Model.ShowBackToRefferer = false

Von Darren Collins, Global Director, Banking & Insurance Industry Team am 2. April 2018.

Der Countdown läuft: Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die gesamte EU arbeitet daran, den neuen Compliance-Anforderungen der DSGVO gerecht zu werden, die die Verwaltung und den Schutz von Kundendaten revolutionieren wird. Es gibt zahlreiche Gründe für diese Verordnung, aber es genügt darauf hinzuweisen, dass sie nach Jahren des schlampigen Datenmanagements und der Datenschutzverletzungen infolge veralteter „Systems of Record“ und der isolierten Natur von IT-Bereichen überfällig ist. Und unabhängig davon, ob sie Zuspruch findet, werden die Regierungen alle Unternehmen in die Verantwortung nehmen: Die DSGVO wird der kommerziellen Nutzung personenbezogener Daten Einschränkungen auferlegen, deren Nichteinhaltung mit Geldbußen und anderen Sanktionen geahndet werden kann.

Aber welche Daten sind personenbezogen?

Im Wesentlichen geht es um alle Informationen, durch die jemand identifiziert werden kann. Der Boom an elektronischen Daten, der durch größere Speicherkapazitäten (Cloud) und mehr Erfassungs- und Verbreitungskanäle (Social Media) befeuert wird, hat die Chancen der Kundengewinnung enorm gesteigert. Allerdings sind mit diesen Chancen auch große Gefahren und ein hohes Maß an Verantwortung verbunden.

Für Banken und Versicherungen werden die Kosten einer Verletzung der Vorschriften ohne Zweifel hoch sein, nicht nur für ihre Reputation infolge der Veröffentlichung von Sicherheitslücken, sondern auch aufgrund finanzieller Verluste durch die Abwanderung von Kunden. Ersttäter können mit der Zahlung von bis zu 10 Millionen Euro (oder 2 Prozent ihres weltweiten Umsatzes) bestraft werden. Unter Umständen können die Strafen auch höher ausfallen; Unternehmen können mit einer Geldstrafe von bis zu 4 % ihres weltweiten Umsatzes (oder 20 Mio. Euro) belegt werden.

Da DSGVO-bezogene Schlagzeilen hauptsächlich in den USA kursieren, ist es Ihnen möglicherweise noch nicht klar, dass diese Vorschriften tatsächlich auch Sie und Ihr Unternehmen betreffen können. Auch wenn Ihr Unternehmen seinen Sitz nicht in der EU hat, die DSGVO wird weitreichende Auswirkungen auf der ganzen Welt haben. „Sie betrifft sämtliche Organisationen, die personenbezogene Daten europäischer Bürger speichert und nutzt, egal ob innerhalb oder außerhalb Europas“, sagte Stewart Room, Cyber Security and Data Protection Partner bei PricewaterhouseCoopers (PwC).

Grundsätzlich gilt: Wenn Ihr Unternehmen personenbezogene Daten von EU-Kunden oder -Lieferanten vorhält oder von irgendjemandem, der mit Ihnen Geschäfte macht (die DSGVO bezeichnet dieses breite Segment der Bevölkerung als „Betroffene“, aber in diesem Beitrag nennen wir Sie der Einfachheit halber „Kunden“), betrifft die DSGVO auch Sie.

Was also sollten Sie auf jeden Fall wissen?

Es gibt 7 wichtige Komponenten und Auswirkungen der DSGVO, auf die Sie in Zukunft achten müssen:

  • Denken Sie daran, es ist immer höflich, zu fragen: Zustimmung

    Es ist Ihrem Unternehmen nicht mehr erlaubt, eine Einverständniserklärung in einem Bündel juristischer Begriffe zu verstecken. Die Bitte um Zustimmung muss in einfacher, für jeden Kunden, Lieferanten oder jede sonstige Person verständlicher Geschäftssprache geschrieben sein. Im Gegensatz zu aktuellen Abmeldeoptionen sollte die Sprache einer Rücktrittserklärung klar und für den Kunden einfach verständlich sein.

    Das bedeutet: Dieses Einwilligungsmandat mag zwar Ihre Kundenabwanderung reduzieren, Sie müssen jedoch neue Formulare und Prozesse für die Einverständniserklärung entwickeln; dies betrifft auch neue Onboarding-Dokumente, neue Verträge und sogar eine neue Marketing-Kommunikation.

  • Wenn Daten an einem unsicheren Ort gespeichert sind: Meldung einer Sicherheitsverletzung

    Wenn es eine Verletzung oder die Möglichkeit einer Verletzung des Datenschutzes gibt, sind die Betroffenen (in diesem Fall die Kunden) innerhalb von 72 Stunden davon in Kenntnis zu setzen. Dies kann als Ihr größtes Risiko betrachtet werden, da Flexibilität in der Regel die Achillesferse jedes Finanzunternehmens ist.

