Lesen Sie unseren neuesten Artikel in “Schweizer Versicherung”, wie Datenschutz in Maßnahmen mit erheblichen Mehrwert für Versicherungskunden verwandelt werden können. Autoren: Bernhard Schneider und Konrad Meier.

Die im Mai 2018 eingeführte GDPR Richtlinien – oder auch DSGVO  – und das kommende Schweizer Datenschutzgesetz werden oft als zusätzliche regulatorische Bürde für Versicherer gesehen, die Änderungen in Compliance-Maßnahmen, Prozessen und IT-Systemen impliziert. Dies betrifft die durchgängige Wertschöpfungskette der Versicherungsunternehmen vom Vertrieb über Produkte und Underwriting bis hin zu Querschnittsfunktionen wie der IT-Architektur. Daher bietet sich heute eine fantastische Möglichkeit darüber nachzudenken, wie diese Änderungen in kundenwertsteigernde Aktivitäten umgewandelt werden können. Unser Artikel gibt einen Überblick über die verschiedenen Bereiche und schlägt Aktivitäten vor.

Die neuen Anforderungen des revidierten Schweizer Datenschutzgesetzes lassen sich dabei wie in Abbildung 1 dargestellt in verschiedene Gruppen von Anforderungen einteilen. Je nach Ausgangslage eines Versicherungsunternehmens ergibt sich ein unterschiedlicher Anpassungs- respektive Umsetzungsaufwand zur Sicherstellung der Datenschutz-Compliance. Dabei lassen sich die Anforderungen in „wertbefähigende“ sowie in „wertschaffende respektive wertstiftende“ Bereiche unterteilen.

Den wesentlichen „wertstiftenden“ Bereich bilden die Kernprozesse des Unternehmens. Besonderes Augenmerk sollte hier auf die Kundenprozesse entlang der Wertschöpfungskette gelegt werden, da diese die tägliche Interaktion mit den Kunden oder anderen betroffenen Personen widerspiegeln. Über die Prozesse hinaus gehen dabei zukünftige Projekte und Initiativen, die das Thema Datenschutz berücksichtigen müssen und es insofern einer generellen Verankerung eines allgemeingültigen Vorgehens im Umgang mit Personendaten innerhalb des Unternehmens bedarf. Das Vorgehen sollte dabei dem Aspekt des zunehmenden Einsatzes von neuen Technologien und Methoden Rechnung tragen.

Die Basis für die vom Datenschutz geforderte Transparenz gegenüber den Kunden zur Förderung von Kundenvertrauen wird jedoch in den „wertbefähigenden“ Bereichen gelegt. Dazu zählt die Verankerung der Datenschutz-Thematik im gesamten Unternehmen, repräsentiert durch eine entsprechende organisatorische Verankerung. Dabei ist die generelle Einhaltung der gesetzlichen Anforderungen eine notwendige Bedingung. Das Gesetz bietet nach heutigem Schweizer Entwurf in einigen Bereichen Interpretationsspielraum, zum Beispiel bezüglich der Definition von Profiling oder des automatisierten Einzelentscheides. Damit entsteht aber auch Spielraum für die Umsetzung, abhängig von den individuellen Gegebenheiten des Unternehmens.

kunden

Der richtige Umgang mit den Personendaten kann dabei als hinreichende Bedingung zur Erreichung der Compliance im Sinne des bestehenden und des zukünftigen Datenschutzgesetzes bezeichnet werden. Eine Voraussetzung für den richtigen Umgang ist jedoch, dass umfassende Kenntnisse darüber bestehen, in welchen Systemen welche Personendaten in welcher Form vorhanden sind. Dies ist notwendig, um etwa eine natürliche Person, die eine Anfrage an das Unternehmen stellt, eindeutig identifizieren zu können, um die Anfrage anschliessend entsprechend weiter bearbeiten zu können.

Der Aufbau der technischen Architektur innerhalb eines Versicherers spielt eine wesentliche Rolle – als Aufwandstreiber für die Umsetzung der gesetzlichen Anforderungen einerseits sowie als Treiber der kundenorientierten Lösung andererseits. Eine komplexe und historisch gewachsene IT-Architektur mit einer Vielzahl an Applikationen, die Personendaten enthalten, macht die eindeutige Identifikation einer natürlichen Person bspw. im Rahmen eines Auskunftsbegehrens schwierig. Das „Recht auf Vergessen“ ist namentlich weit über die Landesgrenzen hinweg ein zentrales Thema, das die Versicherer beschäftigt. Die Komplexität und der notwendige Aufwand zur Schaffung eines umfassenden Verständnisses, welche Voraussetzungen geschaffen werden und Massnahmen geplant werden müssen, werden vielfach unterschätzt. Dabei gilt es risikobasiert abzuwägen zwischen ökonomischer Sinnhaftigkeit und betriebenem Aufwand bei gleichzeitiger Erfüllung der gesetzlichen Anforderungen.

Die Umsetzung der neuen Datenschutzvorschriften wird die Versicherungsunternehmen in der Schweiz in den nächsten Monaten und Jahren beschäftigen. Dabei sollte das als Chance verstanden werden, Klarheit und Transparenz gegenüber Kunden zu schaffen, um lange aufgebautes Kundenvertrauen nicht zu gefährden. Des Weiteren kann es als Möglichkeit für Versicherer verstanden werden, Prozesse, Systeme und Applikation einem „Blick aus Sicht der Kunden“ zu unterziehen und auf „wertstiftende“ und „wertbefähigende“ Elemente hin zu überprüfen, ohne dabei die grundsätzliche Einhaltung der gesetzlichen Anforderungen aus dem Blick zu verlieren. Durch eine bereichsübergreifende Zusammenarbeit aus Business, IT sowie Legal & Compliance können die Versicherer für ihre Kunden langfristig einen wichtigen Mehrwert im Umgang mit persönlichen Daten schaffen.

Gerne erläutern und diskutieren wir die spezifischen Anforderungen und notwendigen Tätigkeiten mit Ihnen und freuen uns auf weitere spannende Diskussionen. Kommen Sie daher gerne auf uns zu!