Künstliche Intelligenz, Cloud und personenbezogene- & Gesundheitsdaten: eine Anleitung zur datenschutzkonformen Umsetzung durch Versicherer
Die fristgerechte und sorgfältige Bearbeitung von Anfragen und Leistungsansprüchen ihrer Kunden stellt für Versicherer eine tägliche Herausforderung dar. Die stetig wachsende Generation der „Digital Natives“ erwartet einen schnellen und komfortablen Service, der möglichst über digitale Plattformen abgewickelt wird. Immer mehr Versicherer setzen daher mit Blick auf zukünftige Kundenerwartungen und Wirtschaftlichkeit auf Künstliche Intelligenz.
omni:us (als eine Marke der Qidenus Group GmbH) unterstützt dabei als spezialisierter Dienstleister mit Erfahrung und Know-How. Für optimale Ergebnisse ist in einigen Anwendungsfällen die Verarbeitung von personenbezogenen Daten der Versicherten erforderlich. Ebenso gehört die Nutzung von Cloud Services für skalierbare Rechen- und Speicherkapazitäten heute zum Standard. Um den Schutz der Versicherten und ihrer Daten zu gewährleisten, hat der Gesetzgeber rechtliche Anforderungen für die Nutzung und Weitergabe personenbezogener Daten festgelegt, die in diesem Paper erläutert werden.
Die datenschutzrechtlichen Rahmenbedingungen sind durch die am 25. Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (EU-DSGVO) und das mitgeltende deutsche Bundesdatenschutzgesetz (BDSG) geregelt. Bei der Nutzung von Gesundheits- und Sozialdaten gelten wegen des hohen Risikos für die Rechte und Freiheiten der Versicherten besondere Anforderungen, die im Sozialgesetzbuch SGB X weiter spezifiziert sind.
Die folgenden Checklisten erläutern die wichtigsten rechtlichen Vorgaben für eine datenschutzkonforme Umsetzung der genannten Anwendungen:
Das Thema Künstliche Intelligenz wird im § 37 BDSG speziell für Versicherungsverträge behandelt. Demnach sind bei einer teilautomatisierten Entscheidungsfindung zur Leistungserbringung oder bei vollständiger Bewilligung des Antrages keine datenschutzrechtlichen Vorgaben zu beachten.
Werden dagegen die Entscheidungen für die Versicherten vollautomatisiert getroffen, wie z. B. die Ablehnung von Leistungsanträgen, so müssen diese Entscheidungen grundsätzlich anfechtbar und die Versicherten über dieses Recht informiert sein. Gesundheitsdaten dürfen grundsätzlich mitverarbeitet werden.
Bei der Weitergabe von personenbezogenen Daten besteht ein sogenanntes Auftragsverarbeitungsverhältnis gemäß Art. 28 EU-DSGVO. Die Bedingungen für die Weitergabe von Gesundheitsdaten werden wegen des hohen Schutzbedarfs der Versicherten durch das Sozialgesetzbuch SGB X konkretisiert. Demnach ist die Weitergabe erlaubt, wenn Störungen im Betriebsablauf auftreten können oder der Dienstleister die beauftragten Leistungen deutlich kostengünstiger anbieten kann.
Ebenso muss nach den Grundsätzen der EU-DSGVO sorgfältig geprüft werden, ob die verwendeten personenbezogenen Daten – insbesondere die Gesundheitsdaten – auf ein notwendiges Maß reduziert sind und ein zusätzlicher Schutz durch Pseudonymisierung möglich ist. Bei einer vollständigen Anonymisierung oder der Verwendung von fiktiven Testdaten sind keine datenschutzrechtlichen Vorgaben zu beachten.
Erlauben diese Prüfungen die Weitergabe und Verarbeitung von Gesundheitsdaten durch den Dienstleister, ist mit diesem ein sogenannter Vertrag über die Auftragsverarbeitung (AVV) zu schließen, der den Verwendungszweck und die umzusetzenden technischen und organisatorischen Sicherheitsmaßnahmen gemäß EU-DSGVO genau festlegt.
