Cloud-Compliance für Versicherungen: Nicht den Überblick verlieren

Publish date:

Mit diesen drei Schritten schaffen Versicherungen beim Thema Cloud-Compliance Struktur im „Anforderungs-Dschungel“

Die „IT-Trends“-Studien von Capgemini zeigen, dass der Anteil der aus einer Cloud bezogenen IT-Services branchenübergreifend auf mittlerweile über 70% angewachsen ist. Finanzdienstleister, insbesondere auch Versicherungsunternehmen, nehmen in Bezug auf die Cloud-Nutzung jedoch häufig eine abwartende Haltung ein. Einer der Hauptgründe hierfür ist die hohe Anzahl und Unübersichtlichkeit an Anforderungen, die Behörden und Institutionen an die Cloud-Nutzung von Versicherungen stellen. Wir zeigen, mit welchen drei Schritten diese Compliance-Hürden effizient bewältigt werden können.

Schritt 1: Anforderungen sammeln und gruppieren

Im ersten Schritt gilt es, sich einen Überblick über die Anforderungsquellen zu schaffen. Insbesondere in den letzten drei Jahren wurden vermehrt Regularien auf den Weg gebracht, die Auswirkung haben auf die Art und Weise der Cloud-Nutzung in Versicherungsunternehmen. Die Quellen können in drei Kategorien eingeteilt werden: aufsichtsrechtliche Anforderungen, gewerbliche bzw. steuerrechtliche Anforderungen, sowie Datenschutz- und Sicherheitsanforderungen. Unter den aufsichtsrechtlichen Anforderungen finden sich Auslagerungs-Klassiker wie die MaGo und die VAIT. Jedoch fallen hierunter auch Cloud-spezifische Veröffentlichungen der Bafin und der EIOPA sowie – perspektivisch – auch der Digital Operational Resilience Act (DORA). Die gewerblichen und steuerlichen Anforderungen werden insbesondere dann relevant, wenn rechnungslegungsrelevante Daten bzw. für die Solvenzbilanz relevante Daten in die Cloud ausgelagert oder dort erzeugt werden. In diesem Fall stellen Jahresabschlussprüfer und Gesetzgeber im HGB, dem IDW RS FAIT 1 und Co. ihrerseits Anforderungen an die Auslagerung. In der letzten Kategorie werden Datenschutz- und Sicherheitsaspekte hervorgehoben. Besonders interessant ist hier bei Auslagerung von personenbezogenen Daten natürlich die DSGVO und, je nach Versicherung, ggf. das IT-Sicherheitsgesetz.

Anforderungen an die Cloud-Nutzung_Capgemini Invent
Abbildung 1: Anforderungen an die Cloud-Nutzung

Alle diese Quellen gilt es hinsichtlich relevanter Anforderungen zu bewerten und relevante Ausschnitte zentral zusammenzuführen. Doch die pure Anzahl und Vielfalt der Anforderungen ist auf Dauer überwältigend und in vielen Bereichen überschneiden sich die Anforderungen. Deswegen empfehlen wir die gesammelten Anforderungen in Vorbereitung für die nächsten Schritte in Compliance-Themen zu gruppieren. Zum Beispiel stehen in verschiedenen Anforderungsquellen Textpassagen zur Durchführung einer Risikobewertung des Cloud-Vorhabens. Alle diese Anforderungen sollten dem Themenblock Risikobewertung zugeordnet werden. Auf diesem Weg hat die Versicherung am Ende des ersten Schrittes einen strukturierten Überblick über alle bestehenden Anforderungen.

Schritt 2: Relevante Themen je Projektphase identifizieren

Doch die gruppierte Übersicht der Anforderungen ist ohne Berücksichtigung des zeitlichen Verlaufs eines Cloud-Projektes nach unserer Erfahrung nicht praktikabel. Denn die Frage, welches Thema bereits zu Projektbeginn aufgegriffen werden muss und welches erst später Beachtung benötigt, ist mit der reinen Anforderungsliste nicht beantwortet. Um nun die zeitliche Komponente zu berücksichtigen und dem Prozess der Implementierung Struktur zu verleihen, empfehlen wir das Cloud-Projekt in vier Phasen zu unterteilen:

  • Cloud-Vorbereitungsphase: Definition der benötigten Cloud-Dienstleistung, Auswahl des Cloud-Dienstleisters, Vertragsverhandlungen und -unterzeichnung
  • Cloud-Aufbauphase: Schaffen organisatorischer und technischer Voraussetzungen für den operativen Betrieb (z.B. Etablieren von Governance- und Leitungsgremien, Integration von IT Service Management-Prozessen, Einrichten technischer Schnittstellen etc.)
  • Cloud-Nutzungsphase: regulärer Betrieb bzw. Nutzung der Cloud-Dienstleistung, ggf. Änderung, Erweiterung oder Anpassung der genutzten Cloud-Dienstleistungen
  • Cloud-Beendigungsphase: Kündigung des Dienstleistungsvertrags, Verlagerung der Dienstleistung auf ein anderes Dienstleistungsunternehmen oder zurück in das eigene Unternehmen

Die im ersten Schritt identifizierten Themenblöcke muss die Versicherung nun im zweiten Schritt den jeweiligen Projektphasen zuordnen. Dazu wird jedes Thema einzeln betrachtet und analysiert, zu welchem Zeitpunkt im Projektverlauf die dazugehörigen Aktivitäten bearbeitet werden müssen. Einige Compliance-Themen müssen dabei auch mehreren Phasen zugeordnet werden. Beispielsweise sind bereits vor Vertragsunterzeichnung grobe Pläne zu entwickeln, wie die ausgelagerte Dienstleistung im Falle einer ggf. ungeplanten Beendigung wieder zurück in das eigene Unternehmen oder auf einen anderen Dienstleister übertragen werden kann. Denn nur so können die vom Provider zu schaffenden Voraussetzungen für eine bestmögliche Reintegration oder Übertragung vertraglich festgehalten werden. Während die groben Pläne somit bereits in der Cloud-Vorbereitungsphase entwickelt werden müssen, können die Detailausführungen der Exit-Strategie durchaus erst in der Cloud-Aufbauphase dokumentiert werden. Und zuletzt wird die Exit-Strategie natürlich vor allem bei ihrer Ausführung in der Cloud-Beendigungsphase relevant.

Bei diesem Schritt ist Erfahrung in den jeweiligen Themenbereichen natürlich ein großer Vorteil. Denn nur, wenn man auf Basis früherer Projekte die „To-Do“s pro Themenbereich kennt, kann man die Aktivitäten den richtigen Projektphasen zuordnen. Falls die eigenen Kenntnisse begrenzt sind, ist es in diesem Schritt deshalb besonders empfehlenswert sich Expertenwissen einzuholen.

Schritt 3: Themen in der jeweiligen Phase bearbeiten

Mit den Ergebnissen der ersten beiden Schritte hat man sich nun einen klaren Fahrplan geschaffen, um alle Anforderungen zum richtigen Zeitpunkt zu adressieren. Die Aktivitäten zu den Themen, die für die jeweilige Phase identifiziert wurden, gilt es nun strukturiert in der jeweiligen Projektphase zu bearbeiten. Jedoch ist die Umsetzung auch hier nicht ganz einfach. Der Bedarf an Expertenwissen, beispielsweise bei der Durchführung einer Risikobewertung, sollte nicht unterschätzt werden. Hierbei müssen in den üblichen Ausgliederungsprozessen nicht beachtete, Cloud-spezifische Risiken berücksichtigt werden. Wenn ausreichend Erfahrung in das Projekt eingebracht wird, kann eine Versicherung mithilfe der vorgestellten drei Schritte nicht nur die Bandbreite aller Anforderungen, sondern auch die notwendige Detailtiefe bei der Umsetzung sicherstellen. Dann kann eine umfassende und gleichzeitig regelkonforme Cloud-Nutzung realisiert werden.

Vielen Dank an den Co-Autoren Franz-Ferdinand Müller.

Weitere Posts

Digitalisierung

Beratungsbedarf der Kund*innen ist höher als Versicherer denken

Martin Baumann
Date icon Juli 29, 2021

Ob bei der Lebens- oder Kfz-Versicherung – Versicherungskund*innen wünschen sich mehr...

Compliance

Daten und Compliance – CMOs nutzen beides, um ihr Marketing-Ökosystem zu erweitern

Marian Meyer-Tischler
Date icon März 18, 2021

Für heutige CMOs sind Daten Grundlage vieler strategischer Entscheidungen –...

Cloud

Meistern Sie die Digitalisierung durch den passenden Weg in die Cloud

Tanja Ulmer
Date icon März 17, 2021

Finden Sie heraus, welchen Mehrwert eine Cloud Transformation für Ihr Unternehmen schafft,...