Kurz vor Schluss: Fünf Schritte, um die Finanzbranche bereit für die DSGVO/BDSG-neu zu machen
Änderungen an der Datenschutzgesetzgebung stoßen an vielen Stellen auf wenig Begeisterung. Die Hälfte der deutschen Unternehmen ist der Meinung, dass sie unnötigen Aufwand und Probleme verursachen. Da jedoch das Inkrafttreten der neuen Fassung des Bundesdatenschutzgesetzes (BDSG-neu) – mit dem die EU-weite Datenschutz-Grundverordnung (DSGVO) umgesetzt wird – immer näher rückt, dürfen die neuen Bestimmungen nicht länger ignoriert werden.
von Martin McDonald, Country Manager DACH, Tealium
Die Finanzbranche kann durch die Einhaltung der neuen Datenschutzgesetzgebung langfristig erhebliche Vorteile erzielen. Zwar drohen bei Verstößen gegen die DSGVO Unternehmen nicht nur erhebliche Bußgelder oder nach dem BDSG-neu Haftstrafen von bis zu drei Jahren, sondern auch die erheblichen Kosten, die Datenschutzverletzungen mit sich bringen (derzeit durchschnittlich 3,42 Millionen Euro).Auf der anderen Seite eröffnet sich Unternehmen durch die neuen Bestimmungen die Chance, stabilere, vertrauensvollere Kundenbeziehungen aufzubauen.”
Die folgenden fünf Schritte helfen der Finanzbranche bei der Vorbereitung auf das BDSG-neu:
Schritt 1: Schulung von Mitarbeitern
Der erste Schritt bei der Vorbereitung auf das BDSG-neu besteht darin, die Mitarbeiter hinsichtlich der neuen gesetzlichen Bestimmungen und der jeweiligen Verantwortlichkeiten zu schulen. Da nur noch so wenig Zeit bis zum Inkrafttreten bleibt, ist es unabdingbar, sofort zu handeln. Das BDSG-neu betont die individuelle Verantwortlichkeit. Daher müssen Mitarbeiter sowohl hinsichtlich der Best Practices zum Umgang mit Daten als auch zur Vorgehensweise im Fall von Datenschutzverletzungen geschult werden.
Die neuen Bestimmungen legen besonderes Gewicht auf die Beweislast. Mitarbeiter müssen deshalb wissen, wie die Datenerfassung und -verarbeitung zu dokumentieren und zu protokollieren ist, damit sich die Einhaltung der gesetzlichen Vorgaben nachweisen lässt.”
Schritt 2: Kenntnis der neuen Rechte
Das BDSG-neu präzisiert die gesetzlichen Grundlagen für die Erfassung und Verarbeitung von Daten durch Unternehmen. Finanzdienstleister können einen Vertrag, ein berechtigtes Interesse oder eine rechtliche Verpflichtung als Rechtsgrundlage anführen, beispielsweise zur Einhaltung von Know Your Customer (KYC) und ähnlichen Vorschriften. Falls eine Einwilligung als Rechtsgrundlage erforderlich ist, muss diese ausdrücklich erfolgen und kann nicht durch eine fehlende Abmeldung vorausgesetzt werden.
In der Neufassung des Datenschutzgesetzes sind auch bestimmte Rechte der Verbraucher verankert, wie z. B. das Recht auf Datenübertragbarkeit und das Recht auf Vergessenwerden.
Innerhalb der Finanzbranche gelten jedoch möglicherweise andere Vorschriften, die diese Rechte aufheben. So können Betroffene die Löschung personenbezogener Daten beantragen, Finanzdienstleister sind unter Umständen jedoch verpflichtet, einige personenbezogene Daten und Transaktionsinformationen zu speichern, um ihre Integrität nachweisen zu können und um Geldwäsche bzw. Betrug zu verhindern.”
Unternehmen müssen den Zweck der Datenspeicherung kennen, die entsprechende Aufbewahrungsdauer bestimmen und ermitteln, ob die neuen Verbraucherrechte – wie im BDSG-neu festgelegt – gelten oder nicht. Für bestimmte Arten von Daten, die auch dann aufbewahrt werden müssen, wenn der Kunde deren Löschung beantragt hat, gilt möglicherweise eine Sperrfrist, während der nur eine spezifische Gruppe von Mitarbeitern auf diese Daten zugreifen darf.
