DORA: Warum HR bei bAV-Dienstleistern jetzt genauer hinschauen muss

In vielen Personalabteilungen ist es nach wie vor ein offenes Geheimnis: Die Verwaltung von Millionenbeträgen an Pensionsrückstellungen basiert oft auf fragilen Excel-Konstrukten, gespeichert auf lokalen Laufwerken, abhängig vom Wissen einzelner Mitarbeiter.

Mit den Maßstäben, die der Digital Operational Resilience Act (DORA) nun im Finanzmarkt etabliert, wird diese Praxis untragbar. DORA definiert strenge Anforderungen an das IKT-Risikomanagement, das Incident Management und die Resilienz kritischer Systeme. Auch wenn Industrieunternehmen nicht direkt reguliert werden, adaptieren IT-Revisionen und Wirtschaftsprüfer diese Standards zunehmend als "Stand der Technik".

Wer heute noch bAV-Daten in ungesicherten Dateien verarbeitet, handelt zwar nicht per se illegal, aber im höchsten Maße fahrlässig gegenüber der Datensicherheit und der Betriebsstabilität.

bixie: Sicherheit als Architekturprinzip

Die Plattform bixie wurde als Antwort auf die Fragmentierung und Unsicherheit in der bAV-Administration entwickelt. Anders als lokale Insellösungen ist bixie eine Cloud-Native-Anwendung, die Sicherheit nicht als Feature, sondern als Fundament begreift:

1. Hosting in der Open Telekom Cloud (OTC):
   Sämtliche Daten und Rechenkerne von bixie werden in den Twin-Core-Rechenzentren der OTC in Deutschland (Magdeburg/Biere) betrieben. Dies garantiert nicht nur die Einhaltung der DSGVO, sondern bietet physische und digitale Sicherheit auf Banken-Niveau.
2. Zertifizierte Infrastruktur:
   Die zugrundeliegende Infrastruktur erfüllt Standards wie TISAX, BSI C5 und ISO 27001. Damit bietet bixie eine Resilience-Architektur, die ein einzelnes Unternehmen "On-Premise" kaum wirtschaftlich abbilden kann.
3. Verschlüsselung und Zugriffskontrolle:
   Durch Single Sign-On (SSO), 2-Faktor-Authentifizierung (2FA) und TLS-Verschlüsselung wird sichergestellt, dass nur autorisierte Personen Zugriff auf die sensiblen Versorgungsdaten haben.