Die Versicherungsbranche und die Folgen des Datenschutzes
Compliance- und Datenschutzsynergien mit Hilfe einer DSFA
Die Versicherungswirtschaft setzt bereits seit Jahren verstärkt auf moderne und digitale Verarbeitungsprozesse. Dabei werden u.a. umfassend Daten gesammelt und ausgewertet, um Kunden individuell zugeschnittene und preisoptimierte Versicherungsprodukte anzubieten.
Damit die Risiken für Kunden, deren Daten gesammelt werden, bei der Planung und Realisierung von Datenverarbeitungsvorgängen auch berücksichtigt werden, sieht die Datenschutz-Folgenabschätzung (DSFA) im Rahmen der EU-Datenschutzgrundverordnung (EU-DSGVO) gemäß Art 35 einen risikoorientierten Ansatz und entsprechende Maßnahmen zur Risikominimierung vor.
Bei der Durchführung einer DSFA muss der Verarbeitungsvorgang systematisch erarbeitet, beschrieben und bewertet werden. Denn nach Art 5, Absatz 2, DSGVO (Rechenschaftspflicht) müssen Sicherheitsvorkehrungen durch geeignete Maßnahmen nachgewiesen werden. Dazu gehören neben den Daten und Prozessen auch die Bewertung der verwendeten Hard- und Software. Eine DSFA sollte insbesondere dann durchgeführt werden, wenn neue Technologien (z.B. Nutzung der Cloud) eingesetzt werden.
Für den Gesamtverband der deutschen Versicherungswirtschaft (GDV) gilt laut Code of Conduct (CoC) vom 1. August 2018 z.B. für Telematikversicherungstarife eine DSFA als Grundvoraussetzung. Insbesondere Art. 26a Abs. 1 lit. c) des CoC empfiehlt, sinnvolle Datenschutz- und Security-Maßnahmen wie Verschlüsselungen zu erwägen.
Dabei soll folgender Ablauf eingehalten werden:
Zunächst wird geprüft, ob die Regelbeispiele aus Art. 35 Abs. 3 DSGVO, die Black- und Whitelists der entsprechenden Landesdatenschutzbehörde und die Empfehlungen der Artikel 29-Gruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) erfüllt sind. Falls dies zutrifft, muss bewertet werden, ob ein hoch einzuschätzendes Risiko vorliegt.
Ein wesentlicher Kern der DSFA bildet die Risikoabschätzung für die Rechte und Freiheiten natürlicher Personen, die hiervon betroffen sind. Daher erfolgt im zweiten Schritt die Risikobewertung mit den Schwerpunkten Vertraulichkeit, Integrität und Verfügbarkeit. Die Eintrittswahrscheinlichkeit und die Schwere des Risikos fließen ebenfalls in die Bewertung mit ein. Orientierungshilfe bietet neben Erfahrungswerten der Erwägungsgrund 75 (beschreibt die Risiken für die Rechte und Freiheiten natürlicher Personen z.B. Diskriminierung, Identitätsdiebstahl, finanziellen Verlust, Rufschädigung) und 91 (Erforderlichkeit einer Datenschutz-Folgenabschätzung) mit einer Auflistung von Risiken und Erforderlichkeiten.
Gemeinsam mit dem für den Datenverarbeitungsvorgang Verantwortlichen, wird die Schwere und Art der Auswirkungen sowie die Sicht der Betroffenen eingeschätzt. Um den Risikowert zu ermitteln, wird mit dem Kunden eine Bedrohungssituation detailliert erarbeitet. Dabei werden auch Eintrittswahrscheinlichkeit und Auswirkungen berücksichtigt.
Nun können gemäß Art 32 Abs. 1 DSGVO gezielt Maßnahmen getroffen werden, um Datendiebstahl, Unterbindung von Brute-Force-Angriffen (automatisiertes, systematisches Ausprobieren von Passwörtern) oder Datenzerstörung abzuwehren. Dazu können folgende Maßnahmen gehören: Transportverschlüsselung, sichere Passwortrichtlinie, geeignete Hardware wie z.B. NAS-Festplatten (direkt ans Netzwerk angeschlossener Festplattenspeicher), regelmäßige und vollständige Backups, Protokollierung und Authentifizierung. Für jeden einzelnen Prozess werden die Abfolgeschritte und das Ergebnis dokumentiert.
Sollte trotz hohem Risiko keine Maßnahme getroffen werden können, ist unbedingt vor der Aufnahme der Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren. Dabei gibt es verschiedene Methoden eine Datenschutz-Folgenabschätzung durchzuführen z. B. mittels Softwaretools oder manuell.
Die wesentliche Bedeutung einer DSFA besteht also darin, mit Hilfe einer Risikobeurteilung und entsprechend eingeleiteten Datenschutz-, Informationssicherheits- und Compliance-Maßnahmen Risiken zu vermeiden.
