DSGVO – ist Ihr Treasury fit... | KPMG | DE
close
Share with your friends

DSGVO – ist Ihr Treasury fit...

DSGVO – ist Ihr Treasury fit...

für die neue Datenschutz-Grundverordnung?

Verwandte Inhalte

FTM Bildwelt: Haus im Schnee

Seit dem 25.05.2018 gilt die neue EU-Datenschutz-Grundverordnung DSGVO. Sie betrifft nicht nur die großen Konzerne, sondern auch Familien- und Kleinstunternehmen bis hin zu Vereinen. Bestimmt sind auch Sie als private Person schon von diversen Firmen und Vereinen angeschrieben und über diverse Änderungen informiert worden.

Doch warum ist dies notwendig? Welche Änderungen ergeben sich durch die neue Verordnung, was sind die Konsequenzen für das Treasury und was sollten Unternehmen jetzt tun?

 

Was ist die DSGVO?

Die neue Datenschutz-Grundverordnung DSGVO soll den Datenschutz innerhalb der EU vereinheitlichen und im Hinblick auf das Internetzeitalter modernisieren. Sie ersetzt die bisher gültige EU-Richtlinie aus dem Jahr 1995 („Richtlinie 95/46/EG“) und befasst sich im Wesentlichen mit dem Schutz der Verarbeitung personenbezogener Daten. Nach Art. 4 der Verordnung sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen. Identifizierbar kann eine Person direkt oder indirekt durch Name, (Online-) Kennung, Nummer, Standortdaten und weiteren besonderen Merkmalen sein. Hierzu zählen die Telefonnummer, die Kreditkarten- oder Personalnummern einer Person, die Kontodaten, ein Kfz-Kennzeichen, das Aussehen, die Kundennummer, die Anschrift oder auch die IP-Adresse.

In Folge einer zunehmenden Privatisierung der Verarbeitung solcher Daten durch Unternehmen wie etwa Facebook oder Google und durch zunehmendes Cloud-Computing wurde eine solche Erneuerung von Sicherheitsstandards überfällig. Gleichzeitig zielt diese auf eine grenzüberschreitende Sicherheit für den EU-weiten Datenaustausch personenbezogener Daten.

Die DSGVO umfasst 99 Artikel und zahlreiche Erwägungsgründe, die den Umgang mit personenbezogenen Daten für Unternehmen, Behörden und Vereine regelt. Sie basiert unter anderem auf Prinzipien aus dem deutschen Bundesdatenschutzgesetz und der EU-Grundrechtecharta.

Die neue Verordnung wurde bereits vor 2 Jahren verabschiedet, die Regeln gelten aber erst seit dem 25.05.2018. Die DSGVO gilt in allen EU-Mitgliedstaaten gleichermaßen. Bei Nichtbeachtung der Vorgaben drohen saftige Strafen in Höhe von bis zu 20 Mio. Euro bzw. 4% vom Gesamtumsatz eines Unternehmens.

Es ist durchaus zu begrüßen, dass eine EU-weit gültige Grundverordnung entworfen wurde, die für alle 28 Mitgliedstaaten bindend ist. Dies sollte dazu führen, dass Datenschutz in Unternehmen, Organisationen bis hin zu Vereinen ernst genommen und einheitlich umgesetzt wird. Zudem trägt die neue Verordnung dem Internetzeitalter Rechnung und soll unter anderem die auf Web-Plattformen vielfach veröffentlichten und einsehbaren persönlichen Daten von EU-Bürgern besser schützen. Auch die Pflicht, einen Datenschutzbeauftragten im Unternehmen zu haben, ist sicherlich richtig und notwendig, wird aber ohnehin bereits in den allermeisten Unternehmen etabliert sein.

Für die Praxis schwieriger ist jedoch, dass es durchaus zahlreiche Handlungs- und Interpretationsspielräume gibt und die Verordnung oftmals nicht konkret genug wird. So ist in Erwägungsgrund 10 beispielsweise aufgeführt, dass die Mitgliedstaaten die Möglichkeit haben, die Verordnung durch sogenannte Öffnungsklauseln in nationalen Bestimmungen weiter zu spezifizieren, zu konkretisieren und so mit anderen Gesetzen in Einklang zu bringen. Wie dies jedoch im Einzelnen ausgestaltet sein wird ist völlig offen.

