Aufrufe
vor 5 Jahren

die bank 07 // 2017

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG NEUE

REGULIERUNG NEUE EU-DATENSCHUTZGRUNDVERORDNUNG Drei einfache Schritte für einen proaktiven Ansatz Die neue Datenschutzgrundverordnung gilt ab dem 25. Mai 2018 und führt ein neues Regelwerk für die Erhebung, Speicherung und Verarbeitung personenbezogener Daten ein. Inwieweit Finanzinstitute die geeigneten Maßnahmen ergreifen, um sich auf die Grundverordnung vorzubereiten, zeigt dieser Beitrag. IT und Compliance sind wichtige Themen für Finanzorganisationen, die erhebliche Ressourcen einnehmen: Zwei Drittel der IT- Budgets von Banken gehen an Compliance und die allgemeine Instandhaltung. Gleichzeitig ist der Finanzsektor anfällig für Datenschutzverletzungen. Fast ein Viertel aller in Deutschland zwischen 2013 und 2016 verzeichneten Verstöße entfielen auf diesen Bereich. Wenn die EU-Datenschutzgrundverordnung in Kraft tritt, werden Datenverletzungen mit größeren rechtlichen und finanziellen Konsequenzen für diese Organisationen verbunden sein. Die Datenschutzgrundverordnung wird am 25. Mai 2018 in Kraft treten und einheitliche Regelungen in der gesamten EU einführen. Sie gilt in allen Mitgliedstaaten gleichermaßen. Die Grundverordnung hebt die Richtlinie 95/46/EG (Datenschutzrichtlinie) auf. Die Datenschutzrichtlinie wurde jeweils durch die einzelnen Mitgliedstaaten in nationales Recht umgesetzt und galt darum als nicht einheitlich in der EU. Neben deutlich härteren Strafen führt die Grundverordnung schwerwiegende Compliance-Verpflichtungen ein. So müssen lokale Behörden beispielsweise unverzüglich und, soweit machbar, innerhalb von 72 Stunden über Datenschutzverletzungen informiert werden; wenn die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die Rechte und Freiheiten von Personen darstellt, muss die betroffene Person ebenfalls unverzüglich unterrichtet werden. Darüber hinaus ist die Definition von personenbezogenen Daten umfassender als die der Datenschutzrichtlinie. Die Grundverordnung trifft nicht nur in der EU ansässige Unternehmen, sondern kann auch für jede andere Organisation inner- und außerhalb der EU gelten, die personenbezogene Daten von EU-Bürgern verarbeitet. Dies ist der Fall, wenn Unternehmen EU-Bürgern Waren oder Dienstleistungen offerieren oder wenn die Verarbeitung der personenbezogenen Daten darin besteht, ihr Verhalten zu überwachen. Die Datenschutzgrundverordnung führt härtere Strafen für Verstöße ein, als die derzeit geltenden. Beispielsweise können Verstöße mit Sanktionen von bis zu 20 Mio. € oder im Fall internationaler Organisationen vier Prozent des weltweiten Jahresumsatzes der Organisation geahndet werden. Dazu gehören insbesondere Verstöße, die sich auf die Rechte des Datensubjekts bzw. der betroffenen Person beziehen sowie auf die Übermittlung personenbezogener Daten in Drittländer (außerhalb der EU). Finanzinstitute müssen den neuen Rechtsrahmen einhalten Angesichts der massiven und anhaltenden Veränderungen in der digitalen Welt ist es eine technische und organisatorische Herausforderung, den Rechtsrahmen für den Datenschutz in Europa einzuhalten. Gleichzeitig gehen Millionen von Datensätzen mit personenbezogenen Daten jedes Jahr verloren oder werden gestohlen. Tatsächlich hat ein Bericht der britischen Regierung festgestellt, dass zwei Drittel der großen Unternehmen im Jahr 2015 einen Cyber-Verstoß oder -Angriff erlebt haben. Die Datenschutzgrundverordnung liefert Unternehmen einen Anstoß, diese Probleme direkt anzugehen. Die Einhaltung der Grundverordnung stellt eine Herausforderung dar Die Einhaltung der Vorschriften ist jedoch mit einer Reihe an Herausforderungen verbunden. So muss der Überwachungsbehörde ein Missbrauch personenbezogener Daten mitgeteilt werden und nur ein kurzer Zeitrahmen steht zur Verfügung, um dies zu tun. Hinzu kommt die Pflicht, die betroffene Person über die Verletzung zu informieren. Dies ist eine wesentliche neue Anforderung. Drei einfache Schritte für einen proaktiven Ansatz Da das Inkrafttreten der Datenschutzgrundverordnung stetig näher rückt, werden Unternehmen überlegen müssen, welche Maßnahmen erforderlich sind, um die Verordnung einzuhalten. Für diejenigen, die diese Herausforderung erst jetzt angehen, gilt es einige klare erste Schritte einzuleiten Überlegungen zur Umsetzung dieser Schritte zum jetzigen Zeitpunkt können dazu beitragen, finanzielle Fallstricke in der Zukunft zu vermeiden. 1. Verstehen Sie das persönliche Daten- Universum Finanzinstitute sollten Maßnahmen ergreifen, um sich ein klares Verständnis hinsichtlich ihres persönlichen Datenuniversums zu verschaffen: Es ist zum Beispiel wichtig zu wissen, welche Arten von personenbezogenen Daten erfasst werden, wie und von wem diese gesammelt werden, wo die Daten gespeichert wer- 64 07 // 2017

