Die neue Datenschutzgrundverordnung kommt und sie beschäftigt schon jetzt Compliance- und IT-Abteilungen. Bei Nichteinhaltung drohen empfindliche Strafen. Die DSGVO bietet insbesondere für Banken aber auch Chancen, die es zu nutzen gilt.
Die neue Datenschutz-Grundverordnung bieten Chancen für Finanzdienstleister.
Partner des Bank Blogs
Die neue europäische Datenschutzgrundverordnung (General Data Protection Regulation“, kurz: DSGVO) gilt in allen EU-Ländern unmittelbar, d. h. ohne Umsetzung in nationale Gesetze, und ist bis zum 25. Mai 2018 umzusetzen. Das Thema ist zweifellos wichtig, zumal bei Nichteinhaltung Strafen von bis zu vier Prozent des Umsatzes drohen. Die DSGVO bietet aber auch Chancen: zum Beispiel das „Digital Banking“ zu optimieren und das Kundenvertrauen zu verbessern.
Inhalte der DSGVO im Kurzüberblick
Nachfolgend werden ausgewählte Inhalte der neuen Datenschutz-Grundverordnung zusammengefasst dargestellt und erläutert:
Erweiterung der betroffenen Unternehmen
Wesentliche Rollen und Beteiligte, deren Rechte und Pflichten von der Datenschutz-Grundverordnung definiert werden
Im Bundesdatenschutzgesetz (BDSG) finden sich bereits Regelungen zur Datenverarbeitung im Auftrag und das Verhältnis zu Dritten. Die DSGVO behandelt Verpflichtungen und Verhältnis von „Verantwortlichen“ (englisch: Data Controller) sowie „Auftragsverarbeitern“ (englisch: Data Processor), sowie die berechtigten Interessen, aber auch Einschränkungen bezüglich Dritter deutlich umfassender.
Die DSGVO wird weltweit auf personenbezogene Daten europäischer Niederlassungen von Unternehmen (Verantwortliche wie auch Auftragsverarbeiter) angewendet. Sie gilt zudem auch für Unternehmen außerhalb der EU, wenn diese Daten von Personen aus der EU zu Werbe- oder Marktforschungszwecken verarbeiten. Eine Vermeidung der DSGVO durch Verlagerung ist somit nicht möglich.
Ausweitung der betroffenen Daten
Die DSGVO findet Anwendung auf alle Daten, die sich auf eine identifizierbare natürliche Person beziehen. Dazu gehören auch „pseudo-anonyme Daten“ wie z. B. IP-Adressen oder Cookie-Kennungen – somit kann die neue Verordnung auch für Datensätze relevant sein, die keine expliziten Personennamen enthalten.
Umfangreichere Verpflichtungen der Unternehmen
Die Grundsätze der bisherigen Datenschutzverpflichtungen (EU-Richtlinie von 1995, BDSG) werden mit der neuen Verordnung erweitert und präzisiert. Leitlinie hierbei ist, dass die Daten für die Verarbeitung geeignet und notwendig sein müssen (was u. a. die Anforderung der Datenminimierung beinhaltet, die das BDSG unter dem Begriff „Datensparsamkeit“ schon kennt).
Die Einwilligung zur Datenverarbeitung muss klar abgegrenzt, einfach verständlich und ebenso einfach widerrufbar sein. Wenn die Einwilligung online erteilt werden kann, darf für den Widerruf keine Schriftform verlangt werden. Auch die Möglichkeit vorgegebene Optionen abzuwählen, sei es online oder etwa per Hinweistext bei Aufzeichnung von Telefonaten,ist nicht mehr ausreichend. Die DSGVO fordert eine „eindeutige bestätigende Handlung“, also ein ein explizites „Opt-In“.
Datenschutzverletzungen sind künftig innerhalb von 72 Stunden der Aufsicht zu melden. Die betroffenen Personen sind bei hohem Risiko für ihre Rechte und Freiheiten unverzüglich und in klarer, einfacher Sprache über den entsprechenden Vorfall zu informieren. Das wird beispielsweise bei Datenpannen mit vertraulichen Kreditkartendaten zutreffen. Die gegenüber dem heutigen §42a BDSG unterschiedliche Formulierung könnte zu einer noch weiteren Auslegung des in der Verordnung nicht näher erläuterten „hohen Risikos“ führen. Die auf EU-Ebene neue Anforderung, Datenschutzbeauftragte vorzusehen, besteht in Deutschland bereits (BDSG §4f).
Umfassendere Rechte der Betroffenen
Unternehmen müssen die betroffenen Personen transparent und umfassend über die Informationserhebung und ihre damit verbundenen Rechte informieren. Zu diesen Rechten gehören künftig das Recht auf Berichtigung, auf Löschung („Recht auf Vergessenwerden“), auf Einschränkung der Verarbeitung vorliegender Daten, auf Datenübertragbarkeit (d.h. Bereitstellung für den Kunden in maschinenlesbarer Form), auf Widerspruch gegen die Verarbeitung, sowie auf Widerspruch gegen automatisierte Entscheidungen und sogenanntes „Profiling“.
Insbesondere die Umsetzung des Rechts auf Löschung stellt die betroffenen Unternehmen vor Herausforderungen: Kundendaten finden sich in zahlreichen Anwendungen, werden aus anderen Anwendungen wieder zurückübertragen, BackUp-Versionen sind zu berücksichtigen und häufig verarbeiten und speichern auch Drittunternehmen diese Daten. Neben Stammdaten können sich personenbezogene Daten z. B. auch in Daten zu Aktivitäten oder Transaktionen wiederfinden. Die Erfahrung zeigt, dass eine vollständige „Kartographie“, welche Systeme personenbezogene Daten halten oder an andere Systeme weiterleiten, oft nur lückenhaft vorhanden ist.