Aufgrund der Komplexität des Regelwerkes und der möglichen Auslegungsvarianten ist zu befürchten, dass Unklarheiten und Streitfälle wohl erst im Nachhinein durch Nachbesserungen oder Gerichtsurteile ausgeräumt werden können. Ferner ist zu erwarten, dass ein Ansturm an Auskunfts- und Löschanfragen auf Unternehmen zukommen wird, den es zu bewältigen gilt.

Angesichts der Komplexität des Regelwerkes und der drohenden Strafzahlungen möchten wir der Frage nachgehen, welche Auswirkung die neue Verordnung speziell auf das Treasury hat und was gegebenenfalls jetzt noch überprüft oder getan werden muss.

Welche Änderungen ergeben sich für Treasurer?

Neben den drastisch erhöhten Strafzahlungen von 300.000 Euro gemäß § 43 BDSG auf nunmehr bis zu 20 Millionen Euro, bzw. 4% vom weltweit erzielten Jahresumsatz eines Unternehmens in der DSGVO, werden Unternehmen künftig deutlich umfassendere Dokumentations- und Auskunftspflichten im Zusammenhang mit gespeicherten Nutzerdaten erfüllen müssen. Dies wird vor allem dann relevant, wenn Verletzungen des Datenschutzes fristgerecht gemeldet werden müssen. Hier gibt es nach Art.33 DSGVO eine Meldepflicht innerhalb von 72 Stunden an die Aufsichtsbehörden. Die Meldung einer Verletzung muss dann entsprechende Daten der Betroffenen, den Inhalt der Verletzung, sowie die resultierenden Folgen und beabsichtigte Maßnahmen enthalten. Wer hier nicht auf eine sauber strukturierte Dokumentation zurückgreifen kann, kommt schnell ins Straucheln.

Speziell für Treasurer wirkt sich die neue Verordnung beispielweise auf den Zahlungsverkehr aus, also welche personenbezogenen Kunden- und Mitarbeiter-Daten wie gespeichert, verarbeitet und übermittelt werden. Es muss ausreichend dokumentiert werden, wer Zugriff auf Zahlungsverkehrsdaten hat und welche unterschriftsberechtigten Personen beteiligt sind. Hierbei spielen Gehaltszahlungen (Rückschluss auf Gehalt und Gehaltsentwicklung) an eigene Mitarbeiter des Unternehmens nochmals eine gesonderte Rolle. Der Zugriff hierauf sollte systemseitig durch eine höhere Sicherheitsstufe (durch extra Verschlüsselung und Zugriff auf Detailinformationen nur durch HR-Personal) geregelt sein als zum Beispiel für Lieferantenzahlungen.

In diesem Zusammenhang wird auch eine Auswertung von Daten im Sinne von Zahlungsverhalten und Big-Data Analysen durch die DSGVO erschwert. Unternehmen müssen die Kunden/Lieferanten darauf hinweisen, dass ihre Daten zu Analysezwecken (zum Beispiel Google-Analytics) verarbeitet werden sollen, worauf der Betroffene widersprechen kann. Auch ein internes Bonitätsranking wäre hiervon betroffen und bedarf der Einwilligung der Kunden. Die Informationspflichten der Betroffenen sind in den Artikeln 13 und 14 geregelt, das Auskunftsrecht in Art.15.

Im Übrigen muss die Ersuchung einer Einwilligung (Art. 6, Abs. 1a) nach Art. 7, Abs. 2 in einfacher, klarer Sprache erfolgen und von anderen Sachverhalten klar abgegrenzt sein. Je nach Sachverhalt sollte dies also zielgerichtet und individuell an die jeweils Betroffenen adressiert werden. Eine Einwilligung ist dabei immer freiwillig und es besteht stets das Recht auf Widerruf.

Auch ein eventuelles Beteiligungsverwaltungssystem (Zukäufe und Merger von Firmen) für größere Unternehmen enthält personenbezogene Daten, wie die Informationen zu Geschäftsführung und anderen rechtlichen Vertretern.