    Das bedeutet: Es ist Zeit, Datensilos zu beseitigen und funktionsübergreifende Teams einzurichten, die in der Lage sind, den Datenschutz zu überwachen und Verletzungen schnellstmöglich zu kommunizieren. Betrachten Sie es als eine Feuerwehrübung; Ihr Unternehmen benötigt Prozesse, um auf potenzielle oder tatsächliche Datenschutzverletzungen schnell reagieren und Kunden darüber informieren zu können.

  • Ja, Kunden können fragen: Das Recht auf Zugriff

    Jeder Kunde hat das Recht, zu erfahren, wie seine Daten verwendet werden. Und Ihr Unternehmen ist verpflichtet, darüber kostenfrei Auskunft zu geben. Papierbasierte Dokumente wie Forderungs- oder Kontoeröffnungsformulare werden dabei eher hinderlich sein. Falls Sie bereits erwogen haben, Technologie zur Erfassung, Extraktion und Speicherung von Kundendokumenten/-daten einzusetzen, wäre jetzt der richtige Zeitpunkt, um zu investieren.

    Das bedeutet: Sie müssen vorbereitet sein. Wenn Sie nun einen Anruf oder eine E-Mail von einem Kunden, Lieferanten oder Partner erhalten, der sich erkundigt, wie seine Daten verwendet werden, wie werden Sie reagieren? Welche Abteilung wird für diese Anrufe zuständig sein? Der Kundenservice? Die IT-Abteilung?

  • Wie war gleich Ihr Name? Das Recht auf Vergessenwerden

    Wenn die personenbezogenen Daten Ihres Kunden für den ursprünglichen Zweck nicht mehr relevant sind, kann er verlangen, dass Sie sie nicht mehr weitergeben und aus Ihren „Systems of Record“ löschen.

    Das bedeutet: Die Antwort ist so ähnlich wie die obige. Wer oder welche Abteilung wird die Kundendaten verwalten und ist er/sie berechtigt, diese zu löschen, wenn sie nicht mehr benötigt werden? Wie werden sie aus dem Marketing entfernt? Oder aus Forderungen? Oder sogar aus Ihrer App?

  • „Data to go“: Übertragbarkeit von Daten

    Auf diese Weise erhalten die Kunden ihre personenbezogenen Daten und können sie für ihre eigenen Zwecke verwenden und in verschiedene Datenumgebungen übertragen. Das angestrebte Ziel ist das Erreichen bestimmter Standards, nach denen Daten bei Bedarf in ein anderes System portiert werden können.

    Das bedeutet: Wenn Ihnen ein Kunde die Erlaubnis gibt, können Sie seine Informationen, über die zuvor ausschließlich ihr Konkurrent verfügte, verwenden.

  • Aktiv, nicht passiv: Technikgestaltung mit Datenschutz im Sinn

    Es beginnt mit Entscheidungen, die Ihnen noch nicht bekannt waren: 25 Prozent der Mitarbeiter speichern unerlaubt Kundendaten in der Öffentlichkeit. Tauschbörsen, Cloud-Services und Außendienstmitarbeiter mit Remote-Zugriff machen Sie angreifbar. Viele Finanzdienstleister verwenden Sicherheitsprozesse für elektronische Daten, aber das größere Risiko bildet ein einzelnes Blatt Papier. Es gibt keine Vorschriften, wie die Daten in diesen Dokumenten zu behandeln sind oder gesichert werden sollen.

    Das bedeutet: Banken und Versicherungen müssen Technologien zur Absicherung und Aktualisierung der „Systems of Record“ nutzen. Und wenn Sie dabei an zehn Jahre alte Datenbanken und -systeme denken, vergessen Sie nicht, dass dies alle Papierdokumente betrifft. Wie soll mit all diesen Akten umgegangen werden? Werden Sie in der Lage sein, diese Informationen zu erfassen, zu extrahieren und sicher zu speichern?

  • Hilfe benötigt: Datenschutzbeauftragte

    Unternehmen mit mehr als 250 Mitarbeitern benötigen einen Datenschutzbeauftragten. Diese Person muss ein Experte Ihrer Datenverarbeitung sein und die Berechtigung haben, innerhalb des Unternehmens unabhängig zu handeln. Sie berät den Datenverantwortlichen zu seinen DSGVO-Verpflichtungen und anderen Datenschutzgesetzen. Der Schwerpunkt liegt also auf DSGVO-Compliance und nicht auf Sicherheit per se.

    Während Sie Ihren Plan zur Implementierung der DSGVO erarbeiten, beachten Sie auch den potenziellen geschäftlichen Nutzen. Diese globalen Regelungen fördern Kundenvertrauen, -loyalität und -bindung und bieten Ihnen damit die Chance, Ihren Marktanteil zu vergrößern.

Im zweiten Teil dieser Blog-Serie erläutern wir, wie Sie durch Automatisierung die Einhaltung der DSGVO sicherstellen.

April 02, 2018