5 Gründe warum der IT-Zeitplan bei der Umsetzung des Code of Conduct aus dem Ruder läuft

Code Of Conduct

 

2012 haben die Datenschutzbeauftragten der Länder, der GDV und die Verbraucherzentrale Bundesverband den Code of Conduct (CoC) verabschiedet. Bis Ende 2014 sind ihm 263 Versicherungen beigetreten. Sie verpflichten sich durch ihren Beitritt, personenbezogene Daten besonders zu schützen.

Zum Beispiel müssen personenbezogene Daten gesperrt werden, wenn ihr Erhebungszweck erloschen ist, aber noch eine gesetzliche Aufbewahrungspflicht besteht.

Das klingt nach viel Arbeit. Ist auch so.

Denn der CoC kennt keine technischen Grenzen - die IT schon! Die Änderungen betreffen alle IT-Systeme der Versicherungen, die personenbezogene Daten speichern. Damit ist der CoC ein zentrales Projekt und eine Mammut-Aufgabe für die IT: Es fällt erheblicher Aufwand für Organisation, Koordination, Konzeption und Umsetzung des Datenschutzkodex an. 

Zwei Jahre nach dem Beitritt müssen alle technischen Auflagen umgesetzt sein.

Und wer aus der IT-Praxis kommt weiß, dass solche übergeordneten Projekte in den heutigen evolutionär gewachsenen und heterogenen IT-Landschaften der deutschen Erstversicherer deutlich mehr Zeit in Anspruch nehmen als eingeplant.

Woran liegt das?

Die wichtigsten Gründe haben wir hier für Sie zusammengetragen:

  1. Die Datenhaltung erfolgt meist dezentral bzw. redundant.
    Die Umsetzung des CoC erfordert eine zentrale Datenhaltung, bei der Anpassungen nur an einer Stelle durchgeführt werden. Die Realität in den heutigen heterogenen Landschaften sieht leider komplett anders aus. Schützenswerte Daten werden z.B. in Bestands-, Vertriebs- und Inkassosystemen redundant geführt. Jedes System greift dabei auf eigene Datenbanksysteme und Berechtigungsmechanismen zurück. Folglich müssen personenbezogenen Daten in jedem System geprüft, gesperrt oder gelöscht werden.

  2. Die organisatorische Betreuung der Systeme liegt häufig nicht in einer Hand.
    Genau wie die Datenhaltung erfolgt auch die Betreuung der einzelnen IT-Systeme dezentral. Das ist insofern besonders ungünstig, da die Umsetzung des Datenschutzkodex Anpassungen an Schnittstellen erfordert und übergreifende Funktionen zur Steuerung implementiert werden müssen. Und das wiederum führt zu einem sehr hohen Abstimmungsaufwand zwischen den unterschiedlichen Abteilungen und Bereichen.

  3. Aufwändige Tests
    Neue übergreifende Funktionen müssen nicht nur umgesetzt, sondern auch getestet werden. Doch die Erfahrung zeigt, dass ein systemübergreifender Test deutlich länger dauert und fehleranfälliger ist als ein autonomer Anwendungstest. Nicht nur die angepassten Systeme müssen technisch interagieren, sondern auch die involvierten Fachbereiche müssen den Test abnehmen. Tritt ein Fehler erst am Ende auf, muss ggf. der gesamte Test wiederholt werden. Das kostet Zeit.

  4. Begegnung mit den Altsystemen
    Der bisherige Fokus der Versicherer lag darin, personenbezogene Daten im Rahmen der gesetzlichen Möglichkeiten möglichst lange für statistische Auswertungen zu behalten. Für evolutionär gewachsene Systeme sind daher nicht nur Anpassungen zur Sperrung und Löschung von personenbezogenen Daten notwendig. Die erforderliche Neukonzeption der Datenhaltung und der Schnittstellenlogik dieser „Altsysteme“ wird unterschätzt, da das benötigte KnowHow auf wenige Schlüsselfiguren verteilt ist oder sogar bei Mitarbeitern liegt, die das Unternehmen bereits verlassen haben.

  5. Die IT-Welt dreht sich weiter
    Die Umsetzung des CoC könnte einen gesamten IT-Bereich langfristig komplett auslasten. Aber es kommen weitere gesetzliche und fachliche Anforderungen auf die Versicherer zu, die ebenfalls erfüllt werden sollen. So muss beispielsweise aktuell das Lebensversicherungsreformgesetz zeitgleich in den CoC-relevanten Systemen umgesetzt werden. Die Komplexität des Projekts nimmt fast täglich zu.

Die Folge: Der Zeitplan läuft aus dem Ruder

Die Versicherer sind zwar nicht verpflichtet, über den Status der Umsetzung der CoC-Richtlinien zu berichten. Aber viele Unternehmen lassen durchsickern, dass sie weit hinter ihrem eigenen Zeitplan liegen. Oder noch gar nicht mit der Umsetzung begonnen haben. Dabei ist der Schutz personenbezogener Daten in der digitalen Welt und in Zeiten von NSA- und BND-Skandalen kein Thema, das man hinten anstellen kann.

Was also tun?

Wir verstehen die Herausforderungen der IT-Abteilungen und zollen ihnen Respekt. Aber so schwierig es auch ist, die Umsetzung des CoC voranzutreiben, so überzeugt sind wir davon, dass das Thema mit Prio 1 verfolgt werden muss. Dabei geht es nicht nur um das Top-Thema Datenschutz sondern auch um wichtige Veränderungen der bestehenden Strukturen in den IT-Abteilungen, die die Zukunftsfähigkeit des Unternehmens sicherstellen.