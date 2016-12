20.12.2016 – Immer wieder erreichen uns neue Nachricht über den Verlust von Daten oder grobe Datenschutzverstöße bei verschiedensten Unternehmen. Trotzdem oder gerade deswegen hat der Datenschutz noch lange nicht ausgedient. Richtlinien hierzu liefert die neue EU-Datenschutz-Grundverordnung (DSGVO), die bis Mai 2018 umgesetzt werden muss. Ein Gastbeitrag des IT- und Datenschutzexperten Norbert Mayerhofer.

Es vergeht kaum eine Woche, in der uns nicht neue Systeme, Prozesse oder Anwendungen der digitalen Revolution präsentiert werden, die das Leben erleichtern wollen (sollen). Aus Sicht betroffener Personen ist dies ein erfreulicher Zustand, da viele dieser neuen Anwendungen eine nützliche Hilfe im Alltag darstellen.

Norbert Mayerhofer (Bild: privat)

Auch die IT-Strategien innovativer Versicherungs-Unternehmen sind bereits auf diese Digitalisierung ausgerichtet. Neue Versicherungsprojekte stellen den Kunden in den Mittelpunkt und ermöglichen es, aufgrund seiner persönlichen Daten und seines Lebensstils ein auf seine Lebensgewohnheiten zugeschnittenes Produkt anzubieten.

Speziell die jungen Generationen Y oder Z (geboren ab 1980) erkennen den Mehrwert dieses Datenaustausches, der es ermöglicht, einen personalisierten Preis zu erstellen.

Neue EU-Datenschutz-Verordnung verabschiedet

Diese Entwicklungen stellen jedoch Unternehmen mit ihren Prozessen und Systemen vor große Herausforderungen. Die Transformation in eine digitale Welt kann nur erfolgreich gelingen, wenn Datenschutz und Datensicherheit für Kunden klar erkennbar sind und von Unternehmen ernst genommen werden.

Die Europäische Kommission reagierte auf den Regelungsbedarf in diesem Bereich und verabschiedete im Mai 2016 die neue EU-Datenschutz-Grundverordnung (DSGVO), welche von Unternehmen bis spätestens 25. Mai 2018 umgesetzt sein muss. Die DSGVO regelt den Datenschutz auf europäischer Ebene nun einheitlich und löst damit länderspezifische Regelungen auf Basis der bis dahin gültigen EU-Richtlinie ab.

Für alle Unternehmen (so auch in der Versicherungsbranche – vom Makler oder Vermittler bis zum Versicherungs-Unternehmen) bedeutet dies unter anderem erweiterte Pflichten in Bezug auf den Schutz personenbezogener Daten. Gleichzeitig erhalten Privatpersonen mittels der DSGVO erweiterte Rechte in Bezug auf die Verarbeitung ihrer Daten.

Erweiterter Schutz für spezielle Daten

Personenbezogene Daten sind – anders als vielerorts behauptet – nicht nur der jeweilige Name, die Adresse und das Geburtsdatum einer Person. Sie umfassen auch all jene Daten, die mit einer Person in Verbindung gebracht werden können (beispielsweise Schaden- und Leistungsdaten). Diese Daten werden gemäß der DSGVO als schützenswert erachtet.

Eine besondere Kategorie von Daten stellen die sogenannten „sensiblen personenbezogenen Daten“ dar, die einen erweiterten, umfangreicheren Schutz erfordern. Zu sensiblen Daten zählen unter anderem Daten über Gesundheit, Herkunft oder Weltanschauung einer Person. Speziell für Versicherungsmakler ist die Datenschutz-Grundverordnung somit – aufgrund der oftmals verarbeitenden sensiblen Daten – von besonderer Bedeutung.

Datenschutzrechtliche Pflichten für Unternehmen

Die DSGVO umfasst ebenfalls erweitere Pflichten für Unternehmen in Bezug auf die proaktive Dokumentation von Datenschutzrisiken, deren Folgen und den durchgeführten Gegenmaßnahmen.

Der Verarbeitung sensibler Daten, zum Beispiel Gesundheitsdaten für eine Lebens- oder Krankenversicherung, liegt ein erhöhtes Schutzinteresse und Risiko zugrunde, weshalb in der datenschutzrechtlichen Betrachtung ein verstärktes Augenmerk auf ebensolche Prozesse und Systeme gelegt werden muss. Analysen und Maßnahmen zum Datenschutz müssen entsprechend der Datenschutz-Grundverordnung bereits proaktiv dokumentiert werden.

Personenbezogene Daten, und ganz speziell sensible Daten, erfordern als Teil einer datenschutzkonformen Verarbeitung entsprechende technische und organisatorische Maßnahmen, um diese vor unbefugtem Zugriff, Verlust oder Veränderung zu schützen. Auch hier gilt es, bestehende Maßnahmen zu evaluieren und an die Erfordernisse der DSGVO anzupassen.

Betroffenenrechte

Allen Betroffenen (Personen) bringt die DSGVO erweiterte Transparenz und Rechte. Jede Person erhält das Recht auf Information und Auskunft über ihre von Unternehmen verarbeiteten Daten sowie deren Änderung. Für Unternehmen bedeutet dies, dass eine genaue Kenntnis über alle Systeme und die darin verarbeitenden Daten unabdingbar wird, um im Zuge eines Auskunftsbegehrens zeitgerecht alle Informationen bereitstellen zu können.

Daneben erhalten Betroffene das Recht auf Portabilität ihrer Daten, was einem gesamten Datenauszug entspricht. Anhand dieses Auszugs wird der Wechsel zu anderen Anbietern (auch auf Basis der inkludierten Historie) erleichtert werden.

Zu guter Letzt enthält die DSGVO das „Recht auf Vergessen werden“, was einem Löschbegehren gleichzusetzen ist. Dies stellt einen Großteil der teilweise Jahrzehnte alten Systeme in Unternehmen vor große Herausforderungen, da ein Löschen von Daten in vielen Systemen nie vorgesehen war.

Fazit

In der DSGVO wird die Bedeutung von Datenschutz in der Produkt- und Systemgestaltung durch die Grundsätze „Privacy by Design“ (Datenschutz durch Technik) und „Privacy by Default“ (Datenschutz durch Voreinstellungen) fest verankert.

Der souveräne Umgang mit digitalen Anwendungen und Technologien erfordert nicht nur kompetente Nutzer, die es verstehen mit den neuen Innovationen umzugehen, sondern auch sichere Systeme und einen korrekten Umgang mit Daten.

Für Unternehmen empfiehlt es sich, Datenschutz und speziell die neue DSGVO nicht nur aus rein rechtlicher, prozessualer oder technischer Sicht zu betrachten. Ein ganzheitlicher Ansatz und eine entsprechende Strategie sind erforderlich, um Datenschutz nachhaltig zu implementieren.

Der Autor arbeitet als Senior Manager bei der Virtusa Austria GmbH, der österreichischen Tochter der Virtusa Polaris (Hauptsitz in Massachusetts, USA). Das Unternehmen bietet Beratung und Dienstleistungen im IT-Bereich mit dem Schwerpunkt Banken, Versicherungswirtschaft und Telekommunikation. Mayerhofer ist verantwortlich für Projekte zur Umsetzung der DSGVO.