Anforderungen an elektronische Datenschutz-Management-Systeme

Stellt Datenschutz an erste Stelle: Jens Morzuch, Geschäftsführer Genobit — Jens Morzuch, Geschäftsführer GenobitGenobit

Die Pflichten und Anforderungen der EU-Datenschutzgrundverordnung (EU-DSGVO) sind anspruchsvoll. Geschützt werden sollen nicht nur die Daten der Kunden und Geschäftspartner, sondern auch die der Mitarbeiter. Zwei der wichtigsten Neuerungen beim Datenschutz sind die geforderte Transparenz sowie der Schutz der Betroffenendaten. Dabei gilt der Grundsatz, die Persönlichkeitsrechte der Betroffenen stets in den Vordergrund zu stellen. Viele Banken und Sparkassen kommen – in der Regel vollkommen unbemerkt – ihrer Sorgfaltspflicht nicht abschließend nach.

von Jens Morzuch, Geschäftsführer, Genobit

Das Inkrafttreten der EU-DSGVO hat dafür gesorgt, dass das Thema Datenschutz von heute auf morgen für viele Banken und Sparkassen enorm und mit hoher Geschwindigkeit an Relevanz gewonnen hat. Die große Unsicherheit der ersten Tage hat sich dabei ein wenig gelegt. Doch es bleiben weiterhin viele offene Baustellen, die es zu beheben gilt.

Ein Rückblick: Die meisten Kreditinstitute waren zum 25. Mai 2018 gesetzeskonform aufgestellt. Fakt ist aber, dass die Kommunikation in unterschiedlichen Bereichen teilweise zu langsam erfolgte, wodurch die Zeit zur Umsetzung der Anforderungen sehr knapp wurde und Hektik entstand. Aufgrund dessen konnte zeitweise der Eindruck entstehen, es gäbe neben dem Datenschutz keine anderen Themen mehr, da mit hohem Zeitdruck daran gearbeitet wurde, die notwendigen Aufgaben bis zum Stichtag fertigzustellen.

Zudem machte sich allerorts eine omnipräsente Verunsicherung bemerkbar. Das belegen auch skurrile Aussagen von Bankmitarbeitern am Telefon, wie zum Beispiel:

Lieber Kunde, ich kann dem Mitarbeiter der Versicherung bzw. der Bausparkasse leider nicht ausrichten, dass Sie angerufen haben, da dies gegen den Datenschutz verstoßen würde.”

Auf Seiten der Verantwortlichen traten folglich jede Menge Fragen auf. Diese betrafen nicht nur die aktuellen Änderungen, sondern sehr häufig auch Sachverhalte, die bereits in den vergangenen Jahren erfüllt werden mussten, etwa der Umgang mit Fotos oder aber die Durchführung von Gewinnspielen. Gleichzeitig berühren Verpflichtungen aus der EU-DSGVO nicht nur Kundenbedürfnisse, sondern insbesondere auch den Schutz der personenbezogenen Mitarbeiterdaten. In dieser komplexen Gemengelage den Überblick zu behalten, ist nicht leicht. Hier können IT-Anwendungen helfen, zumindest die Anforderungen aus der Datenschutz-Compliance rechtssicher abzubilden – zum Beispiel mit einem gut durchdachten Datenschutz-Management-System, welches die Anforderungen an die Transparenz und an die externe Nachvollziehbarkeit optimal unterstützt.

eDSMS, Foconis

Genobit verwendet die M.I.S Edition eDSMS der Foconis – kurz eDSMS, Die Lösung wurde von Foconis in Kooperation mit Datenschutzbeauftragten von Kreditinstituten sowie Datenschutz-Compliance-Experten entwickelt. Durch den Einsatz eines Datenschutzmanagementsystems werden die Verantwortlichen im Sinne der EU-DSGVO, also die Entscheider, Vorstände und Geschäftsleiter, in die Lage versetzt, ihren Verpflichtungen nachzukommen und einen geeigneten Rahmen zur ordnungsgemäßen Abwicklung zur Verfügung zu stellen. Ferner erhält der Datenschutzbeauftragte und sein Vertreter ein standardisiertes Rahmenwerk zur Schaffung einer rechtskonformen Dokumentation und Nachvollziehbarkeit. Die Anwendung ist unter IBM Notes/Domino einsetzbar und lässt sich entsprechend über den IBM Notes-Client oder einen Webbrowser bedienen. Alle relevanten Inhalte werden dank einer Abonnement-Funktion auch nach Auslieferung ständig aktualisiert.

Status Quo ermitteln – eDSMS implementieren

Verunsicherung ruft im Grunde immer nach einem eindeutigen Status quo und einer klaren Zielvorgabe. Hieraus müssen zielführende Maßnahmen ableitbar sein. Dabei liegt in diesem konkreten Fall die Zielvorgabe in Form der Gesetzeslage eindeutig vor. Für die Ermittlung des Status quo ist erfahrungsgemäß im ersten Schritt eine GAP-Analyse das Mittel der Wahl. Gleichzeitig sollte eine grundsätzliche Festlegung der zukünftigen Arbeitsweise erfolgen. Bisher orientierte sich die Arbeit an den Datenschutzthemen, also am Verfahrensverzeichnis, der Videoüberwachung, den Kontrollen und der Auftragsdatenverarbeitung. Heute orientiert sich die Bearbeitung an den gesetzlichen Rahmenbedingungen, also der Umsetzung der Anforderungen nach Art. 13/14, (Informationspflichten), Art. 28 (Auftragsverarbeitung) et cetera. Vor diesem Hintergrund gilt es pragmatische Ansätze zur Umsetzung der gesetzlichen Rahmenbedingungen im Umfeld einer Bank oder Sparkasse zu ermitteln – beginnend mit Arbeitshilfen, die einen systematischen und schnellen Aufbau der Datenschutzorganisation ermöglichen. Hierbei kann etwa ein eDSMS (elektronisches Datenschutz-Management-System) helfen.

