Frank Schlaphof, Key Account Manager, FOCONIS AG
Teure Maßnahmen, immenser Aufwand, erhöhte Kapazitäten, ständiger Regulatorikdruck. Das sind oft erste Gedanken, denkt man an 2018 zurück, als die EU-DSGVO in deutsches Recht überführt wurde. Während sich die Finanzwirtschaft vielerorts vorbildlich an effiziente Prozesse machte, blieb eines auf der Strecke: der historische Datenbestand. Welche abmahnfähigen Bedrohungen schlummern noch heute in den Kundendaten?
Zweckbindung, Integrität, Betroffenenrechte: alles im Griff! Die DSGVO sucht in der Wucht, mit der sie die Wirtschaft traf, ihresgleichen. Höchstens die Novellierung der MaRisk birgt Herausforderungen ähnlicher Tragweite wie das im Frühjahr 2018 europaweit in Kraft getretene Gesetz. Entsprechend groß sind seinerzeit die Mühen und Aufwände, die im Rahmen der Umsetzung gestemmt werden. Heute, beinahe fünf Jahre später, sehen sich zahlreiche Unternehmen aus der Finanzindustrie durchaus gewappnet und durch intelligente Maßnahmen und Lösungen vor Zuwiderhandlung geschützt. Was aber, würde jemand behaupten, im Kundendatenbestand beinahe jedes Kreditinstituts schlummerten nicht einige, sondern tausende jederzeit abmahnfähige, systematische Verstöße gegen die DSGVO? Mit diesem zugegeben nicht gerade behaglichen Gedanken kommt sogleich die Entwarnung: Es gibt intelligente Mittel und nicht minder praktische Wege, sich der Gefahr zu stellen. Risiko- und prioritätsorientierte Prozesse ermöglichen die sukzessive Bereinigung der oft nicht durch Menschenhand, sondern sogar systematisch verursachten Verstöße.
Der Feind: Aufbewahrungsfristen
Die DSGVO schreibt vor, Kundendaten
- nicht länger zu speichern bzw. zu verarbeiten, als es zur Erfüllung des Datenerhebungszwecks notwendig ist und
- Kundendaten nach Ablauf einer Aufbewahrungsfrist zu löschen.
Während Kreditinstitute längst entsprechende Maßnahmen ergriffen und vorbildliche Standards etabliert haben, bleibt eine ungeschützte Flanke unbemerkt. Wird im Kernbankverfahren ein Kundendatensatz mit einem Löschkennzeichen versehen, beginnt die Aufbewahrungsfrist systemseitig ab dem Moment der Löschvormerkung. Vermerkt ein Berater also fristgerecht die Löschung eines Datensatzes, nachdem er das Ende einer Geschäftsbeziehung vor drei Jahren bemerkt hat, rechnet das System jedoch die Frist erst ab dem Tag der Löschkennzeichnung. Um beim Beispiel zu bleiben: die tatsächliche Löschung käme hier drei Jahre zu spät, was einem abmahnfähigen Verstoß gleichkäme.
Der Endgegner: löschverhindernde Merkmale
Angenommen also, die Löschung wurde fristgerecht beantragt. Wer denkt, der DSGVO sei Genüge getan, irrt leider. Haften dem Datensatz sogenannte löschverhindernde Merkmale an, wird er im Löschlauf übersprungen und ist weiterhin verfügbar. Löschverhindernde Merkmale sind eigentlich ein positives Werkzeug, um auf Sachverhalte aufmerksam zu machen, die eine Löschung von Datensätzen verhindern sollen. Leider wirken sich jedoch auch Generische Konstrukte oder beispielsweise die Zugehörigkeit zu Familien- oder Wirtschaftsverbünden löschverhindernd aus. Kreditinstitute sollten sich daher nicht fragen, wie viele zu löschende Datensätze fristgerecht aus dem Datenbestand entfernt werden, sondern vielmehr, wie viele zur Löschung vorgemerkte Datensätze dank löschverhindernder Merkmale nicht entfernt werden, welche diese sind und wie sie entfernt werden können. Die Frage aller Fragen jedoch: Wie viele Verstöße werden ausgelöst? Die Antwort ist simpel: Es sind Tausende! Tausende systematische Verstöße schlummern im Kundendatenbestand eines jeden Kreditinstituts. Erfahrungen aus der Praxis zeigen: Zwischen 10 und 50 % der zu löschenden Datensätze führen zu Verstößen und bis zu 50 % der zur Löschung vorgemerkten Datensätze sind inkorrekt – sprich: von der gesetzlichen Forderung abweichend.
Intelligente Checks und zielführende Maßnahmen schaffen Abhilfe
Mit Werkzeugen, wie beispielsweise dem FOCONIS DSGVO-Status, werden Kreditinstitute in die Lage versetzt, einen Status quo der konkreten Bedrohungslage zu ermitteln. Anschließend erhalten Verantwortliche im Rahmen einer Ergebnispräsentation Informationen aus diversen Blickwinkeln zu aktuellen Verstößen. Fragen, die im Rahmen des Checks beantwortet werden können, lauten:
- Wie viele Kundendatensätze hätten längst gelöscht werden müssen?
- Wie viele Löschungen wurden bereits vorgemerkt, sind jedoch nicht korrekt?
- Wie hoch sind die Kosten, die bei adäquater Löschung hätten verhindert werden können (Datenhaltung)?
- Wie hoch ist im Ø der Anteil Kunden, der jährlich die Geschäftsbeziehung beendet?
- Welche sind die häufigsten löschverhindernden Merkmale?
Die Erfahrung zeigt: ca. 15 % der „aktiven“ Datensätze eines durchschnittlich großen Instituts müssten gelöscht werden. Nur ein Bruchteil hiervon ist DSGVO-konform zur Löschung vorgesehen bzw. wird tatsächlich vom nächsten Löschlauf erfasst.
Auf der Basis praxisbewährter, intelligenter Regelwerke gelingt es, software- und prozessgestützt etwa 90 % der identifizierten Verstöße maschinell und unmittelbar zu bereinigen. Hierzu bieten sich ganzheitliche Projekte an, wie etwa der FOCONIS Kundendatenschutz, der mittels praktischer Lösungspakete genau dort Abhilfe schafft, wo Verstöße zuvor identifiziert wurden.
Fazit/Praxistipp
Auch die vorbildlichsten Prozesse zur Umsetzung der DSGVO schützen Finanzinstitute nicht vor systematischen Verstößen, die im historischen Datenbestand der Kernbanksysteme schlummern. Zeit ist ein wesentlicher Faktor bei der Beseitigung dieser jederzeit abmahnfähigen Bedrohungen. Daher lohnen sich schnelle, schlanke und gezielte Analysen, wie etwa der FOCONIS DSGVO-Status, als Auftakt. Nur so lassen sich proaktiv und risikoorientiert die Folgemaßnahmen einleiten und Projekte organisieren, die Schlimmeres verhindern.
Beitragsnummer: 21903