Assekuranz geht auf Nummer sicher: IT

Werbung
SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“
_____________________________________________________________________________________________________
Fachsymposium „Datenschutz und Datensicherheit in der Assekuranz“ der Versicherungsforen Leipzig
vernetzt Experten relevanter Unternehmensbereiche
Assekuranz geht auf Nummer sicher: IT-Ausrichtung, AwarenessProgramme und Audits im Licht aktueller Datenschutznovellen
In welchen Fällen darf ein Versicherer Daten an einen Maklerpool weitergeben?
Was gilt als Königsweg bei der Umsetzung der neuen Opt-In-Regelung? Welche
Anpassungen auf technischer Seite sind notwendig für die Speicherung von
Einwilligungen und Widersprüchen? Die Fragen, die sich aus den aktuellen Novellen des Datenschutzgesetzes (BDSG) ergeben, sind mindestens so vielfältig
wie die Interessenslagen der verschiedenen Marktteilnehmer. Das zweitägige
Fachsymposium „Datenschutz und Datensicherheit in der Assekuranz“ der Versicherungsforen Leipzig bot somit einen unerlässlichen Beitrag zur aktuellen
Debatte.
Data protection an Spitze der Sicherheitsinitiativen von Unternehmern
Leipzig, 23. Juni 2010. Auf internationaler Ebene hat der Datenschutz bereits heute eine sehr
hohe Priorität für die Datensicherheitsverantwortlichen. Nach der diesjährigen Financial
Services Global Security Study geben 29 Prozent der Befragten „data protection“ als wichtigste Security-Initiative ihres Unternehmens an. „2009 nahm der Datenschutz hier erstmals
einen Platz unter den Top 5 ein, jetzt steht er schon auf dem zweiten Platz im Sicherheitsranking. Das Thema hat sich deutlich etabliert“, resümierte Dr. Andreas
Knäbchen – Partner Enterprise Risk Services, Deloitte & Touche GmbH.
Für Deutschland prognostizierte der Experte eine starke Konkretisierung
der technischen Vorgaben in den kommenden drei bis fünf Jahren. Doch
obwohl sich die Unternehmen angesichts der jüngsten Datenschutzvorfälle
der hohen Priorität der Thematik bewusst sind, haben nicht einmal „ein
Viertel der Unternehmen besondere Maßnahmen ergriffen“, berichtete
Knäbchen weiter aus einer aktuellen branchenübergreifenden Umfrage.
Informationsschutz als neue Organisationsform der Zukunft
Die Erkenntnis der Notwendigkeit einer zeitgemäßen Aufstellung und strategischen Ausrichtung des Datenschutzes im Hause veranlassten im Februar diesen Jahres Horst Junghardt – Konzerndatenschutzbeauftragter der
ERGO Versicherungen – zur Projektaufsetzung. „Informationssicherheit,
Datenschutz, IT-Compliance und IT-Risikomanagement sind Themen, die
unbedingt zusammen gehören, bislang aber losgelöst voneinander betrachtet und getrieben werden. All das muss künftig in der neuen Organisationseinheit Informationsschutz zusammengeführt werden“, gab Junghardt
einen Ausblick.
__________________________________________________________________________________________________________
Versicherungsforen Leipzig GmbH
Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel
Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected]
Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271
Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127
1
SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“
_____________________________________________________________________________________________________
Meist getrennte Kompetenzen für Datenschutz und Informationssicherheit
Eine Analyse im Rahmen des Projekts untersuchte in diesem Zusammenhang die Koordination zwischen Datenschutz und Informationssicherheit: Bei der Hälfte der befragten Unternehmen findet danach ein ständiger Austausch statt, bei 18 Prozent dagegen nur ein gelegentlicher. In etwa jedem fünften Fall werden die Funktionen des Datenschutzbeauftragten
(DSB) und des Informationssicherheitsverantwortlichen (CISO) in Personalunion wahrgenommen. Die ERGO plant insbesondere, Synergien an den Schnittstellen Datenschutz (ERGO) und Informationssicherheit (ITERGO) zu optimieren. Darüber hinaus stehen die internationale Ausrichtung des Informationssicherheitsmanagements auf der Agenda und der
Ausbau von Awareness-Maßnahmen für eine Stärkung der internen Akzeptanz des Themas.
Die konkrete Umsetzung soll noch in diesem Jahr starten.
