bank und technik

DSGVO mit IT-Unterstützung - Pflicht und Sahnehäubchen

Olaf Pulwey, Mitglied des Vorstands, Foconis AG, Köln
Quelle: Foconis

Das Einhalten aller Anforderungen der DSGVO erfordert erheblichen Aufwand. Ohne IT-Unterstützung ist das kaum zu schaffen, so der Autor. Die Auswahl einer entsprechenden Lösung sollte aber nicht leichtfertig erfolgen - schließlich darf die Be- und Verarbeitung von Daten nicht durch neue "Prozessbremsen" behindert werden. Banken und Sparkassen, die sich für eine Lösung entschieden haben, die wirklich ihren Bedürfnissen entspricht, spüren nach Einschätzung des Autors schnell eine Entlastung - und sogar eine signifikante monetäre Ersparnis. Red.

Das Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018 zeigt: Die novellierten Auflagen verschärfen die Anforderungen an die Schutzmaßnahmen. Nicht nur Prüfungsorgane werfen ein strenges Auge auf die Compliance - geht es um seine Daten, wird auch der Kunde zunehmend sensibler. Nicht zuletzt durch die verstärkte Nutzung von Online-Diensten und medial wirksam verbreitete Skandale ist die Öffentlichkeit aufmerksamer als je zuvor und prüft Unternehmen und Angebote zunehmend hinsichtlich des Schutzes ihrer Daten.

Doch neben Kunden und Geschäftspartnern betrifft der Datenschutz auch die Mitarbeiter. Die Erfahrung zeigt eine häufig nicht einmal vorsätzliche Vernachlässigung von Inhalten aus dem Datenschutzgesetz. Intelligente IT-Anwendungen können helfen, die Anforderungen aus der Datenschutz-Compliance rechtssicher zu erfüllen. Datenschutz ist Chefsache, denn die Bestellung eines Datenschutzbeauftragten entbindet nicht von gesetzlicher Verantwortung. Letztlich ist es der Vorstand, der die Anwendung geltender Rechtsprechung verantwortet. Und die ist bekanntermaßen umfangreich.

Umfangreiche Vorgaben

Einzuhalten sind zunächst einmal die Grundsätze der DSGVO - also die Gewährleistung sowie die Einhaltung (= Compliance) des Schutzes personenbezogener Daten bei deren Erhebung, Verarbeitung, Löschung, Weitergabe und Auskunftserteilung. Aus den zahlreichen, detailliert ausgeführten Regeln leiten sich konkrete Pflichten ab.

- So müssen Unternehmen schriftlich dokumentiert einen Datenschutzbeauftragten sowie einen Vertreter bestellen.

- Diese haben wiederum nachweislich über die notwendige Sachkenntnis zu verfügen. Dafür sind entsprechende, regelmäßige Weiterbildungsmaßnahmen vorzusehen.

- Neben vielen weiteren Pflichten, wie beispielsweise der Umsetzung der TOMs, ist der Zweck zur Erhebung personenbezogener Daten zu dokumentieren.

- Außerdem auf der Agenda: die Rechenschaftspflicht. Jede Verarbeitungstätigkeit (früher: Verfahrensverzeichnis) verlangt auch hier nach detaillierter Dokumentation.

Ohne Hilfsmittel nicht zu stemmen

Die Komplexität und Vielzahl von Pflichten auf der einen und die bei Verstößen drohenden Konsequenzen auf der anderen Seite definieren eine neue Schlüsselstelle in Unternehmen, die längst den Charakter eines Ehrenamts verloren hat. Folglich wurden der Stellenwert und der Aufwand für die sach- und fachgerechte Ausführung des Datenschutz-Managements im Frühjahr 2018 erheblich gesteigert. Inzwischen sind Schulungsaufwand, regelmäßige Audits, die Gesamtdokumentation, die Überwachung der Einhaltung der Auflagen und Schulung der Belegschaft sowie die Pflege von Vereinbarungen und die Kontrolle der Pflichten externer Auftragsdatenverarbeiter längst zum Tagesgeschäft avanciert, bei dem sich viele dringend IT-Unterstützung wünschen.

Reduzierter Aufwand dank IT-Lösungen

Ohnehin gilt: Wer seit dem 25. Mai 2018 immer noch ohne elektronische Hilfsmittel agiert, wird den Anforderungen kaum gerecht. Selbst Behörden raten zum Datenschutz-Management in elektronischer Form (nachweisbar dokumentiert, historisiert, inklusive nachvollziehbarer Vorgänge wie Beschwerden et cetera).

Ob mit oder ohne elektronische Unterstützung: Wesentlich ist, dass die gesetzlich geforderten Pflichten des Datenschutzbeauftragten zu jeder Zeit nachvollziehbar erfüllt werden. Mit Blick auf die damit verbundenen Aufwände und rechtlichen Fallstricke stellt sich schnell die Frage nach einer rasch zu integrierenden, unterstützenden IT-Lösung.

