Download pdf - EXXETA Befragung zur EU-Datenschutz- Grundverordnung ...€¦ · auch nach Abschluss der EU-DSGVO ungeregelt bleiben. ... Dies verbunden mit dem ehrgeizigen Zeitplan zwingt zum schnellen

EXXETA Befragung zur EU-Datenschutz-Grundverordnung (DSGVO) 2017

Besuchen Sie uns unter: http://www.EXXETA.com/de/branchen/financial-services/http://www.EXXETA.com/dsgvo-studie

Management Consulting Industry Consulting IT Consulting & Solutions Methodology Consulting

Seite ⁄ ⁄ 2

Die neue EU-Datenschutz-Grundverordnung (DSGVO) oder EU General Data Protection Regulati-on (GDPR), wurde im Dezember 2015 beschlossen und soll zu einer Vereinheitlichung des europä-ischen Datenschutzes führen.

Die Verordnung ist am 27. April 2016 in Kraft getreten und muss ab dem 25. Mai 2018 für alle 28 EU-Mitgliedstaaten angewendet werden. Sie ersetzt in weiten Teilen das Bundesdatenschutzgesetz (BDSG) und löst die EU-Datenschutz-Richtlinie von 1995 ab. Der Beschäftigtendatenschutz wird auch nach Abschluss der EU-DSGVO ungeregelt bleiben.

Da es sich bei der EU-DSGVO um eine Verordnung handelt, hat die EU-DSGVO Anwendungsvor-rang vor dem nationalen Recht und gilt für alle EU-Mitgliedstaaten. Allerdings bietet die Verord-nung durch die sog. Öffnungsklauseln (Art. 88 EU-DSGVO) einen Spielraum für nationale Regelun-gen der Mitgliedstaaten.

Der Fokus der DSGVO liegt auf dem Schutz personenbezogener Daten und betrifft EU-ansässige Unternehmen (ab 250 Mitarbeiter) und EU-ansässige Privatpersonen. Abhängig vom individuellen Reifegrad des Datenschutzes innerhalb der Unternehmen kann die neue Verordnung zu hohen Aufwänden in der IT führen. Dies verbunden mit dem ehrgeizigen Zeitplan zwingt zum schnellen Handeln.

Vor diesem Hintergrund hat EXXETA Financial Services eine Befragung bei ausgewählten Finanz-instituten zu den wesentlichen DSGVO-Änderungen durchgeführt und erhoben, wie gut diese auf die neuen Anforderungen vorbereitet sind. Die Ergebnisse dieser Befragung möchten wir Ihnen in dem vorliegenden Dokument vorstellen und auf mögliche Handlungsfelder und Handlungsempfeh-lungen hinweisen.1

Ziel der Befragung war es, einen Einblick in den individuellen Datenschutz-Reifegrad der Finanzin-stitute zu erhalten und Informationen über den aktuellen Status quo zu erfahren.

Wir bedanken uns ausdrücklich bei allen Unternehmen und Personen, die an der Befragung teilge-nommen haben. Über eine Rückmeldung und einen intensiven Erfahrungsaustausch mit Ihnen zu den Themen rund um die EU-DSGVO freuen wir uns.

Bei Rückfragen stehen wir jederzeit gerne unter [email protected] zur Verfügung.

Frankfurt am Main, im März 2017

Alexander Schlicher Vorstand Financial Services

Vorwort

1 Aufgrund von Beschränkungen in der Umsetzung der Untersuchung wie z. B. der ausgewählte Teilneh-merkreis, Dropouts und dadurch ungleiche Aufteilung erhebt diese Untersuchung keinen Anspruch auf sta-tistische Signifikanz. Die Befragung wurde im August und September 2016 durchgeführt.

Seite ⁄ ⁄ 3

Inhaltsverzeichnis

Vorwort Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis 1. Management Summary

2. Wesentliche Änderungen durch das neue EU-Datenschutzrecht

3. Befragungsdesign und Methodik

4. Ergebnisse der Dimension 1: Datenschutzstrategie und Organisation sowie der Reifegrad

5. Ergebnisse der Dimension 2: Operative Datenschutzvorgaben und der Reifegrad

6. Ergebnisse der Dimension 3: Datenschutzkontrolle und der Reifegrad

7. Handlungsfelder und allgemeine Handlungsempfehlungen

8. Wie wir Sie unterstützen können

9. Fazit und Ausblick Ihre Ansprechpartner

2

4

5

5

6

7

8

11

15

22

28

31

33

34

..................................................................................................................................................................................................................................................... ..........

...........................................................................................................................................................................................................................................

...............................................................................................................................................................................................................................

...................................................................................................................................................................................................................

........................................................................................................................

................................................................................................................................................................

.........................................................................................................................................................................................................................................

Seite ⁄ ⁄ 4

AbbildungsverzeichnisTabellenverzeichnis

Abkürzungsverzeichnis

Abbildung 1: EU-DSGVO-Dimensionen

Abbildung 2: Existenz einer dokumentierten Datenschutzstrategie / -vision

Abbildung 3: Erfüllung der Anforderung „Garantien“ Abbildung 4: Erfüllung der Joint-Controller-Anforderung

Abbildung 5: Beurteilung der internen und externen Kommunikationsstrukturen

Abbildung 6: Branchenstandards bei Finanzinstituten Abbildung 7: Handlungsbedarf bei dem Thema Nachweispflichten

Abbildung 8: Herausforderungen bei der Durchsetzung der erweiterten Transparenzvorschriften Abbildung 9: Erfüllung der Anforderung an das sog. „Verfahrensverzeichnis“

Abbildung 10: Erfüllung der Anforderung "Recht auf Vergessenwerden"

Abbildung 11: Erfüllungsgrad der “Privacy by Design Prinzipien“

Abbildung 12: Handlungsbedarf bei dem Thema "Privacy by Design"

Abbildung 13: Beurteilung der Qualität des Grundsatzes "Privacy by Default"

Abbildung 14: Erfüllung der Anforderung „Datenübertragbarkeit“

8

11

11

12

12

13

15

16

17

17

18

19

19

20

..........................................................................................................................................................................................................................

........................................................................................................................................................

...................................................................................................................................................................................................

...........................................................................................................................................................................................

...............................................................................................................................................

................................................................................................................................................................................................

.........................................................................................................................................................................

.................................................................................................................

........................................................................................................................................................

..................................................................................................................................................................

................................................................................................................................................................................

.......................................................................................................................................................................

........................................................................................................................................................

.............................................................................................................................................................................

Seite ⁄ ⁄ 5

Abbildungsverzeichnis

Abbildung 15: Erfüllungsgrad der Mindestinhalte der Datenschutz-Folgeabschätzung

Abbildung 16: Durchführung einer Folgeabschätzung im Fall von Profiling

Abbildung 17: Beurteilung der Qualität in Bezug auf Eskalations- und Meldeprozesse

Abbildung 18: Schwächen in Bezug auf die Eskalations- und Meldeprozesse zum Datenschutz

Abbildung 19: Erfüllung der Meldeprozesse innerhalb der geforderten Frist

Abbildung 20: Erfüllung der Anforderung in Bezug auf die Auftragsverarbeiterverträge

Abbildung 21: Existenz eines auditierbaren Prozesses bei der externen Datenverarbeitung

Abbildung 22: Umfrageergebnisse in der EU-DSGVO-Heatmap

Tabelle 1: Wesentliche Änderungen durch die EU-DSGVO

Tabelle 2: EXXETA Reifegradmodell

Tabelle 3: Beschreibung der Reifegrade

Tabelle 4: Auszug der Checkliste für die DSGVO-Health-Check-Prüfung

BCR Binding Corporate RulesBDSG BundesdatenschutzgesetzDSGVO Datenschutz-Grundverordnung KPI Key Performance IndicatorsPCI DSS Payment Card Industry Data Security Standard SANS Top 20 SANS 20 Critical Security Controls ISO 27001 Informationen zum Informationssicherheitsmanagementsystem DSMS Datenschutz-Management-System

23

24

25

25

25

26

26

28

7

9

9

31

........................................................................................................................................

.............................................................................................................................................................

........................................................................................................................................

........................................................................................................................

...........................................................................................................................................................

......................................................................................................................................

...............................................................................................................................

..................................................................................................................................................................................

.................................................................................................................................................................................

..........................................................................................................................................................................................................................

...................................................................................................................................................................................................................

.......................................................................................................................................................

Tabellenverzeichnis

Abkürzungsverzeichnis

Seite ⁄ ⁄ 6

1. Management Summary

Die EU-DSGVO wird Finanzinstitute, aber auch Unternehmen aller anderen Branchen in allen 28 EU-Staaten stärker in die Pflicht nehmen, die Daten ihrer Kunden zu schützen.

In unserer Befragung zur EU-DSGVO haben wir die wesentlichen Änderungen und den Daten-schutz-Reifegrad aus drei Perspektiven – Datenschutzstrategie (Dimension 1), Operative Daten-schutzvorgaben (Dimension 2) und Datenschutzkontrolle (Dimension 3) – sowie verschiedenen Ausprägungen analysiert. Hierzu haben wir ein spezifisches EXXETA DSGVO-Reifegradmodell entwickelt, in dem die Teilnehmer entsprechend ihrer Antworten den fünf Datenschutz-Reife-gradstufen zugeordnet wurden.2

Gemäß des EXXETA Reifegradmodells sind Finanzinstitute unserer Einschätzung nach dann gut auf die EU-DSGVO-Anforderungen vorbereitet, wenn sie sich zwischen der Reifegradstufe 4 „Gesteuerter Prozess“ und der Reifegradstufe 5 „Optimierter Prozess“ befinden und einen durchschnittlichen Erfüllungsgrad von mind. 80 Prozent erzielen können.