Aufwändige Anforderungen an Dokumentenmanagement wachsen weiter
Wie IT-Sicherheit verstärkt in das Notfall- und Risikomanagement integriert werden kann,
davon berichtete Hartmut Hoyk, Geschäftsbereichsleiter Produktion, ARAG IT GmbH. Das
Unternehmen hat vor wenigen Wochen das Projekt ISO27001 auf Basis von BSI-Grundschutz
abgeschlossen „Das BSI hat mit der Vorgehensweise nach IT-Grundschutz eine Methodik für
ein effektives Management der Informationssicherheit entwickelt, die einfach auf die Gegebenheiten einer konkreten Institution angepasst werden kann.“ Hoyk betonte aber auch, dass
die initiale Erfassung des IT-Verbundes recht aufwändig sei und ständiger Pflege bedürfe.
„Viele selbstständige Dokumente müssen in einen Gesamtkontext und Scope der Betrachtung
eingebunden, das Dokumenten-Management überarbeitet und Unterlagen regelmäßige aktualisiert werden.“
Koordinatoren territorial und nach Schlüsselbereichen aufgestellt
„Eine Firma bricht zusammen, wenn beim Datenschutz kein einheitliches
Management aufgestellt ist“, berichtete Hans-Ulrich Bierhahn, Senior
Consultant Datenschutz bei intersoft consulting services. In seiner Rolle
als externer Datenschutzbeauftragter der DOUGLAS-Gruppe plädierte er
für eine überwiegend zentrale Ausrichtung des Auskunfts- und Beschwerde-Managements. „Damit ist eine einheitliche Bearbeitung der Anliegen
mit hoher Sachkunde der Bearbeiter möglich, rechtlich nicht exakte Antworten können minimiert werden“, nannte Bierhahn einige Vorteile. Darüber hinaus seien unkomplizierte Rückfragen zu Fachabteilungen ebenso wie der einfache
Kontakt zu Datenschutzbehörden gewährleistet. Dabei arbeitet er zusammen mit einem Netz
von Datenschutzkoordinatoren, die einerseits territorial aufgestellt sind und darüber hinaus
bestimmte Schlüsselbereiche abdecken. Genaue Handlungsvorgaben für klar definierte Fälle
und Listen mit Textbausteinen sorgen für einen effektiven, sicheren und gesetzeskonformen
Ablauf.
Vertriebliche Realität bislang weniger betroffen als befürchtet
Im Mittelpunkt der Diskussion des Fachsymposiums standen immer wieder Fragen zur Auswirkung der BDSG-Novellen und des neuen Gesetzes gegen den unlauteren Wettbewerb
__________________________________________________________________________________________________________
Versicherungsforen Leipzig GmbH
Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel
Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected]
Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271
Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127
2
SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“
_____________________________________________________________________________________________________
(UWG) auf die klassischen Spannbreiten von Marketing und Vertrieb im Versicherungsunternehmen. Einerseits herrsche eine unklare Rechtslage hinsichtlich weiterer Akteure im
Maklervertriebsweg, auch in puncto Bestandsübertragungen. Andererseits sei die
vertriebliche Realität bislang weniger betroffen als befürchtet. Die Mehrzahl der Teilnehmer
berichtete von mehrstufigen Informationsinitiativen an Außendienstmitarbeiter. Die Maßnahmen reichen hier von Schulungen und selbst entwickelten Computer-Based-Trainings bis
hin zu eigens erstellten Guidelines, Newslettern und Rundschreiben mit Anweisungscharakter. „Möglichst ohne Paragraphen, wenige Seiten und kein Juristendeutsch“ – so sehen unsere neuen Leitfäden zum Datenschutz für Führungskräfte aus, berichtete zum Beispiel Lothar
Bäumler – Compliance-Beauftragter bei der Versicherungskammer Bayern. „Wir können
nicht warten, bis uns die Entwicklungen auf die Füße fallen.“ Für ein geplantes Audit entwickelt das Unternehmen derzeit das Tool „Praktischer Datenschutz“.
Künftige Novellen in aktuelle Projektpläne einbeziehen
„Bei der Gewinnung und Nutzung von Kundendaten darf nie vergessen werden, was das
Marketing will und was auf der anderen Seite über IT-Systeme darstellbar ist“, betonte dabei
Niklas Boslak, Rechtsanwalt bei der Zurich Gruppe Deutschland. Künftige Entwicklungen
sollten dabei schon jetzt in die Umsetzung integriert werden. Denn nach der Novelle ist vor
der Novelle – so auch der Konsens unter den Teilnehmern. Aus dem aktuellen Eckpunktepapier der Datenschutzbeauftragten des Bundes und der Länder liest Boslak vor allem heraus,
dass Einwilligungsklauseln bald an ein ausschließlich aktives Tun des Kunden gebunden und
an begrenzte Nutzungszeiten gekoppelt werden.