Im Zuge des Auswahlprozesses ist vor allem die Art und Weise der Softwarefunktionen streng zu hinterfragen. Fügt sich das System ohne Medienbruch in gegebene Strukturen ein? Sind zusätzliche Soft- oder Hardware-Abhängigkeiten festzustellen, die schlussendlich positive Effekte neutralisieren?

Rahmenparameter klären

Wichtig ist es, sich die favorisierte Lösung im Detail anzuschauen und gegebenenfalls neben dem Datenschutzbeauftragten die IT-Experten des Hauses ins Boot zu holen. Im Zuge der Lösungsauswahl gilt es nämlich, neben dem Funktionsabgleich wichtige Rahmenparameter zu klären - etwa

- die Höhe der Bereitstellungskosten,

- das Vorhandensein eines Sicherheitskonzepts,

- die Kompatibilität zur vorhandenen IT-Landschaft,

- den Konfigurationsaufwand und

- eine intuitive Bedienbarkeit.

Insbesondere Letztere ist für die erfolgreiche Einführung einer IT-Lösung erfolgsentscheidend, denn: Mitarbeiter benötigen nicht noch mehr Einwahldaten und Systeme, in die sie sich völlig neu einfinden müssen.

Nutzen schnell spürbar

Eine Verwandtschaft zu aktuellen Systemen oder eine bedientechnische Ähnlichkeit erleichtern den Einstieg und damit auch den nachhaltigen Erfolg. Inhaltlich kommt es darauf an, dass ein elektronisches Datenschutz-Management-System vor allem Aspekte wie Konsistenz, Nachhaltigkeit, Ordnungsmäßigkeit und Wirtschaftlichkeit unterstützt.

Ist die Entscheidung für die Einführung eines Datenschutz-Management-Systems gefallen, stellen Banken und Sparkassen meist bereits nach wenigen Tagen eine deutliche Entlastung fest. Hinzu kommt eine signifikant monetäre Ersparnis, die allerdings nur generiert werden kann, wenn die Software nach den Maßstäben ihres Einsatzzwecks entwickelt wurde. Profis entdecken hier schnell Grenzen oder gar Fehlverhalten einer Software, die nur um ihrer Verfügbarkeit willen erhältlich ist.

Prozessbremsen vermeiden

Kontrollprozesse, Wiedervorlagen, sach- und fachgerechte Dokumentationen und Nachweise müssen in ihren Prozessen so schlank und logisch sein, dass die Software keine große Mühe oder lange "Klick-Wege" auslöst. Einer der aufwendigsten Prozesse im Datenschutz-Management ist beispielsweise die Recherche. Gesuchtes muss in wenigen Sekunden gefunden werden. Der Aufruf, die Bearbeitung und die Ablage sensibler Formulare und Dokumente sollte ebenfalls in wenigen Schritten möglich sein und in verständlichen Vorlagen erfolgen.

Kurzum: Die Ver- und Bearbeitung enthaltener Daten und Dokumente dürfen keinen Prozessbremsen zum Opfer fallen. Stimmen diese Rahmenbedingungen, trägt ein funktionierendes, effizientes Datenschutz-Management-System nicht nur dazu bei, Zeit und Geld zu sparen. Mit Blick auf die Kunden und die eigenen Mitarbeiter hebt es auch die Reputation des Bankinstituts.

Als Fazit lässt sich festhalten: Die rechtlichen Rahmenbedingungen verursachen erheblichen Aufwand. Zudem drohen bei kleinsten Unregelmäßigkeiten bestenfalls unangenehme Folgen, wie etwa ein Imageschaden. Schlimmstenfalls hingegen stehen schnell Bußgelder in Millionenhöhe im Raum. Mit rein menschlicher Genauigkeit ist Rechtssicherheit kaum zu schaffen. Darum sucht vor allem die Kreditwirtschaft nach IT-Lösungen, die eine lückenlose Datenschutz-Compliance gewährleisten.

Zeitgleich bieten entsprechende Systeme die Chance, vorbildlich und sicher auf einem Terrain zu agieren, das immerhin Panik bis weit über die Grenzen Europas hinaus verbreiten konnte. Welche rechtliche Novelle hat dies zuletzt "geschafft"? Nüchtern betrachtet: Die jährlichen Kosten guter Systeme zur Umsetzung der Pflichten aus der DSGVO für eine mittelgroße Sparkasse beispielsweise, betragen voraussichtlich weniger als die jährlichen Betriebskosten der Drehtür einer einzigen Filiale.

Zum Autor Olaf Pulwey, Mitglied des Vorstands, FOCONIS AG, Köln
Olaf Pulwey , Mitglied des Vorstands , FOCONIS AG
Noch keine Bewertungen vorhanden


X