HOW-TO/ GRUNDLAGEN-BEITRAG16. Februar 2018

DSGVO: Der Datenschutz-Countdown für Banken läuft – 12 wichtige Schritte zur Umsetzung

Marc Hölmer, Principal Consultant bei Capco und Datenschutz- bzw. DSGVO-Spezialist
Marc Hölmer, Principal Consultant bei CapcoCapco

Große Banken können den Daten­schutz nur sicherstellen, wenn die Datenschutzorganisation sys­te­ma­tische Prozesse unternehmensweit installiert. Der Druck, ein solches Datenschutz-Management-System (DSMS) zu etablieren und dies nachzuweisen, steigt mit der EU-DSGVO erheblich: Die DSGVO-Bußgelder sind drastisch, die Rechenschaftspflichten („Accountability“) enorm. 12 Schritte wie Sie es schaffen.

von Marc Hölmer, Principal Consultant bei Capco

Laut DSGVO müssen Unternehmen nachweisen können, dass sie wissen, wo sich personenbezogene Daten befinden und wo nicht – über alle Systeme und Geschäftsbereiche hinweg. Sie müssen wissen, wer auf diese Daten zugreifen kann und wann und wie diese Zugriffe erfolgen. Gegen Datenschutzverstöße müssen Organisationen sich sorgfältig absichern. Tritt doch einmal einer auf, sind sie verpflichtet, Behörden und Verbraucher innerhalb von 72 Stunden zu informieren und dann eventuell daraus entstehende Probleme zu beheben.

Die Ergebnisse bestehender DSMS in großen deutschen und international agierenden Banken sind auf den ersten Blick beruhigend, denn die DSMS sind im Mittel relativ weit entwickelt.”

Bei näherem Hinsehen zeigen sich aber noch ein punktueller oder auch genereller Nachholbedarf sowie der eine oder andere tendenziell schwächer entwickelte Bereich.

Gerade Banken mit weltweiten Niederlassungen lassen beispielsweise eine teilweise schwache internationale Governance erkennen. Bei systematischen Managementprozessen und insbesondere beim systematischen Management von Datenschutzrisiken gibt es ebenfalls Verbesserungspotenzial.

Ob eine Bank gut auf die EU-DSGVO vorbereitet ist, zeigt sich daran, inwiefern die spezifischen Risiken der Bank berücksichtigt werden. Hier lässt sich auf der Basis einer Zielvorgabe und der risikobewerteten Lücken ein Aktionsplan entwickeln. Bei der Umsetzung dieses Plans sollte gewährleistet sein, dass die Datenschutzorganisation über notwendige Ressourcen und das erforderliche Know-how verfügt. Außerdem sollte sie durch einen deutlichen „Tone from the Top“ Rückhalt in der Bank bekommen. Die weitere Umsetzung sollte auf nachhaltige und systematische Managementprozesse angelegt sein, in die insbesondere der Risikogedanke integriert ist.

Ziel muss es sein, die Datenschutzorganisation in der Organisation vom historisch häufig rein operativ und reaktiv agierenden „Compliance Keeper“ zum „Business Partner“ oder gar zum „Business Enabler“ zu transformieren. Auf jeden Fall lassen sich die Datenschutzrisiken durch ein systematisches DSMS aktiv managen.

EU-DSGVO Einhaltung – Handlungsfelder für den Datenschutz

1. Grundlagen schaffen

Banken können den Datenschutz in unterschiedlicher Weise erfolgreich umsetzen. In kleineren Unternehmen kann ein einzelner, sehr gut vernetzter und respektierter Datenschützer, der Multiplikatoren geschickt einsetzt, ein sehr solides Datenschutzniveau erreichen. In anderen Unternehmen kann eine größere zentrale Datenschutzorganisation mit starken etablierten Prozessen erfolgreich sein. Wiederum in anderen Unternehmen garantiert eine starke Datenschutzkultur, dass die Anforderungen erfüllt werden. Dazu gehören Führungskräfte, die hinter dem Thema stehen und mit dem richtigen „Tone from the Top“ den Datenschutz ins Unternehmen treiben.

2. Ziele festlegen

Jenseits der Grundanforderungen an die Datenschutz-Compliance wird nicht jede Bank das Ziel haben, „best in class“ zu sein. Um den Datenschutz aber systematisch umzusetzen, muss sich die Unternehmensleitung klar positionieren und gemeinsam mit dem DSB die Ziele der Datenschutzmaßnahmen festlegen:

– Was soll erreicht werden und welche Ambitionen hat das Unternehmen, national wie auch international?
– Wie sehen die Vision und das Mission Statement zum Datenschutz aus?
– Was trägt der Datenschutz zu den Unternehmenszielen bei?