Datenübertragung ins Ausland
Gemäß Art. 26 (2) der bisherigen Datenschutzrichtlinie kann ein Mitgliedstaat eine Übermittlung in ein Drittland genehmigen, das kein angemessenes Schutzniveau gewährleistet, wenn der für die Verarbeitung Verantwortliche ausreichende Garantien in den Vertragsklauseln bietet – diese werden als „European Model Clauses“ bezeichnet. Das Prinzip wird unter der DSGVO präzisiert.
Welche Chancen ergeben sich für das Business?
Erfahrungsgemäß ist die Nutzung von Chancen und Vorteilen aus einem DSGVO-Projekt umso höher, je proaktiver die Business-Seite in das Projekt eingebunden ist. In einem großen Haus hat das Business sogar die Gesamtprojektverantwortung übernommen.
Einheitliche Sicht auf den Kunden
Das Konzept einer „Golden Source“ für Kundenstammdaten, als Bestandteil einer nicht-redundanten Datenhaltung, gibt es seit mehr als 40 Jahren – dennoch ist es bis heute meist nicht durchgängig umgesetzt. Die damit bisher schon bestehenden Herausforderungen einer konsistenten Kundenansprache und „360 Grad-Sicht“ auf den Kunden werden im Zuge der kanalübergreifenden Digitalisierung immer wichtiger. Derzeit redundante Datenhaltungen wird man oft nicht kurzfristig ablösen können. Dennoch ist zur Compliance mit der DSGVO die Konsistenz der relevanten Kundendaten und entsprechender Kennzeichnungen und Sperrvermerke sicherzustellen. Das kann etwa durch geeignete Workflow-Tools erreicht werden.
Beitrag zur wahrgenommenen Kundennähe
Räumliche Nähe durch ein entsprechendes Filialnetz tritt im Retail Banking immer mehr in den Hintergrund. Stattdessen wird eine vom Kunden wahrgenommene Nähe durch geeignete Kommunikation, zunehmend auch durch digitale Kommunikationskanäle, immer wichtiger. Bei Kunden, die mit ihrer Bank über lange Zeit keinen Kontakt haben, besteht zweifellos eine erhöhte Abwanderungsgefahr. Die aktive Nutzung der DSGVO zur Ansprache der Kunden kann bei geschickter Aufbereitung dazu beitragen, dass diese sich besser verstanden fühlen.
Verbesserung von Kundenvertrauen und Loyalität
Die Einwilligung zur Datenverarbeitung für definierte Zwecke muss klar und verständlich gefasst sein. Wer hier mehr als die DSGVO-Mindestanforderung umsetzt, kann beispielsweise in einem „Selbstbedienungs-Portal“ den Kunden frei entscheiden lassen, welche seiner Daten für welche Zwecke genutzt werden. Der Kunde kann so sehen, dass mit seinen Daten verantwortungsvoll umgegangen wird. Auch der Zusammenhang zwischen einer erweiterten Einwilligung und zusätzlichen, dadurch möglichen Serviceleistungen und Angeboten lässt sich gut darstellen und man kann dem Kunden entsprechende Anreize bieten. Insgesamt leisten diese Maßnahmen einen wesentlichen Beitrag zur Stärkung des Kundenvertrauens, was wiederum die Loyalität der Kunden verbessert und damit Wettbewerbsvorteile schafft. Außerdem lässt sich durch eine solche flexible und erweiterte Einwilligung das Cross Selling optimieren.
Berücksichtigung aller Dimensionen in der Umsetzung
Ein Überblick über alle unter der DSGVO zu erfüllenden Anforderrungen erfordert eine „360 Grad-Perspektive“. In der folgenden Grafik sind die wichtigsten Elemente in vier Dimensionen dargestellt:
Der DSGVO-Radar stellt vier Hauptdimensionen und eine Übersicht der wichtigsten Handlungsfelder dar, die im Rahmen einer „360 Grad-Sicht“ auf die Umsetzung der Datenschutz-Grundverordnung zu berücksichtigen sind.
Im konkreten Umsetzungsvorhaben wird zunächst die Governance und Verantwortung zu definieren sein. Als nächster Schritt folgt die Ermittlung der Anwendungen und Systeme, die für die DSGVO-Compliance aufgrund der verarbeiteten Daten relevant sind. Daraus lässt sich neben dem „technischen“ Handlungsbedarf auch ableiten, welche organisatorischen Einheiten einzubeziehen sind und welche Prozesse analysiert und ggf. geändert werden müssen. Auf dieser Basis kann eine Projektorganisation und eine Phasenplanung erstellt werden.
Um die Chancen der DSGVO nutzen zu können, sollten neben den unmittelbar betroffenen Einheiten auch diejenigen Business-Einheiten, die an diesem Nutzen Interesse haben, sowie das Management frühzeitig involviert werden. Im Idealfall kann man im Rahmen eines DSGVO-Projektes die Chance nutzen, auf der „Digital Roadmap“ ein gutes Stück voranzukommen und weiteres Kundenvertrauen gewinnen.
Dr. Michael Rundshagen
Dr. Michael Rundshagen ist Co-Autor des Beitrags. Er ist Vice President bei Cognizant und leitet das Beratungsgeschäft in Deutschland, Österreich und der Schweiz. Er verfügt über mehr als 25 Jahre Erfahrung in der Managementberatung und verantwortete zahlreiche Transformationsprogramme für Unternehmen in verschiedenen Branchen.
Cognizant ist Partner des Bank Blogs
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.
