Spreadsheet-Risikomanagement im Versicherungswesen & EUC-Daten-Governance
Das Risiko im Zusammenhang mit Spreadsheets ist in der Versicherungsbranche besonders hoch, da Excel allgegenwärtig ist und eine zentrale Rolle bei der Unterstützung geschäftskritischer Prozesse spielt.

Daten-Governance im Versicherungswesen
In der Finanzabteilung werden Spreadsheets für Prognosen und die Finanzberichterstattung verwendet.
Andere, wie Aktuar:innen und Underwriter:innen, setzen Spreadsheets intensiv für aktuarielle Modelle bzw. Underwriting-Modelle ein.
Sowohl im Finanzbereich als auch in anderen Funktionen werden Spreadsheets verwendet, um personenbezogene Daten (PII) zu speichern und zu verarbeiten.
All dies ist seit langem gängige Praxis und hat zu einem wachsenden Bedarf an Daten geführt.
Versicherer investieren weiterhin in datenbezogene Initiativen in den Bereichen Cybersicherheit, Cloud Computing, Datenschutz und Datenanalyse. Durch die Pandemie hat die Umstellung auf Remote-Arbeit die digitale Transformation bei Versicherern und anderen Unternehmen zusätzlich beschleunigt.
Unter den Finanzdienstleistern verfügt die Versicherungsbranche über einige der umfangreichsten und komplexesten Datensammlungen. Diese Daten werden von Versicherern für die Risikoprüfung, die Tarifgestaltung, die Schadenbearbeitung und vieles mehr genutzt. Sie spielen eine zentrale Rolle in Entscheidungs- und Berichtsprozessen und sind zugleich äußerst sensibel.
Es ist daher nicht verwunderlich, dass diese potenziellen Schwachstellen seit jeher die Aufmerksamkeit der Aufsichtsbehörden auf sich ziehen.
Aufsichtsbehörden wie die EIOPA, die PRA und die BaFin haben Anforderungen an die Daten-Governance in ihre Richtlinien für Versicherungsunternehmen integriert. Versicherer müssen beim Umgang mit personenbezogenen Daten zusätzlich umfassende Datenschutzvorschriften wie die DSGVO und den CCPA einhalten. Gleichzeitig müssen sie weiterhin angemessene Kontrollmechanismen nachweisen, wie sie im Rahmen der Finanzberichterstattung durch SOX, SAP und IFRS vorgeschrieben sind.
Nahezu alle dieser Vorschriften enthalten spezifische Anforderungen an die Daten-Governance. In dieser stark regulierten Branche wird dies durch die allgegenwärtige Nutzung von Spreadsheets zusätzlich erschwert.

Compliance-Definitionen im Versicherungswesen
Aufsichtsbehörden im Versicherungswesen
Was ist die EIOPA?
Die European Insurance and Occupational Pensions Authority (EIOPA) ist eine Aufsichtsbehörde der Europäischen Union. Sie ist verantwortlich für die Aufsicht über Versicherungsunternehmen, Rückversicherungsunternehmen, Finanzinstitute, Einrichtungen der betrieblichen Altersversorgung sowie Versicherungsvermittler.
Was ist die PRA?
Die Prudential Regulation Authority (PRA) ist eine britische Aufsichtsbehörde. Die PRA ist für die Aufsicht über Finanzinstitute verantwortlich, darunter Banken, Kreditgenossenschaften, Versicherungsunternehmen und weitere Einrichtungen.
Was ist BaFin?
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bzw. die Federal Financial Supervisory Authority ist eine deutsche Aufsichtsbehörde. Die BaFin ist für die Aufsicht über Banken, Versicherungsunternehmen und weitere Finanzinstitute verantwortlich.
Versicherungsvorschriften
Was ist SOX?
Der Sarbanes-Oxley Act von 2002, allgemein bekannt als SOX, ist ein US-amerikanisches Gesetz, das Anforderungen an Rechnungslegung, Finanzberichterstattung, Wirtschaftsprüfung und weitere Bereiche für börsennotierte Unternehmen neu definiert hat.
Was ist SAP?
Statutory Accounting Principles (SAP) ist ein US-amerikanischer Rechnungslegungsstandard für Versicherungsunternehmen. Obwohl SAP auf dem GAAP-Rahmenwerk basiert, legt es einen stärkeren Schwerpunkt auf die Solvenz.
Was ist IFRS?
Die International Financial Reporting Standards (IFRS) sind Rechnungslegungsstandards, die von börsennotierten Unternehmen in vielen Teilen der Welt verwendet werden. In den USA verlangt die SEC von börsennotierten Unternehmen die Anwendung von GAAP.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die darauf abzielt, personenbezogene Daten und die Privatsphäre von Bürger:innen im Europäischen Wirtschaftsraum (EWR) zu schützen.
Was ist der CCPA?
Der California Consumer Privacy Act (CCPA) ist ein Datenschutzgesetz für Einwohner:innen Kaliforniens.

