Compliance bei Kundendaten

Transkript

1 Compliance bei Kundendaten Ein bisher unterschätzter Bereich

2 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 2

3 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 3

4 Rechtliche Grundlagen Bundesdatenschutzgesetz (BDSG) Gesetz gegen den unlauteren Wettbewerb (UWG) Telekommunikationsgesetz (TKG) Code of Conduct (Versicherungen) MaRisk in der IT (Banken und Versicherungen) Seite 4

5 Rechtliche Grundlagen 1. Gesetzliche Bestimmungen MaRisk Anforderungen (IT Systeme und Prozesse) IT-Systeme dürfen der Wirksamkeit des Risikomanagements nicht entgegenstehen Orientierung der technisch-organisatorischen Ausstattung an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation Sicherstellung der Integrität, der Verfügbarkeit, der Authentizität sowie der Vertraulichkeit der Daten Ausgestaltung der IT Landschaft gemäß gängiger Standards Sicherstellung einer angemessenen IT-Berechtigungsvergabe Seite 5

6 Rechtliche Grundlagen 1. Gesetzliche Bestimmungen - Sicht der BaFin 5 Kernaussagen 1. Zur Bankenaufsicht gehört auch die Aufsicht über die Informationstechnik 2. Die IT ist ein wesentlicher Risikotreiber 3. IT-Sicherheit im Fokus 4. Anforderungen an Interne Kontrollsysteme und Dokumentation in der IT enorm gestiegen 5. Sonderprüfungen im IT Umfeld sind inzwischen zur Regel geworden Seite 6

7 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 7

8 Risiken und Status quo im Umgang mit Kundendaten Diverse Gefahren und Risiken bedrohen die Reputation und die wirtschaftliche Lage der Unternehmen Fahrlässigkeit: Frei zugängliche Kundendaten Sensible Dokumente/Unterlagen in Müllcontainer Berechtigungslücke Kundendatenbank Kontodaten/Bankverbindungsdaten in unverschlüsselten s Weitergabe von unzureichend verschlüsselten Patientendaten Missbrauch: Weitergabe von Patientendaten Diebstahl: Diebstahl von Daten, EDV Datenleck: Hackerangriff, Sicherheitsleck Gefahren begegnen und Gefährdungspotenziale analysieren! Seite 8

9 Risiken und Status quo im Umgang mit Kundendaten Kundendaten sind allgemein hin die sensibelsten Daten eines Unternehmens Basis für Vertragsverhältnis, Prämien, Zinsen, Beiträge, Entwicklung kundenorientierter Produkte und Dienstleistungen Unternehmen geht es in erster Linie darum, möglichst viele Kundendaten mit zahlreichen Ausprägungen jederzeit verfügbar zu haben Kundendaten müssen nach Schutzbedarf und Risiko klassifiziert und entsprechende Sicherheitsmaßnahmen festgelegt werden Seite 9

10 Risiken und Status quo im Umgang mit Kundendaten Folgen einer fehlenden Compliance können Strafzahlungen, Daten-Diebstahl oder Erpressung nach sich ziehen Hohe Opportunitätskosten Fazit Aufgabe wird leider in vielen Unternehmen unterschätzt Seite 10

11 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 11

12 8 Regeln im Umgang mit Kundendaten Zutrittskontrolle Verfügbarkeitskontrolle Zugangskontrolle Trennungsgebot Eingabekontrolle Auftragskontrolle Zugriffskontrolle Weitergabekontrolle Seite 12

13 8 Regeln im Umgang mit Kundendaten Zutrittskontrolle: Unbefugten ist der "körperliche" Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Maßnahmen: Einteilung in Sicherheitszonen/ Sperrbereiche Closed-Shop-Betrieb Automatische Zutrittskontrolle Chipkarten/Transponderkarten Berechtigungsausweis Personenkontrolle durch Pförtner Alarmanlage Gebäudeüberwachung Videotechnik Vereinzelungsanlage Seite 13

14 8 Regeln im Umgang mit Kundendaten Zugangskontrolle: Verhinderung der unbefugten Nutzung von Datenverarbeitungsanlagen, also dem Eindringen in das EDV- System seitens unbefugter (externer) Personen sowie der geregelte Zugang grundsätzlich berechtigter Personen "need-toknow". Maßnahmen: Protokollierung des Zugangs Identifikation und Authentisierung (z. B. durch Kennung und Passwort oder Chipkarte) Seite 14

15 8 Regeln im Umgang mit Kundendaten Zugriffskontrolle: Gewährleistung, dass die zur Benutzung Berechtigten nur auf die ihrer jeweiligen Berechtigung unterliegenden Daten zugreifen können. Maßnahmen: Berechtigungskonzept Benennung eines Verantwortlichen für die Datenträger bzw. Datenfeld Bestandskontrolle Mehraugenprinzip Funktionelle Zuordnung einzelner Endgeräte Automatische Prüfung der Zugriffsberechtigung Protokollierung und Auswertung der Systemnutzung (Event Mgt.) Seite 15

16 8 Regeln im Umgang mit Kundendaten Durch die Weitergabekontrolle soll verhindert werden, dass Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können und gewährleistet werden, dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Maßnahmen: Standleitung Wählleitung mit automatischem Rückruf Datenverschlüsselung Botentransport durch Auftragnehmer oder Auftraggeber Postversand, verschlossen in Transportbehältern Transportbegleitung Vollständigkeits- und Richtigkeitsprüfung Regelung zur Datenträgervernichtung Seite 16

17 8 Regeln im Umgang mit Kundendaten Eingabekontrolle: Gewährleistung der nachträglichen Überprüfbarkeit, welche personenbezogenen Daten durch wen zu welcher Zeit in Datenvereinbarungssysteme eingegeben bzw. dort verändert, gelöscht oder entfernt worden sind. Maßnahmen: Erfassungsbelege (manuell oder automatisiert) Protokollierung eingegebener Daten Verarbeitungsprotokolle Seite 17

18 8 Regeln im Umgang mit Kundendaten Auftragskontrolle: Der Auftragnehmer hat zu gewährleisten, dass die im Auftrag zu verarbeitenden Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Maßnahmen: Eindeutige vertragliche Abreden nebst Kontrollabreden Zeitpunkt, Ort und Berechtigung/Verpflichtung zur Anlieferung bzw. Abholung der Daten Transport-/Versandform Aufbewahrung von Datenträgern Beiderseits durchzuführende Kontrollmaßnahmen Zulässigkeit der Heranziehung von Subunternehmern Seite 18

19 8 Regeln im Umgang mit Kundendaten Die Verfügbarkeitskontrolle zielt auf den Schutz der zufälligen Zerstörung ab, bspw. Wasserschäden, Brand, Blitzschlag, Stromausfall usw. Maßnahmen: Auslagerung von Sicherungskopien Notstromaggregate Unterbrechungsfreie Stromversorgung Katastrophenplan Seite 19

20 8 Regeln im Umgang mit Kundendaten Trennungsgebot: Technische Sicherstellung der zweckbestimmten Verarbeitung. Gemeint ist damit zumindest die logische Trennung. Maßnahmen: Mandantentrennung (softwareseitiger Ausschluss) Dateiseparierung bei Datenbanken Trennung über Zugriffsregelung Trennung von Test- und Routineprogrammen Seite 20

21 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 21

22 Integration der Kundendaten in ein CMS Grundsätzliche Anforderungen an ein CMS Grundlagen eines CMS gem. IDW PS 980 Compliance Kultur Compliance Ziele Compliance Organisation Compliance Risiken Compliance Programm Compliance Kommunikation Überwachung und Verbesserung Geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans Festlegung relevanter Teilbereiche und einzuhaltender Regeln/Grundlagen für die Beurteilung von Compliance Risiken CMS als integraler Bestandteil der Unternehmensorganisation/Bereitstellung notwendiger Ressourcen Einführung eines Systems zur frühzeitigen Risikoerkennung und Berichterstattung und Analyse der festgestellten Risiken Einführung von Grundsätzen und Maßnahmen zur Begrenzung von Compliance Risiken Zielgerichtete Informationen an Mitarbeiter und ggf. Dritte/Kommunikationswege im Falle von Verstößen und Risiken Überwachung der Angemessenheit und Wirksamkeit von CMS Seite 22

23 Integration der Kundendaten in ein CMS Erfolgsfaktoren Schaffung der notwendigen Sensibilität bei Mitarbeitern was den Umgang mit Kundendaten angeht Information und Schulung, Ansprechpartner bei Rückfragen Berücksichtigung der in- und externen Schnittstellen Klare Definition, welche Kundendaten zur Erfüllung von nachgelagerten Tätigkeiten tatsächlich erforderlich sind Risikoklassifizierung und Schutzbedarfsanalyse Seite 23

24 Dokumentation Organisationsrichtlinien Integration der Kundendaten in ein CMS Einbettung von Compliance Gesamtverantwortung der Geschäftsführung Risikomanagement Frühwarnsystem Strategie Interne Kontrollverfahren Internes Kontrollsystem Aufbau- Ablauforganisation Prozesse (Controlling und Steuerung) Besondere Funktionen Risikocontrolling- Funktion Compliance Funktion Interne Revision Seite 24

25 Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang mit Kundendaten 4. Einbettung in das Compliance Management System 5. Aufbau eines Internen Kontrollsystems für Kundendaten Seite 25

26 Aufbau eines Internen Kontrollsystems für Kundendaten Anforderungen Organisatorische Ausgestaltung, Bestimmung Zuständigkeiten und Verantwortlichkeiten des IKS Prozesse identifizieren, bewerten und dokumentieren - Bestimmung der Prozesskritikalität und der Kernprozesse Prozesse analysieren, Durchführung einer Prozessrisikoanalyse - Identifizierung der wesentlichen Risiken Erstellung Prozesslandkarte mit Abhängigkeiten Seite 26

27 Aufbau eines Internen Kontrollsystems für Kundendaten Risiken identifizieren, bewerten und dokumentieren Design von (Schlüssel-)Kontrollen, Bestimmung Verantwortliche, Performance Tests Dokumentation, Kommunikation und Reporting der festgelegten (Prozess)kontrollen Regelmäßige Reviews von Prozessen, Risiken und Kontrollen Implementierung eines Überwachungsprozesses zur jährlichen Überprüfung Aufbau eines Security Information & Event Management und Identity Management Seite 27

28 Wir sind für Sie da Unsere Spitzenleistung für Ihre Führungsposition. Christof. Merz Partner Q_PERIOR Office: Buchenweg Mobile: Ellerau Deutschland HAMBURG (ELLERAU) FRANKFURT l MÜNCHEN ROSENHEIM BERN l ZÜRICH WIEN l BRATISLAVA PRINCETON l TORONTO Seite 28