KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
KLARTEXT - Sparkassenzeitung
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
MANAGEMENT 19<br />
Dienstleisterverträge gehören unter die Lupe<br />
Die einschlägigen Sicherheits- und Datenschutzgrundsätze<br />
gelten auch, wenn eine<br />
Sparkasse externe Dienstleister mit der Verarbeitung<br />
personenbezogener Daten beauftragt<br />
– im Fall der sogenannten Auftragsdatenverarbeitung.<br />
Das Bundesdatenschutzgesetz<br />
(BDSG) nennt etwa die Datenübermittlung zu<br />
Scoringzwecken sowie die Lohn- und Gehaltsabrechnung<br />
durch Dritte. Auch für externe<br />
Auftragnehmer gelten Mitarbeiterdatenschutz<br />
und eine Informationspflicht bei unrechtmäßiger<br />
Kenntniserlangung. Wichtig: Datenschutz<br />
ist laut Gesetz nicht delegierbar, der Auftraggeber<br />
ist also für seine Einhaltung verantwortlich.<br />
Anwendung findet das BDSG nur bei personenbezogenen<br />
Daten.<br />
Das BDSG fordert eine schriftliche Auftragserteilung.<br />
Hierbei gelten zehn Mindestanforderungen<br />
an den Inhalt des Vertragsabschlusses<br />
(„10 Punkte des Datenschutzes“). So müssen<br />
beispielsweise Gegenstand und Dauer des<br />
Auftrags konkret vereinbart werden, ebenso<br />
Umfang, Art und Zweck der vorgesehenen<br />
Erhebung, Verarbeitung oder Nutzung von<br />
Daten, wie bei Berichtigung, Löschung und<br />
Sperrung von Daten vorzugehen ist oder<br />
wie die Umsetzung der Kontrollpflichten des<br />
Auftragnehmers erfolgen soll. Zudem wird der<br />
Auftraggeber verpflichtet, sich vor Beginn der<br />
Datenverarbeitung und sodann regelmäßig<br />
von den getroffenen technischen und organisatorischen<br />
Maßnahmen beim Dienstleister zu<br />
überzeugen.<br />
Altverträge bergen Gefahren<br />
Die neuen Anforderungen des BDSG gelten<br />
für alle Neuverträge seit dem 1. September<br />
2009. Experten stehen allerdings auf dem<br />
Standpunkt, dass auch Altverträge, die davor<br />
geschlossen wurden, nach den genannten<br />
Mindestanforderungen zu überprüfen sind<br />
und dass diese zur Not anzupassen sind. Die<br />
Rechtslage ist hier zwar nicht eindeutig, doch<br />
steht außer Frage, dass bei Nichterfüllung<br />
der Auftraggeber haftet und bei lückenhaften<br />
Altverträgen gegebenenfalls keine Möglichkeit<br />
des Rückgriffs auf den Dienstleister besteht.<br />
Etwaige Verstöße gehen bei Nichteinhaltung<br />
der Mindestanforderungen also zulasten der<br />
auftraggebenden Sparkasse. Dazu kommen<br />
Bußgelder gegen den Auftraggeber bei<br />
falschen, unvollständigen oder nicht abgeschlossenen<br />
Verträgen von bis zu 50.000 Euro<br />
je Vertrag, das Gleiche gilt bei Verstößen gegen<br />
die Kontrollpflichten.<br />
Es ist also wichtig, Maßnahmen zur Risikominimierung<br />
zu treffen und bei allen laufenden<br />
und kommenden Verträgen zu überprüfen,<br />
ob die fachlichen und datenschutzrechtlichen<br />
Anforderungen erfüllt werden. Ist dies nicht der<br />
Fall, sind Nachbesserungen fällig, denn Datenschutzpannen<br />
und die daraus resultierenden<br />
Imagerisiken kann sich kein Unternehmen<br />
leisten. Fehlende Datenschutzregeln können<br />
dabei sogar fachliche Punkte beeinflussen<br />
und aufwändigere und damit teurere Abläufe<br />
erfordern.<br />
Brisanz und Folgen möglicher Datenschutzverstöße<br />
deutlich vor Augen zu<br />
führen. Sensibilisierung – neudeutsch<br />
Awareness – sehen die meisten Experten<br />
daher als vordringliche Aufgabe.<br />
Die Sparkasse Witten beispielsweise hat<br />
sich nach Angaben des dortigen Datenschutzbeauftragten<br />
Andreas Kirsch für<br />
ein abgestuftes Schulungsmodell entschieden.<br />
„Wir haben die Mitarbeiter in<br />
vier Zielgruppen eingeteilt und<br />
„Alle Dienstleister<br />
