abaQon Project Report: Datenschutz / DSGVO

DAS PROJEKT

Eine renommierte Privatbank mit Sitz in Großbritannien sah sich mit neuen regulatorischen Anforderungen konfrontiert, die durch die jüngste Allgemeine Datenschutzverordnung (GDPR) auferlegt wurden, die am 25. Mai 2018 in Kraft trat. Aus der Sicht eines EU-Bürgers zielt die neue Verordnung auf den Schutz personenbezogener Daten und die Stärkung des Datenschutzes ab.

Die Einhaltung von fast einhundert Rechtsartikeln verursachte eine erhebliche Arbeitsbelastung für ein datengesteuertes Finanzinstitut. Der starke regulatorische Fokus auf die Rechte natürlicher Personen in Verbindung mit einer komplexen IT-Architektur, auf der Kundendaten verarbeitet und gespeichert werden, stellt selbst für ein ausgereiftes Unternehmen eine große Herausforderung dar. Zu diesem Zweck wurde die Projektarbeit in einer ausgewogenen, risikogewichteten Weise geplant und durchgeführt.

UNSER BEITRAG

Ein Team von abaQon-Beratern lieferte eine Projektmethodik, die durch einen Schwerpunkt auf Traceability untermauert wurde und dazu beitrug, die Anforderungen und die daraus resultierenden Ergebnisse zu strukturieren. Aufgrund des regulatorischen Charakters der Implementierung bestand ein Bedarf an einheitlichen Standards für die Projektdokumentation und die Sammlung von Nachweisen für alle Entscheidungen, um eine belastbare Informationsbasis zu Prüfzwecken zu schaffen.

Unsere Dienstleistung beinhaltete einen neuen IT-Aufbau, um die vorgeschriebenen regulatorischen und kundenzentrischen Anwendungsfälle – wie der „Subject Access Request“ (SAR) oder das „Right to be Forgotten“ – und die erforderliche Definition zusätzlicher Prozesse zu bedienen. Als Spezialität übernahm unser Team die federführende Rolle bei der Implementierung, Konfiguration und Prüfung des Datenlöschmoduls für das Kernbankensystem (Avaloq).

Darüber hinaus war abaQon direkt an der Analyse, Dokumentation und Umsetzung der Anforderungen im Zusammenhang mit der strategischen Systembereinigung von über 20 Hochrisikosystemen (Avaloq ist das Mastersystem für Kundenbeziehungsdaten) beteiligt. Die Sanierungsaktivitäten umfassten Aspekte wie Datenaufbewahrung, Datenminimierung oder die Kontrolle der End-to-End-Datenflüsse.

Randbemerkung: Obwohl das Projekt durch die EU-GDPR-Verordnung vorangetrieben wurde, müssen Schweizer Institutionen, die Geschäfte mit in der EU ansässigen Personen tätigen, die Bestimmungen dieser Verordnung einhalten. In naher Zukunft wird das Schweizer DSG, ein Geschwister von GDPR, in Kraft treten und auch für Institutionen, die in der Schweiz ansässige Personen bedienen, rechtliche Auswirkungen haben.