Datenschutz ist für Kunden und Mitarbeiter ein zunehmend wichtiges Thema. Er kann Unternehmenswerte schaffen und den Unternehmenserfolg unterstützen.

3. „Tone from the Top “sicherstellen

Um die Datenschutzziele zu erreichen, müssen das Topmanagement und die gesamte Führungsmannschaft ihre Verpflichtung auf dieses Thema deutlich formulieren und auch leben. Das Topmanagement muss seine Verantwortung für den Datenschutz verinnerlichen und seine Vorbildfunktion wahrnehmen. Damit stärkt es dem DSB und der Datenschutzorganisation den Rücken.

4. Ausstattung mit angemessenen Ressourcen

Einen DSB zu benennen, ist in Deutschland gesetzlich vorgeschrieben. In den meisten anderen Ländern ist die Rolle des DSB dagegen nicht per Gesetz verpflichtend festgelegt (was sich mit der EU-DSGVO ändern wird). Die meisten Banken mit internationalen DSMS beschäftigen DSBs auch in den internationalen Einheiten.

Soll der Datenschutz in der Organisation systematisch eingeführt und gemanagt werden, braucht es dafür entsprechendes Know-how, Prozesse, Methoden und vor allem ausreichend Personal. Das BDSG und die EU-DSGVO fordern, dass dem DSB angemessene Ressourcen einschließlich des Hilfspersonals zur Verfügung gestellt werden. In vielen Banken wird die Ausstattung des DSB mit Ressourcen (Personal und Budget) als nicht ausreichend gesehen.

Insgesamt weist die Ressourcenausstattung eine erhebliche Bandbreite auf.

Die Zahl der Beschäftigten, die in Deutschland direkt in der Datenschutzorganisation arbeiten, liegt zwischen einem und über 60 Mitarbeitern, der Durchschnitt bei 16,2.”

Diese Mitarbeiter der Datenschutzorganisation werden in den meisten Unternehmen durch weitere Beschäftigte unterstützt, die mit einem geringen Anteil ihrer Arbeitszeit als Datenschutzkoordinatoren oder Vertrauensleute in der Fläche die Rolle von Erstansprechpartnern erfüllen. Addiert man alle Ressourcen im Datenschutz in Vollzeiteinheiten, so ergeben sich im deutschen Bereich durchschnittlich 21 Kräfte, die sich mit Fragen des Datenschutzes auseinandersetzen.

Neben den personellen Ressourcen, die die Grundlage der täglichen Arbeit sind, muss der Datenschutzorganisation auch ein angemessenes freies Budget zur Verfügung stehen. Dieses freie Budget ist für besondere Projekte oder Aktivitäten vorgesehen oder dafür, Belastungsspitzen abzufedern.

Die dafür verfügbaren Budgets fallen mit häufig deutlich unter 100.000 Euro und durchschnittlich 180.000 Euro nicht besonders üppig aus.”

Offenbar wird der Datenschutz vornehmlich als Tätigkeitsbereich gesehen, der am besten durch eigene feste Kräfte erledigt wird.

5. Grundsätze des Datenschutzmanagements etablieren

Die Datenschutz-Compliance in einem großen Unternehmen sicherzustellen, ist eine Aufgabe, die nur mit systematischen Managementansätzen zu lösen ist. Spätestens mit der neuen EU-DSGVO gewinnt die Accountability als verantwortliche Stelle noch einmal deutlich mehr an Gewicht. Die EU-DSGVO enthält die explizite Forderung, mithilfe geeigneter Prozesse diese Compliance zu gewährleisten und dies nachweisen zu können. Daher ist es notwendig, den Datenschutz systematisch zu managen und ihn nach dem „Privacy by Design“-Konzept fest in Anwendungen und Prozessen zu verankern. Das kann zu gravierenden Veränderungen führen, wenn noch nach „Best Effort“-Regeln gearbeitet wird und der Datenschützer eher als Feuerwehrmann agiert.

6. Systematische Managementprozesse sichern die Compliance

Insbesondere für die explizit im BDSG definierten Anforderungen lassen sich durchweg recht hohe Reifegrade beobachten. Dies trifft auf Themen wie die folgenden zu:

– Sicherstellung der Betroffenenrechte
– Transparenz der Datenverarbeitung
– Angemessene Verträge rund um die Auftragsdatenverarbeitung und Prüfung der Auftragnehmer
– Umsetzung der technischen und organisatorischen Maßnahmen
– Führen eines Verfahrensverzeichnisses

Im Detail zeigt sich aber, dass der systematische Managementprozess zu vielen Fragestellungen noch nicht so weit entwickelt ist. Allgemein ist die Varianz eines reifen DSMS rund um die Systematisierung deutlich von den Unternehmen mit geringerer Reife zu erkennen.