Vor dem Auftragsbeginn muss darüber hinaus sichergestellt werden, dass die Versicherten über die im AVV genannte Weitergabe und Verarbeitung ihrer personenbezogenen Daten informiert sind und zugestimmt haben.
Nutzt der KI-Dienstleister einen Cloud Service, um dort personenbezogene Daten zu speichern, so
besteht hier ebenfalls ein Auftragsverarbeitungsverhältnis zwischen KI-Dienstleister und Cloud-Service-Anbieter. Auch der KI-Dienstleister muss den Schutz der personenbezogenen Daten beim Cloud-Service-Anbieter gemäß Art. 28 EU-DSGVO sicherstellen.
Werden darüber hinaus personenbezogene Daten des Versicherers beim Cloud-Service-Anbieter des KI-Dienstleisters gespeichert, so muss dies im AVV zwischen Versicherer und KI-Dienstleister mit aufgenommen werden.
Wenn die Verarbeitung der personenbezogenen Daten durch den KI-Dienstleister vor Ort und in den Systemen des Versicherers stattfindet (On-Premise), liegt ebenfalls eine Auftragsverarbeitung nach Art. 28 EU-DSGVO vor und es müssen dieselben oben genannten Anforderungen getroffen werden. Das Risiko für die Rechte und Freiheiten der Versicherer ist dennoch geringer, weil ihre personenbezogenen Daten nicht an einen weiteren Auftragsverarbeiter weitergegeben werden.
Um den hohen Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten gerecht zu werden, implementiert omni:us ein Informationssicherheitsmanagementsystem (ISMS) gemäß des internationalen Standards ISO 27001. Das ISMS von omni:us befindet sich derzeit in der Einführungsphase und steht aktuell kurz vor der Zertifizierung durch ein unabhängiges Zertifizierungsunternehmen. Die entsprechenden Audits haben bereits stattgefunden. Die Zertifizierung erfolgt voraussichtlich Ende Juli 2019. Darüber hinaus werden die besonderen Anforderungen der Versicherer gemäß den Auftragsverarbeitungsverträgen beachtet und umgesetzt.
Omni:us arbeitet mit den Cloud-Service-Anbietern Amazon (Amazon Web Services) und Google (Google Cloud) zusammen. Beide Anbieter garantieren die Einhaltung der EU-Datenschutz-Grundverordnung. Des Weiteren umfasst der Anwendungsbereich des ISMS von omni:us diese Cloud-Service- Anbieter, wodurch die sichere Verarbeitung zusätzlich gewährleistet wird.
Damit erfüllt die Qidenus Group GmbH und somit omni:us alle datenschutzrechtlichen Voraussetzungen für die Verarbeitung von Personenbezogenen- und Gesundheitsdaten von Versicherern.
Das White Paper wurde in Zusammenarbeit mit TÜViT SeCom erstellt, einem Beratungs- und Dienstleistungsunternehmen für Informationssicherheit und Datenschutz der TÜV NORD GROUP.
„Wir haben das ISMS Beratungsprojekt bei omni:us durchgeführt und sehen in der beschriebenen Vorgehensweise für Kunden der Versicherungswirtschaft einen sicheren Weg, die datenschutzrechtlichen Anforderungen zu erfüllen und gleichzeitig die Potenziale innovativer Anwendungen nutzen zu können.“
Justus Bach | Fachbereichsleiter Informationssicherheit & Datenschutz TÜViT SeCom [email protected] | www.tuvit.de
omni:us ist stolzer Europas Horizon2020 SME-Instrument and Fet Flag Champion.
Wir sind dankbar für die Förderung durch das Forschungs- und Innovationsprogramm Horizon 2020 der Europäischen Union unter der Finanzhilfevereinbarung Nr. 820323; 850053.
Kofinanziert von Europäischen Fonds für regionale Entwicklung (EFRE)
Pro Fit-Projekt „Vollautomatisierung der Wertschöpfungskette im Digitalisierungsprozess von Archivdaten“ mit Unterstützung von IBB/EFRE in 2016/2017.
Copyright © 2024 Qidenus Group GmbH. Alle Rechte vorbehalten.
