DSGVO und Bundesdatenschutzgesetz – Risiken steuern zukünftig die Umsetzung von Datenschutzmaßnahmen

24.01.2018Dr. Haiko Timm
Mit der Europäischen Datenschutzgrundverordnung (DSGVO) und dem neuen Bundesdatenschutzgesetz (BDSG neu) werden am 25. Mai 2018 gleich zwei neue Rechtsvorschriften für Genossenschaftsbanken gültig. Das Bundesdatenschutzgesetz aus dem Jahr 1978 wird zu diesem Zeitpunkt abgelöst. Es stellt sich für die Banken die Frage, welche Anforderungen auf Ebene des Genossenschaftsverbunds, ihrer Dienstleister sowie durch die einzelne Bank zu erfüllen sind. Die ADG unterstützt Sie bei der Umsetzung der neuen Regelungen. Sie werden das zentrale Thema beim diesjährigen 12. Forum Datenschutz und Datensicherheit sein sowie einen Schwerpunkt in der Qualifizierung zum „betrieblichen Datenschutzbeauftragten ADG“ darstellen.

Der BVR hat am 20. Dezember 2017 den „Leitfaden für die Bankpraxis“ als Umsetzungshilfe herausgegeben. Dieses Dokument enthält 27 Themen, die zunächst in einer Übersicht skizziert und anschließend ausführlich dargestellt werden. Es wird deutlich gemacht, welcher Erfüllungsaufwand von den Banken erwartet wird, aber auch welche Anforderungen Dienstleister erfüllen werden. Ebenso wird gezeigt, dass nicht jede Änderung der Gesetzeslage einen Handlungsbedarf seitens der Bank erfordert.

Das Informationssicherheitsmanagement (ISMS) und der Datenschutz werden sich durch die DSGVO deutlich annähern, da gemäß Artikel 32 in Hinsicht auf die Datensicherheit der Bewertung von Risiken im Gegensatz zum gültigen BDSG ein hoher Stellenwert einzuräumen ist. Bei der Bewertung von Risiken und ihrer Dokumentation im ISMS sind bei den Verbundbanken regelmäßig das Informationssicherheitsteam und die Risikoverantwortlichen eingebunden. Ziel ist es, Eintrittswahrscheinlichkeiten und Schadenspotential für die Bank zu identifizieren, um bei Bedarf gegensteuernde Maßnahmen zu ergreifen. Die DSGVO nutzt den gleichen Ansatz, jedoch werden Eintrittswahrscheinlichkeiten und Schadenspotential für den durch die Datenverarbeitung Betroffenen sowie notwendige technisch/organisatorische Maßnahmen ermittelt. Drei folgende Sachverhalte sollen ein Beispiel hierfür geben. 


Risikoanalyse für wesentliche Geschäftsprozesse und Objekte

Nach MaRisk AT 7.2 und BAIT Kapitel 3 ist für wesentliche Geschäftsprozesse und Objekte eine Risikoanalyse durchzuführen. Relevante Risiken können Anlass geben, risikomindernde Maßnahmen einzuleiten. Artikel 24 der DSGVO verlangt die Durchführung einer Risikoanalyse, wenn in Geschäftsprozessen personenbezogene Daten verarbeitet werden. Die Risikobewertung bestimmt den Anspruch an die technisch-organisatorischen Maßnahmen. An dieser Stelle verfolgen das ISMS und der Datenschutz mit Vertraulichkeit, Integrität und Verfügbarkeit die gleichen Schutzziele. Unterschiede ergeben sich bei der Behandlung von Risiken. Während im ISMS relevante Risiken auch ohne Risikominderungsmaßnahmen akzeptiert werden können, verlangt Artikel 24 beim Vorliegen von Risiken für den Betroffenen, Datenschutzvorkehrungen zu treffen. Eine Erweiterung der Maßnahmen gegenüber den TOM aus der Anlage zu § 9 BDSG ist daher notwendig. Weiterhin besteht z.B. der Anspruch auf die Verschlüsselung von Daten, um Risiken zu minimieren. Damit ergibt sich gerade beim Versand von personenbezogenen Daten per E-Mail keine Änderung gegenüber dem gültigen Recht.

Risiken steuern ebenfalls die Durchführung der Datenschutzfolgenabschätzung (DSFA), die ähnlich wie eine Vorabkontrolle gemäß § 4d Abs. 5 BDSG durchzuführen ist. Die aktuelle Rechtsprechung verlangt eine Vorabkontrolle, wenn besondere Arten personenbezogener Daten (z.B. über Krankheiten, politische Gesinnung, Straftaten) verarbeitet werden oder mit der Datenverarbeitung eine Bewertung des Betroffenen (z.B. über Leistung oder Verhalten) erfolgt. Die Notwendigkeit einer Vorabkontrolle ergibt sich nur in Einzelfällen, weil die genannten Datenarten eher selten verarbeitet werden oder die Verarbeitung durch eine Einwilligung des Betroffenen legitimiert ist.

