Die Versicherungswirtschaft arbeitet mit personenbezogenen Daten. Somit sind automatisch in jedem Versicherungsunternehmen sensible Daten gespeichert. Die IT-Abteilung ist für die fachgerechte Speicherung der Daten zuständig. Dies beinhaltet auch den Schutz vor Cyberkriminalität, zum Beispiel Datendiebstahl. Welche Anforderungen an die IT bestehen, ist in der VAIT geregelt. Doch was bedeuten die Neuerungen in der VAIT für den Datenschutz in der Versicherungswirtschaft?
Was ist die VAIT?
Versicherungsunternehmen in Deutschland unterliegen den gesetzlich festgelegten Anforderungen des Versicherungsaufsichtsgesetz (VAG). Zur genaueren Definierung dieser Anforderungen veröffentliche die BaFin 2018 die verpflichtenden versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Das heißt, die VAIT interpretieren die im VAG festlegten Normen. Ziel ist die Weiterentwicklung der IT-Systeme in der Versicherungsbranche. Auf diese Weise soll die IT-Governance sicherer gestaltet werden.
Der Fokus liegt unter den verschiedenen IT-Strukturen, vor allem am Risikomanagement. Auch wenn eine Versicherungsgesellschaft die IT-Leistungen an Dritte auslagert, haftet sie selbst für die sichere Verarbeitung der sensiblen Daten. Daher beinhaltet die VAIT unter anderem die Forderung einer Risikoanalyse vor der Zusammenarbeit mit IT-Dienstleistern. Außerdem soll die VAIT garantieren, dass die IT-Security in jeder Versicherungsgesellschaft auf dem aktuellen technischen Entwicklungsstand agiert.
Die letzten Neuerungen der VAIT
Die Neuerungen lasse sich am besten in der Infografik zur neuen VAIT Novelle überblicken. Kern der Novelle ist die Prozessoptimierung von IT-Vorgängen in Versicherungsunternehmen. Durch die erhöhte Informationssicherheit werden Risiken geringer und interne Vorgänge laufen effizienter ab. In Kraft getreten ist die Novelle am dritten März 2022. Sie beinhaltet zwei neue thematische Aspekte und Anpassungen bereits bestehender Normen.
Operative Informationssicherheit
Hinzugefügt wurde die operative Informationssicherheit, die die Widerstandsfähigkeit der IT-Sicherheit fördern soll. Dazu müssen Bedrohungen zeitnah und regelbasiert identifiziert, bewertet und beobachtet werden. Zudem soll die operative IT-Sicherheit von den Informationssicherheitsmaßnahmen abgegrenzt werden. Geprüft werden soll die IT-Sicherheit regelmäßig wie auch anlassbezogen.
IT-Notfallmanagement
Ebenso wie die Maßnahmen zur operativen IT-Sicherheit wurden in der neuen VAIT Maßnahmen zum IT-Notfallmanagement hinzugefügt. Die hier vorgestellten Vorkehrungen sollen bei Eintreten eines IT-Notfalls die Fortführung der Geschäftstätigkeit sicherstellen. Zu diesem Zweck muss ein Notfallkonzept mit einigen Cases erarbeitet werden. Darüber hinaus ist die Effektivität der IT-Notfallpläne zu überprüfen. Auch für den Totalausfalls des Rechenzentrums soll ein Konzept zum Prozessablauf entwickelt werden.
Diese IT-Strukturen betrifft die VAIT
In einer Umfrage zur Cyberkriminalität gab etwas mehr als ein Drittel der befragten deutschen Unternehmen an, schon einmal vom Diebstahl sensibler Daten betroffen gewesen zu sein. Grund dafür sind nicht nur die allgemeine Digitalisierung und Automatisierung. Auch die vermehrte Arbeit im Homeoffice stellt Versicherungsgesellschaften vor Sicherheitsrisiken. Um die Vertraulichkeit der Daten gewährleisten zu können, sind die Neuerungen der VAIT vor allem den bereits genannten Bereichen umzusetzen: Der operativen Informationssicherheit und dem IT-Notfallmanagement. Darüber hinaus sollen sich gleichzeitig weitere IT-Bereiche weiterentwickeln. Dazu gehören etwa die IT-Projektentwicklung, der IT-Betrieb sowie das Rechte-Management. Ebenso ist die IT-Strategie teilweise von der Novelle betroffen.
Weitere rechtliche Pflichten für Versicherungsunternehmen
Versicherungsgesellschaften in Deutschland unterliegen nicht nur dem deutschen Recht und somit der VAG sowie der VAIT. Auch die Europäische Datenschutzgrundverordnung (DSGVO) aus dem Jahr 2018 betrifft Maßnahmen im IT-Bereich. Denn diese europäische Verordnung fordert ebenso technisch und organisatorisch adäquate Maßnahmen zur IT-Sicherheit.
Herausforderungen für die Versicherungsbranche durch die Digitalisierung
Auch wenn die hauseigene IT mit einem intelligenten Netzwerk arbeitet, werden die Anforderungen in Zukunft steigen. Denn setzen sich neue IT-Standards durch, versuchen Cyberkriminelle neue Wege zu deren Umgehung zu finden. So geht eine ständige Entwicklung der Cyber-Security vonstatten. Diese gesamtwirtschaftliche Entwicklung betrifft nicht nur die Versicherungsbranche, sondern alle Unternehmen.
Fazit
Die Abkürzung VAIT steht für versicherungsaufsichtliche Anforderungen an die IT. Diese gesetzlichen Anforderungen existieren bereits seit 2018, wurden aber 2022 aktualisiert. Neu sind Vorgaben für die operative Informationssicherheit, etwa das Monitoring von Bedrohungen. In der Novelle hinzugekommen ist auch das IT-Notfallmanagement. Dieses hat unter anderem Notfallpläne für den teilweisen oder totalen Ausfall des Rechenzentrums zu erarbeiten. Diese und weitere Maßnahmen aus der Novelle betreffen die beiden genannten IT-Bereiche und weitere Abteilungen, zum Beispiel die IT-Projektentwicklung. Das Risikomanagement personenbezogener Daten nach aktuellem Stand der Technik fordert allerdings nicht nur die VAIT, sondern auch die DSGVO auf EU-Ebene. Die gesetzlich verankerten IT-Maßnahmen sind sinnvoll, da sich der Datenschutz in der Versicherungswirtschaft ohnehin kontinuierlich weiterentwickeln muss.
Sie haben eine Meinung zu diesem Thema oder wollen sich selbst als Experte einbringen? Nur zu!
Nutzen Sie unser Portal aktiv um Aufmerksamkeit für Ihr Unternehmen und Ihre Dienstleistung zu schaffen. Sie positionieren sich als Experte, geben Ihr Fachwissen weiter und können per Interview oder Fachartikel auf aktuelle Trends und Themen hinweisen und einen direkten Zugang zu 20.000 Lesern Ihrer Zielgruppe erreichen.
Schicken Sie uns eine kurze Mail an info@der-prozessmanager.de und teilen Sie uns Ihre Idee zum Artikel mit.