SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“ _____________________________________________________________________________________________________ Fachsymposium „Datenschutz und Datensicherheit in der Assekuranz“ der Versicherungsforen Leipzig vernetzt Experten relevanter Unternehmensbereiche Assekuranz geht auf Nummer sicher: IT-Ausrichtung, AwarenessProgramme und Audits im Licht aktueller Datenschutznovellen In welchen Fällen darf ein Versicherer Daten an einen Maklerpool weitergeben? Was gilt als Königsweg bei der Umsetzung der neuen Opt-In-Regelung? Welche Anpassungen auf technischer Seite sind notwendig für die Speicherung von Einwilligungen und Widersprüchen? Die Fragen, die sich aus den aktuellen Novellen des Datenschutzgesetzes (BDSG) ergeben, sind mindestens so vielfältig wie die Interessenslagen der verschiedenen Marktteilnehmer. Das zweitägige Fachsymposium „Datenschutz und Datensicherheit in der Assekuranz“ der Versicherungsforen Leipzig bot somit einen unerlässlichen Beitrag zur aktuellen Debatte. Data protection an Spitze der Sicherheitsinitiativen von Unternehmern Leipzig, 23. Juni 2010. Auf internationaler Ebene hat der Datenschutz bereits heute eine sehr hohe Priorität für die Datensicherheitsverantwortlichen. Nach der diesjährigen Financial Services Global Security Study geben 29 Prozent der Befragten „data protection“ als wichtigste Security-Initiative ihres Unternehmens an. „2009 nahm der Datenschutz hier erstmals einen Platz unter den Top 5 ein, jetzt steht er schon auf dem zweiten Platz im Sicherheitsranking. Das Thema hat sich deutlich etabliert“, resümierte Dr. Andreas Knäbchen – Partner Enterprise Risk Services, Deloitte & Touche GmbH. Für Deutschland prognostizierte der Experte eine starke Konkretisierung der technischen Vorgaben in den kommenden drei bis fünf Jahren. Doch obwohl sich die Unternehmen angesichts der jüngsten Datenschutzvorfälle der hohen Priorität der Thematik bewusst sind, haben nicht einmal „ein Viertel der Unternehmen besondere Maßnahmen ergriffen“, berichtete Knäbchen weiter aus einer aktuellen branchenübergreifenden Umfrage. Informationsschutz als neue Organisationsform der Zukunft Die Erkenntnis der Notwendigkeit einer zeitgemäßen Aufstellung und strategischen Ausrichtung des Datenschutzes im Hause veranlassten im Februar diesen Jahres Horst Junghardt – Konzerndatenschutzbeauftragter der ERGO Versicherungen – zur Projektaufsetzung. „Informationssicherheit, Datenschutz, IT-Compliance und IT-Risikomanagement sind Themen, die unbedingt zusammen gehören, bislang aber losgelöst voneinander betrachtet und getrieben werden. All das muss künftig in der neuen Organisationseinheit Informationsschutz zusammengeführt werden“, gab Junghardt einen Ausblick. __________________________________________________________________________________________________________ Versicherungsforen Leipzig GmbH Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected] Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271 Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127 1 SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“ _____________________________________________________________________________________________________ Meist getrennte Kompetenzen für Datenschutz und Informationssicherheit Eine Analyse im Rahmen des Projekts untersuchte in diesem Zusammenhang die Koordination zwischen Datenschutz und Informationssicherheit: Bei der Hälfte der befragten Unternehmen findet danach ein ständiger Austausch statt, bei 18 Prozent dagegen nur ein gelegentlicher. In etwa jedem fünften Fall werden die Funktionen des Datenschutzbeauftragten (DSB) und des Informationssicherheitsverantwortlichen (CISO) in Personalunion wahrgenommen. Die ERGO plant insbesondere, Synergien an den Schnittstellen Datenschutz (ERGO) und Informationssicherheit (ITERGO) zu optimieren. Darüber hinaus stehen die internationale Ausrichtung des Informationssicherheitsmanagements auf der Agenda und der Ausbau von Awareness-Maßnahmen für eine Stärkung der internen Akzeptanz des Themas. Die konkrete Umsetzung soll noch in diesem Jahr starten. Aufwändige Anforderungen an Dokumentenmanagement wachsen weiter Wie IT-Sicherheit verstärkt in das Notfall- und Risikomanagement integriert werden kann, davon berichtete Hartmut Hoyk, Geschäftsbereichsleiter Produktion, ARAG IT GmbH. Das Unternehmen hat vor wenigen Wochen das Projekt ISO27001 auf Basis von BSI-Grundschutz abgeschlossen „Das BSI hat mit der Vorgehensweise nach IT-Grundschutz eine Methodik für ein effektives Management der Informationssicherheit entwickelt, die einfach auf die Gegebenheiten einer konkreten Institution angepasst werden kann.“ Hoyk betonte aber auch, dass die initiale Erfassung des IT-Verbundes recht aufwändig sei und ständiger Pflege bedürfe. „Viele selbstständige Dokumente müssen in einen Gesamtkontext und Scope der Betrachtung eingebunden, das Dokumenten-Management überarbeitet und Unterlagen regelmäßige aktualisiert werden.“ Koordinatoren territorial und nach Schlüsselbereichen aufgestellt „Eine Firma bricht zusammen, wenn beim Datenschutz kein einheitliches Management aufgestellt ist“, berichtete Hans-Ulrich Bierhahn, Senior Consultant Datenschutz bei intersoft consulting services. In seiner Rolle als externer Datenschutzbeauftragter der DOUGLAS-Gruppe plädierte er für eine überwiegend zentrale Ausrichtung des Auskunfts- und Beschwerde-Managements. „Damit ist eine einheitliche Bearbeitung der Anliegen mit hoher Sachkunde der Bearbeiter möglich, rechtlich nicht exakte Antworten können minimiert werden“, nannte Bierhahn einige Vorteile. Darüber hinaus seien unkomplizierte Rückfragen zu Fachabteilungen ebenso wie der einfache Kontakt zu Datenschutzbehörden gewährleistet. Dabei arbeitet er zusammen mit einem Netz von Datenschutzkoordinatoren, die einerseits territorial aufgestellt sind und darüber hinaus bestimmte Schlüsselbereiche abdecken. Genaue Handlungsvorgaben für klar definierte Fälle und Listen mit Textbausteinen sorgen für einen effektiven, sicheren und gesetzeskonformen Ablauf. Vertriebliche Realität bislang weniger betroffen als befürchtet Im Mittelpunkt der Diskussion des Fachsymposiums standen immer wieder Fragen zur Auswirkung der BDSG-Novellen und des neuen Gesetzes gegen den unlauteren Wettbewerb __________________________________________________________________________________________________________ Versicherungsforen Leipzig GmbH Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected] Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271 Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127 2 SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“ _____________________________________________________________________________________________________ (UWG) auf die klassischen Spannbreiten von Marketing und Vertrieb im Versicherungsunternehmen. Einerseits herrsche eine unklare Rechtslage hinsichtlich weiterer Akteure im Maklervertriebsweg, auch in puncto Bestandsübertragungen. Andererseits sei die vertriebliche Realität bislang weniger betroffen als befürchtet. Die Mehrzahl der Teilnehmer berichtete von mehrstufigen Informationsinitiativen an Außendienstmitarbeiter. Die Maßnahmen reichen hier von Schulungen und selbst entwickelten Computer-Based-Trainings bis hin zu eigens erstellten Guidelines, Newslettern und Rundschreiben mit Anweisungscharakter. „Möglichst ohne Paragraphen, wenige Seiten und kein Juristendeutsch“ – so sehen unsere neuen Leitfäden zum Datenschutz für Führungskräfte aus, berichtete zum Beispiel Lothar Bäumler – Compliance-Beauftragter bei der Versicherungskammer Bayern. „Wir können nicht warten, bis uns die Entwicklungen auf die Füße fallen.“ Für ein geplantes Audit entwickelt das Unternehmen derzeit das Tool „Praktischer Datenschutz“. Künftige Novellen in aktuelle Projektpläne einbeziehen „Bei der Gewinnung und Nutzung von Kundendaten darf nie vergessen werden, was das Marketing will und was auf der anderen Seite über IT-Systeme darstellbar ist“, betonte dabei Niklas Boslak, Rechtsanwalt bei der Zurich Gruppe Deutschland. Künftige Entwicklungen sollten dabei schon jetzt in die Umsetzung integriert werden. Denn nach der Novelle ist vor der Novelle – so auch der Konsens unter den Teilnehmern. Aus dem aktuellen Eckpunktepapier der Datenschutzbeauftragten des Bundes und der Länder liest Boslak vor allem heraus, dass Einwilligungsklauseln bald an ein ausschließlich aktives Tun des Kunden gebunden und an begrenzte Nutzungszeiten gekoppelt werden. Risiken und großer Interpretationsrahmen durch unklare rechtliche Bestimmungen Einige Punkte der spezifischen neuen Anforderungen an vorherige Einwilligungen (Opt-ins) für Werbezwecke, die sich aus der zweiten BDSG-Novelle ergeben, seien „vom Gesetzgeber nicht richtig zu Ende Gedacht worden“, kritisierte Dr. Markus Klinger, Fachanwalt für Informationstechnologierecht (IT-Recht), GSK Stockmann + Kollegen. Das betreffe beispielweise die schriftliche Bestätigung von mündlichen Einwilligungen bei Inbound-Calls. Ebenso sei bislang unklar, wie detailliert die Formulierung in Generaleinwilligungen ausfallen muss. „Bislang gibt es hier noch keine Hilfestellung durch die Rechtsprechung. Ebenso viel Arbeit komme künftig in diesem Zusammenhang auf die IT-Abteilungen hinsichtlich der Dokumentation von Einwilligungen zu. Erste Guidelines zum Umgang mit Sozialen Netzwerken kommuniziert Mit höheren gesetzlichen Hürden – beispielsweise im Bereich Telefon-Akquise – steigt vor allem der Handlungsbedarf im Marketing von Direktversicherern. Hinzu kommt die sinkende Bedeutung von klassischen Werbewegen wie Mailing, Beilagen oder Flyer. „Wir denken um und erschließen neue jüngere Zielgruppen durch mobile Kommunikation wie Personal Digital Assistant, iPhone und iPad“, berichtete Georg Büttner, Chief-Security-Officer (CSO), ERGO Direkt Versicherungen. Besonders das Thema Social Media Netze lasse sich nicht aufhalten. Das Unternehmen hat bereits eine spezielle Guideline dazu erstellt im Sinne eines Verhaltenskodex. Mitarbeiter werden motiviert, selbst Account anzulegen. „Alle sollen Knowhow aufbauen und diese neuen Medien kennenlernen“, so Büttner. Sicherheitstechnisch liege __________________________________________________________________________________________________________ Versicherungsforen Leipzig GmbH Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected] Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271 Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127 3 SYMPOSIUM „DATENSCHUTZ UND DATENSICHERHEIT“ _____________________________________________________________________________________________________ das Risiko dabei weniger im technischen Umfeld. „Die offene, nicht zu reglementierende Kommunikation birgt jedoch Risiken im Bereich Datenschutz“, räumte er ein – für unternehmensinterne Daten und Informationen gleichermaßen wie für die Reputation von Versicherern. Neue Plattform möchte mit Experten gemeinsam Lösungsansätze erarbeiten Das komplexe Geflecht von Datenschutz und Informationssicherheit berührt eine Vielzahl von Unternehmensbereichen, zu denen unter anderem die Bereiche IT, Datenschutz, Compliance, Revision, Vertrieb und Marketing zählen. Daher ist es von besonderer Bedeutung zukünftige Lösungsansatze zur Umsetzung der neuen rechtlichen Rahmenbedingungen, beispielsweise in Form neuer Datenschutzstrategien und -konzepten, gemeinsam zu erarbeiten. Aus dieser Erkenntnis ergibt sich über das Fachsymposium hinaus die Notwendigkeit der Einrichtung einer dauerhaften Plattform zum themenbezogenen Erfahrungsaustausch. Die Versicherungsforen Leipzig haben vor diesem Hintergrund die User-Group „Datenschutz und Informationssicherheit in Versicherungsunternehmen“ initiiert. Das erste gemeinsame Arbeitstreffen findet am 08./09. Dezember 2010 in Leipzig statt. Weitere Informationen zur Veranstaltung: www.versicherungsforen.net/datenschutz Sabine Müller-Gora Kompetenzteam „Prozesse, IT und Organisation“ Telefon: +49 (0) 341/1 24 55-43 E-Mail: [email protected] Die Versicherungsforen Leipzig unterstützen als Wissensdienstleister für die Assekuranz Fach- und Führungskräfte aus Versicherungsunternehmen beim Know-how-Aufbau und beim praxisorientierten Erfahrungsaustausch. Dabei sind sie der Wissenschaftlichkeit genauso verpflichtet wie dem Anliegen der Praxis, das Wissen anwendungsorientiert zu entwickeln und bereitzustellen. Nah an der Wissenschaft bieten die Versicherungsforen innovative, qualitativ hochwertige, sowohl fachlich als auch methodisch fundierte Dienstleistungen an. Sie verstehen sich als neutraler Partner und bilden in einem ganzheitlichen Ansatz nahezu alle aktuellen und relevanten Themen der Branche ab. (www.versicherungsforen.net) Der kostenfreie Abdruck dieser Pressemitteilung ist gestattet. Belegexemplar wird erbeten. __________________________________________________________________________________________________________ Versicherungsforen Leipzig GmbH Geschäftsführer: Dipl.-Kfm. Markus Rosenbaum, Dipl.-WInf. Jens Ringel Querstraße 16 ◦ 04103 Leipzig ◦ Telefon +49(0)341/1 24 55-0 ◦ Fax +49(0)341/1 24 55-99 ◦ E-Mail: [email protected] Gerichtsstand: Amtsgericht Leipzig HRB 25803 ◦ Steuer-Nummer 231/121/11271 Bankverbindung: Sparkasse Leipzig ▪ Bankleitzahl 860 555 92 ▪ Kontonummer 110 098 4127 4