Governance, Risk und Compliance"

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.