REGULIERUNG den, was damit gemacht wird, wer damit umgeht, die Gründe für die Verarbeitung, die Speicherungsdauer sowie die Gründe für die Speicherung oder Löschung von Daten, und natürlich, inwiefern diese Praktiken die bevorstehenden regulatorischen Verpflichtungen nach der Datenschutzgrundverordnung und anderen gesetzlichen Anforderungen erfüllen. 2. Planung und Kommunikation Planung und Kommunikation sind der Kern einer erfolgreichen Information Governance-Strategie. Die Schlüsselpersonen (typischerweise IT-, Rechts-, Compliance-, Geschäfts-, Vertriebs- und Personalabteilungen, die sich mit personenbezogenen Daten befassen) an einen Tisch zu holen, um ein Daten-Mapping zu erstellen – im Wesentlichen eine Beschreibung der unternehmensspezifischen Datentypen, der technischen Infrastruktur und der Speicherlösungen – ist ein wesentlicher zweiter Schritt. 3. Beständige Wachsamkeit Es genügt nicht, eine unregelmäßige Überwachung der personenbezogenen Daten einzuführen. Da sich die personenbezogene Datenlandschaft eines Finanzinstituts kontinuierlich verschiebt, ist das Mapping dieser Landschaft vielmehr eine laufende Anforderung als eine einmalige Übung. Ein proaktiver und fortlaufender Ansatz für das Gebiet der Information Governance stellt sicher, dass Unternehmen bereit sind, mit zukünftigen Entwicklungen und Verschiebungen umzugehen. Privatsphäre muss ein Kerngeschäft werden Es wird erwartet, dass die Einführung der Datenschutzgrundverordnung eine deutlich gesteigerte Umsetzung der Datenschutzbestimmungen in der gesamten EU bewirken wird. Privatsphäre muss nun ein Kerngeschäftsprogramm für in der EU agierende Unternehmen werden, und die Planung der Herausforderungen, die die Grundverordnung mit sich bringt, sollte jetzt beginnen. FAZIT Mit der richtigen Vorbereitung werden Finanzinstitute in der Lage sein, die Vorteile eines starken regulatorischen Rahmens zur Entwicklung von Technologien und Prozessen zu nutzen. Bei ausbleibender Planung erhöht sich das Risiko einer Verletzung der Datenschutzgrundverordnung mit der Konsequenz erheblicher Schäden finanzieller Art oder für die Reputation des Unternehmens. Autor: Martin Bonney ist Director International Consulting Services bei Epiq. 07 // 2017 65

die bank