müssen<br />
die Standards<br />
zu<br />
jeder Zeit<br />
nachprüfbar<br />
einhalten.“<br />
Keye Moser, Leiter<br />
Sicherheitstechnologie<br />
beim SIZ<br />
für diese jeweils maßgeschneiderte<br />
Schulungskonzepte entwickelt.“<br />
Vorstände und Abteilungsleiter<br />
sensibilisiert Kirsch aus<br />
Zeitgründen im Rahmen ohnehin<br />
stattfindender Termine. In<br />
zwei weitere Zielgruppen hat<br />
Kirsch mittlere Führungskräfte<br />
und die Mitarbeiter eingeteilt.<br />
Diese werden jeweils in eigenen<br />
Veranstaltungen geschult.<br />
„Ganz wichtig in unserem Konzept:<br />
Neue Kollegen und Auszubildende<br />
bilden eine eigene,<br />
vierte Zielgruppe, die wir mit<br />
separaten Schulungen sensibilisieren.“<br />
So wollen die Wittener jeden<br />
der etwa 450 Mitarbeiter schulen. „Uns<br />
war es wichtig, wirklich alle Mitarbeiter<br />
zu erreichen.“<br />
Diese Verpflichtung sieht auch Manfred<br />
Hartl, der den Unternehmensbereich<br />
Compliance bei der Stadtsparkasse München<br />
leitet und zudem als Datenschutzbeauftragter<br />
fungiert. „Neben Fachhandbüchern<br />
und aktuellen Informationen<br />
setzen wir ein webbasiertes Weiterbildungsprogramm<br />
ein, das alle Mitarbeiter<br />
einmal jährlich absolvieren müssen. So<br />
erreichen wir, dass auch jene Mitarbeiter,<br />
die nicht tagtäglich mit Kundendaten<br />
arbeiten, die Datenschutzgrundsätze<br />
kennen und beachten.“ Hartl lässt seinen<br />
Kollegen gegenüber zudem keinen<br />
Zweifel, dass die Münchener Verstöße<br />
nicht dulden. „Wir nehmen Hinweise<br />
oder Beschwerden über eine mögliche<br />
Verletzung des Bankgeheimnisses sehr<br />
ernst. Sollten sich die Vorwürfe als berechtigt<br />
erweisen, müsste der Mitarbeiter<br />
mit arbeitsrechtlichen Konsequenzen<br />
rechnen.“ In Witten<br />
weist Kirsch zudem immer wieder<br />
darauf hin, dass der Datenschutz<br />
der eigenen Sicherheit<br />
der Mitarbeiter dient. „So können<br />
wir die Kollegen mit ins<br />
Boot holen.“<br />
Dabei gilt es darüber hinaus,<br />
für die unterschiedlichsten Fälle<br />
gerüstet zu sein. SIZ-Experte<br />
Moser führt die Notfallplanung<br />
an: „Auch im Brandfall müssen<br />
wir die Datensicherheit gewährleisten.<br />
Wenn die Mitarbeiter<br />
das Gebäude verlassen, dürfen<br />
Unbefugte keine sensiblen Daten<br />
vorfinden.“ Maßgeschneiderte<br />
Regelungen fordert Moser auch im<br />
Fall von Auslagerungen. „Alle Dienstleister<br />
müssen die nötigen Standards zu jeder<br />
Zeit nachprüfbar einhalten.“<br />
Alle Kollegen müssen mit ins Boot<br />
Die Umsetzung ist Angelegenheit jedes<br />
einzelnen Instituts, Dienstleister wie<br />
SIZ oder Finanz Informatik können hier<br />
nur unterstützen. Der Münchner Datenschutzbeauftragte<br />
Hartl unterzieht seine<br />
Abläufe daher regelmäßigen Überprüfungen:<br />
„Zusätzlich hat uns das SIZ zertifiziert,<br />
dass unser IT-Sicherheitsprozess<br />
funktioniert.“ Doch klar ist, dass die besten<br />
Vorkehrungen mit dem Engagement<br />
der Mitarbeiter leben und sterben.<br />
Moser mahnt daher das nötige Bewusstsein<br />
an: „Sensibilität braucht es auf allen<br />
Ebenen, angefangen mit dem Vorstand<br />
bis zum unteren Ende der Hierarchie.<br />
Sicherheit ist ganz eindeutig Teamaufgabe.“<br />
n<br />
Lesen Sie zum Thema auch die nachfolgenden<br />
Seiten.<br />
Ihr Gutschein<br />
frei Haus!<br />
„Betriebswirtschaftliche Blätter“ – das<br />
Fachmagazin für Unternehmensführung und<br />
Betriebsorganisation.<br />
Ausfüllen – faxen – kostenlos Probelesen.<br />
Name, Vorname<br />
Straße/Nr.<br />
PLZ/Ort<br />
Tel./E-Mail<br />
Telefax: 0711 782-2209<br />
Anzeige<br />
S P A R K A S S E F E B R U A R 2 0 1 1<br />
Griffecke_61x100_BBL.indd 1 08.08.2006 11:43:45