Was sind die Aufgaben eines Datenschutzverantwortlichen?
Kilian Bolli, Sie sind betrieblicher Datenschutzverantwortlicher bei der Schaffhauser Kantonalbank. Was sind Ihre wesentlichen Aufgaben in dieser Funktion?
Datenschutz geht uns alle etwas an, denn unserer Kundinnen und Kunden, unsere Mitarbeitenden, aber auch Stellenbewerberinnen und -bewerber erwarten einen seriösen und vertraulichen Umgang mit ihren persönlichen Daten.
Als Datenschutzverantwortlicher achte ich darauf, dass die Mitarbeitenden der Bank die Bestimmungen zum Datenschutz kennen und einhalten. Ein wichtiger Teil meiner Tätigkeit ist deshalb die Ausbildung der Mitarbeitenden und die Begleitung von IT-Projekten mit Blick auf datenschutzrechtliche Bestimmungen. Zu beachten sind insbesondere das Zweckbindungsprinzip und das Need-to-know-Prinzip. Sprich, die Mitarbeitenden sollen nur Daten erfassen und bearbeiten, die zweckmässig, das heisst erforderlich, sind, und sie sollen nur auf diejenigen Daten Zugriff haben, die sie für ihre Arbeit benötigen. Zusammen mit der Informatik definieren wir die erforderlichen technischen und organisatorischen Massnahmen zum Schutz der Personendaten. In diesem Zusammenhang kann ich als Datenschutzverantwortlicher Vorgaben für die Datenverarbeitung festlegen und die Durchführung von Kontrollen veranlassen. Darüber hinaus bearbeite ich an die Bank gerichtete Auskunfts-, Berichtigungs- und Löschbegehren.
Haben Finanzdienstleister besondere Herausforderungen zu meistern?
Der Umgang mit Personendaten stellt Finanzdienstleister immer wieder vor anspruchsvolle Herausforderungen. Sie bewegen sich im Spannungsfeld zwischen den idealistischen datenschutzrechtlichen Prinzipien und den tatsächlichen Umsetzungsmöglichkeiten, die ja mit wirtschaftlich vertretbarem Aufwand realisiert werden sollten.
Daten der Kundinnen und Kunden sind bekanntermassen nicht nur durch das Datenschutzgesetz, sondern auch durch das Bankkundengeheimnis geschützt. Die Bearbeitung von Personendaten, die bei einem Datenaustausch mit Dritten wie zum Beispiel einem Karten-Produzenten erfolgt, muss vertraglich geregelt und in technischer Hinsicht sicher und vertraulich sein. In einer sich immer stärker digitalisierenden Welt, in der Kundinnen und Kunden, aber auch Finanzdienstleister und Lieferanten, mit modernen und mobilen IT-Lösungen arbeiten, erweisen sich die von den Nutzerinnen und Nutzern verwendeten Endgeräte mitunter als Schwachstelle. Aus diesem Grund ist es wichtig, entsprechende technische Massnahmen zu ergreifen, um Datenverluste zu verhindern.
Schliesslich gilt es, die Datenmenge zu minimieren, namentlich die nicht mehr benötigten Daten zu löschen. Das bedeutet ganz konkret, dass wir als Bank Daten nach Ablauf der gesetzlichen Aufbewahrungsfrist konsequent löschen.
Welche Themen werden Sie als betrieblichen Datenschutzverantwortlichen 2022 besonders beschäftigen?
Im Jahr 2022 steht die Umsetzung des revidierten Datenschutzgesetzes und der revidierten Datenschutzverordnung im Fokus. Unternehmen, die Daten bearbeiten, werden neue Pflichten auferlegt. So muss künftig eine sogenannte Datenschutz-Folgenabschätzung vorgenommen werden. Dabei handelt es sich einfach gesagt um eine strukturierte Risikoanalyse bezüglich der verwendeten Abläufe bei der Datenverarbeitung.
Ebenfalls beschäftigen werden uns die immer verbreiterten Einsatzmöglichkeiten für Cloud-Lösungen. Softwareprogramme oder IT-basierte Lösungen für das Benutzer- oder Berechtigungsmanagement werden zunehmend als Cloud-Lösungen angeboten und entwickeln sich mehr und mehr zu einem Standard. Damit stellen sich unabhängig davon, ob sich auch Personendaten in der Cloud befinden, komplexe rechtliche und technische Fragen, die aber datenschutzkonform lösbar sind.
---
Kilian Bolli ist Leiter Recht & Compliance bei der Schaffhauser Kantonalbank und gleichzeitig betrieblicher Datenschutzverantwortlicher. Er berät die Geschäftsleitung und die Mitarbeitenden bei regulatorischen Fragen.
Veröffentlicht am 28. Januar 2022
Kilian Bolli, Leiter Recht und Compliance