Aus unserer Befragung geht hervor, dass sich die durchschnittliche Reife der befragten Finan-zinstitute in allen drei EU-DSGVO-Dimensionen auf der Reifegradstufe 3 „Definierter Prozess“ befindet. Dies entspricht einem Erfüllungsgrad von ca. 51 Prozent. Die Auswertung der Ergeb-nisse zeigt, dass die befragten Finanzinstitute im Bereich „Datenschutzstrategie und Organisati-on“ tendenziell besser aufgestellt sind als bei den Themen rund um die Erfüllung der operativen Datenschutzvorgaben. Am schlechtesten scheinen die Unternehmen in puncto „Datenschutz-kontrolle“ aufgestellt und weisen hier die schwächsten Ergebnisse auf.

Basierend auf den Auswertungsergebnissen gehen wir davon aus, dass Finanzinstitute wenigergut auf die EU-DSGVO vorbereitet sind und die Anforderungen zum aktuellen Zeitpunkt nicht vollständig erfüllen können. Die Gründe für die Nichterfüllung sehen die Umfrageteilnehmer im Wesentlichen in der zunehmende Datenmenge und deren Komplexität sowie im IT-Outsourcing.

2 Reifegradstufen: Reifegrad 5 „Optimierter Prozess“, Reifegrad 4 „Gesteuerter Prozess“, Reifegrad 3 „Defi-nierter Prozess“, Reifegrad 2 „Rudimentärer Prozess“, Reifegrad 1 „Ad-hoc-Aktivitäten“ und Reifegrad 0 „Kei-ne Aktivitäten“. Siehe weitere Informationen im Kapitel 3 „Studiendesign und Methodik“.

Seite ⁄ ⁄ 7

2. Wesentliche Änderungen durch das neue EU-Datenschutzrecht

Nachfolgend finden Sie einen Überblick über die wesentlichen Änderungen, die Unternehmen aufgrund der neuen DSGVO beachten müssen.

Massiv erweiterte Transparenzvorschriften

Stark erweiterte Dokumentations- und Nachweispflichten

Umfassendere Löschpflichten und Recht auf Vergessenwerden

Umfassendere Weiterentwicklung der bekannten Vorabkontrolle – die neue Datenschutz-Folgenabschätzung („Data Protection Impact Assess- ment“): Weitergehende Prüf- und Abstimmungspflichten

Verpflichtung für Unternehmen in Bezug auf Datenschutz durch Technik und Prozesse („Privacy by Design“) und datenschutzrechtliche Voreinstellungen („Privacy by Default“)

Stärkung der Stellung des Datenschutzbeauftragten im Unternehmen und Haftung3

Höhere Bußgelder – bis zu 4 Prozent des globalen Umsatzes für Unterneh- men und bis zu 20 Millionen Euro bei Privatpersonen

Tabelle 1: Wesentliche Änderungen durch die EU-DSGVO

In unserer zweiten Ausgabe des EXXETA Financial Services Newsletter geben wir einen aus-führlichen Überblick zu den wesentlichen Änderungen rund um die EU-DSGVO: http://www.exxeta.com/de/branchen/financial-services/regulatory/regulatory-im-blick.

3 Die EU-DSGVO sieht vor, dass die meisten Unter-nehmen einen Datenschutzbeauftragten bestellen müssen. Wir sind in unserer Befragung davon ausge-gangen, dass jedes Unternehmen bereits über einen Datenschutzbeauftragten verfügt. Daher wurde hier lediglich differenziert, ob auf einen internen oder ex-ternen Datenschutzbeauftragten zurückgegriffen wird. Die Ergebnisse dazu können in Kapitel 4: „Ergebnisse der Dimension 1“ nachgelesen werden.

!

Seite ⁄ ⁄ 8


Daten und Fakten zur EXXETA EU-DSGVO-Befragung

⁄ ⁄ Die Befragung der Teilnehmer erfolgte im August und September 2016⁄ ⁄ Die Umfrage beinhaltete 41 Fragen und war in die vier Bereiche aufgeteilt: ⁄ ⁄ Allgemeine Fragen zum Unternehmen ⁄ ⁄ Datenschutzstrategie und Organisation (Dimension 1) ⁄ ⁄ Operative Datenschutzvorgaben (Dimension 2) ⁄ ⁄ Datenschutzkontrolle (Dimension 3)

Im Rahmen der Befragung wurden drei Dimensionen im Detail betrachtet, um den Reifegrad zu bestimmen (siehe Abb. 1).

Abbildung 1: EU-DSGVO-Dimensionen

⁄ ⁄ Datenschutzstrategie ⁄ ⁄ Garantien ⁄ ⁄ Joint Controller ⁄ ⁄ Kommunikationsstrukturen ⁄ ⁄ Branchenstandards

Datenschutzstrategie und Organisation

Operative Datenschutz-vorgaben

Datenschutzkontrolle

⁄ ⁄ Nachweispflichten (,,Accountability") ⁄ ⁄ Transparenzvorschriften ⁄ ⁄ Verfahrensverzeichnis ⁄ ⁄ Recht auf Vergessenwerden ⁄ ⁄ Privacy by Design ⁄ ⁄ Privacy by Default ⁄ ⁄ Datenübertragbarkeit

⁄ ⁄ Datenschutz- Folgeabschätzung⁄ ⁄ Profiling Folgeabschätzung ⁄ ⁄ Zertifizierungen ⁄ ⁄ Eskalations- und Meldeprozesse ⁄ ⁄ Meldepflichten (Fristen) ⁄ ⁄ Auftragsverarbeiterverträge ⁄ ⁄ Externe Datenverarbeitung

Dimension

1Dimension

2Dimension

3

Seite ⁄ ⁄ 9


Auf dieser Basis wurde ein EXXETA Reifegradmodell4 entwickelt, in dem die Unternehmen dann entsprechend ihrer Antworten den fünf Reifegradstufen zugeordnet wurden:

Tabelle 2: EXXETA Reifegradmodell

Im Folgenden wird dargestellt, wodurch sich die fünf Reifegrade jeweils auszeichnen:

Tabelle 3: Beschreibung der Reifegrade

Vollständig erfüllt

Reifegrad 5Op�mierter Prozess 81-100%

EXXETA Reifegradmodell undProzentangaben bezogen aufden jeweiligen Reifegrad

Beschreibungder Notenskala

Notenskala 1-6 gemäßder EU-DSGVO-Umfrage

Reifegrad 4Gesteuerter Prozess 61-80%

Reifegrad 3Definierter Prozess 41-60%

Reifegrad 2Rudimentärer Prozess 21-40%

Reifegrad 1Ad-hoc-Ak�vitäten 1-20%

Reifegrad 0Keine Ak�vitäten 0%

N/A

Nicht erfüllt

Noch zu prüfen

1

2

3

4

5

6

4 EXXETA greift hierbei auf die Charakterisierung von Reifegraden der Carnegie Mellon University (Capability Maturity Model Integration, CMMI) zurück und defi-niert den Reifegrad in fünf Phasen und einer Phase 0.

EXXETA Reifegradmodell Beschreibung

Reifegrad 5 Optimierter ProzessNotenskala 1 (Vollständig erfüllt): Die Kernpro-zesse sind vereinheitlicht, automatisiert und wer-den kontinuierlich überprüft und verbessert.

Reifegrad 4 Gesteuerter Prozess

Notenskala 2: Die Kernprozesse werden hinsicht-lich der regulatorischen Anforderungen regelmä-ßig überprüft und es sind bereits Messkriterien in Form von KPIs eingeführt.

Reifegrad 3 Definierter Prozess

Notenskala 3: Die Kernprozesse sind definiert und dokumentiert, werden aber bezüglich der Einhal-tung regulatorischer Anforderungen nur rudimen-tär überprüft und sind nur teilweise implementiert.

Reifegrad 2 Rudimentärer Prozess

Notenskala 4: Bei diesem Reifegrad laufen Aktivi-täten und damit Prozesse nur ad hoc ab und sind nicht reproduzierbar und nur rudimentär doku-mentiert.

Reifegrad 1 Ad-hoc-AktivitätenNotenskala 5: Bei diesem Reifegrad erfolgen unko-ordinierte Einzelaktionen, um die EU-DSGVO- Anforderungen zu erfüllen

Reifegrad 0 Keine AktivitätenNotenskala 6 (Nicht erfüllt): Bei diesem Reifegrad erfolgen keine Aktivitäten, um die EU-DSGVO-Anforderungen zu erfüllen.

N/ADie Antwortoption „Noch zu prüfen“ wurde bei der Auswertung der Notenskala 6 („Nicht erfüllt“) zugeordnet.

Seite ⁄ ⁄ 10


Anzumerken ist, dass es nicht das Ziel eines jeden Unternehmens sein muss, dieses EXXETA Reifegradmodell zu 100 Prozent zu erfüllen.

Um die EU-DSGVO-Anforderungen zu erfüllen, muss der Reifegrad unserer Einschätzung aber mindestens zwischen der Reifegradstufe 4 „Gesteuerter Prozess“ (d. h. ab 80 Prozent Erfül-lungsgrad ist das Unternehmen gut aufgestellt) und der Reifegradstufe 5 „Optimierter Prozess“ liegen. Das Reifegradmodell gibt Hinweise auf vorhandene Defizite und Verbesserungspotenzi-ale, welche in den nachfolgenden Kapiteln dargestellt werden.