Da die meisten Unternehmen im Bereich Zahlungsverkehr, Payment Factory oder auch den Betrieb Ihres Treasury Management Systems auf Geschäftspartner, Provider, Service-Büros oder dergleichen zurückgreifen, ist die Zusammenarbeit mit anderen Geschäftspartnern ein wesentlicher Bestandteil, der ebenfalls in der DSGVO geregelt wird.

Nach Erwägungsgrund 22 ist jegliche Verarbeitung personenbezogener Daten durch Niederlassungen (Zweigstellen oder Tochtergesellschaften) oder „Auftragsverarbeiter“ an der DSGVO auszurichten und zwar unabhängig davon, ob jene sich innerhalb oder außerhalb der Union befinden. Was kennzeichnen Auftragsverarbeiter in diesem Kontext? Auftragsverarbeiter verarbeiten schutzwürdige Daten im Auftrag der verantwortlichen Unternehmen. Wichtig dabei ist, dass der Auftragsverarbeiter „ausreichende technische und organisatorische Maßnahmen“ implementiert, um den Datenschutz zu gewährleisten. Die Zusammenarbeit (Gegenstand, Dauer, Art, Zweck, etc.) muss im Rahmen eines geeigneten Vertrages dokumentiert sein.

Nach Artikel 30 müssen Verantwortliche und Auftragsverarbeiter ­- sofern die Unternehmen mehr als 250 Mitarbeiter beschäftigen - überdies noch ein Verzeichnis der Verarbeitungstätigkeiten führen, die für den Verantwortlichen getätigt werden. Neben Kontaktdaten des jeweils Verantwortlichen, Betroffene, Empfänger und Zweck der Verarbeitung müssen darin auch die Kategorien und die Übermittlung von personenbezogenen Daten in Drittländer beschrieben sein.

In Art. 32 geht die Verordnung auf die geeigneten Maßnahmen zum Schutz personenbezogener Daten ein. Hierbei ist explizit die Datenverschlüsselung erwähnt. Eine entsprechende Verschlüsselung sollte heutzutage ohnehin Standard sein, dennoch stellen die jetzt beschriebenen Auflagen eine Verschärfung gegenüber früheren Texten dar. Geeignete Verschlüsselungsmechanismen erhöhen nicht nur die Sicherheit bei der Datenverarbeitung, sondern der Nachweis einer wirksamen Verschlüsselung wirkt sich auch positiv auf die Festlegung der Höhe von möglichen Sanktionen seitens der Aufsichtsbehörden aus (gemäß Art. 83 Abs. 2). Damit wird die DSGVO auch der zunehmenden Bedrohung durch Cyberkriminalität gerecht.

Was muss beachtet werden, was sind die nächsten Schritte?

  • ­Transparenz über alle Datenverarbeitungs-Vorgänge
    Zunächst ist zu überprüfen inwieweit die gestiegenen Informations- und Meldepflichten eingehalten werden und wie ein Nachweis der Einhaltung der DSGVO im Sinne der Rechenschaftspflicht erbracht werden kann.
    Sind alle Prozesse transparent, kann den Pflichten fristgerecht nachgekommen werden und existiert ein zentrales Verzeichnis alle Verarbeitungstätigkeiten?

    Hier hat das Treasury die Prozessverantwortung für seinen Bereich und muss der Dokumentations- und Nachweispflicht nachkommen. Die Verarbeitung personenbezogener Daten und die damit verbundenen Prozesse sollten demnach umfassend dokumentiert und schnell abrufbar sein. Zum einen um jederzeit gegenüber Betroffenen und Aufsichtsbehörden auskunftsfähig zu sein, aber auch um die Risiken und Folgen abschätzen zu können. Der Aufwand hierbei sollte nicht unterschätzt werden, ist aber Voraussetzung, um den Überblick zu erhalten, Verstößen und Strafen vorzubeugen und nicht zuletzt auch Betrugsversuche und Missbrauch zu verhindern. Natürlich sollten auch die beteiligten Mitarbeiter regelmäßig in Sachen Datenschutz geschult werden und klare Instruktionen für ihren Arbeitsplatz erhalten.

