INFORMATIONEN

Verwaltung von Aufzeichnungen, Datenlöschung und Kundenabmeldung unter DSGVO

Es wird erwartet, dass die Datenschutz-Grundverordnung Banken, die sich nicht an die geltenden Vorschriften für den Umgang mit personenbezogenen Daten von EU-Bürgern halten, erhebliche Geldstrafen auferlegt. Nach geltendem Recht können Banken je nach Schwere des Verstoßes mit Geldbußen von bis zu 10 Mio. EUR oder 2 % ihres weltweiten Umsatzes bzw. bis zu 20 Mio. EUR oder 4 % (oder mehr) ihres weltweiten Umsatzes belegt werden.

Aufgrund der riesigen Mengen an Daten und Dokumenten, die im Zusammenhang mit Privatpersonen gesammelt, aufbewahrt, gespeichert, gehandhabt und verwendet werden, sind Banken besonders von der Datenschutz-Grundverordnung betroffen, von denen der Großteil als geheim und heikel gilt. Aus diesem Grund könnten Banken in der direkten Sichtlinie von Regulierungsbehörden stehen, die versuchen, mit einer oder zwei frühen Geldstrafen den Ton anzugeben, um einen Präzedenzfall zu schaffen.

Im Hinblick auf das Offboarding von Kunden müssten die Banken technologische und operative Schritte einleiten, um angemessen und rechtzeitig auf Anträge auf Löschung und das Recht auf Vergessenwerden reagieren zu können.

Aufbewahrung von Aufzeichnungen

Die für die Verarbeitung Verantwortlichen und die Auftragsverarbeiter müssen interne Protokolle über die von ihnen durchgeführten Verarbeitungen führen, einschließlich der Namen und Kontaktinformationen der Auftragsverarbeiter, der für die Verarbeitung Verantwortlichen und der gemeinsam mit ihnen für die Verarbeitung Verantwortlichen. In Bezug auf die Protokollierung sieht das Gesetz eine Ausnahmeregelung für Organisationen mit weniger als 250 Mitarbeitern vor.

Zur Vereinfachung dieses Prozesses sollten die Systeme in der Lage sein, Rohdaten abzurufen, die wiederum zur Erstellung von MI-Berichten verwendet werden können. Alle aufbewahrten Kundendaten können in einer Client-Lifecycle-Management-Lösung leicht nachverfolgt werden, einschließlich eines detaillierten Prüfungsverlaufs, MI-Dateien, einer Einzelkundenansicht und damit verbundenen Verknüpfungen.

Übertragbarkeit

Wenn ein Kunde Zugang zu den Aufzeichnungen über seine persönlichen Daten verlangt, ist es wichtig, dass die Banken in der Lage sind, dem einfach und effektiv nachzukommen und die Dokumente in einem zugänglichen, maschinenlesbaren Format bereitzustellen.

Um ein schnelles Blättern zu gewährleisten, müssen die Daten korrekt beschriftet und indexiert werden. Die Dokumente können nicht nur in einem Aktenverarbeitungssystem verwendet werden, sondern auch in den Akten des Kunden aufbewahrt werden. Dies würde dazu beitragen, personenbezogene Daten, die für die betroffenen Personen relevant sind, schnell zu klassifizieren und zu finden.

Löschung und Recht auf Vergessenwerden

Die Banken müssen festlegen, wie diese Anfragen und Löschungen behandelt werden sollen, um diesen Verpflichtungen nachzukommen. Wenn die Bank keinen legitimen Grund für die Aufbewahrung der Daten hat, müssten die Banken einen Mechanismus in Gang setzen, um die Daten zurückzuziehen, den Kunden theoretisch aus der Datenbank zu entfernen und auf Anfrage die allgemeine Konformität mit der Aufsichtsbehörde nachweisen zu können.

Offboarding von Kunden

Möchte eine betroffene Person ihre Zustimmung verweigern, verlangt sie die Löschung ihrer personenbezogenen Daten, da es keinen rechtmäßigen Grund für die Aufbewahrung ihrer Informationen gibt, so dass die Bank die Daten des Nutzers löschen muss.

Die einzige Möglichkeit, diesen Prozess erfolgreich zu steuern, ist seine Automatisierung:

Anfrage bewerten

Wird der Antrag von der betroffenen Person gestellt, muss die Bank den Antrag prüfen, um zu entscheiden, ob die betroffene Person ein Recht auf Aufbewahrung der Daten hat. Ist dies nicht der Fall, muss sich die Bank bemühen, alle Server und Netzwerke ausfindig zu machen, auf denen die personenbezogenen Daten der betroffenen Person gespeichert sind.

