Schlagwort: EU-DSGVO

Bleiben Sie auf dem laufenden - der EU-DSGVO RSS-Feed

Aktueller Stand zur Umsetzung der EU-DSGVO bei Leasinggesellschaften in Deutschland – Ergebnisse unseres Leasingforums 2018

Der Zeitraum für die Umsetzung der EU-DSGVO ist seit dem 25. Mai 2018 verstrichen. Dennoch weist ein Großteil der Unternehmen in Deutschland noch Lücken bei der Umsetzung der neuen Datenschutzanforderungen auf. Um herauszufinden, wie sich die Leasingbranche selbst in Bezug auf den Umsetzungsstand der Verordnung einschätzt, wurden im Rahmen unseres jährlich stattfindenden PwC-Leasingforums 62 Branchenvertreter zu ausgewählten Themen der EU-DSGVO befragt.

Welche spannenden Ergebnisse sich aus dieser Umfrage ergeben haben, lesen Sie auf unserer Homepage.

 

 

 

 

Leasingforum 2018 – Wir freuen uns mit spannenden Themen auf Sie

In unserem jährlichen Leasingforum möchten wir Ihnen unsere Sicht über aktuellen Themen, welche die Branche bewegen, vorstellen und diese mit Ihnen diskutieren. Auch in diesem Jahr haben wir für Sie eine spannende Agenda vorbereitet.  

Das Thema Digitalisierung steht hierbei im Mittelpunkt.. Hierzu möchten wir mit Ihnen die rechtlichen Aspekte der Digitalisierung in Bezug auf die EU-Datenschutzgrundverordnung und deren Umsetzungsstand beleuchten sowie neue technologische Möglichkeiten wie den Einsatz von Robotics in der Praxis betrachten.

Da Innovation, agiles Handeln und neue Herangehensweisen an Herausforderungen – nicht nur im Bereich der Digitalisierung – insbesondere in der Leasingbranche  wesentliche Differenzierungsfaktoren sind, werden wir Ihnen einen Einblick in unser Experience Center bieten, wo Sie in verschiedenen Kurzworkshops Innovation selbst erleben können.

Darüber hinaus informieren wir Sie kurz und prägnant über weitere aktuellen Themen, die die Branche betreffen.

Das Leasingforum wird an drei Standorten von 9.30 bis 12:45 Uhr an folgenden Terminen stattfinden:

Donnerstag, 30. August 2018, Frankfurt am Main     
Donnerstag, 06. September 2018, Düsseldorf
Dienstag, 18. September 2018, München

Unter folgenden Link können Sie sich unser Leasingforum anmelden:www.pwc-events.com/leasingforum

Wir freuen uns, Sie als Teilnehmer des Leasingforums in unseren Niederlassungen begrüßen zu dürfen. 

 

DSGVO – der Countdown läuft (Teil 2)

Teil 1 des Interviews finden sie hier.


Teil 2:

Was sind aus Ihrer Sicht die Aspekte mit der höchsten Priorität, die im Rahmen der Umsetzung zu beachten bzw. umgesetzt werden sollten um das Risiko von Sanktionen zu minimieren?

In erster Linie ist es natürlich ratsam alle Anforderungen die sich z. B. auf die Kommunikation gegenüber dem Kunden auswirken bzw. in der Außendarstellung des Unternehmens liegen möglichst bis zum 25. Mai 2018 abzuschließen. Im Moment versenden sehr viele Unternehmen ihre an die EU-DSGVO angepassten allgemeinen Geschäftsbedingungen und/oder neue Einwilligungserklärungen. Sofern dies noch nicht geschehen ist, empfehlen wir dringend dies kurzfristig nachzuholen.

Zudem erwarten wir ab dem 25. Mai 2018 einen sprunghaften Anstieg von Auskunftsersuchen der Betroffenen. Daher empfehlen wir den Unternehmen einen strukturierten Prozess zu etablieren, um die Anfragen effizient und compliant beantworten zu können.

Aus unserer Sicht hat es sich in der Praxis bewährt zuerst die Zielaufbau- und Ablauforganisation zu konzipieren und hieraus resultierend einzelne Teilprojekte und Maßnahmen umzusetzen.

Die nach innen gerichteten Maßnahmen, wie z.B. die bereits erwähnte Anpassungen von IT-Systemen zur Umsetzung der Sperr- und Löschfunktionen können durchaus in einer späteren Projektphase umgesetzt werden, dürfen aber abschließend nicht vernachlässigt werden.