Seite ⁄ ⁄ 11

4. Ergebnisse der Dimension 1 „Datenschutzstrategie und Organisation

sowie der Reifegrad“

Die Dimension „Datenschutzstrategie und Organisation“

Die Dimension 1 hat folgende Ausprägungen: ⁄ ⁄ Datenschutzstrategie⁄ ⁄ Garantien⁄ ⁄ Joint Controller⁄ ⁄ Kommunikationsstrukturen⁄ ⁄ Branchenstandards

Datenschutzstrategie / -vision

Abbildung 2: Existenz einer dokumentierten Datenschutzstrategie / -vision5

67 Prozent der befragten Unternehmen geben an, eine dokumentierte Datenschutzstrategie / -vision etabliert zu haben.

Aus unserer Umfrage geht die Tendenz hervor, dass Unternehmen, die aktuell keine dokumen-tierte Datenschutzstrategie / -vision aufweisen können, auch sonst sehr schlecht auf die EU-DSGVO Anforderungen vorbereitet sind.

Datenübermittlung in Drittländer vorbehaltlich Garantien

Da der Datentransfer in ein Drittland zukünftig auf Basis der Anforderung des Art. 46 DSGVO erfolgen wird, ist das Instrument der „Binding Corporate Rules“ wichtig und hilft dabei, die Datenschutzvorgaben bei einem Datentransfer in Drittländern durchzusetzen. Relevant wird dies insbesondere bei multinationalen Unternehmen, wenn die Datenschutzbestimmungen im Drittland, in dem die Datenverarbeitung durchgeführt wird, weniger streng sind als die der EU-DSGVO. Dann kann das EU-ansässige auftragsvergebende Unternehmen mit den „Binding Corporate Rules“ dafür Sorge tragen, dass die Datenschutzvorgaben in allen Konzernteilen ein-gehalten werden. Dies muss zwingend auch für Tochter-Unternehmen in Drittländern erfolgen.

Abbildung 3: Erfüllung der Anforderung „Garantien“6

67% 33%

Ja Noch zu prüfenNein

44% 56%


5 In allen Grafiken dieser Berfagung sind Rundungsdif-ferenzen möglich.6 Hier werden die vollständigen Antwortoptionen ge-mäß der EU-DSGVO-Umfrage dargestellt. Dies gilt für alle Grafiken in dieser EU-DSGVO-Befragung.

Seite ⁄ ⁄ 12



Das Binding Corporate Rules (BCR) Verfahren zur Übertragung von Daten in ein Drittland mit vergleichsweise niedrigem Datenschutz-Niveau beginnt damit, dass ein Unternehmen (vor-zugsweise international agierende Großunternehmen) seine eigenen BCR basierend auf den Vorgaben der Art. 29 Datenschutzgruppe7 erstellen kann. Dieser BCR Entwurf wird dann der federführenden Aufsichtsbehörde übersandt, welche dann mit der Prüfung beginnt. Die Art. 29 Datenschutzgruppe und die europäischen Datenschutzbehörden haben dazu ein sogenanntes Koordinationsverfahren ausgearbeitet. In diesem Verfahren („Mutual Recognition“) überprüft die zuständige Datenschutzbehörde, ob sich Unternehmen bei der Erstellung der BCR auch an den entsprechenden Rahmen halten. Werden Daten in unsichere Drittsaaten übertragen, überprüft die Aufsichtsbehörde die BCR noch einmal eigenständig.

Die Binding Corporate Rules können individuell an den Konzern angepasst werden. Ein weite-res Mittel sind die sog. EU-Standardvertragsklauseln, bei denen im Fall einer Übertragung von personenbezogenen Daten Verträge erstellt werden müssen. Die BCR können neben den EU-Standardvertragsklauseln verwendet werden oder diese auch ersetzen.

Joint Controller

Die Regelung des sog. Joint Controllers nach Art. 26 DSGVO ist neu. Unter dem Joint Control-ler wird eine „gemeinsam für die Verarbeitung verantwortliche“ Einheit verstanden, die im Falle einer Auslagerung der Datenverarbeitung zu implementieren ist.

Im Falle einer ausgelagerten Datenverarbeitung regeln 56 Prozent der befragten Finanzinstitu-te die Verantwortlichkeit für den Datenschutz in einem vertraglichen Innenverhältnis mit dem Dienstleister. Allerdings sehen 44 Prozent der Befragten die Anforderung als nicht erfüllt bzw. noch zu prüfen an.

Abbildung 4: Erfüllung der Joint-Controller-Anforderung

Kommunikationsstrukturen

Aufgrund der EU-DSGVO wird der Datenschutz in Unternehmen zukünftig einen höheren Stel-lenwert haben. Daher ist es wichtig zu erfahren, wie die derzeitigen Kommunikationsstrukturen im Bereich Datensicherheit innerhalb des Unternehmens beurteilt werden.

Abbildung 5: Beurteilung der internen und externen Kommunikationsstrukturen

56% 11% 33%


Intern ExternKommunika�onsstrukturen

1 - Sehr gut 2 3 4 5 6 - Ungenügend

22%

89%

33% 33%

11%11%

7 Inhalt für die Erstellung der unternehmensinternen Datenschutzregelungen gemäß der Artikel 29-Daten-schutzgruppe: die Rechtsgrundlage für Datenverar-beitung, der Geltungsbereich (alle Staaten, in denen sich Unternehmensteile den BCR unterwerfen), das Transparenzverbot (leichter Zugang zu den BCR für die Betroffenen), die Selbstverpflichtung für ein Audit-programm und die Verpflichtung zu Schadensersatz-leistungen im Fall der Missachtung der BCR.



55 Prozent der befragten Finanzinstitute beurteilen ihre unternehmensinterne Kommunikati-onsstruktur (z. B. Schulungen) im Bereich der Datensicherheit gut bis sehr gut. Bei rund 44 Prozent fällt die Einschätzung deutlich schlechter aus.

Alle befragten Finanzinstitute sehen ihre externe Kommunikationsstruktur (z. B. hinsichtlich Anfragen oder Beschwerden) auf einem recht guten Niveau.

Branchenstandards

Abbildung 6: Branchenstandards bei Finanzinstituten

Die Befragungsergebnisse zu den oben genannten Branchenstandards lassen die Vermutung zu, dass Finanzinstitute einen erheblichen Nachholbedarf bei der Implementierung dieser Bran-chenstandards haben. Insbesondere SANS Top 20 findet aktuell bei den Befragten nur wenig Anwendung. Vielmehr setzen die befragten Unternehmen auf ISO 27011. Auch der IDW PS 980 findet unter den Teilnehmern nur wenig Anwendung in Bezug auf das sog. Datenschutz-Management-System.

Unternehmen, die diese Standards bereits erfüllen, werden es voraussichtlich leichter haben, wenn sie sich im nächsten Schritt ihre Compliance nach der neuen EU-DSGVO abnehmen lassen.

PCI DSS SANS Top 20

ISO 27011 IDW PS 980

11 % 11 %

78 %

11 % 11 %

78 %78 %

11 %

11 %

78 %

22 %

Ja In PlanungNein In Arbeit

Seite ⁄ ⁄ 14



Reifegrad Dimension 1 Datenschutzstrategie und Organisation

Im Bereich „Datenschutzstrategie und Organisation“ befinden sich die befragten Finanzinstitute im Gesamtdurchschnitt auf der Stufe 3 (Definierter Prozess = 54%) des Reifegradmodells. Somit erreichen sie in dieser Dimension den besten Entwicklungsstand.

Die Umfragewerte zeigen, dass die teilnehmenden Finanzinstitute bei den Themen „Daten-schutzstrategie“ und „Kommunikationsstrukturen“ gut aufgestellt sind. Zu bemängeln ist, dass sie bei den Themen „Branchenstandards“, „Garantien“ und „Joint Controller“ hinter ihren Mög-lichkeiten zurück bleiben.

Da Unternehmen ab Mai 2018 die neuen Vorgaben zur DSGVO erfüllen müssen, wird es bran-chenunabhängig hilfreich sein, die Branchenstandards (PCI DSS, SANS Top 20, ISO 27011, IDW PS980) bis dahin vollständig zu implementieren.

Datenschutzstrategie

Branchenstandards

Kommunika�onsstrukturen

Garan�en

Joint Controller

1

2

3

4

5 Reifegrad 5Op�mierter Prozess81-100%

Reifegrad 4 Gesteuerter Prozess61-80%

Reifegrad 3 Definierter Prozess41-60%

Reifegrad 2Rudimentärer Prozess21-40%

Reifegrad 1 Ad-hoc-Ak�vitäten1-20%

Reifegrad 0Keine Ak�vitäten0%

Seite ⁄ ⁄ 15

5. Ergebnisse der Dimension 2 „Operative Datenschutzvorgaben

und der Reifegrad“

Die Dimension „Operative Datenschutzvorgaben“

Die Dimension 2 hat folgende Ausprägungen: ⁄ ⁄ Nachweispflichten („Accountability“)⁄ ⁄ Transparenzvorschriften⁄ ⁄ Verfahrensverzeichnis⁄ ⁄ Recht auf Vergessenwerden⁄ ⁄ Privacy by Design⁄ ⁄ Privacy by Default⁄ ⁄ Datenübertragbarkeit

Nachweispflichten („Accountability“)

Die Erfüllung der Nachweispflichten ist eine wichtige EU-DSGVO-Anforderung. So muss der für Verarbeitung Verantwortliche nachweisen können, dass die geregelten Datenschutzgrundsätze (z. B. Zweckbindung, Datenminimierung, Anonymisierung und Pseudonymisierung) in Prozessen und IT eingehalten werden (siehe Art. 5 Abs. 1 DSGVO).

