Weitere Schutzvorgaben
Neben den versicherungsrechtlichen treffen Versicherer und IT-Dienstleister, weitere gesetzliche Vorgaben zum Schutz der IT-Systeme und zum Schutz der verarbeitenden personenbezogenen Daten.
1. IT-Sicherheit
Besonders in Bezug auf die IT-Systeme, mit denen die Informationen verarbeitet werden, stellt sich die Frage, ob diese nicht den erhöhten Sicherheitsanforderungen des IT-Sicherheitsgesetzes genügen müssen.
Dies ist nach der BSI KRITIS-Verordnung dann zu bejahen, wenn bei der Inanspruchnahme einer Versicherungsleistung ein IT-System, wie zum Beispiel ein Vertragsverwaltungssystem, eingesetzt wird, das jährlich eine bestimmte Anzahl von Leistungsfällen abwickelt. Die BSI-Kritis-Verordnung gibt hierbei für verschiedene IT-Systeme unterschiedliche Fallzahlen vor.
- Coaching
Ermöglichen Sie Ihren Sicherheitsexperten einen regelmäßigen Zugang zu Coachings. So sorgen Sie dafür, dass Ihre Angestellten in Sachen neue Technologien immer auf dem Stand der Dinge sind. - Abwechslung
Sie sollten davon absehen, IT-Security-Experten für längere Zeit mit ein und demselben Projekt zu betrauen. Das führt zu Motivations-Stagnation, die wiederum in geringerer Zufriedenheit münden könnte. Um sicherzustellen, dass Ihre Experten mit ihrem Job zufrieden sind, sollten Sie für regelmäßige Rotation bei der Projektarbeit sorgen. - Dampf ablassen
Durch den Zugang zu allerlei vertraulichen Informationen und die Verpflichtung zur Verschwiegenheit in diesen Angelegenheiten kann das Feld der IT-Security für Mitarbeiter eine gesteigerte Stressbelastung bedeuten. Deshalb brauchen diese Angestellten einen sicheren Rückzugsort, um diesen Stress abzubauen. Sie sollten also dafür sorgen, dass Ihre Sicherheitsexperten wissen, wen Sie in einem solchen Fall ansprechen können. Außerdem sollten Sie auch in Erwägung ziehen, besonders belastete Projekte nach dem Rotationsprinzip zu vergeben. - Karriere-Chancen
Jeder sucht nach Möglichkeiten, in seinem Job voranzukommen. Stellen Sie sicher, dass Ihre Mitarbeiter diese Chance bekommen - zum Beispiel durch neue Projekte oder auch Beförderungen. Zudem sollten Ihre IT-Sicherheitsexperten auch die Chance bekommen, Stagnation durch Zertifizierungen und/oder Weiterbildungen zu verhindern. - Fortbildungen
Ihre Security-Spezialisten sollten zudem über alle Zusatz-Zertifizierungen und Weiterbildungsmöglichkeiten informiert sein. So stellen Sie sicher, dass die Mitarbeiter mit Begeisterung bei der Sache sind. - Erfolg messen
Um erfolgreich im Job zu sein, ist es wichtig zu wissen, wie man eigentlich performt. Ihre Mitarbeiter sollten also Zugriff auf sämtliche kritische Daten bekommen - etwa wie viele Viren identifiziert und gestoppt werden konnten und welche nicht. Indem Sie Ihren Sicherheitsexperten diese Fakten vor Augen führen, können diese erkennen, welche Auswirkungen ihre Arbeit auf das gesamte Unternehmen hat. - Umgang mit Stress
Stress gehört zum Berufsbild eines jeden IT-Security-Spezialisten. Gerade deshalb sollten Sie dafür sorgen, dass Ihre Mitarbeiter wissen, wie sie besonders stressintensive Situationen meistern können. Gerade im Fall von ernsthaften Security-Vorfällen stehen Sicherheitsexperten in der Regel unter massivem Druck. Lassen Sie Ihre Spezialisten nicht im Stich, sondern geben Sie Ihnen - zum Beispiel in Form von Trainings - Werkzeuge zur Stressbewältigung an die Hand. Das reduziert auch das Burnout-Risiko. - Work Life Balance
