Seite wählen

Die EU-Daten­schutz­grund­ver­ordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Zur Realisierung der Anforderungen ist eine Rund­um­be­trach­tung aller Systeme erforderlich, die Daten mit Personenbezug verarbeiten. Ein möglicher Weg, um die neuen Vorgaben und Anforderungen smart und strukturiert realisieren zu können, ist die Nutzung einer intelligenten Customer-Relationship-Management-Lösung.

von Stefan-Markus Eschner, Vorstand Technik und Innovation bei Cursor

Es ist nicht mehr lange hin, dann tritt die neue DSGVO inklusive verschärfter Regeln in Kraft (25. Mai). Das hat für Banken und Finanzdienstleister gravierende Folgen. Denn bei Verstößen drohen den betroffenen Unternehmen empfindliche Strafen. Diese können sich auf bis zu 20 Millionen Euro oder vier Prozent des weltweit erwirtschafteten Konzernergebnisses belaufen. Auch persönliche Haftungen kommen in Betracht.

Für die Finanzbranche bedeutet dies, Fahrt aufzunehmen und die EU-Verordnung mit Vollgas umzusetzen.“
Drei Kernbereiche im Visier der DSGVO

Konkret geht es bei der Umsetzung der europäischen Datenschutzgrundverordnung zum Schutz personenbezogener Daten um drei Kernbereiche:

1. Rechenschaftspflicht hinsichtlich der ordnungsgemäßen Datenverarbeitung
2. Auskunftspflicht gegenüber betroffenen Personen
3. Berichtigungs- und Löschpflicht von personenbezogenen Daten, sofern der Zweck ihrer Speicherung hinfällig geworden ist

Unternehmen, die die Anforderungen des aktuellen Bundesdatenschutzgesetzes erfüllen, sind für die Umsetzung der DSGVO-Vorgaben grundsätzlich gut gerüstet. Dennoch verschärfen sich eine Reihe gesetzlicher Anforderungen, so dass die Firmen und Banken ihre aktuellen Datenschutzmaßnahmen unter Berücksichtigung juristischer Aspekte im Detail auf den Prüfstand stellen und anpassen sollten. Dazu zählen unter anderem die im Unternehmen auftretenden Datenverarbeitungstätigkeiten im Zusammenhang mit den jeweiligen Datenkategorien und den Einwilligungen der betroffenen Personen. Hinzu kommt der pro Kategorie zu beachtende Löschtrigger plus zugehörige Löschfrist.
Relevante Informationen im CRM-System hinterlegen

Wer die Erfüllung der EU-DSGVO-Vorgaben über eine Customer-Relationship-Management-Lösung managt, muss all diese Informationen im CRM-System hinterlegen. Daneben ist es erforderlich, dort die notwendigen Prozesse anzulegen. Um kostbare Zeit zu sparen, empfiehlt es sich, erfahrene Consultants an Bord zu holen. Unverzichtbar hinsichtlich der Klärung von Fragen des verschärften Datenschutzes ist das Konsultieren eines entsprechenden Fachanwaltes. Nur aufgrund des juristischen Hintergrundes lassen sich die individuellen Verarbeitungstätigkeiten und Folgen hinreichend beurteilen und beeinflussen. Die umgesetzten Prozesse selbst müssen erkennen, dass eine bestimmte Datenverarbeitungstätigkeit startet, beziehungsweise, dass weitere Datenelemente zu einer laufenden DV-Aktivität hinzukommen. Sie haben zudem zu identifizieren, dass die Löschung der Daten einer bestimmten Verarbeitungstätigkeit einzuleiten ist und müssen die Löschung geeignet ausführen. Außerdem sind Vorkehrungen für die Auskunftserteilung zu treffen. Dazu sind die Verantwortlichen angehalten, geeignete Reports zu erstellen und einen Datenauskunftsprozess aufzusetzen. Hierzu bietet sich ein digitaler Geschäftsprozess (BPM) an, um den Prozessablauf zu automatisieren.
Verzeichnis von Verarbeitungstätigkeiten in CRM-Lösung anlegen

