Mit der Revision des Schweizer Datenschutzgesetzes (DSG) müssen Versicherer verschärfte Regeln für die Bearbeitung von Personendaten beachten. Bereits seit der Einführung der Europäischen Datenschutzgrundverordnung (DSGVO) per 25. Mai 2018 haben viele Versicherungsunternehmen aktiv damit begonnen, Datenschutzpraktiken im Einklang mit den europäischen Datenschutzregeln zu modernisieren. Diese umfangreichen Vorarbeiten haben eine solide Basis geschaffen, um die Anforderungen des neuen Bundesgesetzes über den Datenschutz erfolgreich umzusetzen.
Das schweizerische DSG ist kein komplett neues Gesetz. Daher können viele Versicherer auf bestehenden Prozessen aufbauen. «Neu sind gewisse europäische Instrumente, die ins schweizerische Gesetz aufgenommen wurden und umgesetzt werden mussten. Dies betrifft unter anderem die Erstellung der Datenbearbeitungsverzeichnisse, die Datenschutzfolgenabschätzung wie auch die erweiterten Informationspflichten», erläutert ein Sprecher der Allianz Suisse.
Mehr Transparenz bei der Datenbearbeitung
Falls Daten auch von Dritten bearbeitet werden, ist die klare Abgrenzung der Verantwortlichkeiten zwischen den Datenverantwortlichen und den Datenverarbeitenden beziehungsweise den gemeinsam Verantwortlichen wichtig. Besonders die Datenbearbeitung von Dritten erfordere eine Governance, heisst es bei der Allianz Suisse. Ein Schwerpunkt der Vorbereitung auf das neue DSG war zudem die Umstellung der Datensammlung auf das Verzeichnis der Datenbearbeitungstätigkeiten. Das Ziel: eine vollständige Übersicht über die relevanten Prozesse.
Auch für die Helvetia ergeben sich aus dem revidierten DSG nur «wenige neue Herausforderungen», da das Unternehmen bereits in der Vergangenheit freiwillig die EU-DSGVO in der Schweiz umgesetzt hat. Dennoch sind aus Sicht von Thomas Neumeier, Konzerndatenschutzbeauftragter und Leiter der Fachstelle Datenschutz, drei Punkte wichtig:
- Transparente Kommunikation mit Kundinnen und Kunden über die Erhebung und Bearbeitung von Personendaten, um ihr Vertrauen zu stärken
- Stärkung der internen Prozesse, um den Schutz personenbezogener Daten weiter zu verbessern
- Kontinuierliches Know-how-Management bezüglich der Nutzung von Synergien beim Einsatz von ausländischen IT-Systemen, um den Anforderungen an den grenzüberschreitenden Datentransfer gerecht zu werden.
Recht auf Auskunft
Ein Blick auf die Webseiten von Schweizer Versicherern zeigt: Die Datenschutzerklärungen sind bereits installiert und in die jeweiligen Webauftritte integriert. Informiert wird in den Datenschutzerklärungen unter anderem über den Datenexport und über die Rechte für betroffene Personen wie das Recht auf Auskunft.
«Die Stärkung der Transparenz für die betroffenen Kundinnen und Kunden ist uns ein besonderes Anliegen», erklärt auch ein Sprecher der Zurich. Das Unternehmen habe daher umfangreiche Datenschutzerklärungen erarbeitet und diese auf einer neuen Datenschutzseite im Internet veröffentlicht.
Für Heinrich Zittel, Group Data Protection Officer bei der Baloise, stehen beim revidierten DSG die neuen Transparenzbestimmungen im Vordergrund. «Diese bringen es mit sich, dass wir alle von Datenbearbeitungen betroffenen Personen genau über die Umstände der Datenbearbeitung in den Datenschutzinformationen aufklären. Diese findet man unter anderem in den Verträgen und auf der Website.»
Axa informiert transparent zum Datenschutz beim Risiko-Profiling auf der Website: «Profilings werden innerhalb der Axa zur Abwicklung des Versicherungsgeschäfts oder im Zusammenhang mit den damit zusammenhängenden überwiegenden berechtigten Interessen durchgeführt. In jedem Fall achten wir auf die Verhältnismässigkeit und Zuverlässigkeit der Ergebnisse und treffen Massnahmen gegen eine missbräuchliche Verwendung dieser Profile oder eines Profilings.»
Die Vaudoise hat bereits vor einigen Jahren ein Bearbeitungsregister eingeführt und verwendet ein spezielles Tool für das Risikomanagement und die Dokumentation. «Das Register ermöglicht es unter anderem, die notwendigen Informationen einzuholen, um die neue geforderte Transparenz gegenüber unseren Kundinnen und Kunden und unseren Mitarbeitenden einzuhalten, die Risiken zu beurteilen und Entscheidungen für notwendige Sicherheitsmassnahmen zu treffen», sagt eine Sprecherin. «Auch die Verwaltung von Cookies und anderen Online-Trackern haben wir zwischen 2021 und 2022 verbessert.»
Anspruchsvolle Umsetzung
Mit der Umsetzung der diversen Anforderungen mussten bei der Zurich Anpassungen an den IT-Systemen vorgenommen werden. «Die teils langen und auch je nach System verschiedenen Vorlaufzeiten machten die Implementierung anspruchsvoll», sagt ein Sprecher der Zurich.
