FINNOFLEET – NAVIGATING FINANCIAL HORIZONS
Unsere FinTech-Gruppe wächst weiter: Wir bekommen ein sechstes starkes Mitglied
5 starke Unternehmen – eine starke Gruppe mit einer gemeinsamen Vision
Weil wir leben, wovon andere noch träumen.
Ganz auf Veränderung gepolt
Interview mit Heinz-Dieter Köhler: EU-Datenschutzgrundverordnung (DSGVO)
Am 25. Mai 2018 wird es soweit sein: Die neue EU-Datenschutzgrundverordnung tritt in Kraft und schafft damit für den europäischen Raum eine rechtliche Basis für die Arbeit und den Umgang mit personenbezogenen Daten. Für Kunden verspricht die Gesetzesänderung durch die Möglichkeit der Einsichtnahme mehr Transparenz, durch das Recht, vergessen zu werden, mehr Handlungsmöglichkeiten und insgesamt mehr Sicherheit im Umgang mit ihren Daten.
Zur Person:
Herr Köhler, wo genau liegen Ihre Aufgabenbereiche?
Ich bin zuständig für das Beachten und das Einhalten der gesetzlichen Vorgaben, die das Bundesdatenschutzgesetz vorgibt, das in seiner neusten Fassung gemeinsam mit der DSGVO im Mai in Kraft tritt. Grundsätzlich gehören zu meinem Aufgabengebiet die Dokumentierung aller datenschutzrelevanten Vorgehensweisen im Zusammenhang mit den vom Unternehmen entwickelten Bankanwendungen, der Auslagerung von Daten, aber auch den eigenen Mitarbeiterbelehrungen und Schulungen.
Inwiefern haben Sie denn überhaupt als Systemhersteller Umgang mit personenbezogenen Daten?
Als Systemhersteller von Bankanwendungssystemen haben wir primär erst einmal keinen direkten Umgang mit personenbezogenen Daten, da wir unsere Systeme und Softwareentwicklung anhand von Test- und Dummydaten entwickeln. Unsere Kunden wiederum, die unsere Systeme und Anwendungen für die gesamte Bearbeitung und Abwicklungen von Immobilienfinanzierungen nutzen, arbeiten natürlich mit personenbezogenen Daten. Daher ist es Voraussetzung und zwingend, dass unsere Systeme immer alle technischen und gesetzlichen Qualitätsstandards erfüllen, welche die Arbeit mit Echtdaten erlauben. Im Sinne unserer Kunden.
Worin liegen denn nun aus Ihrer Sicht die Änderungen, die mit der EU-Datenschutzgrundverordnung einhergehen?
Wir haben in Deutschland mit dem Bundesdatenschutzgesetz eine ausgereifte und funktionierende Gesetzesvorlage vorliegen. Zu prüfen ist daher in einem ersten Schritt, welche der fast 90 Artikel in der DSGVO relevant für das eigene Unternehmen sind. Für die PRO-DIRECT-FINANCE sind das in etwa 30 bis 40 dieser Artikel. Der erste Artikel der neuen Verordnung besagt, dass der Datenverkehr nicht einzuschränken und gleichzeitig aber die Datensicherheit zu gewährleisten ist. Ein sehr wichtiger Punkt hierbei ist die Gestaltung der Technik in Kombination mit anderen Regularien oder Anforderungen in der Datenverarbeitung. Zu prüfen ist, ob die technischen Verfahren, die wir bereits anbieten, an die neuen Vorgaben anzupassen sind, ob Qualitätsanforderungen eingehalten werden und wo ggfls. nachzujustieren oder zu dokumentieren ist.
Die Erweiterung der Rechte der Betroffenen auf Informationserhalt, und insbesondere zum Beispiel des „Rechts auf Datenübertragbarkeit“ (Art. 20) stellen Unternehmen vor gänzlich neue Herausforderungen die Prozesse und Details der Reorganisation neu zu durchdenken.
Die drakonisch verschärften „abschreckenden“ Bußgeldvorschriften bei Datenschutzverstößen (Art. 83) für Unternehmen in Höhe von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes, verlangen zwangsläufig, einen Datenverstoß jedweder Art unbedingt zu verhindern.
Daraus resultiert dann auch die umfangreiche Rechenschafts- und Dokumentationspflicht, ohne die der Nachweis des Unternehmens „alles getan zu haben, einen Verstoß gegen DSGVO zu verhindern“ eher misslingen würde.
Insgesamt ist aber zu sagen, dass uns die DSGVO natürlich nicht überrascht. Wir hatten in den letzten Jahren Zeit, die notwendigen technischen und organisatorischen Maßnahmen einzuleiten, um adäquat auf die anstehenden Änderungen reagieren zu können, zumal wir als Unternehmen ohnehin den Anspruch haben, in technischer Hinsicht auf dem neuesten Stand zu sein.
Ist denn die technische Anpassung die einzige Baustelle, die mit der DSGVO geöffnet wird?
Nein, keineswegs. Und bei rein technischen Anpassungen wird es in den meisten Fällen bei Unternehmen auch allein nicht bleiben. Auch bei dieser Verordnung gibt es für Banken je nach Arbeitsweise prozessuale oder produktionstechnische Änderungen als Auswirkung der neuen DSGV.
Aber unsere Hauptaufgabe im Unternehmen liegt woanders. Um die Rechenschaftspflicht erfüllen zu können, ist eine ausführliche und klare Dokumentation aller Vorgänge und Änderungen essenziell. Wir müssen die Dokumentation auf die neue Verordnung hin anpassen, aktualisieren und damit gleichsam auf neue Füße stellen. Im Falle eines Datenschutzverstoßes oder eines Verdachtes muss jederzeit transparent aufgezeigt werden können, dass nach bestem Wissen und Gewissen und auf dem neuesten Stand der Technik und Sicherheitsanforderungen gearbeitet wurde. Das ist wichtig für das Vertrauen in die Arbeitsweise von uns und auch im Hinblick mögliche Geldbußen der Beteiligten, die ebenso für Verstöße gegen die DSGVO verhängt werden können.
Das klingt schon aufwendig. Der neueste Stand der Technik erfordert aktive laufende Veränderung. Auf welchem Weg gestalten Sie die Anpassung an die neuen Vorgaben?
Wir haben eigens für diese Aufgabe im September 2017 eine Projektgruppe gegründet, die sich aus Entwicklern, Qualitätsbeauftragten, der Administration und Mitgliedern der Geschäftsleitung zusammensetzt. In Gruppen werden Themen erarbeitet und angepasst und einmal im Monat gemeinsam mit den Arbeitsergebnissen der Pakete zusammengefasst und erweitert. Alle notwendigen Anpassungsmaßnahmen werden damit identifiziert, überwacht und gegebenenfalls in der Gruppe korrigiert. Ziel ist die Etablierung eines an die DSGV angepassten und ausgereiften Informationssicherheitsmanagements, das den Informationsbedarf im eigenen Unternehmen, aber auch gegenüber dem Gesetzgeber und unseren Kunden gewährleistet.
Diese Anpassung der Dokumentation an das neue Gerüst, das uns die DSGVO vorgibt, ist schon mit einigem Aufwand verbunden. Noch aufwendiger ist aber die sehr unterschiedliche Interpretation und Handhabung der DSGV unserer Kunden und der auf den jeweiligen Kundeninterpretationen und Strukturen angepassten Dokumentationserfordernisse. Dabei sind Banken teilweise noch in den Klärungen oder Abstimmungen der Anwendungsvorschriften.
Ich bin aber zuversichtlich, dass sich der Aufwand wieder in gewohnte Bahnen lenken lässt, sobald die Dokumentation erst einmal umgestellt worden ist. Danach befinden wir uns wieder in einem kontinuierlichen Arbeitsprozess, der im Grunde genauso funktioniert wie der bisherige.
Halten Sie das Inkrafttreten der DSGVO für einen Schritt in die richtige Richtung? Wo sehen Sie Chancen, wo Probleme?
Ja, ich selbst glaube schon, dass die DSGVO eine sinnvolle Sache ist. Es hat lange gedauert, ich meine, ganze sechs Jahre, eine übergeordnete Verordnung im europäischen Raum überhaupt zu etablieren, um so etwas Ähnliches zu machen wie hierzulande das Bundesdatenschutzgesetz. So etwas hat es in anderen Ländern nicht gegeben oder wurde nicht gelebt. Daher ist eine einheitliche Änderung meines Erachtens zu begrüßen.
Probleme sehe ich dennoch, denn der Teufel steckt im Detail: Selbst wenn wir bald eine einheitliche, europäische Verordnung haben, bleibt die Frage ist, wie diese in den einzelnen Ländern und in einzelnen Unternehmen interpretiert und umgesetzt wird. Es wird einige Zeit dauern, bis gerichtliche Regelungen greifen, die Unschärfen in der Auslegung der neuen Verordnung klären oder ausgleichen. Bis dahin wird man streng nach dem Buchstaben des Gesetzes gehen müssen, ohne im Letzten zu wissen, ob Aufsichtsbehörden mit den Umsetzungen in dieser Form einverstanden sind. Das führt auch zu Überinterpretationen. Hier wird man aber sicherlich in naher Zukunft zu Lösungen kommen. Eine europäische Basis ist, wenn sie gelebt und umgesetzt wird, aber in jedem Fall eine gute Sache ist.
Herr Köhler, vielen Dank für Ihre Ausführungen!
Das Interview ist in der neuen Ausgabe des Banken-Magazins „Vorsprung“ erschienen. Lesen Sie hier die ganze Ausgabe.
Bildrechte Vorschaubild:
