Digitale Datenschutz-Umsetzung für Avaloq-Banken
Als Experten für den Compliance-Bereich bei Banken ist uns die EU-Datenschutz-Grundverordnung (EU-DSGVO) bestens bekannt. Seit dem 25. Mai 2018 ist sie in Kraft und legt in den EU-Mitgliedstaaten einheitliche Vorschriften für den Schutz von personenbezogenen Daten fest. Inwieweit die EU-Vorschriften für Schweizer Banken gelten und wie die Vorgaben möglichst digitalisiert umgesetzt werden können beantworten unsere Compliance-Experten gerne für Sie.
Ihr Ansprechpartner:
Birol Izel
Associate Partner
Betrifft die EU-DSGVO auch die Schweiz?
Betroffen sind alle Firmen, die personenbezogene Daten von EU-Kunden speichern und verarbeiten – auch Firmen mit Sitz ausserhalb der EU. Für Schweizer Banken mit personenbezogenen Daten von EU-Bürgern ist die Umsetzung der DSGVO-Vorschriften zwingend.
Die Umsetzung der EU-Regulierung bietet Schweizer Banken auch die Chance, bereits heute ihre Datenschutzstandards zu stärken und sich auf eine zukünftige Rechtsentwicklung vorzubereiten.
Wie lässt sich das «Recht auf Löschung» mit den gesetzlichen Aufbewahrungsfristen vereinbaren?
Das Recht auf Löschung der persönlichen Daten (Art. 17 EU-DSGVO) wirft einige Fragen zur Umsetzung auf. Insbesondere bestehen komplexe Abhängigkeiten zu vertraglichen und gesetzlichen Aufbewahrungsfristen aus anderen Rechtsbereichen. Daraus entstehen zahlreiche schwierige Interpretations- und Rangordnungsfragen, die bei der die Art der «Löschung» zu beachten sind.
Rechtskonforme Umsetzung im Avaloq PDW Framework
Um diesem Spannungsfeld Rechnung zu tragen, stellt Avaloq das Personal Data Wiping (PDW) Framework zur Verfügung. Es erlaubt ein- oder zweistufige Löschungs-Prozesse.
- Einstufig: die personenbezogenen Daten (Objekte) werden direkt und unwiderruflich gelöscht.
- Zweistufig: die erkannten Objekte werden für eine vordefinierte Periode verborgen und erst nach Ablauf der Frist irreversibel gelöscht.
Welche DSGVO-Lösungen bietet Confinale?
Wir unterstützen Banken bei der digitalen Umsetzung der DSGVO-Anforderungen «Löschen von personenbezogenen Daten», das «Rechte auf Auskunft» sowie das «Recht auf Berichtigung».
Recht auf Löschung
Für das automatisierte Löschen von personenbezogenen Daten setzen wir das von Avaloq zur Verfügung gestellte Personal Data Wiping (PDW) Framework ein und passen es an Ihre Bedürfnisse an.
Recht auf Auskunft & Berichtigung
Weitere Aspekte der DSGVO-Anforderungen wie das Recht auf Auskunft sowie das Recht auf Berichtigung parametrieren wir für Ihre Bank in Avaloq.
Die Umsetzung der EU-DSGO-Anforderung erfordert die Analyse aller Systeme und Prozesse, die Personendaten verarbeiten:
- Output- & Archivsysteme
- Management-Information-Systeme (MIS)
- Regulatorische Reportings an Behörden
- E-Mail / Fotodateien
- CRM-Tools
- Systeme von Outsourcing-Dienstleister
- E-Banking
Mit unserem Ansatz stellen wir die Avaloq-seitige Umsetzung sicher und definieren zusammen mit Ihnen die Spezifikationen für die von Avaloq abhängigen Umsysteme. Dabei fügen wir uns gerne in Ihre bestehende GDPR-Organisation ein.
In 5 Schritten umgesetzt
- Analyse Datenhaltung: Wir analysieren die Haltung der kundenspezifischen Daten in Avaloq sowie deren Abhängigkeiten.
- Spezifikation: Basierend auf Use Cases erarbeiten wir zusammen mit Ihren Fach- und IT-Abteilungen die Umsetzungsspezifikationen für Avaloq und die Umsysteme. Dabei werden auch die relevanten Metatypen und Abhängigkeiten definiert, welche für die Löschung relevant sind.
- Prozesse: Ausgehend von Ihrer Organisation und den involvierten Stakeholder (Data User, Data Owner, Data Supervisor) designen und etablieren wir die erforderlichen Prozesse.
- Implementation: Basierend auf den Analyseergebnissen und der Spezifikation implementieren wir das PDW Framework und nehmen es in Betrieb. Dazu gehören: Dokumentation für Business-User, Testing-Support & Schulung.
- Ergänzende Funktionen: Für alle weiteren DSGVO-Anforderungen, die nicht durch das PDW Framework abgedeckt werden, parametrieren wir Lösungen in Avaloq.