Click here to load reader

EXXETA Befragung zur EU-Datenschutz- Grundverordnung ... · PDF file auch nach Abschluss der EU-DSGVO ungeregelt bleiben. ... Dies verbunden mit dem ehrgeizigen Zeitplan zwingt zum

  • View
    1

  • Download
    0

Embed Size (px)

Text of EXXETA Befragung zur EU-Datenschutz- Grundverordnung ... · PDF file auch nach Abschluss der...

  • EXXETA Befragung zur EU-Datenschutz- Grundverordnung (DSGVO) 2017

    Besuchen Sie uns unter: http://www.EXXETA.com/de/branchen/financial-services/ http://www.EXXETA.com/dsgvo-studie

    Management Consulting Industry Consulting IT Consulting & Solutions Methodology Consulting

  • Seite ⁄ ⁄ 2

    Die neue EU-Datenschutz-Grundverordnung (DSGVO) oder EU General Data Protection Regulati- on (GDPR), wurde im Dezember 2015 beschlossen und soll zu einer Vereinheitlichung des europä- ischen Datenschutzes führen.

    Die Verordnung ist am 27. April 2016 in Kraft getreten und muss ab dem 25. Mai 2018 für alle 28 EU-Mitgliedstaaten angewendet werden. Sie ersetzt in weiten Teilen das Bundesdatenschutzgesetz (BDSG) und löst die EU-Datenschutz-Richtlinie von 1995 ab. Der Beschäftigtendatenschutz wird auch nach Abschluss der EU-DSGVO ungeregelt bleiben.

    Da es sich bei der EU-DSGVO um eine Verordnung handelt, hat die EU-DSGVO Anwendungsvor- rang vor dem nationalen Recht und gilt für alle EU-Mitgliedstaaten. Allerdings bietet die Verord- nung durch die sog. Öffnungsklauseln (Art. 88 EU-DSGVO) einen Spielraum für nationale Regelun- gen der Mitgliedstaaten.

    Der Fokus der DSGVO liegt auf dem Schutz personenbezogener Daten und betrifft EU-ansässige Unternehmen (ab 250 Mitarbeiter) und EU-ansässige Privatpersonen. Abhängig vom individuellen Reifegrad des Datenschutzes innerhalb der Unternehmen kann die neue Verordnung zu hohen Aufwänden in der IT führen. Dies verbunden mit dem ehrgeizigen Zeitplan zwingt zum schnellen Handeln.

    Vor diesem Hintergrund hat EXXETA Financial Services eine Befragung bei ausgewählten Finanz- instituten zu den wesentlichen DSGVO-Änderungen durchgeführt und erhoben, wie gut diese auf die neuen Anforderungen vorbereitet sind. Die Ergebnisse dieser Befragung möchten wir Ihnen in dem vorliegenden Dokument vorstellen und auf mögliche Handlungsfelder und Handlungsempfeh- lungen hinweisen.1

    Ziel der Befragung war es, einen Einblick in den individuellen Datenschutz-Reifegrad der Finanzin- stitute zu erhalten und Informationen über den aktuellen Status quo zu erfahren.

    Wir bedanken uns ausdrücklich bei allen Unternehmen und Personen, die an der Befragung teilge- nommen haben. Über eine Rückmeldung und einen intensiven Erfahrungsaustausch mit Ihnen zu den Themen rund um die EU-DSGVO freuen wir uns.

    Bei Rückfragen stehen wir jederzeit gerne unter [email protected] zur Verfügung.

    Frankfurt am Main, im März 2017

    Alexander Schlicher Vorstand Financial Services

    Vorwort

    1 Aufgrund von Beschränkungen in der Umsetzung der Untersuchung wie z. B. der ausgewählte Teilneh- merkreis, Dropouts und dadurch ungleiche Aufteilung erhebt diese Untersuchung keinen Anspruch auf sta- tistische Signifikanz. Die Befragung wurde im August und September 2016 durchgeführt.

