Mit der Corporate Sustainability Reporting Directive (CSRD) fordert die EU ab 2024 die Offenlegung von ökologischen, sozialen und unternehmerischen Informationen in einem jährlichen ESG-Report. Die Zeit für die Vorbereitung darauf wird zwar langsam aber sicher knapp, wer sie richtig nutzt, kann jedoch einige willkommene Nebenwirkungen mitnehmen.
Ein Beitrag von Gregor Bieler ist Co-CEO bei APARAVI
Ab 2024 sind alle Versicherungen dazu verpflichtet, im Rahmen der CSRD ESG-Reportings vorzulegen, die bereits jetzt der Non-Financial Reporting Directive (NFRD) unterliegen. In den folgenden Jahren werden die übrigen Unternehmen nach und nach folgen, je nach Größe, Umsatz und Mitarbeiterzahl.
Ab 2025 fallen darunter Versicherungen mit Umsatzerlösen über 40 Millionen Euro und mehr als 250 Mitarbeitern oder einer Bilanzsumme von mehr als 20 Millionen Euro. Das bedeutet, schon in anderthalb Jahren sind auch mittelständische Unternehmen von der ESG-Berichterstattung betroffen. Sie müssen also ihre Daten zu den Themen Umwelt (Environmental), Soziales (Social) und Unternehmensführung (Governance) transparent und messbar machen, um CO2-Reduktionen nachweisen und optimieren zu können.
Doch welches Unternehmen weiß schon exakt, welche Daten es genau gespeichert hat? Immerhin ist in der Regel die Mehrheit der Daten unstrukturiert, ihr Anteil kann bis zu 80 Prozent ausmachen. Dabei handelt es sich überwiegend um Dateien wie Textdokumente, E-Mails, PDFs, Bilder und mehr. Hier verbergen sich erhebliche Risiken, da auch sensible, personenbezogene Informationen wie Ausweisfotos, Bankdaten, Passwörter und ähnliches enthalten sein können.
Eine Maßnahme, viele Effekte
Der erste Schritt zur Vorbereitung auf die kommende ESG-Pflicht ist also die Sichtung, Analyse und Bereinigung der Datenbestände. Das klingt nach einer gewaltigen, wenn nicht gar unlösbaren Aufgabe und enormem Aufwand – wenn sie manuell erledigt werden soll.
Schon wenn es „nur“ um die Erfüllung der ESG-Pflichten geht, lohnt sich daher der Einsatz einer digitalen Plattform mit automatisierten Prozessschritten. Gleichzeitig ist sie aber auch so eine Art Schweizer Armeemesser für eine Reihe anderer, unternehmenskritischer Anforderungen:
Ganz allgemein geht es um die DSGVO-Konformität, aus versicherungsspezifischer Sicht ist es die Erfüllung einschlägiger Regularien wie MaGo (Mindestanforderungen an die Geschäftsorganisation), VAG (Versicherungsaufsichtsgesetz) oder VAIT (Versicherungsaufsichtlichen Anforderungen an die IT).
Gleichzeitig ist ein sauberer, transparenter Datenbestand in besonders gesicherter Infrastruktur eine effektive Präventivmaßnahme gegen Data Breaches, also Datenverluste und deren Folgen.
Versicherungen speichern Unmengen sensibler personenbezogener Informationen wie Kontonummern, Finanzinformationen oder Krankheitshistorien. Wenn diese durch ein in die falschen Hände geraten, ist das für die betroffenen Versicherungen und deren Kunden fatal, und kann enorme Kosten verursachen: Zu den Strafzahlungen, Regressansprüchen und den Aufwendungen für die technische Schadensbehebung kommen noch die nur schwer zu beziffernden, aber oft schmerzhaft spürbaren Reputationsverluste.
Da verwundert es nicht, dass hierzulande die Kosten für einen einzigen Vorfall im Schnitt bei fast 5 Millionen US-Dollar liegen, so die Ergebnisse der Studie „Cost of a Data Breach Report 2022“ von Ponemon Institut und IBM. Damit liegt Deutschland deutlich über dem Mittelwert von 4,35 Millionen US-Dollar.
Gute Vorbereitung ist alles
Voraussetzung für ein auf die Regularien von CSRD/ESG, DSGVO, MaGo, VAG und VAIT vorbereitetes, und gleichzeitig gut gegen Data Breaches aufgestelltes Versicherungsunternehmen ist also die Dateninventarisierung und in deren Folge die Steigerung der Datenqualität.
Dazu werden im ersten Schritt die Datenbestände analysiert und bereinigt, und damit für Auditierungen und zur Prävention gegen Informationssicherheitsverletzungen abgesichert. Im zweiten Schritt werden dann vorbereitende Maßnahmen für schnelle, umfassende und gesetzeskonforme Reaktionen auf Datenverluste getroffen.
Die DSGVO-Regularien sehen beispielsweise eine Meldepflicht innerhalb von 72 Stunden bei Datenschutzverletzungen vor. Auch darauf muss eine Versicherung vorbereitet sein, denn letztlich stellt sich ja nicht die Frage, ob, sondern wann sie davon betroffen sein wird.
Nur eine saubere, validierte und automatisierte Dateninventarisierung kann gewährleisten, dass die schnelle Identifizierung von personenbezogenen und anderen kritischen Daten auf internen und externen IT-Systemen möglich ist. Gleiches gilt für die zügige Beantwortung von Auskunfts- und Löschbegehren für personenbezogene Daten, die nach DSGVO in einem definierten Zeitraum erledigt und nachgewiesen werden müssen.
Mit Data Profiling zum ESG-Report
Die Analyse, Bereinigung und Absicherung der Datenbestände beginnt mit dem Data Profiling. Dazu werden sie einer Bestandsaufnahme unterzogen, um einen Überblick bezüglich des Status Quo zu gewinnen. Die dabei identifizierten Dubletten und irrelevanten Dateien werden entfernt.
Das bereinigt und reduziert den Datenbestand, mit dem erfreulichen Nebeneffekt, dass der Speicherbedarf sinkt und hat Auswirkungen sowohl auf die Kosten-, als auch die Nachhaltigkeitsaspekte. Ein kleiner, aber positiver Beitrag zur Ressourcenschonung, der im ESG-Reporting dann unter Umwelt, also Punkt E auftaucht.
Die verbleibenden Daten und Metadaten werden anschließend analysiert und klassifiziert. Diese Bereinigungs- und Klassifizierungsprozesse erfolgen nicht einmalig, sondern laufend – und natürlich automatisiert.
Die ESG-Verpflichtung hat also auch etwas Gutes: Sie definiert ein klares Ziel, einen konkreten Zeitrahmen und verbindliche Vorgaben für mehr Datentransparenz. Von den dafür notwendigen Maßnahmen profitieren gleichzeitig die Konformität mit den Regularien von Datenschutz und Versicherungsaufsicht, die Datensicherheit, die Prävention gegen Data Breaches sowie nicht zuletzt die Datenqualität insgesamt.
Diese ist absolut kritisch für die Optimierung bestehender und die Entwicklung neuer Geschäftsfelder. Nachhaltigkeit, Compliance, Sicherheit und wirtschaftlicher Nutzen schließen sich also nicht gegenseitig aus – im Gegenteil.