In vielen Organisationen basiert der Datenschutz auf tradierten Verfahren, persönlichen Kontakten und einem großen Engagement der Datenschützer. Die reiferen Unternehmen verlassen sich allerdings nicht allein darauf.”

Autor Marc Hölmer, Capco
Marc Hölmer, Prin­ci­pal Con­sul­tant bei Cap­co. Höl­mer ver­fügt über ei­ne lang­jäh­ri­ge Er­fah­rung in Fi­nan­ce, Risk & Com­p­li­an­ce von in­ter­na­tio­nal tä­ti­gen Ban­ken und Fi­nanz­dienst­leis­tern und der Be­ra­tung von Kre­dit­in­sti­tu­ten glo­ba­ler Grö­ße und Aus­rich­tung. Höl­mer ver­fügt über ei­ne Spe­zia­li­sie­rung auf die The­men Um­set­zung auf­sichts­recht­li­cher An­for­de­run­gen an das Ka­pi­tal- und Ri­si­ko­ma­nage­ment der Ban­ken, Com­p­li­an­ce und Ka­pi­tal und Li­qui­di­tät.
Aus diesem Grund haben sie systematisch relevante Datenschutzthemen in bestehende Prozesse integriert oder entsprechende Prozesse der Datenschutzorganisation in Gang gesetzt. Das ist der Weg, mit dem der Datenschutz verlässlich und nachweisbar auch in größeren und komplexeren Unternehmensstrukturen sicherzustellen ist.

In der Praxis heißt das beispielsweise, die Beratung, Prüfung und Freigabe neuer Anwendungen in etablierte IT-Prozesse (etwa die Systementwicklung) zu integrieren, die auch dem Datenschützer zugänglich sind. Damit erfährt der Datenschutz frühzeitig, welche Projekte existieren. So kann er sich in datenschutzrechtlich kritische Projekte beratend einbinden, eine Datenschutzfolgenabschätzung (Data Protection Impact Assessment) und eine Vorabkontrolle durchführen.

Ein prozessualer und systematischer Ansatz kann auch dazu beitragen, die Steuerung der Aktivitäten der Datenschutzorganisation spürbar zu professionalisieren. Ein Prozess mit klar festgelegten Verantwortlichkeiten kann beispielsweise helfen, Schulungen systematisch und dauerhaft zu managen.

Zu diesem Zweck empfiehlt sich ein klar strukturierter Fragenkatalog, zum Beispiel:

– Was sind die relevanten Zielgruppen für Datenschutzschulungen und welche Sprache muss man mit ihnen jeweils sprechen?
– Welcher Schulungsbedarf besteht und in welcher Form kann am besten geschult werden (Web Based Training/Präsenzschulung, Coaching, Info-Flyer …)?
– Welches Portfolio an Schulungen besteht? Welches wäre notwendig?
– Welche Schulungen müssen neu erstellt oder überarbeitet werden?
– Wer erstellt die Schulungen und bis wann hat das zu erfolgen?
– Wer hält die Schulungen?
– Wie wird der Erfolg/die Effizienz der Schulungen gemessen?

7. Datenschutzmanagement als Risikomanagement begreifen

Bislang dürften Datenschutzrisiken vornehmlich Image und Reputation betreffen. Bußgelder und direkte finanzielle Einbußen erreichten in der Regel selten gravierende Ausmaße. Doch mit der EU-DSGVO werden die maximalen Bußgelder drastisch erhöht. So können auch diese in Dimensionen vorstoßen, die für ein Unternehmen ein signifikantes Risiko bedeuten.

Solche Risiken systematisch zu identifizieren und mit geeigneten Maßnahmen einzudämmen, sie also systematisch zu managen, ist Ziel eines effizienten Datenschutzmanagements. Dabei gilt es zu vermeiden, das Rad neu zu erfinden: Bewährte Methoden und Mechanismen des Risikomanagements existieren in der Regel bereits in den Unternehmen – sie sollten genutzt werden.

Zur Risikoanalyse bieten sich unterschiedliche Ebenen an, zum Beispiel:

– In welchem Land existieren die größten Datenschutzrisiken (etwa aufgrund der besonderen lokalen Gesetzgebung oder mächtiger und aktiver Aufsichtsbehörden)?
– Welches der Geschäftsmodelle birgt die höchsten Datenschutzrisiken?
– Welche Personengruppen haben durch richtiges oder falsches Verhalten den größten Einfluss auf Datenschutzrisiken?
– In welchen Applikationen stecken die höchsten Datenschutzrisiken?