Spreadsheet-Management im Versicherungswesen
Spreadsheets werden von Versicherungsunternehmen häufig genutzt, um aktuarielle, finanzielle und personenbezogene Daten zu speichern und zu verarbeiten. Diese stark vernetzten Spreadsheets werden zudem intensiv eingesetzt, um Verträge, Schadensfälle und Modelle sowohl als Eingabe- als auch als Ausgabedaten zu verarbeiten. Für die aktuarielle Modellierung umfassen spreadsheetbasierte Eingaben häufig:
- Mortalitäts- und Morbiditätsdaten
- Economic Scenario Generators (ESG)
- Vertragsdaten
- Schadensdaten
- sowie weitere Parameter

Wie viele Versicherer feststellen, mangelt es Spreadsheets und anderen EUC-Anwendungen an Kontrollmechanismen. Angesichts ihrer Komplexität ist eine manuelle Umsetzung dieser Kontrollen mit erheblichem Aufwand verbunden. Dies führt zu Problemen bei der Datenqualität, mangelnder Transparenz hinsichtlich der Verantwortlichkeiten sowie unklaren Zugriffsrechten. Darüber hinaus verlangen viele Aufsichtsbehörden detaillierte historische Daten, um die Vollständigkeit zu bewerten – etwas, das Excel nicht bietet.
Apparity wurde entwickelt, um Spreadsheets und andere EUC-Anwendungen in der Versicherungsbranche effizient zu verwalten und zu kontrollieren. Die Standardfunktionen von Apparity ermöglichen es Versicherungsunternehmen, Governance-Anforderungen in den folgenden Bereichen zu automatisieren und nachweisbar umzusetzen:
Inventar
- Discovery-Modul:
Erstellt und pflegt automatisch ein Inventar von EUC-Dateien, einschließlich relevanter Dateidetails. - Algorithmus zur strukturellen Komplexität:
Ermittelt die Komplexität jeder identifizierten Datei anhand benutzerdefinierter Bewertungsparameter. - Registration:
Qualitative Bewertung der Auswirkungen von Dateien zur Erfassung relevanter Daten von Dateieigentümer:innen. Ermöglicht eine risikobasierte Bestandsaufnahme auf Basis von Komplexität und Auswirkungen. - Connection Explorer:
Stellt Verbindungen zwischen erfassten Dateien visuell dar und bildet Datenflüsse ab. Bietet ein klareres Verständnis vor- und nachgelagerter Abhängigkeiten.
Versionskontrolle
- Versionierung:
Erfasst und verfolgt automatisch alle Dateikopien und ermöglicht gleichzeitig Benutzerkommentare, um Zusammenarbeit und Audit-Trails zu unterstützen. - Versionsverlauf:
Ermöglicht das Anzeigen, Exportieren und Wiederherstellen früherer Versionen einer Datei. - Zero-Loss-Fingerprinting:
Überwachte Dateien werden jederzeit nachverfolgt – unabhängig vom Speicherort oder der Benennung der Datei. Dadurch wird sichergestellt, dass es niemals „verlorene Kopien“ einer Datei gibt.
Änderungsmanagement
- Änderungsprotokolle:
Bieten eine Echtzeit- und Sitzungsansicht aller kritischen Änderungen an einer Datei. Filter- und Sortierfunktionen erleichtern die Identifizierung potenzieller Fehler oder unbefugter Änderungen. - Reduzierung von Störsignalen:
Endbenutzer:innen sehen ausschließlich relevante Änderungen, basierend auf den definierten EUC-Richtlinien des Unternehmens. - Automatisierter Überprüfungs- und Genehmigungs-Workflow:
Stellt sicher, dass kritische Änderungen ordnungsgemäß überprüft und mit vollständigen Prüfpfaden genehmigt werden.
Zugriffskontrolle
- Dateizugriffs- und Änderungsberichte:
Erfassen und protokollieren alle Benutzer:innen, die kritische Dateien aktualisieren. - Warnungen bei unerwarteten Änderungen:
Markieren Änderungen, die von Nicht-Apparity-Benutzer:innen vorgenommen wurden und möglicherweise außerhalb des Kontrollrahmens liegen. Apparity überwacht dabei bestehende Zugriffskontrollmechanismen. Stellt sicher, dass der Zugriff auf eine Datei nur gewährt wird, wenn Endbenutzer:innen Zugriff auf den ursprünglichen Speicherort haben. - Automatische Erkennung personenbezogener Daten:
Ermöglicht es Teams, Dateien mit sensiblen Daten zu identifizieren, die nicht für ein breiteres Publikum bestimmt sind.