Risiken und großer Interpretationsrahmen durch unklare rechtliche Bestimmungen
Einige Punkte der spezifischen neuen Anforderungen an vorherige Einwilligungen (Opt-ins)
für Werbezwecke, die sich aus der zweiten BDSG-Novelle ergeben, seien „vom Gesetzgeber
nicht richtig zu Ende Gedacht worden“, kritisierte Dr. Markus Klinger, Fachanwalt für Informationstechnologierecht (IT-Recht), GSK Stockmann + Kollegen. Das betreffe beispielweise die schriftliche Bestätigung von mündlichen Einwilligungen bei Inbound-Calls. Ebenso
sei bislang unklar, wie detailliert die Formulierung in Generaleinwilligungen ausfallen muss.
„Bislang gibt es hier noch keine Hilfestellung durch die Rechtsprechung. Ebenso viel Arbeit
komme künftig in diesem Zusammenhang auf die IT-Abteilungen hinsichtlich der Dokumentation von Einwilligungen zu.
Erste Guidelines zum Umgang mit Sozialen Netzwerken kommuniziert
Mit höheren gesetzlichen Hürden – beispielsweise im Bereich Telefon-Akquise – steigt vor
allem der Handlungsbedarf im Marketing von Direktversicherern. Hinzu kommt die sinkende Bedeutung von klassischen Werbewegen wie Mailing, Beilagen oder Flyer. „Wir denken
um und erschließen neue jüngere Zielgruppen durch mobile Kommunikation wie Personal
Digital Assistant, iPhone und iPad“, berichtete Georg Büttner, Chief-Security-Officer (CSO),
ERGO Direkt Versicherungen. Besonders das Thema Social Media Netze lasse sich nicht
aufhalten. Das Unternehmen hat bereits eine spezielle Guideline dazu erstellt im Sinne eines
Verhaltenskodex. Mitarbeiter werden motiviert, selbst Account anzulegen. „Alle sollen Knowhow aufbauen und diese neuen Medien kennenlernen“, so Büttner. Sicherheitstechnisch liege
__________________________________________________________________________________________________________
Versicherungsforen Leipzig GmbH
Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel
Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected]
Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271
Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127
3
SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“
_____________________________________________________________________________________________________
das Risiko dabei weniger im technischen Umfeld. „Die offene, nicht zu reglementierende
Kommunikation birgt jedoch Risiken im Bereich Datenschutz“, räumte er ein – für unternehmensinterne Daten und Informationen gleichermaßen wie für die Reputation von Versicherern.
Neue Plattform möchte mit Experten gemeinsam Lösungsansätze erarbeiten
Das komplexe Geflecht von Datenschutz und Informationssicherheit berührt eine Vielzahl
von Unternehmensbereichen, zu denen unter anderem die Bereiche IT, Datenschutz, Compliance, Revision, Vertrieb und Marketing zählen. Daher ist es von besonderer Bedeutung zukünftige Lösungsansatze zur Umsetzung der neuen rechtlichen Rahmenbedingungen, beispielsweise in Form neuer Datenschutzstrategien und -konzepten, gemeinsam zu erarbeiten.
Aus dieser Erkenntnis ergibt sich über das Fachsymposium hinaus die Notwendigkeit der
Einrichtung einer dauerhaften Plattform zum themenbezogenen Erfahrungsaustausch. Die
Versicherungsforen Leipzig haben vor diesem Hintergrund die User-Group „Datenschutz und
Informationssicherheit in Versicherungsunternehmen“ initiiert. Das erste gemeinsame Arbeitstreffen findet am 08./09. Dezember 2010 in Leipzig statt.
Weitere Informationen zur Veranstaltung:
www.versicherungsforen.net/datenschutz
Sabine Müller-Gora
Kompetenzteam „Prozesse, IT und Organisation“
Telefon: +49 (0) 341/1 24 55-43
E-Mail: [email protected]
Die Versicherungsforen Leipzig unterstützen als Wissensdienstleister für die Assekuranz
Fach- und Führungskräfte aus Versicherungsunternehmen beim Know-how-Aufbau und
beim praxisorientierten Erfahrungsaustausch.
Dabei sind sie der Wissenschaftlichkeit genauso verpflichtet wie dem Anliegen der Praxis,
das Wissen anwendungsorientiert zu entwickeln und bereitzustellen. Nah an der Wissenschaft bieten die Versicherungsforen innovative, qualitativ hochwertige, sowohl fachlich
als auch methodisch fundierte Dienstleistungen an.
Sie verstehen sich als neutraler Partner und bilden in einem ganzheitlichen Ansatz nahezu alle aktuellen und relevanten Themen der Branche ab. (www.versicherungsforen.net)
Der kostenfreie Abdruck dieser Pressemitteilung ist gestattet. Belegexemplar wird erbeten.
__________________________________________________________________________________________________________
Versicherungsforen Leipzig GmbH
Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel
Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected]
Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271
Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127
4
Herunterladen