Genug für die DSGVO getan?

Ein Artikel von Manfred Buchmann, EMEA Field CTO bei Cohesity | 22.07.2019 - 16:26
8c7f9ed5bb.jpg

Noch führt die Verordnung zu so mancher Unsicherheit und Herausforderung

Im vergangenen Mai wurde die DSGVO als Suchbegriff häufiger bei Google eingegeben als der Pop-Star Beyoncé.  Dies verdeutlicht den Grad an Informations­bedarf und Verunsicherung, den viele Bürger und Unternehmen in der Woche vor dem Inkrafttreten der Verordnung hatten. Nicht alle Befürchtungen haben sich bewahrheitet, so ist beispielsweise die vorausgesagte Welle an ungerecht­fertigten Abmahnungen oder offiziell verhängten Strafzahlungen ausgeblieben.

Auch und gerade für die Unternehmen der Versicherungsbranche hat die neue Richtlinie enorme Relevanz, denn damit verbunden sind beispielsweise zahlreiche verschärfte Dokumentations- und Rechenschaftspflichten: Hat etwa ein Kunde seine ausdrückliche Zustimmung dazu gegeben, dass seine Daten gespeichert und verwendet werden dürfen? Wie werden personenbezogene Daten verarbeitet, wer hat Zugriff darauf und wie werden die Daten geschützt? Diese und weitere Herausforderungen müssen Unternehmen bewältigen.  

Bisher nur niedrige Bußgelder – wie lange dauert die Zurückhaltung der Behörden?

Kein Wunder also, dass sich viele Entscheider fragen, ob sie genug für die DSGVO getan haben. Und was heißt eigentlich „genug“? Diese Frage lässt sich gar nicht so einfach beantworten, da sich die Vorgaben der DSGVO in gewisser Hinsicht offen auslegen lassen. Das beunruhigt viele Versicherungen, da sie aus anderen Bereichen sehr detaillierte Bestimmungen gewohnt sind, etwa der Schadensregulierung. Doch im Falle des Datenschutzes hätten genauere Regeln eine größere Besorgnis darüber ausgelöst, ob ein Unternehmen tatsächlich vollständig konform wäre oder nicht. Zudem ­hätte sich dadurch der Aufwand für die Compliance deutlich erhöht – und wohl auch die Anzahl der Beschwerden durch Bürger. Nach Angaben der Europäischen Kommission sind nach einem Jahr bisher mehr als 140.000 Beschwerden wegen Verstößen gegen den Datenschutz auf ­Basis der ­DSGVO bei den nationalen ­Behörden eingegangen. Demnach sind die Bürger zunehmend für das Thema sensibilisiert und nehmen ihre Rechte wahr. Andererseits sagen manche Marktbeobachter, dass die EU nicht genügend Bußgelder verhängt, um schwarze Schafe abzuschrecken. Zwar gab es in Deutschland bislang schon mindestens 75 Geldbußen – jedoch mit einer Gesamtsumme von nur 449.000 Euro. Die Behörden können ihre derzeitige Zurückhaltung aber durchaus in den kommenden Monaten und Jahren nach Ablauf einer Art Schonfrist aufgeben. Versicherungen sind dann aufgrund der Unmengen an gespeicherten personenbezogenen Daten ihrer Klienten – ob Privatpersonen oder Ansprechpartner bei Unternehmen – besonders gefährdet. Viele Versicherungsbetriebe haben sich entsprechend darauf vorbereitet und eine neue Rolle oder ein Team geschaffen, das sich auf die Risikominderung und Einhaltung der DSGVO konzentriert. Je nach Unternehmensgröße kann dies von einer Person bis zu einem Team von zwölf oder mehr Personen reichen. 

Oft unterschätzt: Mass Data Fragmentation

Vergleich_Beyoncé.png

Vergleich der Anfragen zu den Themen Beyoncé (rot) und GDPR (engl. für DSGVO, blau) bei Google von Mai 2017 bis Mai 2018 (Quelle: Google)  

Häufig sind sie dabei auf eine große Herausforderung gestoßen: Mass Data Fragmentation. Darunter versteht man die zunehmende Verbreitung von Daten über eine Vielzahl von unterschiedlichen Standorten, Managementsystemen und Infrastrukturen. Im Zuge der DSGVO entsteht dadurch enormer Aufwand bei der Lokalisierung, Zugriffskontrolle, Verarbeitung und Sicherung der Daten. Laut einer Studie von Vanson Bourne verstärken folgende Faktoren dieses Problem:

  • Daten befinden sich in immer mehr ­In­frastrukturen. Dabei werden sie mit Hilfe von Einzelprodukten verwaltet, die häufig nicht integriert sind und keinen reibungslosen Datenaustausch ermöglichen. 35 Prozent der Unternehmen nutzen mindestens sechs, über 10 Prozent sogar mindestens elf verschiedene Management-Lösungen.
  • Da diese Einzelprodukte den Austausch oder eine Wiederverwendung von Daten nicht zulassen, entstehen in verschiedenen Infrastrukturen Kopien der gleichen Daten. So besitzen 63 Prozent der Unternehmen schon 4 bis 15 identische Kopien.
  • 85 Prozent der Befragten speichern ­Daten in zwei bis fünf Public Clouds. Davon erzeugen 74 Prozent eine alternative oder redundante Kopie in derselben oder einer anderen Public Cloud. Eine einheitliche Verwaltung oder Entfernung personenbezogener Daten aus all diesen Kopien und Clouds lässt sich kaum gewährleisten.

Um die eigenen Prozesse für die DSGVO-Compliance zu verbessern, sollten Versicherungen folgende Schritte durchführen: 

  • Wiederholen Sie eine gründliche Folgenabschätzung zum Datenschutz. Stellen Sie deutlich dar, wo personenbezogene Daten gespeichert sind und wer Zugriff darauf hat. Zudem sollten Sie gewährleisten, dass diese Daten wiederhergestellt werden können.
  • Reduzieren Sie die Menge personen­bezogener Daten, die Ihr Unternehmen speichert. Gleichzeitig ist zu prüfen, ob die Gründe, aus denen die personen­bezogenen Daten verarbeitet werden, rechtmäßig sind.
  • Ist Ihr Datenschutzbeauftragter auf Kurs? Wenn nicht: Ernennen Sie einen neuen Datenschutzbeauftragten, der dafür sorgt, dass die Einhaltung der Vorschriften für Ihr Unternehmen hohe Priorität genießt.
  • Aktualisieren Sie Ihr Data Governance Framework für das Datenmanagement. Möglicherweise haben Sie im letzten Jahr Änderungen vorgenommen und planen, neue Dienste, Anwendungen und Technologien einzuführen. 
  • Implementieren Sie neue Compliance-Systeme. Die DSGVO ist zwar keine technologische Herausforderung, aber Software kann bei der Verwaltung der Compliance helfen. Zudem ermitteln Sie damit Bedarf für Trainings, Risikomanagement oder Reporting.
  • Überprüfen Sie Partnerverträge und SLAs auf DSGVO-Konformität. Dies gilt insbesondere für Verpflichtungen bei gemeinsamer Datenverarbeitung.
  • Prüfen Sie Ihre Partner-Richtlinien im Hinblick auf den Umgang mit persönlichen Daten der Kunden. 
  • Überprüfen Sie einerseits den Inhalt aller Dokumente, die nach außen gehen, und andererseits Ihre Prozesse zur Erfassung personenbezogener Daten. Sowohl die von Ihnen produzierten Materialien als auch Daten, die Sie von außen erhalten, müssen konform sein.
  • Bewerten Sie Ihre internationalen Datenübertragungen und überprüfen Sie die Compliance anhand der aktualisierten Leitlinien, die von der ICO Ende letzten Jahres veröffentlicht wurden.
  • Im Zweifelsfall konsultieren Sie Rechtsexperten mit Erfahrung bei internationalen Themen der Datensicherheit und des Datenschutzes im Bereich Versicherungen.

Fazit

Auch mehr als ein Jahr nach ihrer Einführung sorgt die DSGVO für Unsicherheiten und Herausforderungen. Doch wer bereits geeignete Schritte unternommen hat, um den Schutz personenbezogener Daten ­effektiv sicherzustellen, ist auf dem richtigen Weg. Natürlich sollten sich Versicherungen nicht auf ihren Lorbeeren ausruhen, sie müssen regelmäßig Datenberichte und Reaktionszeiten analysieren und optimieren. Dabei ist laufend zu gewährleisten, dass die richtigen Fragen gestellt und geeignete Prozesse verwendet werden, um die zunehmende Fragmentierung der ­Daten in den Griff zu bekommen.