EU-Datenschutz-Grundver­ordnung: Was ändert sich nach dem Brexit für Finanzdienstleister?

Die erst kürzlich gefällte Volksentscheidung im Vereinigten Königreich, aus der EU auszutreten (besser bekannt als „Brexit“), ändert nichts an der Tatsache, dass Finanzdienstleister sich an die ab Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (General Data Protection Regulation – GDPR) halten müssen. Daher stellt sich die Frage, welche Veränderungen die Brexit-Entscheidung für Finanzdienstleister in Großbritannien und in der EU bringen wird, wenn dieser tatsächlich umgesetzt wird?

von Dirk Häußermann, Geschäftsführer EMEA Central bei Informatica

Auch Finanzdienstleister aus Großbritannien müssen Strategien entwickeln, um die Anforderungen der Datenschutz-Grundverordnung umzusetzen. Ob und wann der sogenannte Brexit tatsächlich erfolgt, wird noch vielfältig diskutiert – aber Unternehmen sollten sich schon jetzt auf dessen Auswirkungen in Bezug auf die Einhaltung der GDPR vorbereiten.

Ein kurzer Überblick über die wichtigsten Fakten:

1. Bisher liegt kein Antrag von Großbritannien nach Artikel 50 des Vertrages von Lissabon, der den Austrittsprozess regelt, vor und Experten schätzen, dass Artikel 50 voraussichtlich nicht mehr im Jahr 2016 aktiviert wird.
2. Alle Organisationen, die über Daten von EU-Bürgern verfügen, müssen sich an die Datenschutz-Grundverordnung halten.
3. Unabhängig des Brexit-Zeitrahmens gilt die Grundverordnung für alle Unternehmen in Großbritannien, die über Daten von EU-Bürgern verfügen.
4. Ein entscheidendes Element ist, dass sich die Grundverordnung auf den Datenschutz für EU-Bürger bezieht. Bürger sind auch gleichzeitig Kunden und natürlich auch Mitarbeiter – das heißt, die Datenschutz-Grundverordnung gilt nicht nur für Kundendaten.

Was passiert während der Austrittsverhandlungen zwischen Großbritannien und der EU?

Ohne die formale Beantragung des Austritts nach Artikel 50 existiert keine Gewissheit darüber, wann der Prozess tatsächlich beginnt. Obwohl der Austrittsprozess streng genommen nach zwei Jahren abgeschlossen sein muss, gehen Experten davon aus, dass die Verhandlungen über die Austrittsbedingungen länger dauern werden. Deshalb gilt:

1. Solange Großbritannien noch ein vollständiges Mitglied der EU ist, wird es auch an die GDPR für alle Daten von EU-Bürgern gebunden sein. Der genaue Zeitrahmen ist unklar, aber liegt bei mindestens 29 Monaten (unter der Annahme, dass Artikel 50 im Januar 2017 aktiviert wird).

2. Die Datenschutz-Grundverordnung
tritt ab Mai 2018 in Kraft.”

3. Innerhalb von 22 Monaten müssen die einzelnen Regelungen der Datenschutz-Grundverordnung umgesetzt worden sein.
4. Sobald Artikel 50 aktiviert ist, dauert es ca. 24 Monate, bis der Austritt vollständig vollzogen ist.
5. Dadurch ergibt sich bereits eine Zeitspanne von zwei Monaten, in der Unternehmen in Großbritannien die Grundverordnung erfüllen müssen. Mit jedem Tag, an dem sich die Aktivierung von Artikel 50 verzögert, verlängert sich dieser Zeitraum.
6. Unternehmen müssen die Auswirkungen auf ihre Geschäftsprozesse verstehen und die richtigen Maßnahmen einleiten, um innerhalb der verschiedenen Zeitspannen reagieren zu können.

Was passiert, wenn das Vereinigte Königreich die EU verlässt?

Der wahrscheinlich wichtigste Unterschied wird sein, dass die Daten von Bürgern aus Großbritannien nicht mehr unter die Datenschutz-Grundverordnung fallen; aber die Daten aller anderen EU-Bürger schon.”

Als Konsequenz müssen zukünftig neue Regelungen festgelegt werden, die den Datenschutz von britischen Bürgern innerhalb und außerhalb des Vereinigten Königreichs regeln.

Eine weitere Konsequenz des Brexit ist, dass Finanzdienstleister auch weiterhin unterscheiden müssen, welche der Daten in ihrem Besitz von EU-Bürgern stammen und welche von nicht-EU-Bürgern, um dann die entsprechenden Datenschutzregelungen anzuwenden.

Welche Herausforderungen entstehen für Unternehmen, wenn Daten als EU-spezifisch und Nicht-EU-spezifisch gehandhabt werden müssen?

