Aufrufe
vor 5 Jahren

die bank 05 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG VIEL ARBEIT

REGULIERUNG VIEL ARBEIT FÜR BANKEN Umsetzung der EU-Datenschutz- Grundverordnung Am 25. Mai wurde die EU-Datenschutz-Grundverordnung (DSGVO) unmittelbar wirksam, und mit ihr das neue Bundesdatenschutzgesetz (BDSG 1 ). Für den Datenschutz bedeutet dies eine Zeitenwende. Wo früher reaktives Handeln den Datenschutz-Alltag bestimmte, ist nun ein aktives Tun bei der Einrichtung eines umfassenden Datenschutz-Management-Systems gefragt. Was bedeutet dies für die Bankenpraxis? 28 05 // 2018

REGULIERUNG Nicht zuletzt wegen der enormen Sanktionsdrohungen wird der Datenschutz eine ganz neue Bedeutung bekommen. Die DSGVO verfolgt unter anderem das Ziel, innerhalb der Europäischen Union ein gleichmäßiges und hohes Schutzniveau für natürliche Personen zu gewährleisten. Dieses kommt bei Betrachtung der durch die DSGVO vorgesehenen zahlreichen Maßnahmen unweigerlich zum Vorschein und zeigt sich nicht zuletzt an dem Erfordernis zur Einrichtung eines Datenschutz-Management-Systems (DSMS). Der vorliegende Text stellt einige der Schwerpunkte des DSMS näher dar. Ausgangspunkt für das Datenschutz-Management-System ist der räumliche Anwendungsbereich der DSGVO. Diese gilt nicht nur für in der EU ansässige Unternehmen aller Branchen, die als datenschutzrechtlich „Verantwortliche“ 2 oder „Auftragsverabeiter“ 3 innerhalb oder außerhalb der EU personenbezogene Daten verarbeiten. Sie gilt auch, wenn ein außerhalb der EU niedergelassener Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten von in der EU befindlichen Personen verarbeitet, um diesen Waren oder Dienstleistungen anzubieten oder er deren Verhalten beobachtet (sog. Marktortprinzip). Das Management-System muss also das Unternehmen, hier das Kreditinstitut, als Ganzes umfassen; inklusive seiner Tochterunternehmen und Niederlassungen, bei denen diese Voraussetzungen vorliegen. Konkret bedeutet dies: Sowohl die mit Sitz in Deutschland befindliche Beispiel-Bank als auch ihre Tochtergesellschaften in Deutschland und Frankreich unterfallen der DSGVO. Gleiches gilt für deren Niederlassung in New York, soweit diese Daten von Personen – die sich in der Union befinden – verarbeitet, um diesen Dienstleistungen anzubieten. Zu beobachten ist, inwieweit der Brexit datenschutzrechtliche Konsequenzen haben wird. Über das Marktortprinzip wird aber auch die UK-Branch der Beispiel-Bank in den räumlichen Anwendungsbereich der DSGVO fallen. Sanktionen Abgesehen von allgemeinen Compliance-Erwägungen lässt sich die Anforderung, das gesamte Unternehmen „Bank“ in das Management-System einzubeziehen, aus dem mit der DSGVO einhergehenden drastischen Bußgeldrisiko ableiten. Dieses richtet sich bei Unternehmen, also auch Kreditinstituten, nach seinem Umsatz. Der Begriff des „Unternehmens“ knüpft wiederum an den weiten, funktionalen Unternehmensbegriff der Art 101, 102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union.) an. Mutter- und Tochterunternehmen werden als eine wirtschaftliche Einheit gesehen, weshalb der Anknüpfungspunkt für die prozentuale Ableitung der Höhe der Sanktion der Umsatz 4 des Kreditinstituts in seiner Gesamtheit ist. Dies hat zur Folge, dass Datenschutzrisiken nicht auf vermeintlich unbedeutende, kleine Tochtergesellschaften ausgelagert werden können. Anknüpfungspunkt für das Bußgeld im Fall eines Verstoßes wird nämlich der Umsatz der wirtschaftlichen Einheit, also der „Unternehmensgruppe“ als Ganzes sein. Verstöße eines Verantwortlichen oder eines Auftragsverarbeiters gegen die DSGVO können mit Bußgeldern von bis zu 20 Mio. € oder von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden, je nachdem, welcher der Beträge höher ist. In erster Linie wirken sich hier Verletzungen der Betroffenenrechte oder die Verarbeitung personenbezogener Daten ohne Rechtsgrund beziehungsweise unter Verstoß gegen die Datenschutzgrundsätze aus. Derartige Sachveralte liegen zum Beispiel vor, wenn auf Auskunftsersuchen der Betroffenen nicht, nicht fristgerecht oder nicht in der gebotenen Art und Weise reagiert wird; wenn Daten nach Ablauf der Zweckbindung und etwaiger Aufbewahrungspflichten weiter gespeichert oder verarbeitet werden oder Daten zu einem anderen Zweck verarbeitet werden, als demjenigen, für den sie ursprünglich erhoben wurden. Sogenannte „Testdaten“ spielen gerade hier nicht selten eine Rolle. In diese Kategorie von Verstößen fallen in der Regel auch die „klassischen“ Datenschutzvorfälle, wie der Zugriff Unberechtigter auf personenbezogene Daten (z. B. durch Hacking oder die Offenlegung von Kundendaten durch den unbeabsichtigten Verlust eines mobilen Datenträgers), das „Ausspähen“ von Mitarbeitern jenseits des Vorliegens eines Erlaubnistatbestands 5 oder das extensive Sammeln von Daten im Rahmen des Customer Relationships, ohne dass hierfür ein anerkennenswertes berechtigtes Interesse besteht. 05 // 2018 29

die bank