Das hohe Maß an Verantwortung, das IT-Sicherheitsexperten tragen, begünstigt nicht gerade eine gesunde WorkL Life Balance. Entscheider sollten daher dafür eintreten, dass Ihre Mitarbeiter einem ausgewogenen Zeitplan folgen und sie ermutigen, Urlaubstage und flexible Arbeitsumgebungen in Anspruch zu nehmen. - Interesse aufrechterhalten
Sowohl langjährige Mitarbeiter und Neueinsteiger verfügen über Wissen und Erfahrungen, die sie miteinander teilen sollten. Um Mitarbeiter aller Ebenen einzubeziehen, sollten Sie IHre Sicherheitsspezialisten zu Mentorship-Programmen ermutigen. - Gleichbehandlung
Betonen Sie gegenüber Ihren Mitarbeitern, dass die Meinungen und Ideen eines jeden einzelnen Mitarbeiters wichtig sind - unabhängig von ihrem Titel oder der Betriebszugehörigkeit. So motivieren Sie Ihre Angestellten, "out of the box" zu denken und ihre Ideen auch zum Ausdruck zu bringen. Das vermittelt ein Gefühl von Wertschätzung und sorgt im besten Fall für eine langfristige Bindung IHrer Sicherheitsexperten.
Wird diese Tätigkeit nun an einen IT-Dienstleister ausgelagert, bleibt der Versicherer nach § 1 Nr. 2 BSI KritisV weiterhin Verantwortlicher. Denn anders als im Finanzwesen kommt es nicht allein darauf an, welches Unternehmen das IT-System innehat und betreibt (tatsächliche Sachherrschaft). Vielmehr sind im Versicherungswesen auch rechtliche Umstände, wie das Weisungsrecht des Versicherers, zu beachten. Deshalb ist der Versicherer oft selbst als so genannter KRITIS-Betreiber anzusehen, auch wenn er die Leistung an einen Dritten auslagert hat (vgl. § 7 Abs. 8 BSI-KritisV).
Der Versicherer muss dann dafür Sorge tragen, dass angemessene technische und organisatorische Maßnahmen nach dem Stand der Technik getroffen werden, um die Funktionserhaltung der Leistung "Telematik" zu gewährleisten.
Darüber hinaus können sich Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Ausfällen oder Beeinträchtigung der IT-Systeme ergeben. Es ist also darauf zu achten, dass sich die Versicherer, zur Erfüllung dieser Aufgaben, ausführliche Weisungsrechte gegenüber ihrem IT-Dienstleister vorhalten.
Auch nach weiteren spezialgesetzlichen Regelungen können sich Anforderungen ergeben. So zum Beispiel beim Betreiben einer App (vgl. § 13 Abs. 7 TMG). Die Anforderungen des Telekommunikationsgesetzes (TMG) treffen den Anbieter von digitalen Diensten, also jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Dies sind nach der weitgefassten Definition sowohl die Versicherungsunternehmen, als auch die Telematik Unternehmen.
2. Datenschutz
Auch datenschutzrechtlich gibt es einige Besonderheiten zu beachten. Viele Telematik-Angebote beziehen sich gerade auf die Verarbeitung von Gesundheitsdaten der Versicherten. Die EU-Datenschutzgrundverordnung(DSGVO) gibt jedoch gerade für Gesundheitsdaten vor, dass eine Verarbeitung grundsätzlich nicht gestattet ist, es sei denn, es liegt ausnahmsweise ein Rechtfertigung vor.
Eine solche Rechtfertigungsgrundlage wird nur in der Einwilligung des Betroffenen zu sehen sein.
