KI-Governance bei den Versicherungsbrokern

In diesem Interview erfahren Sie unter anderem, wie Sie mit wenigen Massnahmen den Datenschutz in Ihrem Brokerunternehmen signifikant verbessern können.

thebroker führt dieses Interview wird mit Alexander Stübi, Associate bei Domenig & Partner Rechtsanwälte AG und unter anderem Versicherungsfachmann mit eidg. FA.

Wie kommt es, dass Sie sich gerade mit Datenschutz und der Regulierung von KI in der Versicherungsbranche beschäftigen?

Meine juristische Ausbildung und meine direkte Berufserfahrung in der Versicherungsbranche haben es mir ermöglicht, tief in die regulatorischen Herausforderungen dieser Branche einzutauchen. Insbesondere die Schnittstellen zwischen Recht, Datenschutz, KI und Versicherung interessieren mich sehr, da sie zunehmend an Bedeutung gewinnen. Auch die Versicherungsbroker sind mit immer strengeren Regulierungen konfrontiert, und es ist mir ein Anliegen, sie bei der erfolgreichen Bewältigung dieser Veränderungen zu unterstützen. Die Beratung durch Versicherungsbroker, insbesondere auf der Ebene der KMU, ist nach wie vor ein wichtiger Faktor für die Wirtschaft. Denn mit einem effizienten Risikomanagement und den richtigen Versicherungen helfen sie den Unternehmen, Risiken einzugehen, was der Schweizer Wirtschaft zugute kommt.

Wie schätzen Sie den aktuellen Stand hinsichtlich der Datenschutzcompliance bei Versicherungsbrokern ein?

Viele Versicherungsbroker sind sich der Bedeutung der Einhaltung des Datenschutzes bewusst und haben auch bereits Anstrengungen in diese Richtung unternommen. Andererseits gibt es, wie in anderen Branchen auch, Broker, die sich noch nicht ausreichend mit der Thematik auseinandergesetzt haben. Dies ist in gewisser Weise auch verständlich, da in den letzten Jahren ein gewisser administrativer regulatorischer Mehraufwand auf die Versicherungsbroker zugekommen ist, der für kleinere Versicherungsbroker sicherlich eine Herausforderung darstellt.

In den letzten Monaten haben viele Kunden von ihren Versicherungsbrokern die Unterzeichnung von Verträgen zur Auftragsdatenbearbeitung verlangt. Was ist damit gemeint?

Im Datenschutz gibt es zwei wesentliche Rollen: den Verantwortlichen und den Auftragsbearbeiter. Der Verantwortliche, gemäss Art. 5 DSG, entscheidet über die Zwecke und Mittel der Bearbeitung von Personendaten. Der Auftragsbearbeiter hingegen führt die Datenbearbeitung nur im Auftrag des Verantwortlichen aus – er handelt nach Weisung, wie dies beispielsweise bei vielen IT-Dienstleistern der Fall ist. In solchen Fällen sieht das Datenschutzgesetz den Abschluss eines Auftragsdatenbearbeitungsvertrages, kurz ADV, vor.

Die Reaktion der Kunden ist verständlich, da im Zuge der Revision des neuen Datenschutzgesetzes im letzten Jahr viele Kunden mit vielen ihrer Dienstleister einen solchen Vertrag abschliessen mussten. Dieser ist jedoch nur dann notwendig, wenn der Versicherungsbroker tatsächlich als weisungsgebundener Auftragsbearbeiter auftritt. 

In der Praxis sprechen jedoch gute Gründe dafür, den Versicherungsbroker selbst als verantwortliche Stelle zu qualifizieren, da er in der Regel eigenständig handelt und sein Fachwissen einbringt und zum Beispiel nicht lediglich Schadenmeldungen oder Korrespondenz an die Versicherungsgesellschaft weiterleitet und quasi der verlängerte Arm des Personalwesens ist. Dementsprechend müssen Versicherungsbroker in solchen Fällen den Kunden ihre datenschutzrechtliche Rolle verständlich und nachvollziehbar erläutern. In der Regel nehmen die Kunden dann Abstand von ihrer Forderung zum Abschluss eines ADV.

Worauf sollten Versicherungsbroker bei der Kommunikation mit Kunden und Versicherungen achten?

Versicherungsbroker haben häufig mit besonders schützenswerten Personendaten zu tun, wie beispielsweise Gesundheitsdaten im Rahmen von Personenversicherungen, sei es in Schadensfällen oder bei Ausschreibungen. 

Diese sollten nie unverschlüsselt als E-Mail-Anhang verschickt werden. Eine sichere Alternative ist die Verschlüsselung per E-Mail (z.B. durch erweiterte Outlook-Einstellungen), die Nutzung eines Datentransferdienstes (z.B. transferly) oder die Nutzung eines gesicherten Portals. Der Versand per Post ist grundsätzlich zulässig.

Ein weiterer Punkt ist der Datenschutz und die Datensicherheit, die bei der Arbeit unterwegs zu beachten sind: Broker arbeiten oft mobil, zum Beispiel im Zug. Dabei ist es wichtig, dass die Gespräche vertraulich bleiben und Dritte weder mithören noch auf den Bildschirm schauen können.

Was sollten Versicherungsbroker jetzt tun, um mit möglichst wenig Aufwand ihren Datenschutz zu verbessern?