Die DSGVO setzt an der gleichen Stelle an, da von einem hohen Risiko für den Betroffenen bei entsprechenden Daten ausgegangen wird, ähnlich wie bei seiner Videoüberwachung in öffentlich zugänglichen Bereichen. Ergänzend sind von den Aufsichtsbehörden Positivlisten mit der Verpflichtung einer DSFA bei bestimmten Verarbeitungen zu erwarten, ebenso wie Negativlisten, die eine DSFA nicht vorsehen. Es ist zunächst eine Vorprüfung zur Bewertung der Risiken durchzuführen. Sollten sich hierbei hohe Risiken für die Rechte und Freiheiten des Betroffenen ergeben, erfordert Artikel 35 Abs. 7 eine dreistufige DFSA. Der Beschreibung des Verfahrens folgt eine Darstellung der Risiken. Zur Bewältigung der Risiken sind verpflichtend Abhilfemaßnahmen zu formulieren, die den Schutz der personenbezogenen Daten sicherstellen.


Neue Verarbeitungsprozesse im Hinblick auf personenbezogene Daten

Die DSFA ist ab 25. Mai 2018 für alle neuen Verarbeitungsprozesse mit personenbezogenen Daten durchzuführen. Das gleiche gilt für Prozesse, die nach der Einführung der DSGVO geändert  werden und durch diese Änderung zu einem hohen Risiko für den Betroffenen führen. Sie ist  gemäß BVR-Leitfaden nicht für laufende Prozesse erforderlich, die nach dem 25. Mai unverändert bestehen bleiben. Darunter fällt dann z.B. die Videoaufzeichnung im SB-Bereich der Banken, solange die Aufzeichnung nicht in irgendeiner Form an eine geänderte Situation angepasst wird. Unabhängig davon bestehen für die Aufzeichnung nach § 4 BDSG (neu) erweiterte Informationspflichten, da nicht nur die Beobachtung, sondern auch Name und Kontaktdaten des Verantwortlichen zum frühestmöglichen Zeitpunkt anzuzeigen sind.  

Eine Änderung wird sich bei der Meldung von Datenpannen (z.B. fehlerhafte Ausgabe von Kontoauszügen) ergeben. Nach § 42a des aktuellen BDSG sind solche Pannen der Aufsicht und dem Betroffenen zu melden, wenn der Sachverhalt eine schwerwiegende Beeinträchtigung der Rechte oder Interessen des Betroffenen darstellt. Artikel 33 und 34 der DSGVO sehen ein unterschiedliches Vorgehen vor. Eine Meldung an die Behörde ist nach Artikel 33 innerhalb von 72 Stunden vorzunehmen, wenn die Verletzung zu einem Risiko für den Betroffenen führt. Hat die Panne ein hohes Risiko für den Betroffenen zur Folge, ist auch er gemäß Artikel 34 über den Sachverhalt zu informieren. Die neue Regelung dürfte eine deutliche Steigerung von Meldungen an die Aufsicht bedeuten. Da auch die zeitliche Komponente als Anforderung hervorgehoben wird, sollte die Bank einen Prozess für das Auftreten von Datenpannen definieren.

Die drei Beispiele zeigen, wie eng in Zukunft ISMS und Datenschutz miteinander verbunden sein werden. Die Bewertung und Behandlung von Risiken nehmen dabei einen zentralen Stellenwert ein. Eine enge Zusammenarbeit beider Bereiche oder der Einsatz geeigneter Werkzeuge (z.B. ForumISM und ForumDSM) werden sicherlich einen qualitativen Beitrag leisten, um die genannten Schutzziele zu erreichen.

Die ADG unterstützt Sie mit folgenden Qualifizierungsleistungen:


Leider wurden keine passenden Seminare gefunden.

Für weitergehende Fragen steht Ihnen gerne zur Verfügung:

Profilbild
Dr. Anke Haag
Dipl.-Betriebswirtin (FH)

Produktmanagerin für: Beauftragtenwesen, Marketing, Moderation und Gestaltung von Online-Kursen

Tel.: (02602) 14-193
Fax: (02602) 1495-193
Forum
Diesen Bereich ausblenden

Frage direkt an den Autor

Sie möchten Dr. Haiko Timm direkt zu diesem Thema befragen, oder eine Anmerkung senden? Nutzen Sie unser Formular, Ihre Frage geht direkt an den Autor und wird nicht veröffentlicht.