Grundlegend ist dabei die Verbindung des Informationssicherheitsmanagements mit dem Datenschutz.”

Doch auch die Schulung aller Mitarbeiter vor dem Start der Implementierung, individuelle Konzepte für die Anwenderkreise und die Kontrolle der Verträge zur Auftragsverarbeitung von Dienstleistern, die mit den Kreditinstituten zusammenarbeiten, sind wesentlich. Gleichzeitig gilt es, die Verarbeitungstätigkeiten in den Instituten selbst zu erfassen, zu bewerten und zu dokumentieren. Im Anschluss können und sollten sie dann priorisiert und geclustert werden.

Arbeitsabläufe automatisieren

Mit der neuen EU-DSGVO hat insbesondere der Verantwortliche für den Datenschutz sehr umfangreiche Dokumentations- und Nachweispflichten zu erfüllen. Er muss jederzeit gesetzeskonforme Auskünfte geben können. Im Regelfall müssen größere Unternehmen, aber speziell auch Banken und Sparkassen einen Datenschutzbeauftragten bestellen und dieser muss seiner Arbeit effizient und rechtssicher nachkommen. Hierzu sollte ein Großteil seiner Arbeitsabläufe optimiert und möglichst automatisiert werden – und vor allem transparent und nachvollziehbar sein. Hinzu kommt, dass der Datenschutzbeauftragte längst nicht mehr als „Einzelkämpfer“ agiert. Immer wichtiger wird stattdessen die Zusammenarbeit mit anderen Bereichen, ob mit dem Informationssicherheits- und Compliance-Beauftragten, dem Vorstand oder dem Risikocontroller. Auch dieser Entwicklung muss folglich Rechnung getragen werden – etwa durch das Installieren von Compliance-konformen Vertretungsregelungen, unterstützt durch eine technische Lösung.

Die Steuerung von Zugriffsrechten ermöglicht dabei eine MaRisk-konforme Gestaltung nach dem „Need-To-Know-Prinzip“.”

Darüber hinaus kann die Verwendung von Vorlagen zu einer deutlich erleichterten Umsetzung der Datenschutzanforderungen beitragen. Aufgrund der Vielzahl der Anforderungen an den Datenschutzbeauftragten ist zudem ein schneller und vollumfänglicher Überblick über die Gesamtheit der Dokumentation unabdingbar. Dabei helfen kann ein roter Faden, der sich in einem eDSMS wiederfindet und sich an den gesetzlichen Anforderungen der EU-DSGVO orientiert. Eine entsprechende Software sollte daher geeignete Funktionalitäten mitbringen, mit denen sich alle Anforderungen gemäß geltendem Recht umsetzen lassen. Zu den entscheidenden Kriterien zählen vor allem praxisnahe Vorlagen für die Umsetzung, eine konsistente, konzeptionelle Vorgangsbegleitung sowie die Steuerung von Berechtigungen für unterschiedliche Empfängergruppen. Aber auch das Festlegen von Prüfungsterminen für Dokumente, der Workflow für ein Freigabeverfahren und die kontinuierliche Weiterentwicklung mit Blick auf die sich stetig ändernde Rechtslage durch den Hersteller sind erfolgsentscheidend. Gleichzeitig sollten Archivierungsfunktionen, Verschlüsselungsmöglichkeiten sowie die automatische Aktualisierung von Vorlagen über ein Abonnement gegeben sein.

Datenschutz: Konzepte umsetzen

Die Erfahrungen von renommierten Datenschutzbeauftragten zeigen, dass viele Institute mit der Umsetzung der EU-DSGVO-Konformität noch ein Stück Weg vor sich haben. Oft ist es eben nicht genug, sich auf die Umsetzung entsprechender Leitfäden und den darin definierten Maßnahmen zu verlassen – ohne den ganzheitlichen, rechtlichen Ansatz eines Datenschutzkonzeptes zu berücksichtigen. In der täglichen Arbeit der Berater beispielsweise tauchen außerdem immer wieder Fragestellungen auf, die zeigen, dass die Anforderungen der DSGVO teilweise nur sehr komplex in die Arbeitsweise der Banken und Sparkassen einzubinden sind. Häufige Themen, bei denen nach wie vor Unsicherheit herrscht und dementsprechend Beratungsbedarf besteht, sind beispielsweise:

1. Foto- und Filmaufnahmen
2. WhatsApp-Nachrichten und die Nutzung sozialer Medien
3. die Gestaltung der Verträge zur Auftragsverarbeitung nach Art. 28
4. die Information nach Art. 13/14
5. die Ausgestaltung von Auskunftsersuchen und Anfragen
6. die Interessentenverwaltung
7. die Verzeichnisse der Verarbeitungstätigkeiten
8. die Datenschutzfolgenabschätzung (DSFA)
9. und schlussendlich der Umgang mit Bewerberdaten und Informationen.

Ein elektronisches Datenschutz-Management-System (eDSMS) ist zwar nicht in der Lage, diese und alle weiteren herrschenden Unsicherheiten in Gänze zu beheben. Es bewährt sich jedoch als wichtiger erster Schritt, die Richtlinien der EU-DSGVO systematisch im operativen Geschäft zu implementieren. Ein solches System gibt dem Datenschutzbeauftragten zudem die notwendigen Mittel an die Hand, seinen Dokumentations- und Nachweispflichten jederzeit adäquat nachzukommen und trägt somit dazu bei, dass der Verantwortliche (im Regelfall die Geschäftsleitung) in diesem hochsensiblen Bereich sicher gesetzeskonform handelt. aj

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/81955