Sarah Wagner, Leiterin Interne Revision Sparkasse Bühl
Die Regulierung des Umgangs mit personenbezogenen Daten aus dem persönlichen Umfeld des Kunden nimmt immer stärker zu. Bei der Speicherung und Verwendung müssen die Institute auf den Prüfstand stellen, welche dieser Daten im Rahmen des Frühwarnverfahrens erhoben werden dürfen. Es ergibt sich ein stetig zunehmender Interessenskonflikt zwischen der EU-Datenschutzgrundverordnung, die den Schutz der kundenbezogenen Daten in den Vordergrund stellt und den Mindestanforderungen an das Risikomanagement, die eine angemessene und rechtzeitige Identifizierung der Risikomerkmale eines Kreditengagements fordern.
Das Frühwarnsystem lt. MaRisk
Laut BTO 1.2.4 und BTO 1.3 der MaRisk hat jedes Institut ein System zur frühzeitigen Erkennung von sich im Kreditgeschäft abzeichnenden Risiken zu implementieren. Als Grundlage des Frühwarnsystems sind Kriterien für den Übergang in die gesonderte Beobachtung zu definieren (Intensivbetreuung). Diese sollen eine zügige Identifikation von problembehafteten Engagements und somit eine frühzeitige Einleitung von geeigneten Maßnahmen ermöglichen.
Die Hauptbestandteile des Frühwarnsystems sind:
- Strukturierte Sammlung von Informationen
- Umwandlung der gewonnenen Informationen in Risikokategorien/Risikomerkmale
- Ableitung von standardisierten Maßnahmen zur Gegensteuerung
Die Einrichtung eines solchen Verfahrens ist für die Kreditinstitute verpflichtend.
SEMINARTIPPS
Prüfung MaRisk-Umsetzung, 18.03.2019, Frankfurt/M.Prüfung Datenqualität, 21.05.2019, Frankfurt/M.
Prüfung Frühwarnverfahren, 08.10.2019, Frankfurt/M.
Auszüge aus den MaRisk
BTO 1.2.4 Intensivbetreuung
Das Institut hat Kriterien festzulegen, wann ein Engagement einer gesonderten Beobachtung (Intensivbetreuung) zu unterziehen ist. (...) Die einer Intensivbetreuung unterliegenden Engagements sind nach einem festzulegenden Turnus auf ihre weitere Behandlung hin zu überprüfen (weitere Intensivbetreuung, Rückführung in die Normalbetreuung, Abgabe an die Abwicklung oder die Sanierung).
BTO 1.3. Verfahren zur Früherkennung von Risiken
Das Verfahren zur Früherkennung von Risiken dient insbesondere der rechtzeitigen Identifizierung von Kreditnehmern, bei deren Engagements sich erhöhte Risiken abzuzeichnen beginnen. Damit soll das Institut in die Lage versetzt werden, in einem möglichst frühen Stadium Gegenmaßnahmen einleiten zu können (z. B. Intensivbetreuung von Engagements). Für diese Zwecke hat das Institut auf Basis quantitativer und qualitativer Risikomerkmale Indikatoren für eine frühzeitige Risikoidentifizierung zu entwickeln (...).
Warnsignale zur Risikofrüherkennung
Zur frühzeitigen Erkennung von sich abzeichnenden Risiken werden bestimmte Merkmale mit Messgrößen und Definitionen benötigt. Diese Warnsignale lassen sich in quantitative und qualitative Merkmale unterteilen. Bei den quantitativen Frühwarnindikatoren handelt es sich um Merkmale, die beispielsweise anhand der Kontodaten und der Bilanzanalyse gemessen werden können. Zur Messung werden keine Daten aus dem persönlichen Umfeld des Kunden erhoben. Dies steht im Gegensatz zu den qualitativen Frühwarnindikatoren. Bei den qualitativen Indikatoren handelt es sich um Erkenntnisse, die sich für den Berater meist aus Gesprächen mit dem Kunden ergeben. Hierbei kann es sich z. B. um gefährdende Verände-rungen innerhalb des Unternehmens, dessen Umfeld/Marktumgebung oder Sachverhalte aus dem privaten Umfeld des Kunden handeln. Ein Beispiel hierfür stellt eine auffällige Personalfluktuation dar.
BUCHTIPP
Janßen/Riediger (Hrsg.), Praktikerhandbuch Risikoinventur, 2015.
Personenbezogene Daten gemäß EU-DSGVO
Zum 25.05.2018 trat die neue EU-Datenschutzgrundverordnung in Kraft. Sie regelt den Umgang mit personenbezogenen Daten. Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Neben den allgemeinen personenbezogenen Daten existieren besondere Kategorien personenbezogener Daten, die ein höheres Schutzniveau genießen. Zu diesen gehören u. a. der Gesundheitszustand, die Sexualität, die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Ge-werkschaftszugehörigkeit des Betroffenen. Die Verarbeitung dieser Daten darf nur mit der ausdrücklichen Einwilligung der betroffenen Person erfolgen.
MaRisk vs. EU-DSGVO
Aufgrund der neuen EU-DSGVO sind bestimmte Warnsignale als datenschutzrechtlich problematisch einzustufen. Die als kritisch zu wertenden Warnsignale lassen Rückschlüsse auf besondere personenbezogene Daten von Einzelpersonen zu, für die nach der neuen EU-DSGVO eine ausdrückliche Einwilligung des Kunden zu ihrer Verarbeitung notwendig ist. Hierunter fallen z. B. Beeinträchtigungen der geistigen und körperlichen Leistungsfähigkeit oder schwere Erkrankung der Geschäftsführung. Diese stellen einen Eingriff in die Persönlichkeitsrechte des Kunden dar und sollten keine Anwendung mehr finden, um eine Verletzung des Datenschutzrechtes zu verhindern. Gleichzeitig ist einer angemessenen Beurteilung der Risiken, die einen Einfluss auf das Kreditengagement des Kunden haben, Rechnung zu tragen. Um den Balanceakt zwischen der Erfassung der notwendigen Frühwarnindikatoren zur Beurteilung der Risiken und die von der EU-DSGVO geforderte restriktive Speicherung und Verwendung der Daten zu meistern, werden die Institute in den kommenden Jahren vor erhebliche Herausforderungen gestellt werden.
PRAXISTIPPS
- Explizite Kundeneinwilligungen für die erhobene besondere Datenkategorie einholen.
- Überprüfung der verwendeten Frühwarnindikatoren auf ihre Konformität nach EU-DSGVO.
- Ausschließliche Verwendung von EU-DSGVO-konformen Warnsignalen.
- Implementierung von EU-DSGVO-konformen Löschkonzepten.
Beitragsnummer: 857