Datenschutz mit Folgen

Mit der neuen Datenschutz-Grundverordnung (EU-DGSVO) werden Sparkassen im nächsten Jahr noch stärker in die Verantwortung genommen.

Was machen Sie mit meinen Daten? Auf diese Kundenfrage sollten sich Sparkassen rechtzeitig einstellen – noch bevor die neue Datenschutz-Grundverordnung (EU-DGSVO) am 28. Mai 2018 als unmittelbar anwendbares Recht in Kraft tritt. „Wichtig ist deshalb, schon frühzeitig die Kundeneinwilligungen zur Datenverarbeitung einzuholen. Damit vermeidet man kritische Nachfragen und erhöht das Vertrauen beim Kunden“, erklärt Robert Kaltenböck, Leiter Abteilung IT-Consulting beim Deutschen Sparkassenverlag (DSV). Die Zustimmung des Kunden ermöglicht der Sparkasse, auf juristisch gesicherter Grundlage die individuellen Daten auszuwerten, um maßgeschneiderte Angebote erarbeiten zu können. Alte Einwilligungserklärungen sollten deshalb auf klare Aussagen zur Datenverwendung überprüft und selbst langjährige Kunden aktiv auf das Thema angesprochen werden.

Notwendige Vertragsanpassungen

Präzise Datenschutzvereinbarungen empfehlen sich auch in der Zusammenarbeit mit Geschäftspartnern wie externe IT-Spezialisten, Vertriebstrainer, Druckereien oder Reinigungsfirmen. Es geht neben der Auftragsdatenverarbeitung um Vertraulichkeitserklärungen und darum, die Einhaltung der Regelungen nachweisen zu können. Die Institute sind gut beraten, wenn sie ihre Geschäftspartner im Hinblick auf eventuell notwendige Vertragsanpassungen frühzeitig anschreiben.

Die neue Verordnung impliziert, dass Verstöße künftig durch private Aufsichtsinstanzen geahndet und mit hohen Bußgeldern (gem. §40 BDSG) durch die Aufsichtsbehörden der Länder belegt werden. „Statt 100.000 Euro können dann auch 4 Millionen Euro fällig werden“, betont Kaltenböck. Zum materiellen Schaden kommt nicht selten der immaterielle. Etwa, wenn im Zuge einer Sammelklage Kunden ihre Interessen in puncto Datenschutz über das neue Verbandsklagerecht geltend machen. Leicht kann dann der Ver-dacht aufkommen, dass die Datensicherheit bei der Interessenabwägung der Sparkasse das Nachsehen hatte.

Datenschutz-Management wird Pflicht

Die Anforderungen an den Datenschutzbeauftragten steigen damit insgesamt: Er muss künftig mit Kunden, Kollegen und privaten Aufsichtsinstanzen noch enger zusammenarbeiten, um rechtlich saubere Lösungen zu finden. Dazu braucht er juristische, technische und organisatorische Kenntnisse und muss sich in die Verfahren, IT-Themen (Hardware, Netze) sowie Risiken fundiert einarbeiten. Außerdem gilt es, ein Datenschutz-Managementsystem analog dem SIZ-Produkt „Sicherer Datenschutz“ (SIDS) aufzubauen. Dieses beinhaltet insgesamt vier Prozesse: die datenschutzkonforme Datenverarbeitung, die Betroffenenrechte, den Umgang mit Datenschutzverletzungen und das Datenschutzrisikomanagement. Um diese Prozesse mit den geeigneten Rollen und Verantwortlichkeiten im Unternehmen zu etablieren, unterstützt der DSV auf Basis langjähriger Erfahrungen im Informationssicherheits-Management. Er berät umfassend, begleitet vor Ort – auch bei der Qualifizierung und notwendigen breiten Mitarbeitersensibilisierung. So können zum Beispiel durch Veranstaltungen die Mitarbeiter mit Kundenkontakt für das Thema fit gemacht werden.