Um die rechtskonforme Verarbeitung der Daten nachweisen zu können, besteht die Verpflichtung, für jeden Prozess, der personenbezogene Daten verarbeitet, eine Beschreibung anzufertigen. Alle Beschreibungen dieser Art gehen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) ein. Dies ist nach der EU-DSGVO als prozessorientierte Übersicht der Verarbeitungen zu verstehen. Entscheidend ist, dass über dieses Verzeichnis der einzelne Verarbeitungsprozess zu identifizieren ist. Es umfasst unter anderem den Namen und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und eine Kategorisierung der betroffenen Daten. Dabei setzt sich das VVT aus dem Hauptblatt und den Anlagen zusammen. Letztere enthalten Informationen zur Verarbeitungstätigkeit und zur Verantwortlichkeit für jeden betroffenen Fachprozess. Das Hauptblatt macht Angaben zum Verantwortlichen. Es bezieht sich auf das datenverarbeitende Unternehmen, seine Vertreter, den bestellten Datenschutzbeauftragten, etc.

Grundsätzlich darf das VVT elektronisch geführt werden, muss aber aufgrund der Vorlagepflicht gegenüber der Aufsichtsbehörde und der Auskunftspflicht gegenüber den betroffenen Personen in einem elektronischen Format oder als Druckexemplar zur Verfügung stehen. Daher macht es unter Umständen Sinn, das VVT direkt im CRM zu führen. Dazu ist es erforderlich, neue Entitäten zu schaffen, deren Inhalte das von der EU-DSGVO geforderte VVT abbilden. Dementsprechend sind etwa unter der Entität „Dokumente“ Daten zu verantwortlichen Personen auf Seiten des Unternehmens zu subsummieren. Außerdem ist eine weitere Schlüsselgruppe zum Kategorisieren der personenbezogenen Daten zu definieren. Die Schlüsselgruppe „Datenkategorien“ erlaubt dabei die semantische Gruppierung von Daten. Entsprechende Schlüsselausprägungen sind etwa die Anschrift, Kontaktdaten oder Bankverbindungsdaten.
PDF ist bevorzugtes Dokumentenformat

Aus pragmatischen Gründen empfiehlt sich die Ablage des Hauptblatts, beispielsweise als PDF-File, in der Dokumenten-Entität. Für die prozessbezogenen Anlagen wird eine neue Entität „Verarbeitungstätigkeiten“ erstellt. Diese enthält die Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit für jeden betroffenen Fachprozess. Die DV-Tätigkeit wird sich in der Regel über mehrere Datenkategorien erstrecken, deren Regellöschfristen pro Kategorie anzugeben sind.
Auskunftsrecht der betroffenen Person

Jede natürliche Person hat das Recht, die bei einem Unternehmen oder einer Organisation verarbeiteten personenbezogenen Daten, den Zweck ihrer Speicherung und die Art der Verarbeitungsprozesse anzufordern und einzusehen. Um das zu gewährleisten, empfiehlt sich sich die Gestaltung eines Selbstauskunfts-Reports. Im Idealfall wird dieser Report über ein Kundenportal an die Endkunden ausgegeben.

Neben dem Selbstauskunfts-Report lassen sich über diesen Kanal auch die mit der betroffenen Person in Verbindung stehenden Verarbeitungstätigkeiten ausweisen. Grundsätzlich haben personenbezogene Daten im CRM-System einen Bezug zur Entität „Person“. Dabei kann jede Person unterschiedliche Rollen wie Mitarbeiter, Ansprechpartner und Geschäftspartner bekleiden. Für diese gelten uneinheitliche Verarbeitungsprozesse beziehungsweise -tätigkeiten. Um einer internen Person (Mitarbeiter) oder externen Person (Ansprechpartner) die von ihr gespeicherten Daten und deren Verarbeitungstätigkeiten darzustellen zu können, bedarf es gezielter Verknüpfungen zwischen den personenbezogenen Entitäten und den betroffenen Verarbeitungstätigkeiten. Diese Verkettungen können sowohl durch zuvor individuell erstellte BPM-Prozesse automatisiert, als auch manuell erstellt werden.

Quelle:https://www.it-finanzmagazin.de