Datenschutz-Grundverordnung 2018 | KPMG | AT

Insurance News: Datenschutz-Grundverordnung 2018

Datenschutz-Grundverordnung 2018

Schutz als Aufgabe

Für den Inhalt verantwortlich

Verwandte Inhalte

Das Verarbeiten personenbezogener Daten gehört zum Tagesgeschäft von Versicherungsunternehmen. Mit dem Inkrafttreten der DSGVO 2018 kommt es zu zahlreichen Neuerungen im Bereich des Datenschutzes. Versicherer stehen vor der Herausforderung, ihre Geschäftsorganisation grundlegend an diese veränderten Gegebenheiten anzupassen. Nur wann, wo und vor allem wie soll diese regulatorisch getriebene Veränderung nun tatsächlich umgesetzt werden? Lesen sie mehr dazu hier und in unserer aktuellen Ausgabe von Dimensionen Insurance.

Schutz personenbezogener Daten

Mit 25. Mai 2018 wird durch das Inkrafttreten der neuen Datenschutz-Grundverordnung (DSGVO 2018) der Schutz personenbezogener Daten nicht mehr als reine Gesetzesvorschrift neben vielen anderen verstanden, sondern vielmehr zu einer Managementaufgabe erklärt. Horrende Strafdrohungen bei datenschutzrechtlichen Verletzungen sowie die regulatorisch geforderte Übertragung der Datenschutzverantwortung an die einzelnen Unternehmer selbst sind ausschlaggebend für diese Neupositionierung des Datenschutzes.

Unternehmer aus den unterschiedlichsten Bereichen werden mit der DSGVO 2018 erstmals aufgefordert, in der eigenen Geschäftsorganisation ein Datenschutzmanagementsystem zu implementieren. Die Auferlegung intensiver Dokumentationspflichten, die zwingende Implementierung technischer und organisatorischer Maßnahmen sowie die Berücksichtigung einer Vielzahl von Betroffenenrechte sind nur einige Beispiele, die den Anwendungsbereich der neuen datenschutzrechtlichen Vorgaben umschreiben.

Sonderfall Versicherungen

Gerade im Geschäftsmodell einer Versicherung gehört das Verarbeiten von personenbezogenen – und somit dem Schutz der Verordnung unterliegenden – Daten zum Tagesgeschäft. Durch das Anbieten von Kranken- sowie Lebensversicherungen wird dieser Schutzbedarf durch das Vorliegen sogenannter „sensibler Daten“ nach dem DSG 2000 bzw „Daten besonderer Kategorien“ nach der DSGVO 2018 nochmals erhöht und mit einem besonderen Fokus beleuchtet.

Die Versicherungswirtschaft ist sich dieser Sonderstellung im Bereich des Datenschutzes bewusst und nimmt dieses Thema bereits seit Jahren, unabhängig von der neuen Datenschutz-Grundverordnung, sehr ernst. Die Kunden vertrauen auf das traditionelle Geschäftsmodell und die oftmals seit Jahrzehnten etablierte Geschäftsorganisation ihrer Versicherer. Themen wie Cyberkriminalität, Datenverlust und technische Sicherheitslücken haben im Versicherungssektor keinen Platz und datenschutzrechtliche Compliance wird für diesen Bereich als Selbstverständnis gesehen. Nur wie wird man als etablierter Versicherer in Zeiten fortschreitender Digitalisierung und verschärftem regulatorischen Druck dieser Erwartungshaltung des eigenen Kundenstamms gerecht? Die Antwort liegt ganz generell in einem rechtzeitigen, strukturierten und vor allem systematischen Vorgehen in der Vorbereitung auf das Inkrafttreten der neuen Datenschutzbestimmungen. Unbeachtet etwaiger Unsicherheiten in der Umsetzung der DSGVO auf nationaler Ebene ist das Erfordernis nach Struktur, Awareness und einem effektiven Management im Bereich des Datenschutzes bereits aus den Kernthemen der Verordnung abzuleiten.

Unternehmen sind aufgefordert, in einem ersten Schritt ihre eigene Geschäftsstruktur unter dem Gesichtspunkt der Datenverarbeitung zu verstehen, um darauf aufbauend unternehmensindividuell den passenden Datenschutz zu implementieren. Für das Erreichen datenschutzrechtlicher Compliance mit Mai 2018 geht es nicht um die einmalige Umsetzung einzelner Gesetzesbestimmungen, als vielmehr um die Implementierung eines effektiven aber dennoch flexiblen Datenschutzes, der auf das konkrete Geschäftsmodell abgestimmt ist.

Prinzipien wie „Need to know“, „Datensparsamkeit“ und „Zweckbindung“ müssen auf den tatsächlichen Datenfluss, die betroffene Datenkategorie sowie die dahinterstehende Systemlandschaft umgelegt werden und darüber hinaus durch die Implementierung von passenden organisatorischen und technischen Schutzvorkehrungen entsprechend sichergestellt werden.

Gerade im technischen Bereich hat die Umsetzung notwendiger Datenschutzmaßnahmen (Einschränkung von Sichtberechtigungen in Systemen, Festlegung automatisierter Löschvorgänge ausgewählter Datensätzen usw) zumeist eine relativ lange Vorlaufzeit. Eine frühzeitige Erkennung dieser notwendigen Maßnahmen ist in der Vorbereitung auf das Inkrafttreten der DSGVO 2018 jedenfalls eines der maßgeblichsten Kriterien.

Gerüstet für den Ernstfall

Die Datenstruktur von Versicherungsunternehmen sowie die datenschutzrechtliche Erwartungshaltung der Versicherten erfordert aber nicht nur die Umsetzung von präventiven Maßnahmen zum Schutz von personenbezogenen Daten, als vielmehr ein ebenso starkes Management wenn tatsächlich ein entsprechender Datenschutzvorfall passiert. Unter den Stichworten Incident Management und Business Continuity sind die einzelnen Unternehmen daher aufgefordert, ihr implementiertes Datenschutzprogramm auch mit Vorkehrungsmaßnahmen für den Ernstfall abzurunden.

In Anbetracht dieser zahlreichen Neuerungen sowie des Anspruchs das Thema Datenschutz mit der geforderten Awareness zu behandeln, werden die Versicherungsunternehmen in den nächsten Monaten daher in organisatorischer, prozessualer sowie technischer Hinsicht vor eine Vielzahl an Herausforderungen gestellt.

Mit der zeitgerechten Implementierung eines effektiven Datenschutzprogramms werden Versicherungsunternehmen aber spätestens im Mai 2018 belohnt, wenn sie als „Trusted and Secure Insurance Partner“ wahrgenommen werden.

Bei allen Fragen zur Umsetzung der DSGVO 2018 in Ihrem Unternehmen kontaktieren Sie bitte Ihre KPMG-Experten: Mag. Lorenz Lang, DI Robert Lamprecht oder Mag. Birgit Wastl.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden