34 Stunden haben Versicherungsmakler im Jahr 2018 durchschnittlich damit verbracht, die Konformität des Unternehmens mit der DSGVO herzustellen. Und dennoch ist sich ein großer Teil von ihnen nicht sicher, ob die Maßnahmen von Erfolg gekrönt waren. Datenschutz scheitert nicht zuletzt oft an Datensilos.
28 Prozent der Makler des AfW-Vermittlerbarometers antworteten auf die Frage, ob das eigene Unternehmen konform zur DSGVO aufgestellt ist, sie wären sich nicht sicher. Und das trotz der 1,5 Mio. Stunden, die alle registrierten Makler im vergangenen Jahr in die Umsetzung der europäischen Datenschutzgrundverordnung investiert haben. Als ein Problem bei der Einhaltung der Vorschriften können sich insbesondere Redundanzen erweisen.
Löschung und Auskunftsersuchen von Privatpersonen
Im Mai vergangenen Jahres lief die Frist zur Umsetzung der europäischen Datenschutzgrundverordnung an. Ab diesem Zeitpunkt haben Privatpersonen das Recht, von Unternehmen zu erfahren, welche Daten erhoben und gespeichert sind. Sofern keine anderen juristischen Vorgaben dagegen sprechen, zum Beispiel Aufbewahrungspflichten, müssen Unternehmen auf Wunsch der Betroffenen auch deren Daten löschen und darüber dann im Zweifel einen Nachweis führen.
Löschen muss nicht automatisch physikalisches Löschen bedeuten
Eine Entscheidung der österreichischen Datenschutzbehörde (Az. DSB-D123.270/0009-DSB/2018) kann auch für deutsche Versicherer interessant sein. Hier hatte ein Kunde auf die Löschung seiner Daten bestanden, da der für die Speicherung angegebene Zweck nicht mehr erfüllt war. Die Versicherung hatte die Daten der Person anonymisiert und den Kunden darüber informiert. Das war ihm zu wenig und er beschwerte sich.
In ihrer Entscheidung kam die Behörde zu dem Schluss, dass „Löschung und Vernichtung nicht identisch seien. Es liege im Ermessen des Verantwortlichen der Datenverarbeitung, die Löschmethode zu bestimmen.“ Da, wie der Versicherer darlegen konnte, durch die Anonymisierung sichergestellt wurde, dass kein Rückschluss auf die konkrete Person erfolgen konnte, habe die Maßnahme ausgereicht.
Eine solche Umsetzung der DSGVO wird für Versicherer, Makler und andere Unternehmen zu einer nahezu unlösbaren Aufgabe, wenn die Daten ein und derselben Person in mehreren Speichern auftauchen.
Wie Datensilos entstehen
Datensilos entstehen aus technischen oder organisatorischen Gründen. Technische Ursachen liegen meist in fehlenden Schnittstellen zwischen den Systemen. Diese waren gar nicht oder nicht wirtschaftlich darstellbar. Abgesehen von der Problematik mit der DSGVO verursachen Redundanzen stets Mehrarbeit und erhöhte Fehlerquoten. Datensilos entstehen auch als Folge einer nicht vorliegenden IT-Strategie oder eines zu kurz gedachten Bebauungsplans.
Die zweite Ursache sind meist organisatorische Probleme oder das Fehlen einer Governance mit der Folge, dass Nutzer Kundendaten selbst und verteilt eingeben. Klassiker sind beispielsweise Vertriebsdaten auf lokalen Systemen von Außendienstmitarbeitern, von denen der Zentrale nicht einmal etwas bekannt ist. Je länger der Zustand besteht, umso heterogener wird das Umfeld. Das macht es dann zunehmend schwierig, einheitliche Prozesse ablaufen zu lassen oder Daten auszuwerten.
Begünstigt wird die Entstehung von Datensilos immer dann, wenn weniger die Informationsgewinnung und die Analyse bei der Durchführung von Projekten im Fokus stehen, sondern stärker die Abarbeitung von Prozessen.
Datenanalysen, maschinelles Lernen oder KI sollten bei der Gestaltung der IT- und Servicelandschaft heute von Anfang an berücksichtigt werden. Denn die erzeugten und bereits vorhandenen Daten sind ein wichtiger Rohstoff für weitere Analysen.
Silos auflösen – und Hilfe holen
Das Beispiel DSGVO zeigt, dass das Auflösen von Datensilos eine Notwendigkeit der Compliance sein kann. Aus strategischer Sicht sollte die Auflösung von Datensilos eine hohe Priorität besitzen. Für den Erfolg dieses Vorhabens ist es notwendig, dass alle Mitarbeiter mitziehen und die Bedeutung und Vorteile einer einheitlichen Datenbasis erkannt werden.
Hier sollten interne Widerstände nicht unterschätzt werden. Denn vielfach empfinden Abteilungen und Teams das Auflösen ihrer Datensilos bzw. das Löschen von Schattendatenbanken als Zurücksetzung. Es wird die Gefahr gesehen, dass Daten und Informationen durch das Fehlen des Silos falsch gesehen oder interpretiert würden. Die Moderation durch ein externes Unternehmen kann hier zu mehr Verständnis beitragen.
Mit externer Unterstützung kann ein unternehmensweiter Datenkatalog eingeführt werden, der einen Überblick gibt, welche Daten existieren, wofür sie genutzt werden und woher sie stammen. Ein solcher Katalog ist bei der Umsetzung der DSGVO hilfreich und bildet die Grundlage für die Konsolidierung des Datenhaushalts.
Darauf aufbauend kann ein Governance-Programm entwickelt werden. Das Regelwerk stellt sicher, dass die Daten nach geltenden Vorschriften und Standards zusammengeführt und verwaltet werden.
Beide Maßnahmen bilden gemeinsam die Grundlage zur Auflösung der Silos und Neugestaltung der IT-Architektur und der Prozesse. Dies kann ein langwieriger Vorgang sein, der sich dennoch lohnt. Denn die Organisation wird mit einer Vereinheitlichung des Datenhaushalts flexibler und agiler. Und kann dank einheitlicher Schnittstellen auch leichter mit externen Partnern zusammenarbeiten.