Im Zuge der Digitalisierung migrieren Versicherungsunternehmen Software, Datenverwaltung und -Speicherung in die Datenwolke von Dienstleistern. Elisa Roenneberg erklärt, worauf bei der Auslagerung in die Cloud zu achten ist.
springerprofessional.de: Unternehmen, die Cloud-Dienste in Anspruch nehmen, vertrauen einer externen Firma sensible Daten an. Wie vermeidet ein Versicherer, dass Kunden- wie auch Firmendaten missbraucht werden?
Elisa Roenneberg: Die Auslagerung an externe Dienstleister erhöht per se nicht die Gefahr eines Missbrauchs. Vielmehr sind erfahrene Dienstleister oft besser gegen Cyberangriffe geschützt als ein gegebenenfalls veraltetes eigenes Bestandsführungssystem. Zur Vermeidung von Missbrauch sollte der Versicherer sich dennoch über die technischen und organisatorischen Maßnahmen des Anbieters vergewissern und den Nachweis bestimmter Qualitätsstandards beziehungsweise Zertifizierungen überprüfen. Generell sollte darauf geachtet werden, dass die Datenverarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte betroffener Personen gewährleistet wird.
Worin genau besteht die Sonderstellung von Versicherungsunternehmen in Bezug auf Cloud-Nutzung? Was bedeutet es, dass manche Versicherungsunternehmen als kritische Infrastrukturen einzuordnen sind?
Die Sonderstellung von Versicherungsunternehmen besteht vor allem darin, dass sie aufsichtsrechtlichen Anforderungen unterliegen. Das Hauptziel der Beaufsichtigung ist 'der Schutz der Versicherungsnehmer und der Begünstigten von Versicherungsleistungen'. Deshalb gelten auch bezüglich der Ausgliederung an Cloud-Dienstleister aufsichtsrechtliche Anforderungen.
Kritische Infrastrukturen sind Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Ein Versicherungsunternehmen gilt als kritische Infrastruktur, wenn die Zahl der Leistungs- beziehungsweise Schadenfälle 500.000 pro Jahr oder bei der privaten Krankenversicherung 2.000.000 überschreitet. Wenn ein Versicherungsunternehmen eine kritische Infrastruktur darstellt, dann unterliegt es nicht nur der Aufsicht der BaFin, sondern auch der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI). Das bedeutet, dass das Versicherungsunternehmen dem BSI die Einrichtung von bestimmten technisch organisatorischen Maßnahmen nachweisen und Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit seiner informationstechnischen Systeme, die zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit des Unternehmens geführt haben oder führen können, an das BSI melden muss.
Welche regulierenden Instanzen gibt es und welche Vorgaben machen sie hinsichtlich der Ausgliederung an Cloud-Dienstleister?
Als regulierende Instanzen sind insbesondere die BaFin, also die deutsche Aufsichtsbehörde der Versicherungsunternehmen und EIOPA (European Insurance and Occupational Pensions Authority), also die europäische Aufsichtsbehörde über das Versicherungswesen, zu nennen. Außerdem beaufsichtigt das Bundesamt für Sicherheit in der Informationstechnik Versicherungsunternehmen, die kritische Infrastrukturen sind. Die BaFin hat ihre Vorgaben hinsichtlich der Ausgliederung an Cloud-Dienstleister in dem Merkblatt 'Orientierungshilfe zu Auslagerungen an Cloud-Anbieter', letzter Stand November 2018, zusammengefasst. Laut diesem Merkblatt soll zum Beispiel vor der Auslagerung intern eine Risikoanalyse durchgeführt werden, der Ausgliederungsvertrag selbst bestimmte Informations- und Prüfungsrechte sowohl des Versicherungsunternehmens sowie der BaFin enthalten, und es sollen bestimmte Weisungsrechte des Versicherungsunternehmens vereinbart werden.
