Innovation und das europäische regulatorische Umfeld gestalten die Zukunft des Schaden- und Unfallversicherungssektors (SHUK) in der Europäischen Union (EU). Eine kürzlich von Celent durchgeführte Umfrage identifizierte beide als Prioritäten für 2024 für CIOs, CTOs und IT-Architekten von SHUK-Versicherungsunternehmen in EMEA. 86% der Befragten legen einen mäßigen bis signifikanten Fokus auf das regulatorische Umfeld, während 81% denselben Fokus auf Innovation legen.
Dieser Blog untersucht einige Aspekte des Digital Operational Resilience Act (DORA) und des Data Act, bedeutende neue EU-Vorschriften, die das europäische regulatorische Rahmenwerk wesentlich beeinflussen könnten.
Er beleuchtet, wie SHUK-Organisationen weiterhin innovativ sein können, trotz Datenschutz- und Cybersicherheitsvorschriften, und wie Guidewires bisherige Erfahrungen und Partnerschaft mit Amazon Web Services (AWS) Kunden dabei helfen können, ihr Geschäfte auszubauen und gleichzeitig die neuen gesetzlichen Vorschriften einzuhalten.
Datenschutz im Versicherungsmarkt: Eine Umgebung im Wandel
Seit Jahrzehnten nutzen Versicherungsunternehmen Daten, um ihren Kundenservice, ihre betriebliche Effizienz und ihre wettbewerbliche Differenzierung zu verbessern. Sie verlassen sich auf Daten, um die Präzision und Kosteneffizienz der von ihnen ausgestellten Policen und der von ihnen bearbeiteten Ansprüche zu gestalten. Der Aufstieg von Big Data Analytics, maschinellem Lernen und KI hat die Nutzung personenbezogener Daten für den Kundenservice, die granulare Risikobewertung und die maßgeschneiderte Policengestaltung erhöht.
„Um Innovationen trotz Datenschutzvorschriften zu erleichtern und sicherzustellen, umfasst der Guidewire Marketplace einen Partnervalidierungsprozess, damit unsere Kunden mit Vertrauen innovieren und differenzierte Ergebnisse für ihre eigenen Ökosysteme schaffen können.“
Will Murphy, Vice President, Global Technology Alliances
Die moderne Wirtschaft benötigt zunehmend Daten, und die Schaden- und Unfallversicherung bildet da keine Ausnahme. Digitale Plattformen erzeugen beispiellose Mengen an digitalen Verbraucherinformationen. Gleichzeitig tragen das zunehmende Bewusstsein der Verbraucher für den Datenschutz und die wachsenden digitalen Fußabdrücke zu einem regulatorischen Umfeld bei, das sich auf robuste Schutzprotokolle konzentriert.
Sich entwickelnde Vorschriften haben tiefgreifende Auswirkungen auf Versicherer. Über die Vermeidung von Geldstrafen hinaus gestalten diese Vorschriften, wie Produkte entwickelt und Ansprüche verwaltet werden, und bieten die Möglichkeit, durch die strategische Nutzung einer ordnungsgemäßen Datenverwaltung einen Wettbewerbsvorteil zu erlangen.
Das europäische regulatorische Klima und seine Auswirkungen auf die Versicherungsbranche In der EU operiert die Versicherungsbranche innerhalb eines komplexen Netzes von Datenschutzvorschriften. Bis heute war die Datenschutz-Grundverordnung (DSGVO) einer der europäischen Vorreiter. Sie wurde im Mai 2018 verabschiedet und hat den Datenschutz und die Privatsphäre in der EU und weltweit maßgeblich beeinflusst, was sich erheblich auf die Versicherungspraktiken und -richtlinien auswirkte. Allerdings entstehen weiterhin neue regulatorische Schichten (Data Act, AI Act, NIS2-Richtlinie, DORA) und ergänzen die bereits bestehenden Vorschriften, die für europäische SHUK-Versicherer gelten (Solvency 2, delegierte Verordnungen, EIOPA-Leitlinien usw.).
Data Act
Die Verordnung über harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten - auch bekannt als Data Act - ist ein Gesetz, das darauf abzielt, die Datenwirtschaft der EU zu stärken und einen wettbewerbsfähigen Datenmarkt zu fördern, indem Daten (insbesondere Industriedaten) zugänglicher und nutzbarer gemacht werden, datengesteuerte Innovationen gefördert und die Datenverfügbarkeit erhöht werden.
Während der Anwendungsbereich der DSGVO auf personenbezogene Daten beschränkt ist, gilt der Data Act sowohl für personenbezogene als auch für nicht-personenbezogene Daten, was bedeutet, dass sein Anwendungsbereich eindeutig breiter ist. Das heißt, dass, wann immer wir über personenbezogene Daten sprechen, sowohl die DSGVO als auch der Data Act gemeinsam gelten.
