Stephan Wirth, Datenschutzbeauftragter und Informationssicherheitsbeauftragter, NRW.BANK

In den meisten Banken geht der Trend ganz eindeutig hin zum Einsatz von Standardsoftware oder Cloud-Lösungen. Dennoch spielt die Individuelle Datenverarbeitung (IDV) in vielen Häusern auch heute noch eine wichtige Rolle. Punkten kann die IDV dabei insbesondere bei Flexibilität und Kostenaspekten. Um Datenschutzvorfällen vorzubeugen und das damit einhergehende Risiko von Bußgeldern und Reputationsschäden zu vermeiden, sind auch bei der Einführung und Nutzung von IDV die Vorgaben der Datenschutzgrundverordnung (DSGVO) zwingend zu berücksichtigen.  

Anforderungen an Technik und Sicherheit der Verarbeitung

Die Bank, als Verantwortliche für die Datenverarbeitung, hat die Verpflichtung, geeignete technische und organisatorische Maßnahmen einzusetzen, um sicherzustellen, dass eine Verarbeitung personenbezogener Daten mit den Vorgaben der DSGVO in Einklang steht. Dies ist eine wesentliche Voraussetzung dafür, dass ein angemessenes Schutzniveau aus Sicht der Betroffenen gewährleistet wird. 

SEMINARTIPPS

Umgang mit (un)wesentlichen IT-Risiken im OpRisk, 09.11.2020, Würzburg.

Excel-Anwendungen und IDV nach neuer MaRisk & neuer BAIT, 10.11.2020, Würzburg.

Berechtigungsmanagement Markt: Rechte & Vergabeprozesse, 11.11.2020, Würzburg.

Prüfung (NEUE) BAIT im Fokus der Bankenaufsicht, 25.–26.11.2020, Düsseldorf.

Prüfung Datenqualität, 10.12.2020, Frankfurt/M.

Ähnlich wie bei der Informationssicherheit muss eine formale Risikoanalyse bei der Einführung eines neuen Verfahrens durchgeführt werden. Die Risikoanalyse ist dann auch Grundlage für die Entscheidung, ob eine Datenschutz-Folgenabschätzung erforderlich ist.

Bezogen auf die Technik und Sicherheit der Verarbeitung sind die Schutzziele der DSGVO angemessen zu berücksichtigen. Art und Umfang der zu implementierenden Maßnahmen richten sich nach den Ergebnissen der Risikoanalyse und des daraus abgeleiteten Schutzbedarfs der personenbezogenen Daten. 

Auch bei der Nutzung von IDV ist in Bezug auf datenschutzrelevante Verarbeitungstätigkeiten daher sicherzustellen, dass die genannten Maßnahmen Bestandteil der betrieblichen Prozesse zur Einführung neuer bzw. der Änderung an bestehenden IT-Systemen ist. Die Integration in das bestehende Datenschutzmanagementsystem (DSMS) ist dafür eine wesentliche Voraussetzung.

PRAXISTIPPS

• Stellen Sie sicher, dass IDV-Anwendungen genau wie andere Software nach Ihrem jeweiligen Schutzbedarf in den betrieblichen Prozessen zur Risiko- und Schutz-bedarfsanalyse berücksichtigt werden.
• Sofern personenbezogene Daten betroffen sein sollten, sind auch für IDV-Anwendungen die etablierten Datenschutzprozesse des DSMS anzuwenden.
• IDV-Anwendungen sind im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Die Eintragungen sind regelmäßig auf Aktualität hin zu prüfen und bei Bedarf anzupassen.