  • ­Prüfen und Abschließen von Verträgen zur Auftragsverarbeitung
    Vor dem Hintergrund der beschriebenen Änderungen und Anforderungen sollten Unternehmen ihre Verträge mit Dienstleistern und Geschäftspartnern eingehend prüfen. Wenn keine andere Rechtsgrundlage zur Weitergabe von personenbezogenen Daten besteht, bietet es sich an über einen Vertrag zur Auftragsverarbeitung mit den Geschäftspartnern nachzudenken.

    Wenn Ihr Treasury-System beispielsweise eine Cloud-Lösung beinhaltet, sollten Sie sich über den Serverbetrieb (eventuell außerhalb der EU) informieren, sowie die Art und Weise, wie sensible Daten gespeichert und übermittelt werden. Es ist empfehlenswert auch die IT- und die Rechtsabteilung hinzuzunehmen, um die Verträge zu durchleuchten, mit dem Geschäftspartner in Dialog zu treten und Verträge gegebenenfalls anzupassen.

  • ­Einwilligung von Kunden überprüfen
    Es muss sichergestellt werden, dass die bisher genutzten Prozesse zur Einholung einer Einwilligung des Betroffenen den gestiegenen Anforderungen der DSGVO hinsichtlich klarer Sprache, Abgrenzung und Widerrufsrecht genügen.

  • ­Technische und organisatorische Maßnahmen prüfen
    Ein weiterer wesentlicher Schritt ist die technische Umsetzung der Anforderungen. Das bedeutet den Einsatz geeigneter technischer und organisatorischer Maßnahmen zur Wahrung des Datenschutzes. Dabei müssen sowohl der aktuelle Stand der Technik und die Implementierungskosten berücksichtigt werden, als auch die „Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken“ (Art. 25).
    Hierbei spielen vor allem die Verschlüsselung und Pseudonymisierung von Daten eine große Rolle, aber auch Zugänglichkeit und Speicherfristen. Bedenken Sie immer, dass auch die unverzügliche Löschung sensibler Daten, wenn sie nicht mehr dem ursprünglichen Verwendungszweck dienen oder inzwischen widerrufen wurden, verpflichtend sind. Auch das „Recht auf Vergessenwerden“ (Art. 17 Abs. 2) sei erwähnt, welches besagt, dass auch alle weiteren Verantwortlichen über die Löschung zu informieren sind, um so entsprechende Links zu diesen Daten oder etwaige Kopien löschen zu lassen.

    Bei der Heranziehung eines Auftragsverarbeiters wie Geschäftspartnern, Provider, Treasury Management System-Anbieter, etc., steht der Verantwortliche (zum Beispiel das Treasury) dafür ein, dass der Beauftragte die Einhaltung des Datenschutzes im Sinne der DSGVO hinreichend garantieren kann. Ein Nachweis hierfür kann ein geeignetes Zertifizierungsverfahren (beispielsweise ISO 27001) sein, dem sich der Auftragsverarbeiter unterziehen muss (siehe auch Erwägungsgrund 81).

    Manche Verarbeitungsvorgänge erfordern zudem eine Datenschutz-Folgenabschätzung (Art. 35) und zwar immer dann, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Das betrifft unter anderem das Scoring/Profiling, automatische Entscheidungen, die zu rechtlichen Folgen für die Betroffenen führen, eine systematische Überwachung oder auch ein spezielles Reporting durch Zusammenführung und Kombination von Daten. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung durchgeführt und regelmäßig wiederholt werden.

Zusammenfassend kann gesagt werden, dass das Treasury sich um die Umsetzung der DSGVO in ihrem Bereich kümmern muss. Das Treasury hat Prozessverantwortung, was Dokumentations-, Informations- und Nachweispflichten anbelangt, muss aber auch die technischen Maßnahmen sicherstellen, um einerseits Auskunft, Löschung oder Berichtigung von Daten gewährleisten zu können, andererseits auch datenschutzrechtliche Risiken zu vermeiden.

Nicht zuletzt sollte die Einhaltung der Vorschriften anhand geeigneter Monitoring-Methoden permanent überwacht werden.

Quelle: KPMG Corporate Treasury News, Ausgabe 81, Juni 2018
Autor: Tobias Riehle, Manager, Finance Advisory, triehle@kpmg.com

KPMG Corporate Treasury News

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden