Können Versicherer ihre Cloud-basierten Geschäftsprozesse datenschutzsicher gestalten?

Die Versicherungsbranche verändert sich rasant: umfassende technologische Neuerungen und der digitale Wandel halten Einzug. Aus dieser Entwicklung ergeben sich vielfältige neue, meist zusätzliche Anforderungen an die IT: kostengünstige Bereitstellung von IT-Services mit schnellen, flexiblen und am Bedarf des Tagesgeschäfts ausgerichteten Lösungen. Eine aktuelle Marktsicht von Nadine Schmitz.

An dieser Stelle nehmen Cloud-Services eine zunehmend wichtige Rolle ein von der Verbesserung der Zusammenarbeit zwischen Fachbereichen und dem IT-Bereich über die Digitalisierung interner Prozesse bis hin zur Steigerung der Effizienz und Reduktion von Kosten ein.

Diesen Möglichkeiten stehen jedoch erhöhte Anforderungen an Sicherheit, Datenschutz und Compliance gegenüber. Hier sehen insbesondere Finanzunternehmen die größten Herausforderungen und Hindernisse gemäß unserer Studie (KPMG AG) in Zusammenarbeit mit der Bitkom Research GmbH „Cloud-Monitor 2020 – Die Integrationsfähigkeit und Interoperabilität der Cloud stärken“:

Datensicherung und Compliance als Hemmschuh für den Einsatz von Cloud Services?

Bei allen Vorteilen und der Flexibilität, die Cloud Services bieten: zwischen der Versicherung und dem Betreiber der Cloud Services werden eine Vielzahl von z.T. sensiblen Daten ausgetauscht. Mit zunehmender Verlagerung dieser Art von Daten, insbesondere z.B. personenbezogener Daten, stellt sich auch die Frage der Datensicherheit.  

Zunächst ist es deshalb sinnvoll, den Zweck und den Umfang der Datennutzung sowie die damit verbundenen Risiken zu analysieren. Dies umfasst u.a. die Definition des Anwendungsfalls für Cloud Services („Cloud Use Case“), die Analyse der betroffenen, auszutauschenden Daten, die Compliance-Anforderungen, die auf sie wirken sowie eine Anbieterqualifikation. Zusammengefasst werden die Analyseergebnisse in einer cloud-spezifischen Risikoanalyse.

Dabei sollte ein besonderer Schwerpunkt auf Sicherheitsmaßnahmen gelegt werden, die sich an gängigen Informationssicherheitsstandard für Cloud Services orientieren. Zu nennen sind hier insbesondere der Kriterienkatalog Cloud (C5) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und die Cloud Controls Matrix (CCM) der Cloud Security Alliance (CSA) sowie ISO / IEC 27017. Die Auswahl kann auf die individuelle Unternehmenssituation (z.B. lokale oder internationale Aktivitäten) zugeschnitten werden.

Der gewählte Anforderungskatalog stellt im Folgenden die Basis für die Steuerungs- und Überwachungsprozesse des Cloud-Anbieters. Hierbei kann ein Betreiber von Cloud Services auch Nachweise zur Einhaltung der Standards in Form von Zertifizierungen durch unabhängige Dritte (ISO / IEC 27017) oder externe Prüfberichte (C5 und CCM) bereitstellen. Diese Art der Nachweise sollte heutzutage die Grundlage einer Zusammenarbeit zwischen Versicherung und Cloud-Anbieter darstellen.

Jedoch reichen sie gemäß aktuellen aufsichtsrechtlichen Anforderungen, z.B. Hinweisen der BaFin (BaFin-Merkblättern) oder den von der EIOPA veröffentlichten Konsultationspapieren zum Outsourcing, nicht aus. Die Versicherung sollte deshalb weitergehende Maßnahmen (z.B. Überwachungsmaßnahmen im Bereich von Schwachstellen, Sicherheitsvorfällen und Störungen) umsetzen und zur Umsetzung dieser ergänzenden Prüfrechte die vertragliche Grundlage mit dem jeweiligen Anbieter schaffen.

Durch das EUGG-Urteil zu Schrems II wird die Datensicherheit in der Cloud vor neue Herausforderungen gestellt: Der Transfer von personenbezogenen Daten in die USA oder andere Drittländer auf Basis von Standardvertragsklauseln ist, wenn überhaupt, nur Anwendung zusätzlicher Schutzmaßnahmen denkbar.

Autorin: Nadine Schmitz, Partner Financial Services bei KPMG