Zum Inhalt springen
Alle Beiträge anzeigen

Warum ist GDPR Nicht Compliance As Usual für die Finanzdienstleistungen Sektor?

Für den Finanzdienstleistungssektor gibt es unter der Sonne der Regulierung wenig Neues. Während das Akronym kaum über die Lippen gekommen ist Datenschutz und Informationssicherheitsexperten außerhalb des Finanzdienstleistungssektors für mindestens sechs Monate (und möglicherweise länger) reiht sich die DSGVO in Dutzende, wenn nicht Hunderte bestehender Vorschriften ein, die IT- und Informationssicherheitsteams globaler Finanzorganisationen einhalten müssen.

Die DSGVO ist zwar die bislang umfassendste Datenschutzverordnung, aber keineswegs die erste Verordnung zur Gewährleistung des Datenschutzes. Daher überrascht es kaum, dass viele Finanzinstitute die DSGVO zunächst als eine Verordnung konzipierten, die für andere Branchen einen neuen Maßstab für die Informationssicherheit setzt, den der Finanzdienstleistungssektor bereits seit Jahren einhalten muss.

Die DSGVO ist jedoch nicht einfach eine weitere Verordnung. Kennzeichnend für die neuen Regelungen ist unter anderem, dass sie nicht nur auf den Schutz von Informationen, sondern insbesondere auf den Schutz der Privatsphäre abzielen.

Sicherheitskontrollen und Datenschutzbeschränkungen  

Datenschutz ist nicht dasselbe wie Datenschutz. Die verfügbaren Technologietools wurden entwickelt, um Sicherheitsprobleme zu lösen – und Compliance-Vorgaben konzentrierten sich auf die Implementierung von Kontrollen. Datenschutzanforderungen konzentrieren sich darauf, zu verstehen, wem die Daten gehören, um sicherzustellen, dass alle Vorgänge und Zugriffe auf die Daten mit Einwilligung und berechtigten Geschäftsinteressen im Einklang stehen.  

Der Datenschutz ist aus einer Reihe inhaltlicher Gründe keine übliche Einhaltung gesetzlicher Vorschriften:  

      1. Auskunftsrecht der betroffenen Person – Die betroffene Person (z. B. der Kunde) hat nun Anspruch auf eine Aufzeichnung aller über ihn gespeicherten Informationen und kann jederzeit deren Einsicht, Änderung oder Löschung verlangen.

      2. Verzeichnis der Verarbeitungstätigkeiten – Organisationen sind verpflichtet, jederzeit darüber Bericht zu erstatten, wie sie private Informationen in ihren Geschäftsprozessen verwenden, wie ihnen die Einwilligung zur Erfassung der Informationen erteilt wurde und zu welchem Zweck die Informationen verwendet werden.

      3. Benachrichtigung über die Reaktion auf Datenschutzverletzungen – Im Falle einer Datenschutzverletzung muss innerhalb von 72 Stunden eine Meldung an die Datenschutzbehörden und kurz danach an die betroffenen Personen erfolgen.

 

Tools zum Schutz von Informationen können zwar (mit einer gewissen Genauigkeit) angeben, wo private Informationen gespeichert sind, können aber nicht sagen, wem die Informationen gehören oder wofür sie verwendet werden. Um nicht nur Informationen, sondern auch die Privatsphäre zu schützen, müssen Sie wissen, wem die Informationen gehören und wofür sie verwendet werden:

       - Wenn ein Kunde gelöscht werden möchte – woher wissen Sie, wo seine Informationen gespeichert sind, um sie zu löschen?

       - Wenn Ihre Datenbank kompromittiert ist – wie erfahren Sie, wer betroffen ist, um ihn zu benachrichtigen? Da Sie keine andere Wahl haben, müssen Sie alle Ihre Kunden informieren, und zwar riesiger Preis mit anhaltenden Folgen.

Daten soweit das Auge reicht

In den fast 100 Jahren des modernen Finanzsektors wurden von verschiedenen Kunden, Unternehmen und Geschäftspartnern enorme Mengen an Informationen gesammelt und gespeichert. Einige davon befinden sich möglicherweise in einem Lagerhaus in der Wüste oder auf einem Backup-Server, doch die Möglichkeiten zum Sammeln und Verarbeiten von Daten übertreffen die Möglichkeiten zum Löschen – oder gar zur Anwendung von Aufbewahrungsrichtlinien.

Die Daten werden in Datenbanken, Dateiservern und Big-Data-Systemen gespeichert, ohne dass eine zentrale Kontrolle darüber besteht, warum die Informationen erhoben werden, wem sie gehören und wofür sie verwendet werden. Wie können wir nun über die Rechtmäßigkeit der Verwendung der Informationen berichten, wenn diese nicht überwacht oder kontrolliert wird?

Natürlich haben Finanzdienstleister viel in das Verständnis ihrer strukturierten Daten investiert. Aber die Geschwindigkeit, mit der strukturierte Daten unstrukturiert denn die Anzahl der Transformationen ist beispiellos.

Das regulatorische Umfeld von Finanzorganisationen macht den Prozess der Datenlöschung zu einem komplexen Vorgang, da viele Vorschriften unterschiedliche und manchmal widersprüchliche Beschränkungen für die Aufbewahrung von Informationen vorschreiben.

Datenschutz-Tools für Datenschutzanforderungen

Die Komplexität des Finanzumfelds, der Mangel an geeigneten Tools und die Selbstgefälligkeit einiger Organisationen haben dazu geführt, dass viele Finanzorganisationen nicht optimal auf die DSGVO vorbereitet sind. Einige der größten Finanzorganisationen weltweit mussten die neuen Anforderungen der DSGVO mit manuellen Prozessen, Excel-Tabellen und PowerPoint bewältigen.

Da die Frist abgelaufen ist und sich die Anfragen auf Datenzugriff häufen, erkennen viele Unternehmen, dass die DSGVO automatisierte Prozesse erfordert. Die Herausforderung für Unternehmen besteht nun darin, manuelle Prozesse basierend auf den von ihnen gespeicherten Informationen und tieferen Einblicken in die Daten zu automatisieren.

Bei BigIDWir haben von Anfang an den Bedarf an maßgeschneiderten Tools zum Schutz privater Informationen und der Privatsphäre erkannt. Kern der Technologie ist die Fähigkeit, nicht nur private Informationen in allen Arten von Datenquellen zu finden und abzubilden, sondern auch zu wissen, wem die Informationen gehören, die Rechte der betroffenen Personen zu operationalisieren, Datenschutzverletzungen präzise zu melden und die Aufzeichnungen der Verarbeitungsaktivitäten zu dokumentieren. Zu unseren Kunden zählen einige der größten Organisationen weltweit, die die tatsächlichen Herausforderungen des Datenschutzes und den Bedarf an technologischen Tools zu deren Lösung schon früh erkannt haben.