Die europäische Aufsichtsbehörde EIOPA verfolgt langfristig das Ziel, die aufsichtsbehördlichen Anforderungen an die Ausgliederung an Cloud-Dienstleister zu vereinheitlichen und befindet sich hierzu im Abstimmungsprozess. Die EIOPA hat am 1. Juli 2019 ein Konsultationspapier zu Leitlinien für das Outsourcing an Cloud-Service-Provider veröffentlicht. Die Leitlinien umfassen unter anderem Governance-Anforderungen an Cloud-Outsourcing einschließlich Dokumentationspflichten und eine Auflistung der Informationen, die an die Aufsichtsbehörden gemeldet werden sollen, sowie Sorgfaltspflichten gegenüber Dienstleistern. Diese Vorgaben sind jedoch bisher nicht verbindlich. Es handelt sich lediglich um Orientierungshilfen.
Die BaFin hat festgestellt, dass aufsichtsrechtliche Vorgaben an die Ausgliederungsverträge, insbesondere die Informations- und Prüfungsrechte der Aufsicht und der beaufsichtigten Unternehmen, vertraglich nicht vollständig umgesetzt werden. Wie lässt sich dies vermeiden?
Sowohl das betreffende Versicherungsunternehmen als auch der Cloud-Dienstleister müssen sich darüber bewusst sein, dass die BaFin gewisse Anforderungen an die Vertragsgestaltung stellt. Insbesondere dürfen Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten sowohl des Versicherungsunternehmens wie auch der BaFin vertraglich nicht eingeschränkt werden. Die Vertragsgestaltung sollte unter Berücksichtigung der Anforderungen der BaFin erfolgen und sich am Merkblatt orientieren.
Was passiert, wenn der Cloud-Server vorübergehend seinen Dienst versagt? Welche Vorkehrungen sind für einen solchen Fall zu treffen?
Für solche Szenarien sollten im Ausgliederungsvertrag sogenannte Exit-Strategien geregelt werden. Es sollte darauf geachtet werden, dass es dem Versicherungsunternehmen jederzeit möglich ist, auf seine beim Cloud-Dienstleister gespeicherten Daten zuzugreifen und diese rücküberführen zu können. Es sollte außerdem sichergestellt werden, dass eine Redundanz der Daten und Systeme vorhanden ist, damit im Fall des Ausfalls die Aufrechterhaltung der Dienste gewährleistet ist.
Was sind die wichtigsten Punkte, auf die ein Versicherungsunternehmen im Vertrag mit einem Cloud-Dienstleister achten, wenn nicht gar bestehen sollte?
Hinsichtlich des Ausgliederungsvertrages sollte das Versicherer darauf achten, dass sowohl dem Versicherungsunternehmen selbst wie auch der Aufsichtsbehörde Informations- und Prüfungsrechte eingeräumt werden, zum Beispiel die Gewährung uneingeschränkten Zugriffs auf Informationen und Daten sowie Zugang zu den Geschäftsräumen des Cloud-Anbieters wie auch die Möglichkeit von Vor-Ort-Prüfungen beim Dienstleister. Es sollten außerdem Weisungsrechte des Versicherungsunternehmens hinsichtlich des Cloud-Dienstleisters hinsichtlich der Berichtigung, Löschung und Sperrung von Daten vereinbart werden. Nicht zuletzt sollten Vereinbarungen getroffen werden, die die Einhaltung der datenschutzrechtlichen Bestimmungen dienen sowie Kündigungsmodalitäten vereinbart werden.
Welche Daten erachten Sie in der Cloud als unbedenklich und was hat dort aus sicherheitsrelevanten Gründen nichts verloren?
Grundsätzlich können aus Sicht eines Versicherungsunternehmens alle Daten an einen Cloud-Dienstleister ausgelagert werden. Bei der privaten Krankenversicherung und Lebensversicherung sowie der Unfallversicherung ist zu beachten, dass es sich bei der Auslagerung von Gesundheitsdaten um eine besondere Kategorie personenbezogener Daten nach Artikel 9 DSGVO handelt und besondere datenschutzrechtliche Bestimmungen hinsichtlich der Verarbeitung gelten.