Unternehmen, die bereits Cloud Computing nutzen, konstatieren „der Cloud“ einen wichtigen Beitrag zur Digitalisierung. So bestätigen neun von zehn Organisationen im Cloud Monitor 2021 von KPMG und Bitkom Research, dass Cloud Computing einen eher großen bis sehr großen Beitrag zur Digitalisierung ihres Unternehmens beiträgt.
Bei denjenigen Unternehmen, die Cloud Computing gegenüber skeptisch eingestellt sind, dominieren die Themen Compliance und Security, wie PWC in seinem Cloud Governance Report berichtet. Demnach geben 60 Prozent der Cloud-skeptischen Unternehmen an, Cloud Computing nicht zu nutzen. Begründung: Die Gefahr, durch die Nutzung von Cloud Services Vorschriften und Gesetze zu verletzen. Knapp mehr als die Hälfte der befragten Unternehmen (52 Prozent) teilen die Sorge, dass die Sicherheit der Unternehmensdaten „in der Cloud“ nicht ausreichend gewährleistet ist.
Trotz dieser Bedenken steigt auch die Akzeptanz von Cloud Computing innerhalb der Versicherungsbranche. Gleichwohl agieren Versicherungen in einem komplexen Regulierungsumfeld mit historisch gewachsenen IT-Landschaften und silohaften Organisationsstrukturen. Deshalb ist die Verlegung von Anwendungen und Daten in die Cloud mit vielen Fragen verbunden – vor allem im Hinblick auf Compliance und Security.
Servicenehmer tragen die Verantwortung
„Grundsätzlich ändert sich für Servicenehmer nicht viel. Denn bei der Übertragung des Anwendungsbetriebes an einen SaaS-Provider bleibt der Servicenehmer in der Pflicht, Compliance und Regulatorik zu entsprechen – genauso, wie zuvor im Eigenbetrieb“, weiß Karsten Schmitt, Leiter Business Development bei adesso insurance solutions.
Der weitreichende Unterschied liegt aber darin, dass sich die Rolle des Servicenehmers ändert: Das Saas-nutzende Unternehmen muss sicherstellen, dass der Servicegeber alle rechtlichen Regelungen beachtet und einhält.
Als wichtigste Regelungen gelten:
- Datenschutz nach DSGVO
- Versicherungsaufsichtliche Anforderungen an die IT (VAIT) der Bafin
- Der C5 Kriterienkatalog Cloud Computing des Bundesamts für Sicherheit in der Informationstechnik (BSI)
- Die EIOPA Guideline für Cloud Outsourcing.
Ausgehend von diesen Anforderungen ist ein SaaS-Angebot immer auf seine Durchführbarkeit durch den Serviceanbieter zu prüfen. Um auch interne Bedenken auszuräumen, muss die Auswahl eines Cloudanbieters durch die Versicherung mit einem Risikoaudit und einer Prüfung einhergehen. Daher ist sicherzustellen, dass die Kriterien aus den unterschiedlichen Vorschriften in dem SaaS-Angebot eingehalten werden.
Rollenwechsel: Vom On-premises-Betrieb zum IT-Providermanager
Der Bezug von Versicherungssoftware als Service benötigt neben Zeit eine gewissenhafte Vorbereitung. Vor allem muss eine IT-Organisation so transformiert werden, dass sie die nötigen Fähigkeiten besitzt, vom On-premises-Betrieb in die Rolle des IT-Providermanagements zu wechseln. Das sollte ein wichtiger Teil der Cloud-Strategie sein.
Dieser Blogbeitrag ist der letzte Teil einer dreiteiligen Reihe unter dem Motto „Versicherungssoftware aus der Cloud“. In einem ersten Beitrag haben wir das Thema vor dem Hintergrund des digitalen Wandels betrachtet, darauf folgte der Blick auf die technische Umsetzung.
Wenn Sie darüber hinaus erfahren möchten, welche Kriterien ein SaaS-Provider hinsichtlich Regulatorik und Datensicherheit im Versicherungsumfeld erfüllen muss, laden Sie sich jetzt unser kostenloses Whitepaper Plug & Play – Anwendungslandschaft für Versicherungen als Software as a Service herunter.
Sie planen, Ihre IT zu modernisieren und spielen mit dem Gedanken, von On-Premises-Systemen auf ein SaaS-Betriebsmodell zu wechseln? Dann sprechen Sie uns an. Karsten Schmitt beantwortet Ihre Fragen.