1. Sich einen Überblick verschaffen: Zunächst sollte man sich einen Überblick über den IST-Zustand verschaffen und herausfinden, welche Personendaten man bearbeitet. Dazu eignet sich die Erstellung eines Bearbeitungsverzeichnisses. Dieses gibt Aufschluss darüber, welche Daten von welchen Personen in welcher Rolle (Verantwortlicher/Auftragsbearbeiter) in welchem Geschäftsprozess zu welchem Zweck bearbeitet werden, wer diese Daten empfängt und wie lange sie aufbewahrt werden. Oftmals werden bereits beim Ausfüllen dieses Bearbeitungsverzeichnisses viele Lücken sichtbar. Es ist wichtig, das Verzeichnis regelmässig , wenn sich Änderungen ergeben oder in einem jährlichen Rhythmus, zu prüfen.
2. Vertragsprüfung: Es ist sicherzustellen, dass alle notwendigen Verträge, insbesondere mit Dienstleistern, vorliegen und korrekt sind (z.B. Auftragsdatenbearbeitungsverträge).
3. Datenschutzerklärung: Diese muss erstellt werden und auf diese kann dann in den Aufträgen, VAG 45 Formularen oder AGB verwiesen werden.
4. Prozessimplementierung: Es ist sicherzustellen, dass datenschutzrechtliche Prozesse, wie der Umgang mit Betroffenenrechten oder Datensicherheitsverletzungen, klar definiert und standardisiert sind. Mustertexte und Dokumentationsvorlagen helfen dabei.
5. Technische und organisatorische Massnahmen (TOMs): Der beste Datenschutz auf dem Papier nützt nichts, wenn keine, dem Schutzbedarf entsprechenden TOMs, vorgesehen sind. Es wird empfohlen, sich an einem der gängigen Standards wie zum Beispiel NIST bzw. IKT-Minimalstandard oder BSI IT-Grundschutz zu orientieren und einen solchen Standard sinnvoll umzusetzen. 

Sie haben die Implementierung von Prozessen erwähnt. Können Sie die wichtigsten Datenschutzprozesse, die Versicherungsbroker implementieren sollten, näher beschreiben?

Zwei sehr wichtige Prozesse sind:

1. Betroffenenrechten: Kundinnen und Kunden haben unter anderem das Recht, Auskunft über ihre Daten zu verlangen oder diese löschen zu lassen. Hier ist es wichtig, dass die Mitarbeitenden erkennen, wenn ein Betroffenenrecht geltend gemacht wird und diese Anfragen rasch an die verantwortliche Person weiterleiten. Das Verfahren muss klar dokumentiert und allen bekannt sein. Die Erstellung von Musterantworten hilft, solche Anfragen zeitnah zu beantworten.
2. Reaktion auf Verletzungen der Datensicherheit: Eine Solche liegt vor, wenn Personendaten unbeabsichtigt oder widerrechtlich verloren gehen, gelöscht, verändert oder unbefugt offengelegt werden. Auch hier muss ein klarer Meldeprozess vorhanden sein, damit solche Vorfälle schnell weitergeleitet und dokumentiert werden können. Regelmässige Notfallübungen stellen sicher, dass der Prozess funktioniert.

Worauf ist beim Einsatz von KI-Tools zu achten?

Auch beim Einsatz von KI-Tools sind die einschlägigen rechtlichen Anforderungen zu beachten. Man sollte sich bewusst sein, dass die Mitarbeitenden KI-Tools (oft kostenlose Versionen für Privatpersonen) im Arbeitsalltag nutzen. Daher sollte dies offen angesprochen werden. Die notwendigen Rollen, Genehmigungsprozesse und gegebenenfalls Weisungen sind zu definieren, beziehungsweise zu erlassen. Es muss beispielsweise klar sein, welche Daten unter welchen Bedingungen in welche (Lizenzversionen von) KI-Tools eingegeben werden dürfen und wie ein neues KI-Tool vor dem Einsatz im Unternehmen evaluiert werden sollte.

Alexander Stübi ist ein praxisnaher Experte in der Versicherungs- und Datenschutzbranche mit mehrjähriger Erfahrung im Aufbau und der Führung eines kleinen Versicherungsbrokers. Derzeit arbeitet er als Associate bei Domenig & Partner Rechtsanwälte AG, wo er KMUs in IT-rechtlichen Angelegenheiten berät und unter anderem als externer Data Protection Officer tätig ist. Zudem beschäftige er sich mit der Implementierung von KI-Governance und IT-Sicherheit.

Zu seinen Aus- und Weiterbildungen zählen unter anderem der Versicherungsfachmann mit eidg. FA. Hinsichtlich Datenschutz ist er als Certified Information Privacy Professional/Europe (CIPP/E) von der IAPP zertifiziert. Hinsichtlich Cyber Security hat er den CAS Cyber Security & Information Risk Management, Information Security Foundation basierend auf ISO/IEC 27001 sowie die Qualifikation als IT Security Officer (BSI) absolviert. Privat ist Alexander Stübi Mitgründer eines Kampfsportvereins, ehemaliger Wettkämpfer und reist gerne.

Lesen Sie auch: ACHTUNG: KI-Nutzung aus rechtlicher Sicht