Analyse der Auswirkungen des Offboarding auf abhängige Parteien

Wird die Auslagerung der Daten vereinbart, ist es wichtig, nach etwaigen Datenabhängigkeiten zu suchen, die andere Nutzer, Konten, Abteilungen usw. betreffen können. Zum Beispiel, wenn die betroffene Person mit verschiedenen Positionen bei einer Mutterorganisation, anderen Einrichtungen oder anderen Konten (z. B. Bürgen) verbunden ist. Wenn ein vollständiges Verständnis der Beziehungen und Verhaltensweisen des Datensubjekts vorliegt, beginnt der Mechanismus zur Trennung der abhängigen Parteien, z. B. Mittel aus dem IM.

Offboarding der Daten

Um sicherzustellen, dass das Verfahren vollständig überprüfbar ist, muss der Verbraucher eine Begründung hinzufügen, warum das Offboarding stattfindet (z. B. Antrag auf Löschung durch die betroffene Person). Als Teil einer Best-Practice-Strategie sollte das Offboarding-Verfahren von einem leitenden Angestellten genehmigt werden, bevor es als abgeschlossen markiert wird.

Deaktivierung von IT-Systemen

Der letzte Schritt im Offboarding-Prozess besteht darin, sicherzustellen, dass die Bank die Daten nicht verwendet. Die Banken sind möglicherweise nicht in der Lage, alle Datensätze zu entfernen, sofern die in der 4MLD beschriebenen Regeln für die Datenspeicherung eingehalten werden (wie bereits erwähnt). Wenn sie jedoch Informationen in einem Back-End-Register speichern, das über eindeutige Benutzerzugriffsrechte und -berechtigungen verfügt, sollten sie in der Lage sein, eine sanfte Löschung vorzunehmen oder die Daten zu verdecken. Anschließend sollte eine Warnung ausgegeben werden, dass die Daten von allen relevanten Geräten erfolgreich entfernt oder unter Quarantäne gestellt wurden.

Löschung der Daten bestätigen

Der letzte Schritt besteht darin, der betroffenen Person zu versichern, dass die Daten gemäß ihrer DSGVO-Anordnung erfolgreich aus allen internen Netzwerken entfernt oder unter Quarantäne gestellt wurden.

Reaktion auf Verstöße

Die Banken müssten ihre Endnutzerkontrollen und internen Meldeverfahren überarbeiten oder verstärken, um diese Bestimmung innerhalb der vorgegebenen Frist zu erfüllen. Die Banken müssen den Verstoß „ohne unangemessene Verzögerung und, wenn möglich, spätestens 72 Stunden nach Feststellung des Verstoßes melden, es sei denn, der Verstoß gegen personenbezogene Daten stellt wahrscheinlich keine Gefahr für die Rechte und Freiheiten natürlicher Personen dar.

Schlussfolgerung

Nach der Verabschiedung ihrer Vorgängerin vor über zwei Jahrzehnten stellt die DSGVO die erste Reform der EU-Datenschutzvorschriften dar. Die Anerkennung der Tatsache, dass der Besitz der Daten beim Nutzer und nicht bei den für die Verarbeitung Verantwortlichen/Verarbeitern liegt, ist das Herzstück dieser neuen Rechtsvorschriften.

Dies hätte zweifellos große Auswirkungen auf die Praktiken des Client Lifecycle Management und würde die regulatorischen Standards für die Sicherheit der Verbraucher- und Kontrahentendaten der Banken erhöhen. Die Banken werden eine grundlegende Analyse der Art und Weise vornehmen müssen, wie die Verwendung von Verbraucherdaten in ihren Geschäftsbereichen, Rechtsordnungen und Organisationen verwaltet, gespeichert und geregelt wird. Laden Sie unser spezielles DSGVO-Whitepaper herunter, wenn Sie mehr über Best-Practice-Empfehlungen zur Erreichung der DSGVO-Konformität lesen möchten.

DSGVO und Google Analytics

Google Analytics ist ein kostenloser und kostenpflichtiger Service von 4Google, der den Betrieb einer Website oder einer Android- oder iOS-Software in Echtzeit verfolgt, sowie ein

mehr »