Die Auswertung der individuellen Ergebnisse zu den Datenschutzgrundsätzen hat ergeben, dass die Anforderungen im Bereich der Zweckbindung bei den Befragten branchenunabhängig weitest-gehend erfüllt sind. Unsicherheiten bestehen bei den Themen Datenminimierung und Anonymi-sierung. Weiterhin kann der Datenschutzgrundsatz der Pseudonoymisierung aktuell nicht erfüllt werden.

Neben der Erfüllung der Anforderungen zu den Nachweispflichten haben wir die Umfrageteilneh-mer auch zu dem aktuellen Handlungsbedarf befragt (siehe Abb. 7).

Abbildung 7: Handlungsbedarf bei dem Thema Nachweispflichten

1 - Extrem dringend 2 3 4 5 6 - Überhaupt nicht dringend

33%

44%

11% 11%

Seite ⁄ ⁄ 16



Gemäß der Abb. 7 erkennen die befragten Finanzinstitute einen Handlungsbedarf in Bezug auf die Erfüllung der Nachweispflichten und sehen diesen auch als dringend an.

Wir sehen einen Zusammenhang zwischen dem Thema „Nachweispflichten“ und „Branchen-standards“. So haben Umfrageteilnehmer, die die Nachweispflichten erfüllt haben, ebenfalls an-gegeben, die Branchenstandards weitestgehend zu erfüllen (siehe Dimension 1).

Transparenzvorschriften

Gemäß der DSGVO müssen Unternehmen betroffene Personen deutlich umfassender als bis-lang informieren, ob und wie deren Daten verarbeitet werden (Transparenzvorschriften). Nach Art. 13 DSGVO müssen Unternehmen betroffenen Personen, bei denen sie personenbezogene Daten erheben, unter anderem Folgendes neu mitteilen:

⁄ ⁄ die Zwecke und die Rechtsgrundlage der Datenverarbeitung⁄ ⁄ die Empfänger oder Kategorien von Empfängern personenbezogener Daten ⁄ ⁄ die geplante Übermittlung von Daten in ein Drittland einschließlich eines Verweises auf die bestehenden Garantien⁄ ⁄ die Speicherdauer bzw. die Kriterien für die Festlegung der Speicherdauer

In Bezug auf die Transparenzvorschriften haben wir die Umfrageteilnehmer neben der Erfüllung der Anforderung zu den oben genannten Punkten auch zu den Herausforderungen bei der Um-setzung der Anforderungen befragt.

Die individuellen Ergebnisse haben gezeigt, dass die befragten Finanzinstitute die Anforderun-gen zusammengefasst als befriedigend erfüllt bewertet haben.

Abbildung 8: Herausforderungen bei der Durchsetzung der erweiterten Transparenzvorschriften8

Gemäß der Abb. 8 lässt sich erkennen, dass die befragten Finanzinstitute die Herausforderun-gen bei den Transparenzvorschriften in den fehlenden Personalkapazitäten (25 Prozent) und dem fehlenden Know-how (20 Prozent) sehen. Das größte Problem ist jedoch, dass der Daten-haushalt unzureichend bekannt ist (30 Prozent).

Insbesondere in der Herstellung der notwendigen Transparenz über den Datenhaushalt als Vor-aussetzung für einen umfassenden Schutz aller Daten sehen wir die größte Herausforderung für die zeitgemäße Umsetzung bis zum nächsten Jahr. Die Herausforderung steigt, je komplexer die Konzernstrukturen sind und damit die Stellen, an denen personenbezogene Daten bearbeitet werden.

Keine Personalkapazitäten vorhanden

Fehlendes Projektbudget

IT-Architektur muss umgebaut werden

Datenhaushalt nicht ausreichend bekannt

Fehlendes Know-how in den Fachbereichen

25%

20%

30%

20%

5%

8 Hier waren Mehrfachnennungen möglich.

Seite ⁄ ⁄ 17



Verfahrensverzeichnis

Das Verfahrensverzeichnis des BDSG wird durch das „Verzeichnis von Verarbeitungstätigkeiten“ (Art. 30 DSGVO) abgelöst und für alle Unternehmen verpflichtend.

Inhaltlich ähnelt die neue Dokumentation dem bekannten Verfahrensverzeichnis. Die grundle-genden Inhalte sind z. B. Name des Verantwortlichen, Name des Vertreters, Angabe zum Zweck der Verarbeitung, Löschfristen. Neuerungen bestehen insoweit, dass die dokumentierten Ver-fahren nicht mehr jedermann, sondern nur noch den Aufsichtsbehörden auf Antrag zur Verfü-gung gestellt werden müssen.

Abbildung 9: Erfüllung der Anforderung an das sog. „Verfahrensverzeichnis“

Die befragten Finanzinstitute sehen im Vergleich zu den anderen Anforderungen eher geringe Probleme, ordnungsgemäße Verfahrensverzeichnisse anzulegen. 44 Prozent müssen die Anfor-derung allerdings noch überprüfen oder können diese Anforderung derzeit nicht erfüllen (12 Prozent).

In unserer Umfrage nannten die Unternehmen verschiedene Herausforderungen, um die An-forderungen an das sog. „Verfahrensverzeichnis“ zu erfüllen. Zu diesen Herausforderungen gehören: Der Datenhaushalt ist nicht ausreichend bekannt (Platz 1), die IT-Architektur muss umgebaut werden (Platz 2), fehlendes Know-how in den Fachbereichen (Platz 3), keine Perso-nalkapazitäten vorhanden (Platz 4) und das fehlende Projektbudget (Platz 5).

Weiterhin sehen wir hier einen Zusammenhang bezüglich der Dokumentation / Repository über Applikationen, den Datenhaushalt und den Daten (Einzelfeldebene) im Unternehmen. So ha-ben Umfrageteilnehmer, die ein Verfahrensverzeichnis vorweisen, auch eine Dokumentation /Repository über die vorhandenen Applikationen, den Datenhaushalt, Daten (Einzelfeldebene) in ihrem Unternehmen etabliert.

Recht auf Vergessenwerden

Die DSGVO sieht umfassendere Löschpflichten vor als bislang § 35 BDSG. Bei knapp einem Drittel der befragten Finanzinstitute muss erst noch überprüft werden, ob sie die Verpflichtung der Löschungsansprüche erfüllen können.

Abbildung 10: Erfüllung der Anforderung "Recht auf Vergessenwerden"


44% 12% 44%

1 - Sehr gut 2 3 4 5 6 - Ungenügend

22%

33% 33%

11%

Seite ⁄ ⁄ 18



55 Prozent der befragten Finanzinstitute sehen die Regelungen als weitestgehend erfüllt an bzw. sind auf einem guten Weg dahin. 44 Prozent sind allerdings besonders schlecht aufgestellt.

Die Umsetzung des „Rechts auf Vergessenwerden“ wird Unternehmen zukünftig vor enorme Herausforderungen stellen. So müssen Unternehmen für den Fall, dass eine Privatperson das Recht auf Vergessen einfordert, wirksame Lösungen zur Umsetzung dieses Rechts implemen-tiert haben. Dieses Recht ist mit Blick auf zum Teil veraltete Archivierungsverfahren extrem aufwendig sicher zu stellen, da neben den in der IT vorhandenen Daten auch Transparenz über Daten in den physischen Archiven hergestellt werden müsste.

Privacy by Design – Datenschutz durch Technik und Prozesse

Die DSGVO verpflichtet Unternehmen dazu, ihre datenverarbeitenden Systeme und Prozesse grundsätzlich so auszugestalten, dass die Datenschutzgrundsätze (Art. 5 DSGVO) bereits bei der Implementierung und Entwicklung von Produkten, Diensten, Anwendungen und technischen Prozessen berücksichtigt werden sollen. So müssen Geräte und Webdienste mit datenschutz-freundlichen Voreinstellungen ausgestattet werden, d. h. dass bestimmte Datenverarbeitungen erst gar nicht erlaubt werden sollen. Die Voreinstellungen sind so zu wählen, dass Risiken für die Privatsphäre der Nutzer minimiert werden.

Wir haben erfragt, ob die „Privacy by Design“-Prinzipien (Datensparsamkeit, Datenvermeidung, Zweckbindung, fristgerechte Löschung von Daten, Zugangs- und Zugriffskontrolle) aktuell be-reits bei der Implementierung und Entwicklung berücksichtigt werden.

Nachfolgend wird auf die individuellen Ergebnisse der „Privacy by Design“-Prinzipien eingegan-gen.

Abbildung 11: Erfüllungsgrad der „Privacy by Design“-Prinzipien

Die beiden Konzepte Datensparsamkeit und Datenvermeidung stehen in einem engen Zusam-menhang zueinander. Die Grundidee bei der Datenverarbeitung ist es, dass nur so viele perso-nenbezogene Daten gesammelt werden, wie für die jeweilige Anwendung unbedingt notwendig sind (z. B. bei Gewinnspielen, Verzicht auf den Einsatz von Cookies bei der Gestaltung einer Website).

Datensparsamkeit: 33 Prozent der befragten Finanzinstitute geben an, bereits bei der Imple-mentierung von IT-Lösungen auf Datenschutzgrundsätze zu achten und die Systeme dement-sprechend aufzubauen.

Datenvermeidung: 22 Prozent der befragten Finanzinstitute geben an, bereits bei der Im-plementierung von IT-Lösungen die Datenschutzgrundsätze der Datenvermeidung zu berücksichtigen und die Systeme dementsprechend aufzubauen. Ein optimierter Prozess ist hier aber aktuell noch nicht implementiert.

