Im letzten Blog-Eintrag dieser Reihe haben wir untersucht, wie es mit der Vorbereitung von Finanzdienstleistern auf das Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) aussieht. Im heutigen Blog-Eintrag gehen wir auf weitere Einzelheiten hierzu ein und darauf, wieso Finanzdienstleister auf der ganzen Welt unternehmensweit auf DSGVO-Compliance achten m¸ssen. Wir werden einige wichtige Elemente der Verordnung betrachten, die f¸r Finanzdienstleister relevant sind ñ von Benachrichtigungen bei Datenschutzverletzungen ¸ber Anfragen zum Recht auf Vergessenwerden bis hin zum Umgang mit externen Zuliefereranforderungen.
DSGVO ñ weitreichende Ver‰nderungen
Die DSGVO Ñwurde zur Vereinheitlichung der Datenschutzgesetze in Europa, zur St‰rkung des Datenschutzes und der Rechte aller EU-B¸rger sowie zur Neugestaltung der Art und Weise, wie Unternehmen in der ganzen Region mit Datenschutz umgehen, konzipiert."Die DSGVO bedeutet weitreichende Ver‰nderungen der Datenschutzanforderungen daf¸r, wie Finanzdienstleister und andere Unternehmen personenbezogene Daten verwalten und sch¸tzen. Dies gr¸ndet sich in erster Linie auf den erweiterten Geltungsbereich in der Definition ñ ALLE EU-B‹RGER.
Die DSGVO gilt f¸r alle Unternehmen, die personenbezogene Daten von Subjekten mit Wohnsitz in der Europ‰ischen Union verarbeiten ñ unabh‰ngig von deren Standort, Datenerhebungsmethode, Datenspeicherung, Datensicherung sowie der Art und Weise, wie sie diese Daten verarbeiten und nutzen. Die Verordnung wurde am 14. April 2016 vom EU-Parlament verabschiedet und das Ende der ‹bergangszeit steht mittlerweile kurz bevor: Die Verordnung tritt am 25. Mai 2018 vollst‰ndig in Kraft.
Meldepflicht bei Datenschutzverletzungen
Zu den grundlegenden Ver‰nderungen f¸r Finanzdienstleister im Zuge der DSGVO-Compliance gehˆrt die Anforderung, dass Datenschutzverletzungen innerhalb von 72 Stunden gemeldet werden m¸ssen. Eine Datenschutzverletzung innerhalb von 72 Stunden zu entdecken und herauszufinden, wer davon betroffen ist und wie sie sich ereignet hat, bedeutet einen erheblichen Aufwand f¸r das gesamte Unternehmen. Traditionell konzentrieren sich Finanzdienstleister w‰hrend der kritischen Zeit unmittelbar nach einer Datenschutzverletzung in erster Linie auf die Beseitigung der durch die Verletzung entstandenen Sch‰den. Die Einhaltung der Meldepflicht im Sinne der DSGVO erfordert eine unternehmensweite Transparenz und Koordination. Es m¸ssen Infrastrukturarchitekten, Datensicherheitsbeauftragte, die Rechtsabteilung und das Marketing involviert werden ñ kurz gesagt: alle Mitarbeiter, F¸hrungskr‰fte und Investoren. Folgende Daten unterstreichen die Reichweite dieses Aspekts der neuen Verordnung: Laut Ponemon Research betrug im letzten Jahr die durchschnittlich benˆtigte Zeit, um eine Datenschutzverletzung zu identifizieren (mean time to identify, MTTI) 191 Tage und die durchschnittlich benˆtigte Zeit, um die Verletzung zu stoppen (mean time to contain, MTTC), betrug 66 Tage.
Das Recht auf Vergessenwerden
Da es bei der DSGVO letztlich darum geht, die Datenschutzrechte von EU-B¸rgern zu st‰rken, gibt die neue Verordnung Verbrauchern das Recht, Finanzdienstleister ohne externe Autorisierung um Zugang zu ihren personenbezogenen Daten bzw. um deren Lˆschung zu bitten. Anfragen dieser Art werden unter dem Stichwort ÑDaten¸bertragbarkeit" zusammengefasst. Finanzdienstleister sind berechtigt, einen Teil der Daten zu behalten, wenn dies f¸r die Einhaltung anderer Vorschriften erforderlich ist. Liegt jedoch kein triftiger Grund dieser Art vor, hat das Recht auf Vergessenwerden der jeweiligen Privatperson Vorrang. In der Praxis haben Finanzdienstleister h‰ufig mit verstreuten Datensilos zu k‰mpfen. Dies f¸hrt dazu, dass die im Rahmen des ÑRechts auf Vergessenwerden" erforderlichen Datenverwaltungsverfahren ohne unternehmensweite Transparenz und Koordination nur schwer umsetzbar sind.
Datenverarbeiter und -kontrolleure ñ Cloud-Service-Provider (CSPs)
Bei der Auswahl eines CSP m¸ssen Finanzdienstleister darauf achten, dass diese Anbieter ¸ber Schutz- und Sicherheitsvorkehrungen verf¸gen, die den Anforderungen der DSGVO entsprechen. Nur so kann die DSGVO-Compliance gewahrt bleiben. Daten sind f¸r Finanzdienstleister absolut und verzichtbar und kˆnnen auf verschiedenen Anwendungen geteilt werden. Die Datenspeicherung kann teilweise intern erfolgen und teilweise an externe Anbieter outgesourct werden. Es liegt in der Verantwortung jedes Finanzdienstleisters, f¸r klare Prozesse und Vorgehensweisen im eigenen Unternehmen zu sorgen, sowie darauf zu achten, dass auch alle externen Anbieter, die mit den Daten ihrer Kunden befasst sind, ¸ber solche Prozesse und Vorgehensweisen verf¸gen.
DGSVO ñ Konsequenzen
Finanzdienstleistern drohen bei Nichteinhaltung der neuen Vorschriften empfindliche Strafen in Hˆhe von bis zu 4% des weltweiten Jahresumsatzes bzw. 20 Millionen Ä, je nachdem, welcher Betrag hˆher liegt. Verstˆfle gegen die neue Verordnung kˆnnen schwerwiegende regulatorische Durchsetzungsmaflnahmen, Reputationsschaden und den Verlust von Kundenvertrauen nach sich ziehen.
Finanzdienstleister sollten im Hinblick auf die DSGVO unbedingt einen ganzheitlichen Ansatz verfolgen, der flexibel und zukunftssicher ist: Sie m¸ssen sich jederzeit auf neue, geplante sowie ungeplante Datenschutzvorschriften einstellen und die entsprechenden Anforderungen erf¸llen kˆnnen. Ein ganzheitlicher Ansatz bietet ihnen die nˆtige Transparenz, um ein klares Verst‰ndnis der personenbezogenen Daten, die sie speichern, zu erhalten und rasch auf Anfragen auf Lˆschung von Daten, die keinem bestimmten Zweck mehr dienen, reagieren zu kˆnnen.
Mehr dazu erfahren Sie in dieser Ausgabe vonAppianLIVE Expert Cut
Wenn Sie mehr zum Thema Compliance und den Herausforderungen im Zuge der DSGVO erfahren mˆchten, schalten Sie zu unserer aktuellsten Ausgabe von AppianLIVE Expert Cut ein. In diesem Interview mit F¸hrungskr‰ften von Appian-Kunden im Finanzdienstleistungsbereich wird erkl‰rt, wie die Low-Code-Entwicklungsplattform von Appian mit Robotic Process Automation (RPA) und K¸nstlicher Intelligenz (KI) leistungsstarkes CaseManagement und intelligente Automatisierung ermˆglicht, damit Sie f¸r die DSGVO vorbereitet sind und Ihre digitale Transformation garantiert meistern.