Schritt 3: Dritte
Autor Martin McDonald, TealiumMartin McDonald ist Country Manager für Deutschland, Österreich und die Schweiz bei Tealium, der führenden Plattform für Realtime-Kundendatenlösungen und Enterprise Tag Management. Mit mehr als zehn Jahren Erfahrung als Leiter von Sales-Teams ist er Experte darin, Unternehmen beim Durchstarten auf dem deutschsprachigen Markt zu helfen. Hier verfügt Martin über umfassendes lokales Wissen und langjährige Geschäftsbeziehungen. Spezialisiert hat er sich auf die Wettbewerbsanalyse.Die Datenverarbeitung innerhalb eines Unternehmens mag vielleicht gesetzeskonform sein, das BDSG-neu macht Unternehmen jedoch auch verantwortlich für den Umgang mit Daten bei Dritten, an die das Unternehmen personenbezogene Daten überträgt. Finanzinstitute dürfen personenbezogene Daten nur mit der ausdrücklichen Einwilligung der Kunden weitergeben. Kunden müssen der Weitergabe ihrer Daten an einzelne Dritte zustimmen bzw. ihre Einwilligung verweigern können. Darüber hinaus müssen Unternehmen auch wissen, wie Dritte die zur Verfügung gestellten personenbezogenen Daten weiterverarbeiten und sämtliche Verträge mit Partnern umgehend prüfen, um sicherzustellen, dass die gesamte Verarbeitung gesetzeskonform erfolgt.
Schritt 4: Sicherung und Kontrolle des Datenflusses
Vor dem Hintergrund der umfassenden Verantwortlichkeit für Kundendaten benötigen Finanzinstitute vollständige Transparenz und Kontrolle über die Datenlieferkette. Erleichtert wird dies durch den Einsatz von APIs (Application Programming Interfaces), die den Datenfluss zwischen Systemen kontrollieren und die den Zugriff auf bestimmte Arten von Daten einschränken können.
Derartige Sicherheits- und Kontrollmechanismen gewährleisten bei Finanzdienstleistern die Einhaltung der überarbeiteten Fassung der Payment Services Directive (PSD2).”
Diese Richtlinie erlaubt AISPs (Account Information Service Providern) und PISPs (Payment Initiation Service Providern) den Zugriff auf die Geschäftsdaten von Banken, damit diese Unternehmens- und Verbraucherfinanzen verwalten sowie Finanzdienstleistungen auf Basis der vorhandenen Bankinfrastruktur anbieten können.
Schritt 5: Pseudonymisierung und Zentralisierung
Finanzdienstleister benötigen Strategien, mit denen sich der Umgang mit Daten langfristig vereinfachen lässt. Eine Möglichkeit hierzu ist beispielsweise über die Speicherung von Daten in einem Hub.”
Finanzdienstleister benötigen Strategien, mit denen sich der Umgang mit Daten langfristig vereinfachen lässt. Eine Möglichkeit hierzu ist beispielsweise über die Speicherung von Daten in einem Hub.”
Die Vorteile liegen in der Auflösung der Datensilos, die in den meisten Unternehmen vorhanden sind, sowie in der Schaffung einer zentralen Kontrollmöglichkeit.
Ein weiterer Ansatz ist die Pseudonymisierung. Hierbei werden die Datenelemente entfernt, anhand der Personen identifiziert werden können, und separat gespeichert. Laut BDSG-neu müssen einige Datenkategorien streng anonym verarbeitet werden. Bei anderen Arten von Daten verhindert die Pseudonymisierung, dass im Fall von Schutzverletzungen personenbezogene Daten offengelegt werden.
Fazit: Das BDSG-neu kann nicht außer Acht gelassen werden
Diese fünf Schritte ermöglichen Finanzinstituten eine wesentlich bessere Vorbereitung auf das Inkrafttreten des überarbeiteten Gesetzes am 25. Mai. Ebenso können Unternehmen sicherstellen, dass Daten ordnungsgemäß verarbeitet werden. Hierbei geht es nicht nur um Gesetzeskonformität, sondern auch um die Gestaltung einer Zukunft mit mehr Transparenz, Verantwortungsbewusstsein und Fairness.aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/70839
Schreiben Sie einen Kommentar