Datensparsamkeit

Datenvermeidung

Zweckbindung

Fristgerechte Löschung von Daten

Zugangs- und Zugriffskontrollen

22%

22%

22%

11%

11% 33% 33% 22%

11% 22% 22% 33%

22% 33% 22%

11% 44% 22%

56% 11%11% Reifegrad 5Op�mierter Prozess81-100%






Seite ⁄ ⁄ 19



Zweckbindung: Die Zweckbindung ist ein wesentlicher Grundsatz des Datenschutzrechts. Ge-rade in einer zunehmend digitalisierten Welt ist die Erfüllung der Zweckbindung inkl. der tech-nischen Umsetzung äußerst wichtig. In Bezug auf die Zweckbindung der Datenabfrage wird „Privacy by Design“ bereits sehr stark bei den befragten Finanzinstituten berücksichtigt. Davon sind 55 Prozent überzeugt.

Fristgerechte Löschung von Daten: Nach den Umfrageergebnissen wird die fristgerechte Lö-schung von Daten bei der Installation von IT-Lösungen derzeit bei den teilnehmenden Finanz-instituten berücksichtigt (33 Prozent). Allerdings gibt es bei 22 Prozent der Finanzinstitute noch Ad-hoc-Aktivitäten und die Erfüllung dieser Anforderung muss noch überprüft werden.

Zugangs- und Zugriffskontrollen: Zugangs- und Zugriffskontrollen spielen derzeit bereits eine wichtige Rolle bei der Installation von IT-Lösungen (55 Prozent).

Neben der Erfüllung der Anforderungen der „Privacy by Design“-Prinzipien haben wir die Um-frageteilnehmer weiterhin zum aktuellen Handlungsbedarf befragt (siehe Abb. 12).

Abbildung 12: Handlungsbedarf bei dem Thema "Privacy by Design"

Privacy by Default

Die DSGVO verlangt, dass IT-Systeme bzw. Datenschutz-Management-Systeme so voreinge-stellt sein müssen, dass sie grundsätzlich nur solche personenbezogene Daten verarbeiten, de-ren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist („Privacy by Default“ – siehe Art. 25 Abs. 2 DSGVO).

Abbildung 13: Beurteilung der Qualität des Grundsatzes "Privacy by Default"

1 - Extrem dringend 2 3 4 5 6 - Überhaupt nicht dringend

44%41%

15%

1 - Sehr hohe Qualität 2 3 4 5 6 - Sehr geringe Qualität

56%

22% 22%



Die Voreinstellungen der Datenschutzprozesse sind bei den befragten Finanzinstituten von gu-ter bis befriedigender Qualität (78 Prozent).

Weiterhin haben wir die Umfrageteilnehmer befragt, wie sie den Handlungsbedarf in puncto „Privacy by Default“ einschätzen. Die Teilnehmer schätzen den Handlungsbedarf bezüglich der Systemvoreinstellungen mit 75 Prozent als hoch ein.

Datenübertragbarkeit

Neu ist das Recht der Betroffenen, die Herausgabe ihrer zur Verfügung gestellten Daten in einem üblichen maschinenlesbaren Format zu verlangen (Datenübertragbarkeit Art. 20 Abs. 1 DSGVO).

Abbildung 14: Erfüllung der Anforderung „Datenübertragbarkeit“

Das konzeptionell neue Recht von Kunden, eine Übersicht über ihre zur Verfügung gestellten und gespeicherten Daten zu erhalten, ist bei Finanzinstituten bezüglich der Automatisierung der Datenherausgabe zu überprüfen.

Mit Blick auf die Komplexität der Datenverarbeitung bei vielen Finanzinsitituten haben aber immerhin schon 22 Prozent der befragten Finanzinstitute die Anforderungen diesbezüglich voll-ends erfüllt.

Ebenso erfreulich ist, dass laut unseren Umfrageergebnissen 85 Prozent der Teilnehmer, bezo-gen auf die IT-Umsetzung der Datenübertragbarkeit, einen dringenden Handlungsbedarf erken-nen.

Deshalb empfehlen wir Unternehmen, die Art der Datenerhebung zu überprüfen, da die Daten-portabilität zukünftig auch dann gilt, wenn beispielsweise ein Arbeits- oder Kundenverhältnis endet.

Das größte Problem der Datenübertragbarkeit sehen wir darin, dass es bei den Unternehmen noch keine definierten Formatstandards für die Datenübermittlung personenbezogener Daten existiert.

1 - Sehr guterUmfang

2 3 4 5 6 - Sehr schlechterUmfang

Noch zuprüfen

56%

22% 22%

Seite ⁄ ⁄ 21



Reifegrad Dimension 2 „Operative Datenschutzvorgaben“

In der Dimension 2 befinden sich die befragten Finanzinstitute im Gesamtdurchschnitt auf Stufe 3 (Definierter Prozess = 52%) des Reifegradmodells. So schneiden sie, unabhängig von ihrer Größe, in dieser Dimension schlecht ab. Es mangelt insbesondere an der Umsetzung der The-men „Privacy by Default“, „Privacy by Design“ und den Nachweispflichten.

Noch schwächer wird das Thema „Recht auf Vergessenwerden“ und das Thema „Datenüber-tragbarkeit“ bewertet. Weiterhin wird es für Finanzinstitute zukünftig darauf ankommen, die Themen rund um die Transparenzvorschriften und das Verfahrensverzeichnis zügig anzugehen.

Abschließend ist zu erwähnen, dass 41 Prozent der Umfrageteilnehmer angeben, dass eine EU-DSGVO-Roadmap vorliegt und bereits Vorstudien bis zur Umsetzung im Mai 2018 geplant sind.

Nachweispflichten (“Accountability“)

Datenübertragbarkeit

Privacy by Default Verfahrensverzeichnis

Privacy by Design

Transparenzvorschri�en


1

2

4

5

3

Reifegrad 5Op�mierter Prozess81-100%






Seite ⁄ ⁄ 22

6. Ergebnisse der Dimension 3 „Datenschutzkontrolle und der Reifegrad“

Die Dimension Datenschutzkontrolle

Die Dimension 3 hat folgende Ausprägungen: ⁄ ⁄ Datenschutz-Folgeabschätzung⁄ ⁄ Profiling-Folgeabschätzung⁄ ⁄ Zertifizierungen⁄ ⁄ Eskalations- und Meldeprozesse⁄ ⁄ Meldepflichten (Fristen)⁄ ⁄ Auftragsverarbeiterverträge⁄ ⁄ Externe Datenverarbeitung

Datenschutz-Folgeabschätzung

Die Datenschutz-Folgeabschätzung ist nichts anderes als die bisher im deutschen Datenschutz-recht schon bekannte Vorabkontrolle im BDSG. Diese Folgeabschätzung ist für Unternehmen ver-pflichtend. Deshalb müssten Unternehmen die Anforderungen an die Datenschutzfolgeabschät-zung prinzipiell schon erfüllt haben.

Laut unseren Umfrageergebnissen ist die Erfüllung der Anforderungen bei der Datenschutz-Fol-geabschätzung bei den befragten Finanzinstituten aktuell noch nicht der Fall. Dies kann einerseits daran liegen, dass das Konzept nach Art. 35 DSGVO erheblich von dem der Vorabkontrolle nach § 4d Abs. 5 BDSG abweicht und andererseits sind die Informationen in der Folgeabschätzung noch ausführlicher als im BDSG.

Die folgenden Mindestinhalte9 müssen bei der Datenschutz-Folgeabschätzung enthalten sein:⁄ ⁄ Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung

⁄ ⁄ Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitungsvorgänge in Bezug auf den Zweck

⁄ ⁄ Eine Bewertung der Risiken, der Rechte und der Freiheiten der betroffenen Personen

⁄ ⁄ Eine Bewertung der zur Bewältigung von Datenschutzrisiken geplanten Abhilfemaßnahmen, z. B. Garantien, Sicherheitsvorkehrungen

9 Dies ist lediglich ein Auszug der Mindestinhalte der Datenschutz-Folgeabschätzung.

6. Ergebnisse ader Dimension 3 „Datenschutzkontrolle und der Reifegrad“

Nachfolgend wird auf den Erfüllungsgrad der oben genannten Mindestinhalte detaillierter ein-gegangengen.

Abbildung 15: Erfüllungsgrad der Mindestinhalte der Datenschutz-Folgeabschätzung

Systematische Beschreibung der geplanten Verarbeitungsvorgänge und Zweck der Verarbei-tung: Die Datenschutz-Folgeabschätzung umfasst eine systematische Beschreibung der geplan-ten Verarbeitungsvorgänge und der Zwecke der Verarbeitung. Diese Beschreibung wird gegebe-nenfalls einschließlich der vom Verantwortlichen verfolgten Interessen erstellt. 22 Prozent der befragten Finanzinstitute geben bereits an, die Mindestanforderungen größtenteils erfüllt zu haben. 33 Prozent konnten aktuell keine Angaben über den Status quo der Erfüllung angeben.

Bewertung der Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitungsvorgänge in Bezug auf den Zweck: Bei einer Datenschutz-Folgeabschätzung bewertet der Verantwort-liche u. a. die Notwendigkeit und Verhältnismäßigkeit der geplanten Verarbeitungsvorgänge in Bezug auf den vom Verantwortlichen verfolgten Zweck (Verhältnismäßigkeitsprüfung). 33 Pro-zent der befragten Finanzinstitute führen eine Bewertung der Notwendigkeit geplanter Verar-beitungsvorgänge durch, worunter 11 Prozent bereits die Anforderungen vollständig erfüllen. Die restlichen 11 Prozent befinden sich aktuell noch in der Prüfungsphase.

Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen: Wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bei einer Datenverarbeitung ent-steht, führt der Verantwortliche vorab eine Datenschutz-Folgeabschätzung durch (Prüfung der Erforderlichkeit einer Datenschutz-Folgeabschätzung). 22 Prozent der Teilnehmer führen bereits eine Bewertung der beschriebenen Anforderungen durch, weitere 33 Prozent befinden sich in der Prüfungsphase oder erfüllen die Anforderungen aktuell nicht. Der Großteil (33 Prozent) kommuniziert einen massiven Ausbaubedarf im Kontext einer personenbezogenen Bewertung.

Bewertung der zur Bewältigung von Datenschutzrisiken geplanten Abhilfemaßnahmen (z. B. Garantien, Sicherheitsvorkehrungen): Eine Datenschutz-Folgeabschätzung umfasst die Doku-mentation und Bewertung der zur Bewältigung von Datenschutzrisiken geplanten Abhilfemaß-nahmen, z. B. Garantien, Sicherheitsvorkehrungen und den Nachweis, dass die Bestimmungen der DSGVO eingehalten werden (Maßnahmen zur Risikoverringerung). Lediglich 11 Prozent der befragten Unternehmen erfüllen diese Anforderung. 33 Prozent erfüllen die Anforderung nur teilweise, wohingegen 11 Prozent hier einen erheblichen Nachholbedarf offenbaren.

Systema�sche Beschreibung der geplantenVerarbeitungsvorgänge und der Zweck derVerarbeitungBewertung der Notwendigkeit und Verhältnismäßigkeit der geplantenVerarbeitungsvorgänge in Bezug auf den Zweck

Bewertung der Risiken der Rechte undFreiheiten der betroffenen Personen

Bewertung der Risiken der Rechte undFreiheiten der betroffenen Personen

33%

11%

11%

11% 33% 11% 22% 11%

22% 33% 11% 11% 11%

44% 22% 11%

11% 33% 11% 11% Reifegrad 5Op�mierter Prozess81-100%







Profiling Folgeabschätzung

Unter Profiling versteht die DSGVO jede automatisierte Verarbeitung von personenbezogenen Daten, um bestimmte Lebensumstände einer Person systematisch zu untersuchen (wie z. B. die wirtschaftliche Situation). Hier gibt es für die Betroffenen gemäß der DSGVO ein Widerspruchs-recht im Fall von technischen Profiling-Vorgängen.

Weitere Beispiele für das Profiling sind die Erfassung von Standortdaten oder auch das Scoring für Zwecke der Kreditvergabe.

Abbildung 16: Durchführung einer Folgeabschätzung im Fall von Profiling

44 Prozent der befragten Finanzinstitute nutzen derzeit Profiling-Folgenabschätzungen bei kri-tischen Datenverarbeitungen. 56 Prozent geben an, den Sachverhalt zu prüfen.

Zertifizierungen

Die DSGVO stellt erstmals umfassende Regelungen für die Einführung von Verhaltensregeln und Zertifizierungen auf. Das Zertifikat soll bescheinigen, dass datenschutzrechtliche Anforde-rungen im Unternehmen eingehalten werden. Gemäß Art. 42 Abs. 5 dürfen Zertifikate nur von den Aufsichtsbehörden oder akkreditierten Zertifizierungsstellen ausgestellt werden. Aktuell sind noch keine Zertifizierungen für die Erfüllung der neuen EU-DSGVO-Anforderungen eta-bliert. Grundsätzlich fokussiert eine Zertifizierung die Existenz von systematischen Prozessen und Strukturen, die die regelmäßige Einhaltung der Anforderungen in der Zukunft sicherstellen. Daher ist die Einstellung der befragten Institute auf bereits vorhandene Zertifizierungen ein Indikator dafür, wie schwer oder leicht eine zukünftige EU-DSGVO-Zertifizierung fallen würde.Nachfolgend werden drei spezifische Anforderungen an Zertifizierungen sowie unsere Umfra-geergebnisse dargestellt (Auszug gemäß Art. 42 DSGVO).

Einführung von datenschutzspezifischen Zertifizierungsverfahren: ⁄ ⁄ Rund 11 Prozent der befragten Finanzinstitute schätzen die Erfüllung datenschutzspezifi- scher Zertifizierungen als überwiegend erfüllt ein. Der Großteil ist verhaltener – 89 Prozent können die Erfüllung der Anforderungen aktuell nicht bejahen.

Einführung von Datenschutzsiegeln und -prüfzeichen: ⁄ ⁄ Nur marginale 11 Prozent der befragten Finanzinstitute geben bereits an, Datenschutzsiegel und -prüfzeichen zu verwenden. 89 Prozent erfüllen dies aktuell nicht oder befinden sich noch in der Prüfungsphase.

Die Zertifizierungen können von unabhängigen Zertifizierungsstellen vergeben werden, die allerdings von den Aufsichtsbehörden akkreditiert werden müssen: ⁄ ⁄ Die befragten Finanzinstitute sind sehr passiv – rund 67 Prozent können sich bis dato nicht von unabhängiger Stelle Zertifizierungen vergeben lassen. 33 Prozent befinden sich auf einem befriedigenden Niveau.

44% 56%


Seite ⁄ ⁄ 25

Eskalations- und Meldeprozesse

Die Umfrageteilnehmer schätzen die Qualität ihrer Eskalations- und Meldeprozesse als „gut“ ein. So geben 77 Prozent eine durchaus positive Einschätzung ab. 11 Prozent vergeben sogar das Prädikat „sehr gut“.

Abbildung 17: Beurteilung der Qualität in Bezug auf Eskalations- und Meldeprozesse

Neben der Qualität in Bezug auf die Eskalations- und Meldeprozesse haben wir die Umfrageteil-nehmer zu den wesentlichen Schwächen hierzu befragt (siehe Abb. 18).

Abbildung 18: Schwächen in Bezug auf die Eskalations- und Meldeprozesse zum Datenschutz10

Meldepflichten (Fristen)

Die schnellere Meldung ist eine Herausforderung für die Unternehmen. Tritt z. B. ein Daten-verlust auf, müssen Unternehmen innerhalb von 72 Stunden ihrer behördlichen Meldepflicht nachkommen.

Abbildung 19: Erfüllung der Meldeprozesse innerhalb der geforderten Frist

1 - Sehr hohe Qualität 2 3 4 5 6 - Sehr geringe Qualität

44%

33%

11%11%

Sons�ges

Fehlende Eskala�onske�e

Qualität (Aussagekra� der Meldung)

Zeitnahe Abdeckung aller Vorfälle

27%

27%

27%

18%

1 - Vollständig erfüllt 2 3 4 5 6 - Nicht erfüllt

11%

22%

44%

11% 11%

10 Hier waren Mehrfachnennungen möglich. Sonstiges: Meldefrist von 72 Stunden.



Gemäß der Abb. 19 erfüllen 33 Prozent der befragten Finanzinstitute die prozessualen Mel-depflichten im positiven Maße – 11 Prozent weisen erhebliche Mängel auf oder können die Anforderung aktuell noch nicht erfüllen (44 Prozent).

Auftragsverarbeiterverträge

Wie bisher darf der Auftragsverarbeiter (d. h. Datenverarbeitung durch Dienstleister) nach Art. 29 DSGVO die Daten nur auf Weisung des für die Verarbeitung Verantwortlichen („Joint Con-troller“) verarbeiten.

In einem Vertrag zur Auftragsdatenverarbeitung müssen nach Art. 28 Abs. 3 DSGVO beispiels-weise Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, Art der perso-nenbezogenen Daten etc. geregelt werden.

Abbildung 20: Erfüllung der Anforderung in Bezug auf die Auftragsverarbeiterverträge

Gemäß der Befragungsergebnisse geben 44 Prozent der Finanzinstitute an, dass sie die gesetz-lichen Anforderung erfüllen können. Die restlichen Unternehmen verneinen (12 Prozent) oder befinden sich aktuell noch in der Prüfungsphase (44 Prozent).

Externe Datenverarbeitung

Für den reibungslosen Ablauf der externen Datenverarbeitung müssen geeignete technische und organisatorische Maßnahmen vorhanden sein. Insbesondere der Datenaustausch mit der Cloud muss exakt dokumentiert werden.

Abbildung 21: Existenz eines auditierbaren Prozesses bei der externen Datenverarbeitung

Ein auditierbarer Prozess wird von 67 Prozent der Umfrageteilnehmer durchgeführt – 33 Pro-zent können in diesem Kontext noch keine eindeutige Aussage treffen.

44% 12% 44%


67% 33%


Seite ⁄ ⁄ 27


Reifegrad für Dimension 3 Datenschutzkontrolle

In der Dimension 3 befinden sich die Finanzinstitute, die an der Umfrage teilgenommen haben, im Gesamtdurchschnitt auf Stufe 3 (Definierter Prozess = 46%) des Reifegradmodells. Somit er-reichen sie in dieser Dimension den niedrigsten Entwicklungsstand und somit das schlechteste Gesamtergebnis im Vergleich zu den Dimensionen 1 und 2.

Bezogen auf die Dimension 3 gibt es, so die Tendenz, noch viel ungenutztes Potenzial bei den Themen Zertifizierungen, Profiling-Folgeabschätzung und Datenschutz-Folgeabschätzung. Gründe hierfür können die höhere Komplexität der Themenfelder, insbesondere der Detail-lierungsgrad der Datenschutz-Folgeabschätzung, die Meldefristen, die Auftragsverarbeiterver-träge und die externe Datenverarbeitung sein. Hier müssen die Finanzinstitute allem Anschein nach kräftig aufholen. Die wachsende Bedeutung des Themas rund um die Qualität der Eskala-tions- und Meldeprozesse ist ersichtlich.

Datenschutz-Folgeabschätzung

Externe Datenverarbeitung

Au�ragsverarbeiterverträge Zer�fizierungen

Meldepflichten (Fristen)

Profiling Folgeabschätzung

Eskala�ons- und Meldeprozesse

1

2

3

4

5Reifegrad 5Op�mierter Prozess81-100%






Seite ⁄ ⁄ 28


Überblick der identifizierten Handlungsfelder in Form einer sogenannten Heatmap11

Basierend auf den identifizierten Handlungsfeldern pro Dimension wird nachfolgend eine soge-nannte EU-DSGVO-Heatmap mit den kritischen Bereichen dargstellt.

Abbildung 22: Umfrageergebnisse in der EU-DSGVO-Heatmap

Mit Hilfe der Heatmap (siehe Abb. 22) können die wichtigsten Prozesse rund um die EU-DSGVO identifiziert werden. Weiterhin können anhand der einfachen 3-stufigen Risikobewertungsskala „niedrig, mittel, hoch“ die Bereiche aufgezeigt werden, bei denen im Falle der Nicht-Erfüllung der EU-DSGVO-Anforderungen ein erhöhtes Risiko besteht. Darüber hinaus kann diese Übersicht Unternehmen jeder Branche Denkanstöße geben, EU-DSGVO-Projekte für besonderes kritische Bereiche schnellstmöglich anzustoßen, Schwachstellen und potenzielle Bedrohungen frühzeitig zu identifizieren und entsprechend zu bewerten.

11 Eine Heatmap kann zur Visualisierung von Informa-tionen herangezogen werden und erlaubt es, anhand einer Farbcodierung bestimmte Bereiche intuitiv und schnell zu erfassen.

EU-DSGVO

Dimension 1Datenschutzstrategie und

Organisation

Dimension 2Operative Datenschutz-

vorgaben

Dimension 3Datenschutzkontrolle

Kommunikations-strukturen

Nachweispflichten(sog. Accountability)

DatenschutzFolgeabschätzung

Transparenz-vorschriften

ProfilingFolgeabschätzung


Eskalation- und Meldeprozesse

Datenübertragbarkeit ExterneDatenverarbeitung

Datenschutzstrategie

Garantien

Joint Controller Verfahrensverzeichnis Zertifizierung

Branchenstandards Privacy by Design Meldepflichten(Fristen)

Privacy by Default Auftragsverarbeiter-vertäge

HochMittelNiedrig

Seite ⁄ ⁄ 29


Basierend auf den identifizierten Handlungsfeldern und der Heatmap liefert EXXETA folgende Handlungsempfehlungen, Lösungsansätze und Umsetzungshinweise rund um die EU-DSGVO:

⁄ ⁄ Definition und Entwicklung einer EU-DSGVO-Roadmap: Unternehmen jeder Branche sollen sich nun folgende Fragen stellen: ⁄ ⁄ Wo sind wir heute schon gut? ⁄ ⁄ Wo müssen wir noch besser werden? ⁄ ⁄ Was kommt auf uns zu? ⁄ ⁄ Woran arbeiten wir derzeit, um die EU-DSGVO-Anforderungen zu erfüllen?

Weiterhin empfiehlt EXXETA, die Geschäftsleitung bzw. die Entscheidungsträger im Unter- nehmen über die EU-DSGVO aufzuklären und dazu zu bringen, das EU-DSGVO-Thema als ein geschäftliches Thema zu betrachten, in das es sich zu investieren lohnt. Daraus resultie- rend wird empfohlen, einen Maßnahmen- und Kommunikationsplan zu erstellen, um bis 2018 die rechtlichen Vorgaben einzuhalten.

⁄ ⁄ Frühzeitiger Beginn mit einer Kosten- und Ressourcenplanung: Die Implementierung der EU-DSGVO-Anforderungen kann hohe Umsetzungskosten verursachen. Deshalb sollte eine frühzeitige Ressourcenplanung (Festlegung der Projektteamgröße und der Projektziele, Bud- getplanung etc.) angestoßen werden.

⁄ ⁄ Entwicklung von datenschutzrelevanten Szenarien: Um die Geschäftsleitung von einer kon- tinuierlichen Investition in das EU-DSGVO-Thema sowie entsprechender Technologien zu überzeugen, empfehlen wir die Entwicklung von datenschutzrelevanten Szenarien. Diese Szenarien können sich z. B. auf die Speicherung und Verarbeitung personenbezogener Da- ten in einem Unternehmen oder auf die Übermittlung von Daten in ein Drittland beziehen.

⁄ ⁄ Anpassung der Unternehmens- und Datenschutzrichtlinien sowie Anpassung bestehender Konzepte: Im Hinblick auf die weitreichenden Änderungen durch die EU-DSGVO empfehlen wir Ihnen, Ihre Unternehmensrichtlinien, Datenschutz- und Informationsrichtlinien zu prü- fen und ggf. anzupassen. Wir können gemeinsam mit Ihnen Unternehmensrichtlinien im Be- reich Datenschutz entwickeln, z. B. bezogen auf den Datenzugriff, die Datenaufbewahrung und die Datenarchivierung. Im Hinblick auf die Umsetzungsphase empfehlen wir Anpassun- gen am Datenschutzkonzept, am Konzept zur Datenübertragbarkeit und am Lösch- und Sperrkonzept vorzunehmen.

⁄ ⁄ Prüfung der bestehenden Prozesse und stärkere Verankerung des technologischen Daten- schutzes: Prüfung und Anpassung von Prozessen zu den folgenden Themen: ⁄ ⁄ Datensicherheit ⁄ ⁄ Transparenz- und Nachweispflichten ⁄ ⁄ „Recht auf Vergessenwerden“ ⁄ ⁄ Recht auf Datenübertragbarkeit ⁄ ⁄ Prozesse zu Profiling ⁄ ⁄ Prozesse zu Big Data ⁄ ⁄ Privacy by Design and by Default ⁄ ⁄ Datenschutzfolgeabschätzung

⁄ ⁄ Prüfung bestehender IT-Systeme auf Gesetzeskonformität: Wir empfehlen eine Prüfung bestehender IT-Systeme auf die EU-DSGVO-Gesetzeskonformität. Insbesondere empfehlen wir eine Prüfung (z. B. Konzeptions-, Angemessenheits- sowie Wirksamkeitsprüfung) des sog. Datenschutz-Management-Systems nach dem IDW PS 980.

⁄ ⁄ Verständnis für alle Phasen des Datenlebenszyklus sowie Erstellung eines Rahmenkonzep- tes für ganzheitliches Data Governance: Erst wenn Unternehmen den gesamten Lebenszyk- lus von der Erstellung, Aktualisierung und Umwandlung bis hin zur Löschung der Daten verstanden haben, sind sie in der Lage, kritische und personenbezogene Unternehmensda- ten vollständig zu steuern, zu dokumentieren und den größtmöglichen Nutzenwert aus Datenbeständen zu gewinnen.

Seite ⁄ ⁄ 30


⁄ ⁄ Durchführung von detaillierten Analysen: EXXETA hat durch diese Umfrage ein vereinfach- tes Reifegradmodell, basierend auf 41 Fragen, erstellt. Weiterhin empfehlen wir die Erstel- lung bzw. die Anpassung von diversen Checklisten (z. B. bezogen auf die Datenschutz-Fol- genabschätzung und den Auftragsverarbeitungsvertrag). Darüber hinaus empfehlen wir, im Rahmen der Datenschutz-Folgeabschätzung eine Risikoanalyse durchzuführen.

⁄ ⁄ Investition in intelligente und vorausschauende EU-DSGVO-Lösungen: Unternehmen müs- sen sich jetzt die Frage stellen, mit welchen technischen Lösungen sie die Erfüllung der zukünftigen Anforderungen gewährleisten können. So können Big-Data- und Analytics- Lösungen sowie Endpoint-Security-Lösungen beim Einhalten der EU-DSGVO unterstützen. Durch diese Lösungen können Daten innerhalb des Unternehmens frühzeitig identifiziert und analysiert werden. Weiterhin sollen sich Unternehmen über Verschlüsselungswerkzeu- ge, spezielle Löschmanagement-Tools, Migrationslösungen zur Ermöglichung der Datenpor- tabilität, Access-Governance-Lösungen sowie Tools zur Unterstützung bei den Risikoanaly- sen frühzeitig informieren und entsprechend evaluieren.

Seite ⁄ ⁄ 31


Unsere Umfrage soll wertvolle Hinweise geben, wo die Stärken und Schwächen von Unterneh-men liegen und wo es sich lohnt, weitere Analysen anzusetzen.

Doch was sollen Finanzinstitute nun konkret tun?

EXXETA kann Ihr Unternehmen im gesamten EU-DSGVO-Projektlebenszyklus unterstützen – von der Strategie bis hin zur Umsetzung.

Phase 1: Vorstudie unter Anwendung der EXXETA Methodologie (Health-Check-Prüfung inkl. Gap-Analyse und Heatmap)

⁄ ⁄ Im Rahmen einer EU-DSGVO-Vorstudie erarbeiten wir in Workshops mit Ihnen die Auswir- kungen der EU-DSGVO. Wir helfen Ihrem Unternehmen, den Handlungsbedarf und Hauptrisi- ken anhand einer strukturierten Health-Check-Prüfung zu identifizieren.