- Großbritannien: Cabinet Office
In Großbritannien gingen 2008 sicherheitspolitisch brisante Daten bezüglich Al-Qaida und den Irak aufgrund eines menschlichen Fehlers verloren. Ein Angestellter des Cabinet Office, welches direkt dem Premierminister und den Ministers of Cabinet untersteht, muss mit seinen Gedanken schon ganz im Feierabend gewesen sein, als er seine Arbeitsunterlagen in einem Pendelzug liegen ließ. Ein Fahrgast fand den Ordner mit den streng geheimen Dokumenten und übergab diesen der BBC, die ihn wiederum an die Polizei weiterleitete. Obwohl die Tagträumerei gerade noch einmal gut ging, wurde der Beamte daraufhin wegen Fahrlässigkeit suspendiert. - Frankreich: TV5 Monde
Am 8. April 2015 wurde das Programm von TV5 Monde über mehrere Stunden hinweg blockiert, nachdem sich eine dem IS nahestehende Hacker-Gruppe namens „Cyber-Kalifat“ Zugang zu den IT-Systemen verschafft hatte. Nur einen Tag nach der Cyberattacke erlebte der französische TV-Sender ein Datenschutz-Debakel – dieses Mal aufgrund menschlichen Versagens: Reporter David Delos enthüllte während eines Interviews unabsichtlich die Passwörter für Social-Media-Konten des Senders - darunter YouTube, Instagram und Twitter. Diesen waren auf dem Whiteboard hinter dem Pechvogel zu sehen. Auch wichtige Telefonnummern waren zu sehen. Darüber hinaus offenbarte die Wand auch, wie es zum vorangegangenen Hack durch die Islamisten-Hacker kommen konnte: Und zwar in Form des Passwortes für den YouTube-Account von TV5 Monde: "lemotdepassedeyoutube" ( „daspasswortfüryoutube“). - USA: Department of Veterans Affairs
Im Mai 2006 stahl ein Einbrecher den Laptop eines Mitarbeiters des US-Kriegsveteranen-Ministeriums. Dabei wurden ganze 26,5 Millionen Datensätze, die Informationen zu Kriegsveteranen und deren Angehörigen enthielten, entwendet. Der Bestohlene hatte die Daten unerlaubter Weise auf dem Notebook gespeichert, um "von Zuhause aus arbeiten zu können". Dieses menschliche Fehlverhalten wurde darin noch verstärkt, dass die Daten gänzlich unverschlüsselt auf der Festplatte lagen. Einen Monat später tauchte das Device mitsamt den Daten wieder auf - angeblich, ohne Anzeichen einer Kompromittierung. Der entstandene Schaden wurde dennoch auf einen Betrag von 100 bis 500 Millionen Dollar geschätzt. Alleine 20 Millionen Dollar musste das Department of Veteran Affairs in der Folge als Ausgleich an die Geschädigten entrichten. - Norwegen: Steuerbehörde
Im Herbst 2008 hat die norwegische Steuerbehörde Daten zur Einkommenssteuer aller vier Millionen Norweger an Zeitungen und Rundfunkanstalten verschickt. Die Behörde veröffentlicht diese Zahlen jährlich, mit dem Ziel die Bürger zu ehrlichen Steuerzahlern zu "erziehen". Außergewöhnlich ist daran nur, dass in diesem Fall auch die sogenanten Personennummer mitveröffentlicht wurde. Diese besteht aus einer Zahlengruppe und dem Geburtsdatum des Bürgers und wird für gewöhnlich von den Daten abgetrennt, um Anonymität zu gewährleisten. Offiziell ist hierbei nicht von einem menschlichen Fehler die Rede, sondern von einem "Formatierungsproblem". - Belgien: Gesellschaft der Belgischen Eisenbahnen
Die nationale Gesellschaft der Belgischen Eisenbahnen (NBMS) machte Anfang 2013 einen Ordner mit 1,5 Millionen persönlichen Daten ihrer Kunden via Web öffentlich zugänglich. Aus Versehen. Schuld war ein Mitarbeiter, der einen falschen Knopf gedrückt hat. Die Datensätze enthielten Namen sowie Wohn- und E-Mail-Adressen von NMBS-Kunden - darunter auch die von Mitarbeitern und Abgeordneten der EU-Institutionen in Brüssel.
Aus der DSGVO ergeben sich daneben aber auch noch viele weitere Anforderungen. So ist bereits bei der Planung und Programmierung der Software der Datenschutz mit einzubeziehen (Privacy by Design).
Darüber hinaus sind die Voreinstellungen in der Software datenschutzfreundliche zu gestalten (Privacy by Default). Letzteres bedeutet, dass der Nutzer aktiv die "Häkchen" als Zustimmung zur Verarbeitung seiner personenbezogenen Daten setzt - und diese nicht bereits gesetzt sind.
Darüber hinaus fordert auch die DSGVO, dass die IT-Systeme, mit denen die personenbezogenen Daten verarbeitet werden, zum Schutz der personenbezogenen Daten zu schützen sind. So sollen unter Berücksichtigung des Standes der Technik geeignete und organisatorische Maßnahmen zu treffen sein, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
Vor allem aber ist der Betroffene umfassend über die gesamte Datenverarbeitung, die Empfänger der Daten sowie seine Rechte auf Auskunft, Berichtung, Löschung und Sperrung zu informieren.
Ein guter Vertrag ist Grundvoraussetzung
Versicherer und IT-Dienstleister sind somit gefordert, die Einhaltung der gesetzlichen Vorgaben in einen Vertrag zu gießen. Elementar für den Versicherer sind darüber hinaus aber noch zwei weitere Aspekte:
Sicherstellung der Verfügbarkeit
Hinreichende Unterstützung des IT-Dienstleisters beim Exit
1. Verfügbarkeit
Der Versicherer sollte über vertragliche Abreden sicherstellen, dass die Leistung "Telematik" stets für ihn und seine Versicherte verfügbar ist. Denn nur dann funktioniert auch das Geschäftsmodell.
Sollte es dennoch einmal zu Störungen oder einem Ausfall kommen, ist ein schnelles Handeln hinsichtlich des IT-Dienstleisters notwendig, um den Schaden für alle Beteiligten zu minimieren und die Funktionsfähigkeit schnellstmöglich wiederherzustellen. Dies erfolgt regelmäßig über die Vereinbarung von schnellen Reaktions- und Lösungszeiten, deren Verletzung eine Vertragsstrafe nach sich zieht.
2. Exit
Nach Beendigung des Vertragsverhältnisses gilt es alle Informationen und Daten wieder zum Versicherer zurückzuführen oder einem neuen IT-Dienstleister zur Verfügung zu stellen. Dies wird regelmäßig über die Vereinbarung von gewissen Übergangsleistungen des alten IT-Dienstleisters ermöglicht. Diese sind eindeutig zu definieren.
Um zudem keine bösen Überraschungen zu erleben, sollten auch die Regelungen zur Vergütung dieser Übergangsleistungen aufgenommen werden.
Schlussfolgerung
Die Ausgliederung einer Datenverarbeitung im Rahmen von Telematik-Tarifen unterliegt stets der Beachtung von regulatorischen Vorgaben. Obwohl die Letztverantwortung bei der Geschäftsleitung des Versicherers liegt, haben auch die IT-Dienstleister aufgrund der obligatorischen Bestimmungen in der betreffenden Ausgliederungsvereinbarung erhebliche vertragliche Pflichten gegenüber dem Versicherer einzugehen und zu erfüllen. Ergänzt werden die regulatorischen Aspekte von den Vorgaben zur IT-Sicherheit und zum Datenschutz.
Versicherer und IT-Dienstleister sollten deshalb bei der Vertragsanbahnung jeweils entsprechend Zeit einzuplanen, um im Vorfeld die gesetzlichen Anforderungen sorgfältig und einvernehmlich zu klären und vertraglich festzulegen.