Aufrufe
vor 5 Jahren

die bank 05 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG direkt oder

REGULIERUNG direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“ Auch die zu einem Geschäftskunden gespeicherten Informationen – etwa zum wirtschaftlich Berechtigten, den Mitgliedern der Geschäftsleitung, zum Ansprechpartner des als Kunden geführten Unternehmens und weitere – sind personenbezogene Daten und unterliegen den Anforderungen der DSGVO genauso, wie es auch bei Privatkunden oder Mitarbeitern der Fall ist. Hinzu kommt, dass nicht nur Name, Geburtsdatum und Anschrift personenbezogen sind, sondern auch Kundennummern, User-IDs und Informationen zur Kreditwürdigkeit, dem Portfolio oder weitere Informationen, soweit sie einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Auch Testdaten, Archivdaten oder im Sinne eines Dateisystems gespeicherte analoge Daten sind unter diesen Gesichtspunkten zu berücksichtigen. 6 Sicherheit der Verarbeitung und Datenschutz-Folgenabschätzung Die DSGVO legt einen hohen Maßstab an die Sicherheit personenbezogener Daten an. Daher sind sämtliche Verarbeitungen (unter Berücksichtigung der von ihnen genutzten Systeme und Anwendungen) einer Risikoanalyse zu unterziehen. In deren Rahmen werden „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ durch den Verantwortlichen und den Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (vgl. Art. 32 DSGVO). Dabei sind insbesondere solche Risiken zu berücksichtigen, die – ob unbeabsichtigt oder unrechtmäßig – zu einer Vernichtung, dem Verlust, einer Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten führen können. Soweit eine Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Person führen kann, hat der Verantwortliche vorab, also vor Initiierung der Verarbeitung, eine sogenannte Datenschutz-Folgenabschätzung durchzuführen. Ziel der Datenschutz-Folgenabschätzung ist es, durch die Implementierung weiterer technisch-organisatorischer Maßnahmen das bestehende hohe Betroffenenrisiko zu mitigieren. Im Rahmen der Datenschutz-Folgenabschätzung analysiert und bewertet die Bank Risikoquellen, deren Eintrittswahrscheinlichkeit und den voraussichtlichen Schaden sowie zur Eindämmung der Risiken geeignete Abhilfemaßnahmen. Etwaige, unterhalb des „hohen“ Risikos verbleibende Restrisiken müssen ermittelt und dokumentiert werden. Ganz praktisch stellt sich für die Bank die Frage, wann ein Schwellwert gegeben ist, der zu einer verpflichtenden Durchführung einer Datenschutz-Folgenabschätzung führt. Eine erste Hilfestellung gibt die DSGVO selbst. In Art. 35 Abs. 3 führt sie auf, dass diese insbesondere (also nicht abschließend) in den folgenden Fällen erforderlich ist: systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet, und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Erfasst werden zum Beispiel das Profiling und Scoring im Rahmen der Bonitätsprüfung, die Verarbeitung von Gesundheitsdaten von Mitarbeitern im Wiedereingliederungsmanagement, Verarbeitungen im Rahmen der kundenbezogenen Sorgfaltspflichten nach dem Geldwäschegesetz oder auch die Videoüberwachung. Daneben sieht die DSGVO die Erstellung sogenannter Black- und White Lists durch die Aufsichtsbehörden vor, nach deren Vorgaben Datenschutz-Folgenabschätzungen für bestimmte Verarbeitungen durchzuführen oder eben nicht erforderlich sind. 7 Darüber hinaus ist die Datenschutz-Folgenabschätzung immer dann erforderlich, wenn die initiale Risikobewertung – der jede Verarbeitung zuzuführen ist – ein hohes Betroffenenrisiko ergeben hat. An die Durchführung und Dokumentation der Datenschutz-Folgenabschätzung stellt die DSGVO umfangreiche Anforderungen. Mit Blick auf die Rechenschaftspflicht sollte hier ein sorgfältiges und reproduzierbares Vorgehen gewählt werden. Ist die Bank nicht in der Lage, das initial hohe Betroffenenrisiko durch geeignete Maßnahmen zu mitigieren, gilt es, die zuständige Aufsicht zu konsultieren. Diese kann Empfehlungen erteilen, aber auch eine Beschränkung oder gar ein Verbot der Verarbeitung anordnen. FAZIT Die Konzeption und Umsetzung der DSGVO in die Bankprozesse ist ein komplexes Unterfangen. Dieser Text kann nur einen kleinen Einblick in einige der relevanten Handlungsfelder geben. Es steht zu erwarten, dass zum Stichtag 25. Mai 2018 bundesweit bei weitem nicht 32 05 // 2018

REGULIERUNG alle Unternehmen inklusive denen des Finanzsektors alle Vorgaben der DSGVO umgesetzt haben. Beispielhaft sei nur die technische Umsetzung der Verpflichtung zur Löschung personenbezogener Daten nach Wegfall der Rechtsgrundlage und Ablauf von Aufbewahrungspflichten genannt. Zur vollständigen Compliance werden auch nach dem Stichtag noch Aufgaben anfallen. Alles was bis dahin getan war, zahlt aber bereits auf die Rechenschaftspflicht ein. Autorin Barbara Scheben ist Rechtsanwältin und Partnerin der KPMG AG Wirtschaftsprüfungsgesellschaft. Seit vielen Jahren berät sie zur Datenschutzorganisation und begleitet zahlreiche Unternehmen und Institute auf ihrem Weg zur DSGVO Compliance. 1 Im Folgenden wird die ab dem 25. Mai 2018 geltende neue Fassung des BDSG als „BDSG-neu“ bezeichnet. 2 Gem. Art. 4 Ziff. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet […]. 3 Gem. Art. 4 Ziff. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 4 An die Stelle des Umsatzes tritt bei Kreditinstituten die Summe bestimmter Ertragsposten nach Abzug der Umsatzsteuer und sonstiger direkt auf diese Erträge erhobener Steuern, z. B. Zinserträge und ähnliche Erträge, Erträge aus Wertpapieren, Erträge aus Aktien, anderen Anteilsrechten und nicht festverzinslichen Wertpapieren, Erträge aus Beteiligungen, Erträge aus Anteilen an verbundenen Unternehmen, Provisionserträge, Nettoerträge aus Finanzgeschäften, sonstige betriebliche Erträge. 5 Hier kommt ab dem 25. Mai 2018 der § 26 BDSG-neu ins Spiel. 6 In dem Zusammenhang sei auch darauf hingewiesen, dass die Anforderungen des Datenschutzes nicht gleichzusetzen sind mit den Anforderungen des Bankgeheimnisses. Erstere ergeben sich z. B. aus der DSGVO und dem BDSG, letztere aus der vertraglichen Beziehung zwischen der Bank und ihrem Kunden und sind nicht auf personenbezogene Daten beschränkt. 7 Zum Zeitpunkt der Erstellung dieses Textes waren derartige Listen noch nicht veröffentlicht. »Der Mensch muss an Bedeutung gewinnen, oder er verliert sie ganz.« Kai Pfersich Bankier 5.0 – Die Antwort auf den Roboter Das neue Buch von Kai Pfersich, dem Vordenker für Beratungsqualität in Banken. Aktuell. Fundiert. Umsetzungsorientiert. Bank-Verlag, 192 Seiten ISBN 978-3-86556-498-6 € 49,00 Die Galerie der vergessenen Berufe www.TheValueCompany.de 05 // 2018 33

die bank