⁄ ⁄ In Tabelle 4 ist ein Auszug der Checkliste inkl. Beispiele dargestellt, die bei der EXXETA Health- Check-Prüfung verwendet wird.

Tabelle 4: Auszug der Checkliste für die DSGVO-Health-Check-Prüfung

Nummer Prüfbereiche in Form von strukturierten Fragen

EU-DSGVO- Kapitelver-weis

Reifegrad-stufen:0 bis 512

Handlungs-bedarf (Ja / Nein)

Status Kom-mentare

Dimension 1

1 Datenübermittlung vorbehaltlich geeigneter Garantien: Ist sicherge-stellt, dass ein etwaiger Datentransfer in ein Drittland zukünftig auf Basis der Anforderung erfolgt?

Art. 46 DSGVO

Stufe 3 Defi-nierter Prozess (41-60%)

Ja ... ...

Dimension 2

2 Werden in Ihren IT-Lösungen und Verfahren die „Privacy by Design“- Prinzipien bereits bei der Entwicklung berücksich-tigt?

Art. 25 Abs. 1 DSGVO

Stufe 4 Gesteu-erter Prozess (61-80%)

Ja ... ...

Dimension 3... ... ... ... ... ... ...

12 Reifegradstufen: 5 – Optimierter Prozess, 4 – Ge-steuerter Prozess, 3 – Definierter Prozess, 2 – Rudi-mentärer Prozess, 1 – Ad-hoc-Aktivitäten, 0 – Keine Aktivitäten


Basierend auf der EXXETA Health-Check-Prüfung können wir Ihnen eine detaillierte Gap-Ana-lyse und eine Heatmap anbieten. Basierend auf dieser Heatmap kann Ihr Unternehmen die identifizierten und risikobehafteten Handlungsfelder auf einen Blick erkennen.

⁄ ⁄ Die Dauer einer EXXETA Vorstudie (Health-Check-Prüfung, Gap-Analyse und Heatmap) beträgt ca. 3 Monate

⁄ ⁄ Bei der Health Check Prüfung werden u. a. folgende EU-DSGVO-Grundsätze und Regelun- gen bewertet: ⁄ ⁄ Datenportabilität ⁄ ⁄ Datenfolgeabschätzung ⁄ ⁄ Profiling ⁄ ⁄ Recht auf Vergessenwerden ⁄ ⁄ Privacy by Design ⁄ ⁄ Privacy by Default ⁄ ⁄ IT-Sicherheit (Verschlüsselung, Zugriffs- und Zugangskontrolle, Netzwerksicherheit)

⁄ ⁄ Als Ergebnis der Vorstudie wird ein Fachkonzept erstellt, welches Auskunft über die notwendigen Kapazitäten ausweist und die Voraussetzungen für ein Umsetzungsprojekt aufzeigt

⁄ ⁄ In dieser Phase können wir Sie ebenfalls bei der Anpassung bzw. Änderung der erforderli- chen Konzepte wie z. B. dem Datenschutzkonzept, Konzept zur Datenübertragbarkeit, Lösch- und Sperrkonzept unterstützen

Phase 2: Beratung bei der Umsetzungsplanung sowie einer EU-DSGVO-Roadmap

Der Aufwand für die Phase 2 lässt sich auf Basis der Ergebnisse der Phase 1 abschätzen.Wir stehen Ihnen hierdurch insbesondere bei folgenden Herausforderungen mit unserer um-fangreichen Erfahrung unterstützend zur Seite:

⁄ ⁄ Bewertung von Optionen und Definition eines Zielbilds

⁄ ⁄ Erstellung eines Business Case für Vorstand bzw. Geschäftsführung

⁄ ⁄ Erstellung einer EU-DSGVO-Roadmap

Auf unserer EXXETA EU-DSGVO-Webseite unter http://www.exxeta.com/de/dsgvo-studie/evaluierung-des-datenschutz-reifegrades-ihres-unternehmens/ bieten wir Ihnen eine kosten-lose Evaluierung des Datenschutz-Reifegrads in Ihrem Unternehmen an.

https://www.exxeta.com/de/dsgvo-studie/evaluierung-des-datenschutz-reifegrades-ihres-unternehmens/

https://www.exxeta.com/de/dsgvo-studie/evaluierung-des-datenschutz-reifegrades-ihres-unternehmens/

Seite ⁄ ⁄ 33

9. Fazit und Ausblick

Finanzinstitute stehen in der Pflicht, die technischen und rechtlichen Veränderungen, die die DSGVO gegenüber dem Bundesdatenschutzgesetz (BDSG) mit sich bringt, zu verstehen und diese bis zum 25. Mai 2018 zu erfüllen. Aber nicht nur Finanzinstitute stehen in dieser Pflicht – Unter-nehmen jeder Branche müssen nun Sicherheitsmaßnahmen ergreifen, ihre bestehenden Strukturen der Datenverarbeitung überprüfen und Datenschutzprozesse im Unternehmen anpassen oder neu schaffen.

Im vorliegenden Dokument wurden die wesentlichen Umfrageergebnisse unter besonderem Fokus von drei Dimensionen – Datenschutzstrategie, operative Datenschutzvorhaben und Datenschutz-kontrolle – dargestellt. Das Ziel der Umfrage bestand darin,

1. zu erfahren, wie weit Finanzinstitute bei der Umsetzung der aktuellen EU-DSGVO-Anforder- ungen sind2. den Datenschutz-Reifegrad anhand eines EXXETA Reifegradmodells zu bewerten und die Unter- nehmen auf bestehende Lücken hinzuweisen3. Handlungsfelder zu identifizieren und allgemeine Handlungsempfehlungen zur Umsetzung der EU-DSGVO zu geben.

Die Ergebnisse haben gezeigt, dass die befragten Finanzinstitute noch nicht gut auf die Anforde-rungen der EU-DSGVO vorbereitet sind. In allen drei EU-DSGVO-Dimensionen bestehen erhebli-che prozessuale und technische Verbesserungspotenziale.

Finanzinstitute müssen nun entsprechende Vorkehrungen (z. B. Einführung oder Anpassung ei-nes Datenschutz-Management-Systems) treffen und ihre Chancen durch Datenschutz sowie die geschäftliche Notwendigkeit (z. B. Erschließung neuer Marktsegmente) zur Umsetzung der EU-DSGVO erkennen.

Da sich die wichtigsten Aspekte der neuen DSGVO auf die Themen Data Governance und der Rechenschaftspflicht beziehen, müssen diese Themen nun zu einer unternehmensweiten Priorität gemacht werden. Die Nichteinhaltung ist mit erheblichen Sanktionierungen verbunden und kann sich auch negativ auf die Geschäftsergebnisse auswirken.

Um die strengen Compliance Vorgaben erfüllen zu können, wird die Nachfrage nach innovativen IT-Sicherheits- oder Datenschutzlösungen bei führenden Anbietern zukünftig steigen. Insbesondere in mobil-basierten und Cloud-basierten Umgebungen (z. B. bei der Auslagerung von datenschutz-relevanten Prozessen) müssen Unternehmen nun verstärkt dafür sorgen, ihre Daten ausreichend zu schützen und nachweisbar prüfen, ob die IT-Provider der Unternehmen die EU-DSGVO-Anfor-derungen erfüllen können.

Ihre Ansprechpartner

Standorte: Karlsruhe, Frankfurt, Stuttgart, Leipzig, Berlin, Mannheim, München, Zürich, Bratislava

© 2016 EXXETA AG. Alle Rechte vorbehalten. Alle Namen und Warenzeichen sind das Eigentum ihrer jeweiligen Inhaber und werden hiermit anerkannt. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden. EXXETA übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. Aus den in dieser Publikation enthaltenen Informationen ergibt sich keine weiterführende Haftung.

EXXETA AGAlbert-Nestler-Straße 1176131 Karlsruhe

fon +49 721 6105-1500fax +49 721 6105-1599

web EXXETA.com

Über EXXETA

EXXETA verbindet Business- und IT-Welt. Wir sind Ihr Partner von der Strategieumsetzung bis zur Optimierung Ihrer Sys-temlandschaft. Dieser ganzheitliche Beratungsansatz hilft Ihnen, Abhängigkeiten über alle Unternehmensebenen hinweg aufzudecken, neue Potenziale zu erschließen und Ihre Risiken zu reduzieren. Unternehmen werden mit unserer Hilfe effi-zienter und erfolgreicher. Für Ihre individuellen Anforderungen finden wir neben den passenden Standardprodukten auch maßgeschneiderte Lösungen. Unser Dienstleistungsportfolio bietet dabei die ideale Kombination aus den Beratungsfeldern Management Consulting, Industry Consulting, Methodology Consulting und IT Consulting.

Über EXXETA Financial Services

Durch die langjährige Branchenerfahrung aus Transformations- und Prozessoptimierungsprojekten im Finanzinstitute- und Kapitalmarktsektor hat EXXETA die notwendige Expertise, Finanzdienstleister auf höchstem Niveau zu beraten. EXXETA unterstützt Sie im Management Consulting sowohl bei der Strategiedefinition in Business und IT als auch bei der Erarbei-tung von Road-Maps und Governance-Strukturen für das Transformation Management und im Program Management. Da-bei bringen wir fachliche Expertise im Bereich Banking, Treasury, Financial Markets und Asset Management ein und denken die Themen auch auf der technischen Ebene zu Ende.

Christoph WronkaTeam Manager Risk, Finance & Compliance

[email protected]

Michael BarriosTeam Manager IT-Transformation Management

[email protected]

Lilian HugSenior Consultant Risk, Finance & Compliance

[email protected]

Dr. Burkhard EiselePartner Risk, Finance & Compliance

[email protected]