Das bedeutet Cloud Computing für die Vermittler
28.05.2019
Christian Nölke, Managing Consulting adesso AG / Foto: © adesso AG
Datenschutz
Schon durch das Bundesdatenschutzgesetz (BDSG) war es notwendig, Dienstleister in den eigenen Datenschutz mit einzubinden durch eine Auftragsdatenverarbeitung. Diese Regelungen finden sich sehr ähnlich in der Datenschutz Grundverordnung (DSGVO) wieder, hier heißt das Mittel „Auftragsverarbeitung“. Die Auslegung war nicht ganz klar, doch im Dezember 2018 hat die Datenschutzkommission hierzu das „Kurzpapier 13“ veröffentlicht.[2] Dieses konkretisiert die Anforderungen deutlich. Alle wesentlichen Cloud-Anbieter haben eine entsprechende Auftragsverarbeitung als Standard in ihre Verträge integriert oder bieten diese als Zusatz an.
Zudem betreiben alle Anbieter solcher Lösungen inzwischen Rechenzentren innerhalb der EU, somit im Geltungsbereich der DSGVO. Es ist also möglich, Verträge nach europäischem Recht abzuschließen und somit kann ein Finanzdienstleister auch relativ schnell eine DSGVO-konforme Cloud-Lösung nutzen.
Oft haben bereits Vermittler eine Auftragsverarbeitung mit ihrem jeweiligen Finanzdienstleister bereits abgeschlossen. Bei dieser tritt der Vermittler jedoch als Auftraggeber auf, da es hierdurch dem Finanzdienstleister möglich wird, Daten für Vermittler zu verarbeiten, beispielsweise in einem Agentur- oder einem E-Mail-System. Eine umgekehrte Auftragsverarbeitung ist in der Regel nicht notwendig, da Vermittler keine Daten im Auftrag des Finanzdienstleisters verarbeiten.
Die Übermittlung von Daten an Vermittler in Rahmen gemeinsamer Verarbeitungen wie Antragsprozesse, Leistungsprozesse oder Tarifänderungen sollten Finanzdienstleister inzwischen datenschutzrechtlich sauber geregelt haben, indem sie die Kunden über solche Übermittlungen informieren, die DSGVO kommt schließlich inzwischen seit etwa einem Jahr zur Anwendung.
Anforderungen der Aufsichtsbehörden
Die BaFin als Aufsichtsbehörde der Finanzdienstleister hat ihre Anforderungen an die interne IT klar dargelegt. Zuletzt geschah dies in den BAIT bzw. VAIT. Allerdings war hierbei das Thema „Auslagerung der IT“ wenig behandelt. Es war unklar, wie die Erwartungen der BaFin aussehen. Diese Unsicherheit ließ viele Finanzdienstleister zögern.
Im November 2018 hat die BaFin die „Orientierungshilfe zur Auslagerung an Cloud-Anbieter“ veröffentlicht.[3] Hier beschreibt die BaFin, wie Verträge mit Cloud-Anbietern gestaltet werden müssen und welche Rechte ein Cloud-Anbieter der BaFin gewähren muss. Essenz ist, dass alle Anforderungen der BAIT bzw. VAIT hinsichtlich des IT-Betriebs auch durch Cloud-Anbieter erfüllt werden müssen und dass die Prüfungsrechte auch vor Ort beim Cloud-Anbieter gewahrt bleiben müssen.
In ersten Projekten haben sich die führenden Cloud-Anbieter hier sehr offen gezeigt. Diese Konkretisierung stellt also kein Hindernis dar, sondern eröffnet vielmehr Banken und Versicherungen die Möglichkeit, Cloud-Dienste auch für wesentliche IT-Systeme zu nutzen.
Schutz von Privatgeheimnissen
Eine Besonderheit für private Kranken-, Lebens- und Unfallversicherer stellt der §203 Strafgesetzbuch (StGB) dar, der Schutz von Privatgeheimnissen. Der Gesetzgeber stellt hier die Preisgabe von Informationen an Dritte über Versicherungen dieser Art, ja sogar über die bloße Existenz einer solchen Versicherung unter Strafe. Da regelmäßig anzunehmen ist, dass IT-Administratoren im Rahmen ihrer normalen Tätigkeit auch mit Daten in Berührung kommen, erschwert diese Vorgabe die Verarbeitung solch sensibler Daten auf Cloud-Rechnern enorm. Es wäre notwendig gewesen, von jeder einzelnen versicherten Person hierzu eine Schweigepflichtentbindung einzuholen, in der Praxis unmöglich.
Doch die Gesetzgebung hat sich weiterentwickelt. Gerade die Vorteile von Cloud-Computing führten im November 2017 zu Änderungen an §203 StGB.[4] Diese lassen es zu, solche sensiblen Daten durch Dritte verarbeiten zu lassen. Der Dienstleister und seine Mitarbeiter unterliegen dann natürlich selbst wiederum den Anforderungen des §203 StGB. Auch dies muss in Cloud-Verträgen fixiert werden.
Der Schutz von Privatgeheimnissen hat übrigens auch Auswirkungen auf das Verhältnis zwischen Vermittler und Versicherung, auch ihm gegenüber darf eine Versicherung nicht „einfach so“ die Existenz einer so geschützten Information preisgeben. Fall der betroffene Versicherungsvertrag vom Vermittler selbst eingereicht wurde, liegen ihm die Information bereits vor, dann kommt §230 StGB nicht zur Anwendung. Falls aber ein neuer Vermittler diese Information benötigt, braucht die Versicherung eine entsprechende Schweigepflichtentbindung durch den Kunden. Viele Versicherungen holen sich eine solche schon zu Vertragsbeginn ein.
Fazit
Gesetzgeber und Aufsichtsbehörden haben erkannt, dass Cloud Computing ein wichtiger Faktor für die deutsche Finanzwirtschaft ist. Die Änderungen der letzten Monate zielen darauf ab, die Cloud-Nutzung zu vereinfachen.
Es ergeben sich für Vermittler und Kunden eine Vielzahl von Verbesserungen:
- Bessere Verfügbarkeit und eine höhere Geschwindigkeit unabhängig vom Ort des Vermittlers oder Kunden
- Weniger Störungen, die in der Regel auch schneller behoben werden
- Schnellere Reaktion auf Lastwechsel – gerade bei Aktionen, die viele Kunden anziehen, kann schnell und günstig zusätzliche IT-Kapazität bereitgestellt werden
- Geringere Kosten auf Seiten der Finanzdienstleister und hierdurch mehr Spielräumen für bessere Angebote
- Höhere Zufriedenheit bei Kunden durch schnellere und besser verfügbare Systeme – und zufriedene Kunden sind für Vermittler immer positiv
Jetzt ist es an den Finanzdienstleistern, diese neu geschaffenen Möglichkeiten und Spielräume für innovative Lösungen in ihrer IT zu nutzen, auch zum Nutzen der Kunden und Vermittler.
[1] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsberatung/Standort-Kriterien_HV-RZ/Standort-Kriterien_HV-RZ.pdf?__blob=publicationFile&v=5
[2] https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf
[3] https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Meldung/2018/meldung_181108_orientierungshilfe_cloud_anbieter.html
[4] https://dip21.bundestag.de/dip21/btd/18/119/1811936.pdf
Autor: Christian Nölke, Managing Consultant, adesso AG