Zum Inhalt gehen

Cloud-Compliance für Versicherungen: Nicht den Überblick verlieren

Sebastian Ertl
05. Mai 2021
capgemini-invent

Die „IT-Trends“-Studien von Capgemini zeigen, dass der Anteil der aus einer Cloud bezogenen IT-Services branchenübergreifend auf mittlerweile über 70% angewachsen ist.

Finanzdienstleister, insbesondere auch Versicherungsunternehmen, nehmen in Bezug auf die Cloud-Nutzung jedoch häufig eine abwartende Haltung ein. Einer der Hauptgründe hierfür ist die hohe Anzahl und Unübersichtlichkeit an Anforderungen, die Behörden und Institutionen an die Cloud-Nutzung von Versicherungen stellen. Wir zeigen, mit welchen drei Schritten diese Compliance-Hürden effizient bewältigt werden können.

Schritt 1: Anforderungen sammeln und gruppieren

Im ersten Schritt gilt es, sich einen Überblick über die Anforderungsquellen zu schaffen. Insbesondere in den letzten drei Jahren wurden vermehrt Regularien auf den Weg gebracht, die Auswirkung haben auf die Art und Weise der Cloud-Nutzung in Versicherungsunternehmen. Die Quellen können in drei Kategorien eingeteilt werden: aufsichtsrechtliche Anforderungen, gewerbliche bzw. steuerrechtliche Anforderungen, sowie Datenschutz- und Sicherheitsanforderungen. Unter den aufsichtsrechtlichen Anforderungen finden sich Auslagerungs-Klassiker wie die MaGo und die VAIT. Jedoch fallen hierunter auch Cloud-spezifische Veröffentlichungen der Bafin und der EIOPA sowie – perspektivisch – auch der Digital Operational Resilience Act (DORA). Die gewerblichen und steuerlichen Anforderungen werden insbesondere dann relevant, wenn rechnungslegungsrelevante Daten bzw. für die Solvenzbilanz relevante Daten in die Cloud ausgelagert oder dort erzeugt werden. In diesem Fall stellen Jahresabschlussprüfer und Gesetzgeber im HGB, dem IDW RS FAIT 1 und Co. ihrerseits Anforderungen an die Auslagerung. In der letzten Kategorie werden Datenschutz- und Sicherheitsaspekte hervorgehoben. Besonders interessant ist hier bei Auslagerung von personenbezogenen Daten natürlich die DSGVO und, je nach Versicherung, ggf. das IT-Sicherheitsgesetz.

Anforderungen an die Cloud-Nutzung_Capgemini Invent
Abbildung 1: Anforderungen an die Cloud-Nutzung

Alle diese Quellen gilt es hinsichtlich relevanter Anforderungen zu bewerten und relevante Ausschnitte zentral zusammenzuführen. Doch die pure Anzahl und Vielfalt der Anforderungen ist auf Dauer überwältigend und in vielen Bereichen überschneiden sich die Anforderungen. Deswegen empfehlen wir die gesammelten Anforderungen in Vorbereitung für die nächsten Schritte in Compliance-Themen zu gruppieren. Zum Beispiel stehen in verschiedenen Anforderungsquellen Textpassagen zur Durchführung einer Risikobewertung des Cloud-Vorhabens. Alle diese Anforderungen sollten dem Themenblock Risikobewertung zugeordnet werden. Auf diesem Weg hat die Versicherung am Ende des ersten Schrittes einen strukturierten Überblick über alle bestehenden Anforderungen.

Schritt 2: Relevante Themen je Projektphase identifizieren

Doch die gruppierte Übersicht der Anforderungen ist ohne Berücksichtigung des zeitlichen Verlaufs eines Cloud-Projektes nach unserer Erfahrung nicht praktikabel. Denn die Frage, welches Thema bereits zu Projektbeginn aufgegriffen werden muss und welches erst später Beachtung benötigt, ist mit der reinen Anforderungsliste nicht beantwortet. Um nun die zeitliche Komponente zu berücksichtigen und dem Prozess der Implementierung Struktur zu verleihen, empfehlen wir das Cloud-Projekt in vier Phasen zu unterteilen:

