DSGVO hält die Versicherungsbranche weiter auf Trab

Denn die letzten Monate standen stark unter dem Einfluss der DSGVO und waren durch die Anpassung von Prozessen sowie der Erstellung diverser Datenschutzdokumente und -konzepte geprägt.

Datenschutz macht Arbeit

Laut einer Bitkom-Umfrage geben über 70 Prozent der Unternehmen an, durch die DSGVO deutlich mehr Aufwand im laufenden Betrieb zu haben. Den größten Aufwand bei der Umsetzung sehen nahezu alle befragten Unternehmen in den neuen Informations- und Dokumentationspflichten.

Welche Schmerzpunkte die Versicherer haben und welche Vorgehen gut funktionieren, diskutierten auf der Fachkonferenz der Versicherungsforen Leipzig rund 40 Vertreter der Branche.

Konkrete Erfahrungen zur DSGVO

Malte-Michael Kaspar von ERGO Direkt berichtete davon, wie die ERGO Direkt mit Datenspannen umgeht und welche dieser der Aufsichtsbehörde gemeldet werden (müssen). Neben der Berichterstattung an die Aufsicht hat die ERGO Direkt auch ein internes Reporting eingeführt. So bekommt der Vorstand monatlich eine Übersicht über die Datenpannen, die quartalsweise persönlich durchgesprochen werden. Aber auch die betroffenen Fachbereiche bekommen von der Datenschutzabteilung einmal im Quartal einen Bericht. Ziel dieses Vorgehens ist die weitere Sensibilisierung der Mitarbeiter gekoppelt mit dem Angebot an Schulungen und weiterer Unterstützung durch den Datenschutz.

Thema Datenschutzfolgenabschätzung

Im Vortrag von Jens-Jürgen Vogel (Munich Re) ging es um das Thema Datenschutzfolgenabschätzung (DSFA). Jens-Jürgen Vogel sieht den Schlüssel zum Erfolg bei der DSFA in der Zusammenarbeit der verschiedenen Abteilungen wie IT-Compliance, Risk Management, IT-Security usw. Die Munich Re hat den Ablauf der DSFA in die Abschnitte „Plan“, „Do, „Check“ und „Act“ unterteilt. So werden die verschiedenen Schritte systematisch abgearbeitet und Prozesse können zügig geändert werden.

Fokus auf neue Technologien

Dr. Alexander Beyer (BLD Bach Langheid Dallmayr Rechtsanwälte) führte aus, welche datenschutzrechtlichen Herausforderungen neue Technologien wie künstliche Intelligenz (KI) bergen. Da KI zunehmend an Relevanz gewinnt, müssen sich seiner Meinung nach Unternehmen früher oder später damit auseinandersetzen. Viel rechtliche Prüfungen und Diskussionen werden aber noch geführt werden müssen.

Aktuell setzen einige Versicherer KI im Kundenkontakt bereits ein, vorrangig in Form von Chatbots. Die DSGVO gibt allerdings vor, dass beim Einsatz von KI zwingend eine Datenschutzfolgenabschätzung gemacht werden muss. In anderen Fällen, beispielsweise beim Einsatz von KI in der Leistungsbearbeitung oder beim Vertragsschluss müssen noch weitere rechtliche Regelungen beachtet werden. Insgesamt, so Beyer, gibt es keine hinreichend auf KI zugeschnittenen rechtlichen Regelungen. Durch entsprechende Gestaltung der Prozesse ließen sich Risiken jedoch kontrollieren.

Einsatz von Cloud-Lösungen

Jörn Kriegel von der Signal Iduna argumentierte in seinem Vortrag in Bezug auf den Einsatz von Cloud-Lösungen, speziell Microsoft 365, dass man beispielsweise mit Microsoft einen „Elefant im Raum“ habe, den man nicht weg diskutieren könne. Die neuen Technologien einzusetzen und gleichzeitig alle rechtlichen Anforderungen einzuhalten, sei manchmal nicht so einfach.

Datenschutz neu definieren

Die DSGVO und weitere Datenschutzgesetze eröffnen jedem Unternehmen die Möglichkeit, Datenschutz neu zu definieren, gab Marco Ratzmann von OneTrust zu bedenken. Da der Datenschutz technologischen Entwicklungen ständig hinterher renne, wird die DSGVO schon bald nicht mehr ausreichen. Mit der ePrivacy-Verordnung steht die nächste rechtliche Großoffensive in den Startlöchern, um die Lücken, die die DSGVO in Bezug auf technologische Aspekte hat, zu schließen. Ziel sei es aber nicht nur, die bestehenden Regeln an die technische Entwicklung anzupassen, sondern auch das Vertrauen in die Datenwirtschaft weiter zu stärken.

Ablauf einer Aufsichtsprüfung

Klaus Alpmann von der Volkswagen AG gab in seinem Vortrag Einblicke in den Ablauf einer Aufsichtsprüfung. Seiner Erfahrung nach geht es bei den Aufsichtsprüfungen vorrangig um die Prüfung auf das datenschutzkonforme Verarbeiten der Daten, den Umgang mit Datenschutzverletzungen sowie den Umgang mit Betroffenenrechten. Während der Prüfung will die Aufsicht, seiner Erfahrung nach, vor allem Umsetzungsmaßnahmen sehen und nicht nur „Papier“. Als Tipp für die anderen Teilnehmer betonte er, den Bereich Human Ressources nicht zu vergessen. Hier würde die Aufsicht mit Sicherheit genauer hingucken.