Code of Conduct: Sperren und Löschen versetzt Versicherer in Verzug

Für 122 Versicherer wird es vermutlich eng bei der Umsetzung der freiwilligen Selbstverpflichtung zum Datenschutz, dem Code of Conduct (CoC). Die Frist von drei Kalenderjahren läuft für sie Ende dieses Jahres aus. Bei einigen ist schon jetzt klar, dass sie die organisatorischen und IT-technischen Maßnahmen nicht rechtzeitig vollständig umsetzen können. 70 Prozent der Projektzeiten beansprucht dabei der Bereich „Sperren und Löschen“. Die Assekuranzen müssen vorrangig nach schnellen Lösungen suchen. Zu diesen Ergebnissen kommt eine Marktbeobachtung des Software- und Beratungshauses PPI AG.

Mit der Selbstverpflichtung zum Code of Conduct Datenschutz (CoC) des Gesamtverbands der Deutschen Versicherungswirtschaft (GDV) entsteht für Versicherer in vielen Bereichen Handlungsbedarf. Der Datenschutzkodex berührt sämtliche Sparten der Versicherungsunternehmen, besonders im Bereich der IT. Anfang dieses Jahres hatten sich trotzdem insgesamt 285 Assekuranzen zu diesen strengen Datenschutzregeln verpflichtet. Fast die Hälfte von ihnen war bereits bei der Gründung Anfang 2013 mit dabei. Diese Vorreiter müssen die Umsetzungsarbeiten bereits bis Jahresende abgeschlossen haben.

„Der Umfang wurde von vielen Versicherern unterschätzt. Besonders die Regelungen zum Sperren und Löschen der Kundendaten verursachen große Aufwände und beanspruchen fast drei Viertel des Zeitbudgets“, sagt Ulrich Kusch, Managing Consultant und Versicherungsexperte des auf Finanzunternehmen spezialisierten Software- und Beratungshauses PPI AG.

Personenbezogene Daten liegen inzwischen an vielen Orten vor. Gerade in jüngster Zeit werden für den erfolgreichen Einsatz eines Data Warehouse viele Daten über die Kunden gesammelt. Angereichert mit Informationen aus den sozialen Medien, Kundenkarteien, Internetforen und Befragungen werden diese vielfach als eine große Big-Data-Masse gespeichert. Doch dieses Datensammeln wiederspricht dem CoC. Der Kodex beinhaltet den Gedanken der Datensparsamkeit im Umgang mit Kundendaten. Wenn eine Löschung nach Vertragsende aus gesetzlicher, vertraglicher oder fachlicher Pflicht nicht möglich ist, müssen die Daten zumindest gesperrt werden.

Doch es gibt keine einheitlichen Regeln über die verschiedenen Sparten und Fälle hinweg, was die Umsetzung umso schwieriger macht. Bestimmte Informationen müssen oder dürfen länger gespeichert werden als andere. Teilweise widerspricht der CoC auch gesetzlichen Aufbewahrungspflichten.

Viele Versicherer haben den Aufwand unterschätzt. Zudem gibt es kaum Konzepte, die unterschiedlichen gesetzlichen und geschäftsbedingten Aufbewahrungsfristen zu erfüllen und gleichzeitig die Arbeitsfähigkeit der Fachbereiche sicherzustellen. „Die in Zeitnot geratenen Versicherer sollten ein Zwischenfazit ziehen und nach Einsparpotenzialen suchen. Dass einige Artikel des CoC unterschiedlich ausgelegt werden können, erhöht das Risiko einer Fehlinterpretation“, sagt Ulrich Kusch. Eine vollständige Umsetzung in der IT ist nicht immer nötig, einzelne Anforderungen können auch organisatorisch erfüllt oder im Rahmen der Regeln weniger stringent ausgelegt werden.

Oftmals hilft es auch, das Projekt durchdachter anzugehen. Der Versicherungsexperte empfiehlt, ein Regelwerk mit Sperr- und Löschkonzept zu erstellen, in dem die wichtigsten Grundlagen und Fristen zusammengefasst werden. Viele der nötigen Schritte lassen sich dann durch Automation beschleunigen. „Es bietet sich auch an, endlich für Ordnung in bestehenden Data Warehouses und BI-Systemen zu sorgen. Durchdachte systematisierte Löschprozesse sparen auf Dauer Zeit und Geld. Ressourcen für das Kerngeschäft werden frei“, rät Kusch.aj