Aufrufe
vor 5 Jahren

die bank 05 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG Auch

REGULIERUNG Auch die Verletzung eher formeller Anforderungen, wie das Nichtvorhalten eines Verarbeitungsverzeichnisses, Fehler bei der Auftragsverarbeitung oder das Unterlassen der Meldung von Datenschutzverstößen an die Aufsichtsbehörde kann empfindlichen Bußen nach sich ziehen. Immerhin bis zu 10 Mio. € oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs können hier zu Buche schlagen. Begrüßenswert ist, dass die DSGVO, anders als noch das (alte) BDSG, den Aufsichtsbehörden sowie dem Verantwortlichen oder Auftragsverarbeiter Indikatoren an die Hand gibt, die bei der Bußgeldbemessung zu berücksichtigen sind (Art. 83 Abs. 2 DSGVO ). Dies sind zum Beispiel Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs und des Zwecks der betreffenden Verarbeitung sowie der Zahl der betroffenen Personen und des Ausmaßes des von Ihnen erlittenen Schadens. Ebenso wichtig sind die Frage nach der Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, der bereits ergriffenen Maßnahmen zur Schadensminderung sowie der Grad der Verantwortung, insbesondere beim Zusammenwirken mehrerer Parteien. Aber auch Aspekte wie die Frage einschlägiger früherer Verstöße, der Umstand des Bekanntwerdens des Verstoßes gegenüber der Aufsichtsbehörde sowie der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen, werden berücksichtigt. Gerade die letztgenannten Aspekte werden die betroffenen Institute zu einem vermehrt proaktiven Verhalten beim Datenschutz und auch beim Umgang mit einem Datenschutzverstoß motivieren. Datenschutz-Management- System Der Verantwortliche hat die Einhaltung der Anforderungen der DSGVO sicherzustellen und muss dies nachweisen können. Die DS- GVO nennt dies Rechenschaftspflicht (Accountability). Diese Rechenschaftspflicht bewirkt eine Art Beweislastumkehr für den Fall eines behaupteten Verstoßes gegen die DSGVO etwa durch eine Aufsichtsbehörde oder einen Betroffenen, der die Bank „zur Rechenschaft ziehen“ will. Deutlich wird dies zudem im Zusammenhang mit den Regelungen zur Haftung gegenüber Schadensersatzansprüchen. Die Bank wird nur dann von der Haftung befreit, wenn sie nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. 30 05 // 2018