Grundsätzlich empfehlen wir aber die Projekte nicht unnötig in die Länge zu ziehen, da es sich um die Umsetzung notwendiger regulatorischer Anforderungen handelt.

 

Besteht die Möglichkeit für unsere Mandanten im Rahmen eines DSGVO-Pre-Checks dem eigenen Umsetzungsstand prüfen zulassen und mögliche Lücken zu identifizieren?

In vielen Fällen existieren bereits teilweise Prozesse und Verfahren zum Datenschutz, welche am BDSG ausgerichtet aber für die DSGVO-Compliance nicht ausreichend sind. Daher empfehlen wir ein Projekt immer mit einem solchen Pre-Check zu starten. Dabei können relativ schnell diejenigen Handlungsfelder identifiziert werden, die den größten Handlungsbedarf und die höchste Priorität haben sollten. Darauf aufbauend kann dann eine dem Kontext der Organisation angepasste Projektplanung für eine Umsetzung erstellt werden. Bei komplexen und langlaufenden Projekten empfehlen wir, auch sogenannte Quality Gates mit Zwischenprüfungen durchzuführen.

Selbstverständlich unterstützen wir unsere Mandanten bei der Durchführung eines Pre-Checks / einer Zwischenprüfung und begleiten auch die Umsetzung mit unseren interdisziplinären Expertenteams aus dem Rechtsbereich sowie der Beratung.

Zusätzlich können wir die Wirksamkeit des Datenschutzmanagementsystems (DSMS) bescheinigen. Dies bietet sich insbesondere dann an, wenn das Unternehmen sein DSGVO-Projekt abgeschlossen hat und einmalig oder regelmäßig die DSGVO-Konformität bescheinigt haben möchte. Hierzu prüfen wir das im DSMS verankerte Kontrollsystem auf Basis des internationalen Prüfungsstandard ISAE 3402 oder ISAE 3000. Da es derzeit noch keine sonstigen Instanzen gibt, die eine Datenschutzzertifizierung anbieten, erscheint uns dieses Vorgehen derzeit als die beste Möglichkeit, um den Kunden gegenüber die Wirksamkeit der zum Datenschutz ergriffenen Maßnahmen nachweisen zu können.

DSGVO – der Countdown läuft (Teil 1)

Das Ende der Umsetzungsfrist für die EU Datenschutz-Grundverordnung (DSGVO) liegt in greifbarer Nähe. Die Unternehmen haben nur noch wenige Tage Zeit die Anforderungen umsetzen. Wir wollen die Gelegenheit nutzen, um mit unserem Experten Rüdiger Giebichenstein in zwei Blogbeiträgen den aktuellen Umsetzungsstand sowie wesentliche Handlungsfelder zu diskutieren.

Kurze Vorstellung Rüdiger Giebichenstein:

Rüdiger Giebichenstein ist Partner im Bereich Risk Assurance Solutions Financial Services bei PwC und mit seinem Expertenteam bundesweit für Datenschutz- und Informationssicherheit, Business Continuity Management sowie IT-Compliance tätig.

 

 

In weniger als einem Monat tritt die neue EU Datenschutz-Grundverordnung (DSGVO) in Kraft. Wie ist Ihre Einschätzung zum aktuellen Umsetzungsstand der Mandanten?

Bezüglich des aktuellen Umsetzungsstands erleben wir ein eher verteiltes Bild. Einerseits haben einige Mandaten, insbesondere die große Unternehmen, hierzu bereits 2017 entsprechende Projekte gestartet und sind auf einem guten Weg die EU-DSGVO bis zum 25. Mai 2018 in zumindest den Grundzügen umzusetzen.

Es gibt aber Unternehmen, die den Umsetzungsaufwand und dazu zählen insbesondere die mit komplexen Geschäftsmodellen und IT-Landschaften deutlich unterschätzt und demzufolge die Projekte tendenziell zu spät gestartet haben. Für diese Unternehmen wird sich die Umsetzung der EU-DSGVO auch noch deutlich bis nach Ende Mai 2018 hinziehen.

Im Mittelstand zeigt sich, dass hier noch deutlicher Nachholbedarf existiert. Dort wurden die Entwicklungen zur DSGVO nicht oder nicht ausreichend verfolgt und beim Top Management wenige Projekte initiiert bzw. entsprechendes Bewusstsein geschaffen.

 

Wo sehen Sie noch die größten Hürden, Handlungsbedarf bzw. Unklarheiten im Rahmen der Umsetzung, die aktuell viele Mandanten vor Herausforderungen stellen?

Die wesentliche Herausforderung ist, dass die EU-DSGVO sehr generisch formuliert und die notwendige Konkretisierung an vielen Stellen bisher fehlt. Da es auch noch keine einschlägige Rechtsprechung gibt, sind die Unternehmen im Rahmen der Umsetzung dazu gezwungen, eigene Interpretationen zu liefern und entsprechende Annahmen zu treffen. Insbesondere sind dabei die Themen Datenschutzfolgeabschätzung oder Datenportabilität zu nennen, die so im BDSG bisher nicht aufgeführt waren. Je früher ein Unternehmen mit der Umsetzung dieser Themen begonnen hat, umso schwieriger war es für diese auf good-practices oder etablierten Lösungen zurückzugreifen. Vor diesem Hintergrund ist es auch durchaus nachvollziehbar, dass gerade kleine und mittelständige Unternehmen den Beginn der Umsetzungsprojekte verhältnismäßig lange hinausgezögert haben.

Auch die bisher im BDSG relativ konkret benannten technisch organisatorischen Maßnahmen (sog. TOM‘s), die zum Schutz von personenbezogenen Daten verpflichtend waren, sind durch generischere Formulierungen von sog. Schutzzielen abgelöst wurden, die allerdings z.T. bereits aus dem Bereich der Informationssicherheit bekannt sind. Dadurch werden den Unternehmen zwar zusätzliche Freiheiten eingeräumt, die Schutzmaßnahmen an den für sie relevanten Risiken auszurichten, gleichzeitig erfordert dies aber auch die Etablierung eines angemessenen Vorgehens zum IT-Risikomanagement was wiederum für viele Unternehmen neu ist.

Viele Unternehmen tun sich auch schwer damit, die abstrakt formulierten Anforderungen an die Nachweis und Rechenschaftspflichten in für den jeweiligen Kontext des Unternehmens passende Prozesse und Governance Strukturen zu überführen. Wir empfehlen daher unseren Mandanten den Aufbau eines sog. Datenschutzmanagementsystems (DSMS) und dieses eng mit ggf. bereits bestehenden Governance-Strukturen wie z.B. einem Informationssicherheitsmanagementsystem (ISMS) oder dem internen Kontrollsystem oder anderen Compliance-Funktionen zu verzahnen. Dadurch kann üblicherweise der Aufbau von unnötigen Doppelstrukturen vermieden werden und Synergien zu weiteren regulatorischen Anforderungen wie z.B. denen des IT-Sicherheitsgesetzes oder den MaRisk und den Konkretisierungen für die IT (BAIT und VAIT) wenn man beispielsweise den Finanzsektor betrachtet, erzielt werden.

Wie bereits erwähnt haben viele Unternehmen zudem den tatsächlichen Umsetzungsaufwand deutlich unterschätzt, da einige Anforderungen auch tiefgreifenden Anpassungsbedarf der einzelnen IT-Anwendungen erfordern. Insbesondere sind dabei das Recht auf „Vergessen werden“ und das Recht auf „Einschränkung der Verarbeitung“ zu nennen, da viele Anwendungen bisher gar keine Möglichkeiten geboten haben, Datensätze strukturiert und nachvollziehbar zu löschen und stattdessen die Datensätze einfach fortschreiben.

Gerade zum Abschluss der Projekte sehen wir derzeit häufig, dass es noch einmal erheblicher Anstrengung bedarf, um die umgesetzten Maßnahmen zum Datenschutz auch nachhaltig in der Unternehmenskultur zu verankern. Wir sind der Meinung, dass gelebter Datenschutz ein wirksames Instrument ist, um das Vertrauen der Kunden in eine Marke nachhaltig zu stärken. Die Unternehmen sollten sich nicht der „Verführung“ hingeben, Daten anders als zu dem Zweck zu dem sie erhoben wurden zu verwenden oder wichtige Maßnahmen zur Datensicherheit aus Kostengründen zu vernachlässigen und somit das Vertrauen der Kunden zu verspielen. Unabhängig hiervon hat der Gesetzgeber signifikante Sanktionsmaßnahmen vorgesehen (bis zu 20 Mio. EUR oder bis zu 4% des konzernweiten Umsatzes).

 


Teil 2 des Interviews finden Sie hier.

/* */