Code of Conduct

Umsetzung des Code of Conduct schwieriger als erwartet (PPI FORUM)

Für 122 Versicherer in Deutschland ist Halbzeit bei der Umsetzung des Datenschutzkodex Code of Conduct (CoC). Ein Zwischenfazit ergibt: Viele Planer in den Versicherungen müssen den geschätzten Aufwand nach oben korrigieren, teilweise um 60 Prozent.

Der Code of Conduct (CoC) enthält Vorgaben, wie Deutschlands Assekuranzen künftig mit den Daten ihrer Kunden umgehen sollen. Doch vielen Versicherern ist häufig nicht bewusst, an wie vielen Stellen personenbezogene Daten erhoben, gespeichert und verarbeitet werden und welche internen und externen Stellen in den Prozess einbezogen werden müssen. Zudem gibt es kaum Konzepte, die unterschiedlichen gesetzlichen und geschäftsbedingten Aufbewahrungsfristen zu erfüllen und gleichzeitig die Arbeitsfähigkeit der Fachbereiche sicherzustellen.

Sperren und Löschen sowie Konformitätstests sorgen für größten Aufwand

Großes Kopfzerbrechen bereitet den Assekuranzen das systematische Sperren und Löschen personenbezogener Daten – in den operativen wie auch in den umfangreichen BI-Lösungen und Data Warehouses. Allein die Konflikte zwischen Datensammlung und Datenschutz zeigen, wie weit der Kodex in die Abläufe greift. Data Warehouses und BI-Systeme müssen zwingend in die regelkonformen Lösch- und Sperrprozesse einbezogen werden. Einerseits werden zum Beispiel für das Marketing möglichst konkrete Informationen benötigt, andererseits müssen auch die dort gespeicherten Daten anonymisiert oder pseudonymisiert werden, um die Datensicherheit zu wahren. Hinsichtlich der Masse an Daten stehen Versicherer hier vor einer Mammutaufgabe.

Von CoC betroffene Geschäftsprozesse definieren

Eine weitere Baustelle ist das Testen der Systeme. Ein solcher CoC-Konformitätstest stellt sicher, dass bestimmte Ereignisse genau definierte Datenänderungen anstoßen, zum Beispiel Löschen, Sperren, Pseudonymisieren und Berichtigen. Für die Testdurchführung müssen die Versicherer die vom CoC betroffenen Geschäftsprozesse genau definieren. Zudem muss bekannt sein, in welchem IT-System, mit welchen Geschäftsdaten und in welcher Frist eine Lösch- oder Sperraktion durchgeführt wird. Das Anfertigen dieser komplexen Aufstellung erfordert ein Testmanagement, das alle Schritte steuert – von der Bestandsaufname der Prozesse und IT-Systeme über die Planung und Durchführung der Prozesstests bis hin zur Schwachstellenanalyse und Anpassung.

CoC als nützliches Großreinemachen der Datenhaushalte betrachten

Versicherer sollten den Kodex dennoch nicht als lästige Aufgabe verstehen. „Wer die Regeln sauber umsetzt, verschafft sich einen entscheidenden Wettbewerbsvorteil im Hinblick auf das Kundenvertrauen“, sagt Tobias Kohl, Versicherungsexperte und Partner bei PPI. „Dies zeigt den Versicherten, dass sie sich gerade bei den sensiblen Informationen, mit denen Assekuranzen agieren, darauf verlassen können, dass sorgsam mit ihren persönlichen Daten umgegangen wird“, so Kohl.

Doch nicht nur der Kunde profitiert. Darüber hinaus ist die Umsetzung des CoC eine gute Gelegenheit, die internen Datenhaushalte und Prozesse zu überarbeiten. Es bietet sich auch an, für Ordnung in bestehenden Data Warehouses und BI-Systemen zu sorgen. Durchdachte systematisierte Löschprozesse sparen auf Dauer Zeit und Geld. Ressourcen für das Kerngeschäft werden frei. „Einmal umgesetzt, leisten ein aufgeräumter Datenhaushalt und detaillierte Prozess- und IT-Landkarten wertvolle Vorarbeit für künftige Regulierungs- und Einsparvorhaben“, sagt Tobias Kohl von PPI.

Zurück

Social Media