  • Seite ⁄ ⁄ 3

    Inhaltsverzeichnis

    Vorwort Abbildungsverzeichnis

    Tabellenverzeichnis

    Abkürzungsverzeichnis 1. Management Summary

    2. Wesentliche Änderungen durch das neue EU-Datenschutzrecht

    3. Befragungsdesign und Methodik

    4. Ergebnisse der Dimension 1: Datenschutzstrategie und Organisation sowie der Reifegrad

    5. Ergebnisse der Dimension 2: Operative Datenschutzvorgaben und der Reifegrad

    6. Ergebnisse der Dimension 3: Datenschutzkontrolle und der Reifegrad

    7. Handlungsfelder und allgemeine Handlungsempfehlungen

    8. Wie wir Sie unterstützen können

    9. Fazit und Ausblick Ihre Ansprechpartner

    2

    4

    5

    5

    6

    7

    8

    11

    15

    22

    28

    31

    33

    34

    ..................................................................................................................................................................................................................................................... ..........

    ...........................................................................................................................................................................................................................................

    ...............................................................................................................................................................................................................................

    ...................................................................................................................................................................................................................

    ........................................................................................................................

    ................................................................................................................................................................

    .........................................................................................................................................................................................................................................

  • Seite ⁄ ⁄ 4

    Abbildungsverzeichnis Tabellenverzeichnis

    Abkürzungsverzeichnis

    Abbildung 1: EU-DSGVO-Dimensionen

    Abbildung 2: Existenz einer dokumentierten Datenschutzstrategie / -vision

    Abbildung 3: Erfüllung der Anforderung „Garantien“ Abbildung 4: Erfüllung der Joint-Controller-Anforderung

    Abbildung 5: Beurteilung der internen und externen Kommunikationsstrukturen

    Abbildung 6: Branchenstandards bei Finanzinstituten Abbildung 7: Handlungsbedarf bei dem Thema Nachweispflichten

    Abbildung 8: Herausforderungen bei der Durchsetzung der erweiterten Transparenzvorschriften Abbildung 9: Erfüllung der Anforderung an das sog. „Verfahrensverzeichnis“

    Abbildung 10: Erfüllung der Anforderung "Recht auf Vergessenwerden"

    Abbildung 11: Erfüllungsgrad der “Privacy by Design Prinzipien“

    Abbildung 12: Handlungsbedarf bei dem Thema "Privacy by Design"

    Abbildung 13: Beurteilung der Qualität des Grundsatzes "Privacy by Default"

    Abbildung 14: Erfüllung der Anforderung „Datenübertragbarkeit“

    8

    11

    11

    12

    12

    13

    15

    16

    17

    17

    18

    19

    19

    20

    ..........................................................................................................................................................................................................................

    ........................................................................................................................................................

    ...................................................................................................................................................................................................

    ...........................................................................................................................................................................................

    ...............................................................................................................................................

    ................................................................................................................................................................................................

    .........................................................................................................................................................................

    .................................................................................................................

    ........................................................................................................................................................

    ..................................................................................................................................................................

    ................................................................................................................................................................................

    .......................................................................................................................................................................

    ........................................................................................................................................................

    .............................................................................................................................................................................

  • Seite ⁄ ⁄ 5

    Abbildungsverzeichnis

    Abbildung 15: Erfüllungsgrad der Mindestinhalte der Datenschutz-Folgeabschätzung

    Abbildung 16: Durchführung einer Folgeabschätzung im Fall von Profiling

    Abbildung 17: Beurteilung der Qualität in Bezug auf Eskalations- und Meldeprozesse

    Abbildung 18: Schwächen in Bezug auf die Eskalations- und Meldeprozesse zum Datenschutz

    Abbildung 19: Erfüllung der Meldeprozesse innerhalb der geforderten Frist

    Abbildung 20: Erfüllung der Anforderung in Bezug auf die Auftragsverarbeiterverträge

    Abbildung 21: Existenz eines auditierbaren Prozesses bei der externen Datenverarbeitung

    Abbildung 22: Umfrageergebn