  • Cloud-Vorbereitungsphase: Definition der benötigten Cloud-Dienstleistung, Auswahl des Cloud-Dienstleisters, Vertragsverhandlungen und -unterzeichnung
  • Cloud-Aufbauphase: Schaffen organisatorischer und technischer Voraussetzungen für den operativen Betrieb (z.B. Etablieren von Governance- und Leitungsgremien, Integration von IT Service Management-Prozessen, Einrichten technischer Schnittstellen etc.)
  • Cloud-Nutzungsphase: regulärer Betrieb bzw. Nutzung der Cloud-Dienstleistung, ggf. Änderung, Erweiterung oder Anpassung der genutzten Cloud-Dienstleistungen
  • Cloud-Beendigungsphase: Kündigung des Dienstleistungsvertrags, Verlagerung der Dienstleistung auf ein anderes Dienstleistungsunternehmen oder zurück in das eigene Unternehmen

Die im ersten Schritt identifizierten Themenblöcke muss die Versicherung nun im zweiten Schritt den jeweiligen Projektphasen zuordnen. Dazu wird jedes Thema einzeln betrachtet und analysiert, zu welchem Zeitpunkt im Projektverlauf die dazugehörigen Aktivitäten bearbeitet werden müssen. Einige Compliance-Themen müssen dabei auch mehreren Phasen zugeordnet werden. Beispielsweise sind bereits vor Vertragsunterzeichnung grobe Pläne zu entwickeln, wie die ausgelagerte Dienstleistung im Falle einer ggf. ungeplanten Beendigung wieder zurück in das eigene Unternehmen oder auf einen anderen Dienstleister übertragen werden kann. Denn nur so können die vom Provider zu schaffenden Voraussetzungen für eine bestmögliche Reintegration oder Übertragung vertraglich festgehalten werden. Während die groben Pläne somit bereits in der Cloud-Vorbereitungsphase entwickelt werden müssen, können die Detailausführungen der Exit-Strategie durchaus erst in der Cloud-Aufbauphase dokumentiert werden. Und zuletzt wird die Exit-Strategie natürlich vor allem bei ihrer Ausführung in der Cloud-Beendigungsphase relevant.

Bei diesem Schritt ist Erfahrung in den jeweiligen Themenbereichen natürlich ein großer Vorteil. Denn nur, wenn man auf Basis früherer Projekte die „To-Do“s pro Themenbereich kennt, kann man die Aktivitäten den richtigen Projektphasen zuordnen. Falls die eigenen Kenntnisse begrenzt sind, ist es in diesem Schritt deshalb besonders empfehlenswert sich Expertenwissen einzuholen.

Schritt 3: Themen in der jeweiligen Phase bearbeiten

Mit den Ergebnissen der ersten beiden Schritte hat man sich nun einen klaren Fahrplan geschaffen, um alle Anforderungen zum richtigen Zeitpunkt zu adressieren. Die Aktivitäten zu den Themen, die für die jeweilige Phase identifiziert wurden, gilt es nun strukturiert in der jeweiligen Projektphase zu bearbeiten. Jedoch ist die Umsetzung auch hier nicht ganz einfach. Der Bedarf an Expertenwissen, beispielsweise bei der Durchführung einer Risikobewertung, sollte nicht unterschätzt werden. Hierbei müssen in den üblichen Ausgliederungsprozessen nicht beachtete, Cloud-spezifische Risiken berücksichtigt werden. Wenn ausreichend Erfahrung in das Projekt eingebracht wird, kann eine Versicherung mithilfe der vorgestellten drei Schritte nicht nur die Bandbreite aller Anforderungen, sondern auch die notwendige Detailtiefe bei der Umsetzung sicherstellen. Dann kann eine umfassende und gleichzeitig regelkonforme Cloud-Nutzung realisiert werden.

Vielen Dank an den Co-Autoren Franz-Ferdinand Müller.

Blog-Updates per Mail?

Abonnieren Sie unseren Newsletter und erhalten Sie alle zwei Monate eine Auswahl der besten Blogartikel.

Autor

Sebastian Ertl

Senior Director | Head of Governance, Risk & Compliance Insurance DACH, Capgemini Invent
Sebastian verfügt über langjährige Erfahrung in der Beratung und Prüfung von nationalen und internationalen Erst- und Rückversicherungsunternehmen in den Bereichen Finance, Risikomanagement und Compliance. Er unterstützt Versicherungsunternehmen dabei, regulatorische (z.B. VAIT), rechtliche (z.B. DSGVO) und fachliche (z.B. IFRS 17) Anforderungen effizient und angemessen in Versicherungsorganisationen, -prozessen und -systemen umzusetzen.