Der EU Data Act enthält wichtige Vorschriften in den B2C-, B2B- und B2G-Sektoren, die den Datentransfer zwischen Unternehmen, Verbrauchern und in bestimmten Fällen Regierungsbehörden betreffen. Der Data Act gibt Nutzern vernetzter Produkte mehr Kontrolle über die von ihnen erzeugten Daten. Darüber hinaus legt er allgemeine Bedingungen für Situationen fest, in denen ein Unternehmen gesetzlich verpflichtet ist, Daten mit einem anderen Unternehmen zu teilen.
Mit dem EU Data Act sind unfaire Vertragsbedingungen nun auch im B2B-Sektor ausdrücklich verboten. Eine Bedingung gilt als unfair, wenn sie erheblich von „guter Geschäftspraxis“ abweicht und „gegen Treu und Glauben und fairen Handel“ verstößt. Beispiele hierfür sind die Haftungsbeschränkung, der Ausschluss rechtlicher Abhilfemaßnahmen oder die Gewährung einseitiger Rechte.
Der Data Act trat am 11. Januar 2024 in Kraft und wird ab September 2025 anwendbar sein. Guidewire überwacht seine Entwicklung genau.
NIS2
Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Cybersicherheit. Sie ergänzt die Richtlinien ihres Vorgängers und soll die kollektive Widerstandsfähigkeit kritischer Infrastrukturen, einschließlich der Finanzinfrastruktur, gegen Cyberbedrohungen verbessern. Die Richtlinie wurde 2022 genehmigt, und die Frist für die Umsetzung in nationales Recht in den Mitgliedstaaten ist der 17. Oktober 2024.
Zweck von NIS2 ist es, Risiken zu mindern, indem die Haltung von Organisationen gegenüber Cyberangriffen geformt wird. Die Vorschriften erweitern den Anwendungsbereich ihres Vorgängers und erfordern robuste Sicherheitsmaßnahmen zum Schutz sensibler Kundendaten vor Cyberbedrohungen.
DORA hat Vorrang vor NIS2 für den Finanzsektor.
Digital Operational Resilience Act (DORA)
DORA ist ein EU-weites gesetzliches Risikomanagement-Rahmenwerk, das darauf abzielt, die digitale operationelle Widerstandsfähigkeit des Finanzsektors für alle Finanzinstitute, einschließlich Versicherungsunternehmen, sicherzustellen. DORA konzentriert sich auf wichtige Risikobereiche, einschließlich Schutz-, Erkennungs-, Eindämmungs-, Wiederherstellungs- und Reparaturfähigkeiten gegen IKT-Vorfälle. DORA wird im Januar 2025 in Kraft treten.
Es besteht kein Zweifel, dass der Inhalt von DORA aus vielen dezeit noch beweglichen Teilen besteht. Die drei europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA – die ESAs) haben im Januar den ersten Satz endgültiger Entwürfe technischer Standards unter DORA veröffentlicht, die darauf abzielen, die digitale operationelle Widerstandsfähigkeit des EU-Finanzsektors zu stärken, indem die Informations- und Kommunikationstechnologie (IKT), das Drittparteien-Risikomanagement und die Vorfallberichterstattungsrahmen der Finanzinstitute gestärkt werden. Guidewire analysiert diese Entwürfe derzeit genau. Wir erwarten, dass die ESA am 17. Juli 2024 einen zweiten Satz endgültiger Entwürfe veröffentlicht. Dieses Paket wird auch einen Entwurf zur Untervergabe kritischer oder wichtiger Funktionen enthalten, die möglicherweise auf SaaS-Verträge anwendbar sind.
Guidewire überwacht auch die neuesten Entwicklungen von DORA genau.
Wie man Compliance mit Innovation in Einklang bringt
Mit der DSGVO hat Guidewire Lösungen bereitgestellt, die Versicherungsunternehmen dabei unterstützen, ihre Anforderungen an den Schutz von Kundendaten und den Umgang mit personenbezogenen Daten zu erfüllen. Mit einem genauen Blick auf die regulatorischen Anforderungen innovieren wir weiterhin innerhalb unseres Produktportfolios, um unseren Kunden zu ermöglichen, die für sie geltenden EU-weiten Vorschriften einzuhalten.
Die EU-Vorschriften können von Versicherern als Gelegenheit gesehen werden, Vertrauen in ihre Gemeinschaften zu fördern und aufzubauen. Indem sie die Einhaltung bestehender und neuer Datenschutz-, Sicherheits- und Risikomanagementvorschriften fördern und sicherstellen, können Versicherer ihre eigenen Kunden beruhigen, dass innovative neue Fähigkeiten und Dienstleistungen mit der Verantwortung für den Datenschutz in Einklang gebracht werden.
Das Netzwerk von Guidewire umfasst viele Partnerschaften, darunter unseren Hosting-Anbieter Amazon Web Services (AWS). Wie Guidewire unterstützt AWS ihre Kunden dabei, Innovation, Widerstandsfähigkeit und Sicherheit zu fördern. Guidewire verfolgt die regulatorischen Entwicklungen genau und begrüßt solche Initiativen gemeinsam mit AWS. Wir arbeiten daran, in der Lage zu sein, unsere Kunden dabei zu unterstützen, die Anforderungen von DORA und anderen EU-Vorschriften zu erfüllen.