„Der Vertrieb von Versicherungen wird sich grundlegend ändern müssen“

100 Tage DSGVO

„Der Vertrieb von Versicherungen wird sich grundlegend ändern müssen“

Kai Grunwitz, Senior Vizepräsident EMEA bei NTT Security, hat die Datenschutzgrundverordnung kritisch auf ihren Nutzen geprüft. Für Pfefferminzia erläutert er die konkreten Auswirkungen des neuen Regelwerks für Versicherungsvermittler und Privatpersonen.

Kai Grunwitz, Senior Vizepräsident EMEA bei NTT Security

Pfefferminzia: Was ist der Hintergrund der Datenschutzgrundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat?

Kai Grunwitz: Neue Trends der Digitalisierung wie Cloud Computing oder Blockchain erhöhen die Bedeutung der Datenschutz-Compliance in nahezu allen Industrie- und Geschäftsbereichen. Die neuen Technologien sowie die geänderten Kundenansprüche müssen umfassend berücksichtigt werden, dabei wird gleichzeitig das Volumen der gesammelten Daten exponentiell vergrößert. Hintergrund ist sicherlich auch, dass die EU der unkontrollierten Nutzung von personenbezogenen Daten durch Unternehmen wie Facebook und Google Einhalt gebieten will. Aus diesem Grund sind auch die angedrohten Strafen so hoch.

Was müssen Versicherungsvermittler nun zwingend beachten?

Die Regelungen der DSGVO gelten für alle Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten. Für Vermittler bedeutet das vor allem eins: Sie können nicht mehr wie gewohnt mit Kundendaten umgehen und diese für alle erdenklichen Zwecke nutzen. Hier ist ein Umdenken bei Vermittlern erforderlich. Einfach Kunden zu neuen Produkten anzumailen, ohne die vorherige Einwilligung zu haben, ist nicht DSGVO-konform. Auch muss das Löschen von Daten künftig konsequent umgesetzt werden. Der Vertrieb von Versicherungen und der Umgang mit Kundendaten wird sich hier grundlegend ändern müssen.

Was muss noch beachtet werden?

Dies bedeutet auch, interne Abläufe wie Datenfluss und den Datenlebenszyklus zu identifizieren, die interne IT nach dem Stand der Technik zu prüfen, Verarbeitungstätigkeiten zu dokumentieren, Auftragsdatenverarbeitungsverträge und Datenschutzerklärungen anzupassen, Mitarbeiter zu schulen und eventuell auch Cyber-Risiken versichern zu lassen. Diese Aufzählung ist nur ein Auszug – selbstverständlich gibt es viele weitere Anforderungen, die zu beachten sind.

Was haben Privatpersonen von der DSGVO?

Sie müssen künftig ausführlich darüber informiert werden, was mit ihren Daten geschieht. Die größte Änderung ist dabei, dass die Person, deren Daten erfasst sind, Eigner der Daten bleibt und nicht das Unternehmen, das die jeweiligen Daten erfasst hat. Daraus resultieren dann auch die Betroffenenrechte, die in vielen Bereichen zur Anwendung kommen können. Hierzu zählen unter anderem das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) oder das Recht auf Datenübertragbarkeit, (Art. 20 DSGVO). In der Praxis bedeutet das zum Beispiel: Wechselt man seinen Arzt, muss die alte Praxis die Daten auf Wunsch sicher an die neue Praxis weiterleiten. Im Bereich E-Commerce, englisch für elektronischer Geschäftsverkehr, heißt das etwa, dass internationale Online-Verkäufer ebenfalls nur noch die nötigsten Informationen erheben dürfen – Stichwort: Datensparsamkeit.

Was ist jetzt anders als zuvor in Sachen Cybersicherheit?

Grundsätzlich sollte sich nicht viel ändern. Jedoch ist die Sichtbarkeit und Priorität von Cybersicherheit – auch aufgrund der hohen Vertragsstrafen – signifikant gestiegen. Die von der DSGVO geforderten technischen und organisatorischen Maßnahmen beschleunigen Aspekte wie die Einführung eines Information Security Management System (ISMS), englisch für Managementsystem für Informationssicherheit, gemäß ISO 27001 oder eines Security Operations Center (SOC), einer Zentrale für alle sicherheitsrelevanten Services im IT-Umfeld von Organisationen oder Unternehmen. Denn in der DSGVO werden Maßnahmen wie zum Beispiel der Aufbau eines Datenschutz-Management-Systems, die Etablierung von Prozessen zur Feststellung und Meldung von Datenschutzverletzungen, das Update von Dokumentationen, die Festlegung von Verantwortlichkeiten, die Einführung von technischen Datenschutzmaßnahmen sowie auch die Durchführung einer Datenschutz-Folgeabschätzung und Schulungen sowie Sensibilisierungsmaßnahmen gefordert. Die DSGVO steigert also die Dringlichkeit einer konsequenten Umsetzung von Netz- und Informationssicherheit.

Welche mittelfristigen Auswirkungen erwarten Sie von der DSGVO?

Durch die DSGVO wird wesentlich sensibler mit Kundendaten umgegangen. Dies ist aktuell schon zu sehen. Teilweise werden bei den zuständigen Behörden kleinste Vorfälle gemeldet, nur um keinen Fehler zu begehen. Zudem werden Cybersicherheit und DSGVO nun von einem ausschließlichen IT-Thema zu einem klaren Management-Thema.

Was raten Sie Privatpersonen generell, wenn es um den Datenschutz geht?

Jeder sollte sorgsam mit seinen Daten umgehen und stets hinterfragen, ob und welche Daten mit anderen geteilt oder freigegeben werden. Mit der DSGVO sind wir in der EU wieder Herr über unsere Daten geworden und diesen Vorteil gilt es zu nutzen. In diesem Kontext sollten Privatpersonen außerdem immer darauf achten, ihre privaten Systeme und Daten abzusichern und aktuelle Sicherheitsupdates zu verwenden. Dabei handelt es sich zwar eher um ein Sicherheitsthema und weniger ein reines DSGVO-Thema, aber auch hier herrscht oft noch Leichtsinn.

Autor

Oliver Lepold ist Dipl.-Wirtschaftsingenieur und freier Journalist für Themen rund um Finanzberatung und Vermögensverwaltung. Er schreibt regelmäßig für Pfefferminzia und andere Versicherungs- und Kapitalanlage-Medien.

Nicht verpassen!

Pfefferminzia.pro

Eine Plattform, die liefert: aktuelle Informationen, praktische Services und einen einzigartigen Content-Creator für Ihre Kundenkommunikation. Alles, was Ihren Vertriebsalltag leichter macht. Mit nur einem Login.