Zusätzliche Herausforderungen: «Das neue DSG enthält neue Bestimmungen mit zum Teil unbestimmten Rechtsbegriffen, zu welchen es weder Literatur noch Rechtsprechung gibt. Dies machte eine Implementierung dieser neuen Vorgaben anspruchsvoll», heisst es bei der Zurich weiter. Zudem sei der finale Verordnungstext, der das Gesetz konkretisiert, erst rund ein Jahr vor dem Inkrafttreten des neuen Gesetzes erschienen.
Auch bei der Allianz Suisse gehören Fragen zur Auslegung einzelner Bestimmungen des Datenschutzgesetzes zu den grössten Herausforderungen bei der Umsetzung des neuen DSG. Zum Beispiel betrifft dies die Protokollierungspflicht gemäss Art. 4 der Verordnung.
DSG neu: Zehn Herausforderungen
- Aufwendige Dokumentationspflichten
- Ältere IT-Systeme müssen angespasst werden
- Unbestimmte Rechtsbegriffe
- Rechtliche Auslegung einzelner Bestimmungen
- Anspruchsvolles Consent-Management
- Schulung von Mitarbeitenden im korrekten Umgang mit Personendaten
- Definition und Realisierung der Datenportabilität
- Unterschiedliche Regelungen zwischen Privat- und Sozialversicherungen
- Datenbearbeitung in der Cloud
- Grenzüberschreitender Datentransfer mit ausländischen IT-Dienstleistungen
Die Groupe Mutuel erlebte die technische Umsetzung der Anforderungen auf älteren IT-Systemen inklusive Consent- und-Data Management als «herausfordernd». Und beim Thema Einwilligung sei es nicht einfach, verständliche Formulierungen zu finden, die alle Kundinnen und Kunden verstehen, und gleichzeitig genügend Information zu liefern. Anspruchsvoll sei zudem die Definition und Realisierung der Datenportabilität. Und ebenso erhöhten unterschiedliche Regelungen zwischen Privat- und Sozialversicherungen die Komplexität.
Aufwendige Assessments
Bei der Baloise heisst es auf Anfrage: «Im Moment begegnen uns Herausforderungen im Kontext der gestiegenen Anforderungen in Bezug auf die Datenbearbeitung in der Cloud. Diese stellt eine Tendenz in allen Unternehmen dar, da so die Nutzung von IT-Dienstleistungen auf dem neuesten Stand ermöglicht wird. Auch hier sind sehr aufwendige Assessments durchzuführen, um den Risiken – zum Beispiel im Falle
eines Auslandbezugs, welcher den Einbezug ausländischer Gesetzgebungen in sich birgt – begegnen zu können.
Thomas Neumeier, Konzerndatenschutzbeauftragter bei der Helvetia erläutert: «Die Herausforderung lag vor allem darin, sicherzustellen, dass wir uns nicht nur nationalen Bestimmungen, sondern auch den internationalen Datenschutzstandards anpassen, um unserer globalen Marktpräsenz gerecht zu werden.» Vor allem beim grenzüberschreitenden Datentransfer mit ausländischen IT-Dienstleistern liegt nach seiner Einschätzung die grösste Herausforderung darin, die Weisungen, Prozesse und Risiken sorgfältig zu bewerten und zu dokumentieren sowie die eigenen Mitarbeitenden angemessen zu schulen.
Korrekter Umgang mit Personendaten
Matthias Brändle, Head Data Strategy bei der Mobiliar, bestätigt: «Neue gesetzliche Anforderungen müssen interpretiert und das Bewusstsein dafür geschult werden. Über interne Schulungen unterstützen wir das Bewusstsein für den korrekten Umgang mit Personendaten in Einklang mit unseren Unternehmenswerten», sagt Brändle und betont: «Der korrekte ethische Umgang mit Personen gilt auch für deren digitale Personendaten.»
«Die sich wandelnden Arbeitspraktiken und -gewohnheiten der Mitarbeitenden sind eine grosse Herausforderung, die wir mit regelmässigen Change-Management-Massnahmen begleiten», heisst es bei der Vaudoise. Natürlich böten die technologischen Entwicklungen und die Nutzung von Algorithmen hervorragende Chancen, um Produkte und Dienstleistungen zu verbessern. In diesem Zusammenhang stelle das neue DSG einen klareren und strikteren Rahmen dar.
«Auch die ethischen Herausforderungen sind nicht zu unterschätzen», meint die Vaudoise-Sprecherin. «Daher ist es wichtig, die neuen gesetzlichen Verpflichtungen von Anfang an in die Projekte zu integrieren.» So könnten für alle Beteiligten und insbesondere für die betroffenen Personen die bestmögliche, auf die Risiken abgestimmte Lösung herausgearbeitet werden.
Positive Aspekte und Chancen
«Mit der Revision des DSG ist das Bewusstsein für den Datenschutz im ganzen Unternehmen noch einmal gestiegen», heisst es bei der Zurich. Man habe gewisse bestehende Prozesse überdacht und angepasst, was teilweise zu einer Verschlankung und Vereinheitlichung geführt habe.
«Eine grosse Chance eröffnet das neue DSG den Unternehmen dahingehend, dass diese aufgrund der hohen Dokumentationspflichten dazu gezwungen werden, ihre Geschäftsprozesse genauestens zu beschreiben», meint Heinrich Zittel von der Baloise. Dies wiederum könne auch grosse Optimierungsvorteile für das Business mit sich bringen. «Ausserdem kann die Umsetzung der von den Betroffenen geäusserten Einwilligungen zur Datenbearbeitung eine zielgerichtetere Kundenbedienung ermöglichen.»