Seit dem 25. Mai 2018 gilt die DSGVO für private Unternehmen, Selbstständige, öffentliche Stellen und Bankinstitute. Mit der Verordnung werden europaweit neue Anforderungen an die Verarbeitung personenbezogener Daten geschaffen und das bisher geltende Bundesdatenschutzgesetz (BDSG a. F.) sowie die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) abgelöst bzw. konkretisiert und modifiziert. Für 2019 ist vorgesehen, die DSGVO durch die noch in Abstimmung befindliche „EU-e-Privacy-Verordnung“ zu ergänzen, die auch Internet- und Telemediendienste betreffen wird.
Außergewöhnliche Rechenschaftspflichten
Der Druck, ein Datenschutz Managementsystem (DSMS) unter Berücksichtigung der genannten Vorgaben zu etablieren und nachzuweisen, wird mit drastischen Bußgeldern verstärkt. Die zu erbringenden Rechenschaftspflichten sind für den bisherigen Kenntnisstand der meisten Institute außergewöhnlich. So müssen diese fortan z.B. nachweisen, dass sie genau wissen, wo sich personenbezogene Daten befinden – und das innerhalb aller Systeme und Geschäftsbereiche. Zugriffe auf diese Daten müssen für jede natürliche Person erkennbar und extern nachvollziehbar sein. Darüber hinaus müssen sowohl Zeitpunkt als auch Art eines solchen Zugriffs dargestellt werden können.
Zudem sind Absicherungen gegen Datenschutzverstöße darzustellen und Behörden und Verbraucher innerhalb von 72 Stunden über Probleme zu informieren. Auch wenn Datenschutzprobleme in diesem Zeitraum behoben werden, ist ein Anspruch auf Schadenersatz immer noch möglich.
Vom „Compliance Keeper“ zum „Business Enabler“
Die Überprüfung bestehender Datenschutzsysteme zweier großer deutscher, international agierender Banken hat ergeben, dass Schutzmaßnahmen in der Regel relativ weit entwickelt sind. Dennoch besteht in weiten Teilen Nachholbedarf. Die Tendenzen präsentierter Maßnahmen haben nämlich einige Schwächen gezeigt: Wenn Banken z.B. weltweit über Niederlassungen verfügen, fehlt oft eine internationale Governance. Solche Managementprozesse erfordern hinsichtlich der Systematik von Datenschutzrisiken Verbesserungen. Denn von Aufsichtsgremien werden Zielvorgaben und Aktionspläne für die Risikobewertung von Lücken erwartet. Dazu ist es allerdings Voraussetzung, dass die beauftragten Datenschutzorganisationen über genügend Ressourcen und Know-how verfügen.
Gleichzeitig sollte vom jeweiligen Bankinstitut Rückhalt ausgehen und die weitere Umsetzung auf nachhaltige Prozesse angelegt sein, in welche der Risikogedanke integriert ist. Die bisher historisch reaktiv und operativ agierenden „Compliance Keeper“ sind zum „Business Partner“ und in der Folge zum „Business Enabler“ umzuwandeln.
Aus diesen Anforderungen ergeben sich sieben Handlungsfelder zur Initiierung des Datenschutzes:
- Grundlagen sind mit einer Datenschutzkultur einzurichten.
- Ziele für die Datenschutzmaßnahmen sollten festgelegt werden (Ambitionen, Visionen).
- Die Führung muss ihre Verantwortung für den Datenschutz als Vorbild verinnerlichen.
- Die Beauftragten sind mit angemessenen Ressourcen und Mitarbeitern auszustatten.
- Die Grundsätze des Datenschutzmanagements sind zu etablieren („Best Effort – Regeln“).
- Hohe Reifegrade sind anzusetzen (Betroffenenrechte, Transparenz, Organisation).
- Die Übertragung von tradierten Verfahren verlangt neue Strukturen der Organisation.
Die Beratung, Prüfung und Freigabe neuer Anwendungen auf Basis dieser sieben Punkte muss in bewährte IT-Prozesse eingebunden werden. Die Schulung breiter Mitarbeiterkreise mit einem strukturierten Fragenkatalog ist dabei unumgänglich. Deutsche Institute müssen hier international als Vorbilder für europäische Unternehmen auftreten. Denn die Beachtung des Datenschutzes und die Verantwortung dafür enden nicht an den politischen Grenzen.