Derartige Analysen sind die Basis dafür, effektive Maßnahmen zu identifizieren. Damit helfen sie dem Datenschutz, seine zumeist begrenzten Ressourcen optimal zu nutzen. Er kann sich auf die kritischsten Projekte fokussieren und bei deren Gestaltung intensiv beraten. Gezielte Schulungen kritischer Zielgruppen oder besonderer Multiplikatoren tragen zusätzlich dazu bei, Datenschutzrisiken im Griff zu behalten.

8. Vertrauen ist gut, Kontrolle ist besser

Bislang zeigte sich, dass der Datenschutz sehr stark in seiner Rolle der „Hinwirkung“ ist.  In der Datenschutzberatung kann eine sehr große Reife vorgewiesen werden. Deutlich schlechter sind die Ergebnisse, wenn es um die Kontrollpflicht des DSB geht.

Dabei hat die Aufgabe der Vorabkontrolle in Deutschland durchgehend einen hohen Implementierungsgrad, wenn auch nicht immer sichergestellt ist, dass der Datenschutz frühzeitig in die relevanten Projekte eingebunden wird.

Die Kontrolle der Dienstleister im Rahmen der Auftragsdatenverarbeitung hat eine hohe Reife – sie ist schließlich eine explizite Anforderung des BDSG. Während die Überprüfung vor Beginn der Auftragsdatenverarbeitung („vorab“) bei allen Unternehmen sehr hoch entwickelt ist, fällt es einigen Unternehmen noch schwer, ihre Dienstleister „sodann regelmäßig“ weiter zu überprüfen.

Um den Datenschutz nachhaltig sicherzustellen, muss der gesetzliche Kontrollauftrag des DSB auch in Form angemessener Datenschutzaudits umgesetzt werden. Erst so entsteht Klarheit über den tatsächlichen Grad der Datenschutz-Compliance. Verbesserungen werden angestoßen und die „Umsetzungsmoral“ gesteigert. Dabei ist offen, ob die Datenschutzorganisation selbst diese Audits durchführt oder sie an eine andere interne oder externe Stelle delegiert. Die höchste Nachhaltigkeit erzielt ein Unternehmen durch die Kombination verschiedener „Lines of Defense“.

9. Internationalen Datenschutz stärken

Die Steuerung der internationalen Organisationen folgt mehrheitlich einem hybriden Modell. Das heißt: In den Auslandseinheiten existieren eigenständige Datenschutzorganisationen, die von einer zentralen Governance-Stelle gesteuert und koordiniert werden. Einige Unternehmen steuern und bearbeiten alle internationalen Datenschutzthemen ausschließlich zentral. Andere Organisationen haben dagegen rein dezentrale Modelle, bei denen die lokalen Datenschutzorganisationen keiner zentralen Governance unterliegen oder haben „Binding Corporate Rules“ (BCR) implementiert.

Insgesamt lässt sich für internationale Organisationen festhalten, dass der Reife- und Erfüllungsgrad des DSMS im Ausland niedriger eingestuft werden kann als in Deutschland.”

In global agierenden Banken sollte auch der Datenschutz grenzenlos sein. Ein Datenschutzvorfall in nur einer Landesgesellschaft kann das Image des gesamten Konzerns empfindlich beschädigen. Außerdem werden Systeme und Prozesse in großen Konzernen zunehmend einheitlich und global implementiert. Ihre globalen Datenströme, die auch den Transfer personenbezogener Daten über Rechts- und Landesgrenzen hinweg umfassen, erfordern ein konzernweit einheitliches Datenschutzniveau. Daher muss Datenschutz zwingend international gedacht und gesteuert werden. Hier haben viele Unternehmen heute noch erhebliche Defizite aufzuarbeiten.

Häufig fehlt es an einer wirksamen zentralen Funktion zur Steuerung und Koordinierung des Datenschutzes. Das führt dazu, dass der Reifegrad des DSMS in den internationalen Unternehmensteilen in der Regel niedriger ausfällt. Da die lokalen Anforderungen an den Datenschutz und damit die Relevanz oftmals nicht so hoch sind wie in Deutschland, haben die Landesgesellschaften häufig eine geringere Motivation, ein wirksames DSMS einzuführen. Eine schwache zentrale Steuerungs- und Koordinierungsfunktion kann auch dazu führen, dass Prozesse, Policies, Verfahren und Tools in den Landesgesellschaften mehrfach neu entwickelt werden. Denn in solchen Strukturen wird es keinen ausreichenden Transfer von Anleitungen oder Best Practices aus den reiferen an die weniger entwickelten Landesgesellschaften geben.