Mit dem Inkrafttreten der EU-Datenschutz-Grundverordnung sehen sich Unternehmen mit vier großen Herausforderungen konfrontiert, um ihre Daten entsprechend zu handhaben:

1. Das Aufspüren aller wichtigen Daten
(von Bürgern, Mitarbeitern, Lieferanten)
– Daten werden in den unterschiedlichsten Formaten an den verschiedensten Orten vorgehalten.
– Im Zuge von Omni-Channel- und Engagement-Lösungen haben sich zahlreiche Datensilos gebildet
Digitale Fußabdrücke, die innerhalb von Social Media Kanälen entstehen, müssen ebenfalls integriert werden.

2. Die Regelung von Datenzugriffen
– Es müssen wirklich alle Daten zugänglich gemacht werden, nicht nur ein Großteil der Daten
– Zugangsregelungen sind notwendig sowohl für Daten innerhalb, als auch außerhalb des Unternehmens
– Unternehmen brauchen auch einen Überblick darüber, welche Daten und Informationen verlorengegangen sind

3. Allgemeine Richtlinien erstellen
– Wer darf was mit vorhandenen Daten tun?
– Welche Datenelemente dürfen genutzt werden?
– Abgeleitete Daten sollten hierbei ebenfalls berücksichtigt werden

4. „Recht auf Vergessenwerden“
– Bedingungen und Einschränkungen beim „Recht des Vergessenwerdens“
– Kenntnisse darüber, wie oft es in Anspruch genommen wird, sollte Entscheidungsfindungen beeinflussen
– Manuelle vs. automatisierte Ansätze zur Problemlösung
– Wie sollten die Compliance-Anforderungen am besten reportet werden?

Doch wie schaffen Unternehmen es,
einen kompletten Überblick innerhalb der Datenlandschaft zu erhalten?

Natürlich gibt es nicht eine Antwort, die für alle Unternehmen gleichermaßen passt. Aber es gibt einige Hinweise, die Finanzdienstleister bei der Anpassung ihres Daten-Management-Ansatzes beachten sollten:

1. Kundendaten finden: Unternehmen müssen sich zunächst einen Überblick über alle sensiblen Daten, die sich im Unternehmen befinden, verschaffen. Kundendaten werden nicht nur innerhalb verschiedenster Systeme sondern auch in den unterschiedlichsten Formaten gespeichert. Mithilfe von Datenmanagement-Lösungen können wichtige Kundendaten über alle Anwendungen und Datenspeicher eines Unternehmens hinweg gefunden werden. Dabei werden mithilfe von flexiblen, hochleistungsfähigen und skalierbaren Scantechniken Kundendaten schnell und genau bestimmt. So wird jeder digitale Fußabdruck und jede Interaktion – ob Daten aus Anwendungsprotokollen der letzten Nutzersitzungen in einer Web-Anwendung, über Daten aus Social Media Feeds des Kundenservice, bis hin zu Web Analytics Systemen – dokumentiert, gespeichert und für weitere Analyseprozesse bereitgestellt. Dabei können diese intelligenten Lösungen dazu eingesetzt werden, um die Daten durch Dashboards und Reports zu visualisieren.

2. Persönliche Informationen sicher speichern: Sobald alle Kundendaten lokalisiert sind, müssen Unternehmen festlegen, wie sie mit diesen Daten weiter verfahren. Damit die Integrität von Transaktionen aufrechterhalten wird, können Kundendaten maskiert werden. So stellt man sicher, dass sie nicht für fremde Zwecke genutzt werden und kein unerlaubter Dritter Zugang hat. Dazu gibt es Lösungen, die verschiedene Arten der Datenmaskierung ermöglichen, während sie im Prinzip die Speicherung aller Daten erlauben, aber diese nur für autorisierte Personen sichtbar sind.

3. Nach der Identifizierung der Daten: Mithilfe von Master Data Management (MDM) Lösungen werden alle Daten aus dem Unternehmen gesammelt und mithilfe verschiedenster Techniken einem Kunden zugeordnet. Dieser Teil des Master-Prozesses bildet die Basis für Customer Centricity oder Customer360 Programme und ermöglicht es, Datensätze aus unterschiedlichen Systemen unter einem Kunden zusammenzuführen und für die spätere Nutzung wieder bereitzustellen.

Unternehmen müssen sich jetzt schon vorbereiten, um die Implementierung so einfach, schnell und kostengünstig wie möglich umzusetzen, damit sie hohe Strafen vermeiden und ihren Kunden den optimalen Schutz bieten können. Wer heute in intelligente und vorausschauende Lösungen investiert, wird so später keine böse Überraschung erleben.aj