REGULIERUNG Um der Rechenschaftspflicht nachzukommen, hat der Verantwortliche – also die Bank vertreten durch die Geschäftsleitung – geeignete und wirksame Maßnahmen zu konzipieren, die er im Sinne eines Regelkreislaufs implementiert. Die Orientierung an einem der gängigen Standards, wie zum Beispiel dem IDW PS 980 mit seinen Elementen Kultur, Ziele, Risiken, Programm, Organisation, Kommunikation, Überwachung und Verbesserung ist ratsam. Die DSGVO enthält eine Vielzahl an inhaltlichen Einzelanforderungen, die innerhalb des DSMS sichergestellt werden müssen. Zu deren Umsetzung, insbesondere der Fokusthemen Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, Datensicherheit, Betroffenenrechte, Auftragsverarbeitung, Drittstaatenübermittlung und Meldung von Datenschutzverstößen, ist eine solide Governance mit Rollen und Zuständigkeiten, Regelprozessen, Kontrollen und deren Abbildung in der schriftlich fixierten Ordnung erforderlich. Verabeitungsverzeichnis Herzstück des DSMS wird mit der DSGVO das Verarbeitungsverzeichnis. Dieses wird als Basis-Dokumentationstool dienen und die wesentlichen Informationen zur Steuerung der Datenschutzorganisation und ihrer Abläufe enthalten. Nach der DSGVO haben sowohl der Verantwortliche als auch der Auftragsverarbeiter ein Verarbeitungsverzeichnis zu führen. Dies betrifft die Bank also sowohl hinsichtlich ihrer eigenen Kunden, Geschäftspartner oder Mitarbeiter als Verantwortlicher, als auch dann, wenn sie z. B. für ein Tochter- oder Drittunternehmen im Auftrag (als Auftragsverarbeiter) personenbezogene Daten verarbeitet. Dies kann unter anderem beim Erbringen von IT-Dienstleistungen oder der Bereitstellung von Call-Center-Services der Fall sein. Das Verarbeitungsverzeichnis des Verantwortlichen umfasst neben formellen Angaben für die Beurteilung der Datenverarbeitung wertvolle Informationen, wie Zwecke der konkreten Verarbeitung, die Kategorien betroffener Personen und Daten, die Kategorien von Empfängern dieser Daten, die vorgesehenen Fristen zur Löschung von Daten und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zu ihrem Schutz. Zu empfehlen ist, dass in diesem Verzeichnis auch zusätzliche Informationen wie die Rechtsgrundlage der Verarbeitung, deren Kritikalität sowie die eingesetzten Systeme und Anwendungen dokumentiert werden. Das durch den Auftragsverarbeiter zu führende Verarbeitungsverzeichnis enthält nach der DSGVO (neben den Kontaktdaten des Auftragsverarbeiters selbst, des Datenschutzbeauftragten und des Verantwortlichen, in dessen Auftrag er tätig ist) auch Informationen zu den Kategorien der Verarbeitung, die im Auftrag durchgeführt werden, zu Übermittlungen von personenbezogenen Daten in ein Drittland und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Das Verarbeitungsverzeichnis nach der DSGVO ist nicht mit einem IT-System- oder Anwendungsverzeichnis zu verwechseln. Auch das sogenannte öffentliche Verfahrensverzeichnis nach dem alten BDSG hat nichts mit dem Verarbeitungsverzeichnis nach der DSGVO zu tun. In der Praxis wird die Frage, ob bereits eine Übersicht ihrer Verarbeitungen erstellt ist, häufig vorschnell mit „ja“ beantwortet. Bei genauerem Hinsehen wird aber deutlich, dass das Dokument oder Inventar einem Verarbeitungsverzeichnis in keiner Weise gleichkommt. Die Verarbeitung ist nicht gleichzusetzen mit einem System oder einer Anwendung. Die DSGVO definiert sie als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“ (Art 4 DSGVO Ziff.2). Die Verarbeitung leitet sich aus den Geschäftsprozessen ab. Dabei nutzt sie Systeme und/oder Anwendungen. Umgekehrt kann ein System bzw. eine Anwendung mehrere Verarbeitungen unterstützen. Der Kreditprozess lässt sich beispielsweise unterteilen in Verarbeitungen wie den Vertrieb, die Vorabprüfung und Schufa-Anfrage, die interne Bonitätsprüfung, die Kreditvergabe und weitere Verwaltung, das Mahnwesen etc. Die Mitarbeiterverwaltung enthält zum Beispiel die Verarbeitungen Recruiting, Stammdatenverwaltung, Lohn- und Gehaltsabrechnung, Schulungshistorie, Mitarbeiterbeurteilung und Wiedereingliederungsmanagement. In den jeweiligen Verarbeitungen werden ganz unterschiedliche Systeme und Anwendungen eingesetzt, die sozusagen als Instrument oder technische Unterstützung der Verarbeitung dienen. Im Zusammenhang mit dem Verarbeitungsverzeichnis sei noch ein Hinweis zum Thema personenbezogene Daten erlaubt. Nicht selten wird übersehen, dass auch Banken, die „nur“ oder „überwiegend“ B2B- Business betreiben, ebenfalls personenbezogene Daten verarbeiten, und zwar nicht nur hinsichtlich ihrer Mitarbeiter. Personenbezogene Daten werden in Art. 4 Ziff. 1 DSGVO definiert als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die 05 // 2018 31

die bank