Advertorial
Das Bankgeschäft wartet mit zahlreichen datenschutzrechtlich höchst relevanten Prozessen und Verfahren auf. Trotzdem genießen Finanzhäuser einen enormen Vertrauensbonus ihrer Kunden, welche überzeugt sind, dass ihre Daten sorgsam und professionell behandelt werden. Digitalisierung und Vernetzung sowie die seit 25. Mai 2018 geltenden strengeren Datenschutzregeln der DSGVO sorgen jedoch dafür, dass diese solide Basis immer schwerer zu halten ist. Die ordnungsgemäße Datenschutzorganisation muss also zur Chefsache werden.
Datenschutzbeauftragter als Compliance Manager
Für Banken kommt es künftig darauf an, ihre Datenschutzorganisation analog zur Compliance-Organisation aufzustellen und hierfür auch dieselben Instrumente, Regelwerke und Kontrolllösungen zu nutzen. Der europäische Gesetzgeber hat hierfür die Einführung eines Datenschutz-Managementsystems (DSMS) vorgesehen. Dessen Grundpfeiler bilden die Dokumentations- und Überwachungspflichten, welche bereits sowohl aus anderen Compliance-Vorschriften als auch der Informationssicherheit bekannt sind. Die Verantwortung für die Einhaltung liegt bei den Vorständen, die Überprüfung obliegt dem Datenschutzbeauftragten als internes Kontrollorgan.
Diese Kontrollfunktion stellt den Datenschutzbeauftragten vor neue und besondere Herausforderungen. Wurde er in der Vergangenheit mehr für die Unterstützung der Unternehmen als für die Einhaltung der Datenschutzregelungen herangezogen, übernimmt er seit Einführung der DSGVO immer mehr eine Überwachungsrolle im Sinne eines Compliance Managers. Für die Erfüllung dieser Aufgabe ist es jedoch zwingend erforderlich, dem Datenschutzbeauftragten und der gesamten Datenschutzorganisation das entsprechende Handwerkszeug zur Seite zu stellen.
Synergieeffekte nutzen
Für eine zielführende Etablierung eines DSMS ist es notwendig, sich an bestehenden Lösungen zu orientieren, etwa an solchen aus der Informationssicherheit, und an Compliance-Lösungen. Insbesondere bei der Bewertung von Risiken für die Bank sollte eine gleichsame Herangehensweise angestrebt werden. Der Vorteil einer solchen integrierten Lösung liegt in den Synergieeffekten. Unterschiedliche Bewertungen zu identischen Fragestellungen aus den Bereichen Datenschutz, Compliance und Informationssicherheit würden bei den Fachbereichen sonst rasch zu Missverständnissen und Falschauslegungen führen. Hier gilt es, die Regelungen von BAIT, MaRisk und der ISO2700x-Normen mit den Anforderungen der DSGVO abzustimmen und einen gemeinsamen institutsweiten Regelungsrahmen zu erstellen.
Eigene Haftung auch bei Auslagerung der IT
Wie die Compliance-Regeln, müssen auch die Datenschutz-Normen in die Organisation hineingetragen werden und dürfen nicht allein durch Unternehmensrichtlinien leben. Dies gilt auch für die Auslagerung der IT. Zwar können Banken die Einhaltung der Maßnahmen durchaus vertraglich auf Dienstleister übertragen, die regelmäßige Datenschutzkontrolle verbleibt jedoch beim Institut.
Insbesondere Datenschutzfolgeabschätzungen sowie ein lückenlos geführtes Verzeichnis von Verarbeitungstätigkeiten sind hier unübertragbare Anforderungen. Auch für die verpflichtende Meldung von Datenschutzpannen, welche 72 Stunden nach deren Auftreten erfolgen muss, gilt: Ohne ein solides Datenschutz-Managementsystem laufen betroffene Banken Gefahr, empfindliche Bußgelder zu bezahlen, auch bei Verstößen der externen IT-Dienstleister. Denn wie jeder weiß: Unwissenheit schützt vor Strafe nicht.