Ein lokaler Data Protection Officer, der mit nur 0,2 Vollzeitkräften das Thema Datenschutz vorantreiben soll, ist auf Unterstützung durch die zumeist reifere zentrale Organisation angewiesen.”

10. Vorausschauend handeln

Mit einem DSMS werden die Datenschutzrisiken gemanagt. Doch es gibt auch Risiken, die sich nur begrenzt oder mit viel Aufwand im Griff behalten lassen. So lässt sich die öffentliche Meinung zum Datenschutz kaum steuern. Durch einen Datenschutzvorfall kann ein Unternehmen einen erheblichen Imageschaden erleiden, wenn die Öffentlichkeit ein rechtskonformes Verhalten aufgrund der Darstellung in den Medien als Datenschutzvergehen wertet. Dies kann auch passieren, wenn sich ein Tochterunternehmen an die lokal gültigen Datenschutzgesetze hält, das Vorgehen aber der deutschen Konzernmutter aufgrund der strengeren deutschen Datenschutzgesetzgebung als „unethisch“ vorgehalten wird.

11. Externe Kommunikation als Chance begreifen

Datenschutz als Thema für die externe Kommunikation wird häufig unterschätzt. Tatsächlich ist es schwierig, dieses Thema in der öffentlichen Wahrnehmung positiv zu besetzen. Denn die Berichterstattung präferiert negative Schlagzeilen. Eine aktive externe Kommunikation zum Datenschutz mit dem Ziel, dem Unternehmen eine positive öffentliche Wahrnehmung zu verschaffen, ist daher ein mühsames Unterfangen. Gelingt es aber, den Datenschutz im Zusammenhang mit dem eigenen Unternehmen positiv zu besetzen, kann dies bei Kunden, Partnern und Mitarbeitern Vertrauen und, je nach Geschäftsmodell, auch einen Wettbewerbsvorteil generieren.

Kommt es aber zu einem Datenschutzvorfall oder zu negativer Berichterstattung zum Thema Datenschutz, ist eine eingespielte externe Kommunikation unabdingbar. Denn es gilt, den Schaden wenigstens zu minimieren. Ein bestehendes vertrauensvolles Verhältnis zwischen Pressestelle und Medien auch zum Thema Datenschutz kann in solchen Fällen Gold wert sein.

Nur einige wenige Unternehmen steuern systematisch die externe Kommunikation zum Datenschutz. Daneben gibt es viele, die über den rechtlichen notwendigen Legalen Disclaimer zum Datenschutz auf ihren Websites hinaus keine weitere externe Kommunikation zu diesem Thema betreiben. Prinzipiell ist dies auch nicht zu beanstanden.

Dennoch kann es sinnvoll sein zu überdenken, ob und inwieweit externe Kommunikation zum Datenschutz dem Unternehmen nützen kann. Wenn am Ende die bewusste Entscheidung steht, dass man extern nicht intensiv zum Datenschutz kommunizieren möchte, dann ist das legitim.”

12. Aktive Einwirkung auf Gesetzgebung

Viele Unternehmen nutzen nicht die Möglichkeit, aktiv auf die Gesetzgebung oder auf die Selbstregulierungsaktivitäten einzuwirken, sei es direkt oder über ihre Verbände als Interessenvertreter. Sie übersehen offenbar, dass es wichtig ist zu vermeiden, dass beispielsweise unklar formulierte Gesetzestexte Rechtsunsicherheit schaffen oder Forderungen aus Gesetzesentwürfen an der Realität vorbeigehen.

Fazit

Große Unternehmen sollten sich das Ziel setzen, die Datenschutzorganisation im Unternehmen vom rein operativ und reaktiv agierenden Compliance Keeper zu einem Business Partner oder gar Business Enabler zu transformieren. Die Datenschutzorganisation muss das Unternehmen in die Lage versetzen, die Datenschutzrisiken systematisch und aktiv zu managen.

Dann sind die Grundlagen geschaffen, um Datenschutz dauerhaft zu managen und die Datenschutzrisiken für die Betroffenen und das Unternehmen zu minimieren. Ist ein derartiges Managementsystem wirksam implementiert, kann das Unternehmen auf jegliche Veränderung in der weltweiten Datenschutzgesetzgebung flexibel reagieren.

Die EU-DSGVO bringt dabei einige Herausforderungen mit sich, aber gleichzeitig die Chance, auf die steigenden Ansprüche zum Datenschutz zu reagieren und das Unternehmen auch auf diesem Gebiet als High Performer zu positionieren.aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert