Datenschutz im Prüffokus der Bank-Innenrevision

Praxisbericht

Über ein Jahr DSGVO: Lessons learned und Praxisthemen

• Die Betroffenenrechte – Handhabung in der Praxis
• Rollenabgrenzung Auftragsverarbeiter zum Verantwortlichen in der Praxis
• DSGVO: „Themen, die bewegen“ (Speicherdauer, Informationspflichten, usw.) – ein Überblick

Praxisbericht

Effizientes Datenschutzregime: Aufbau in der Erste Group

• Organisatorische Ansiedelung der Datenschutz-Agenden im Konzern
• Umgang mit Interessenskonflikten und Regelung der Verantwortlichkeiten: Data Protection Governance vs. Data Protection Management vs. Datenschutzbeauftragter vs. IT vs. Compliance
• Datenschutzbeauftragter: Qualifikation, Aufgaben, Pflichten, Haftung
• Setup im Unternehmen und Fragen der Zentralisierung
• Einrichtung von festgelegten, agilen Prozessen für die Pflichten des Verantwortlichen sowie die Betroffenenrechte nach DSGVO
• Empfehlungen: Prüfgegenstände und Schwerpunkte für die Interne Revision

Dr. Gregor König, LL.M., MA, Group Data Protection Officer, Erste Group Bank AG

Praxisbericht

Datenschutz in Banken: Wie können die Abläufe durch ein effizientes IKS sicher gestaltet werden?

• Aktuelle Betrachtungsweisen zu regulatorischen Neuerungen durch DSGVO und DSG
• Positionierung der DSGVO im internen Kontrollsystem aus Sicht der Internen Revision
• Dokumentation und Beurteilung der Angemessenheit von Prozessen und Kontrollen
• Herausforderungen an kleinere Strukturen
• IKS-Optimierung hinsichtlich Qualität, Effizienz und Reifegrad
• Erfahrungswerte aus Prüfungssituationen

Mag. Ingrid Harrer, Stellvertretende Direktorin Interne Revision, Schoellerbank AG

Praxisbericht

Prüfungsschwerpunkt Datenschutz: Best Practice Datenschutzaudit bei der RBI

• Abgrenzung der Prüfungstätigkeit durch die Interne Revision
• Datenschutz und Datensicherheit
• Prüffelder der DSGVO- Worauf wurde das Hauptaugenmerk gerichtet?
• Vorgehensweise bei der Prüfungsplanung
• Prüfung der Einhaltung der Betroffenenrechte
• Datenschutz-Folgenabschätzung
• Verzeichnis der Verarbeitungstätigkeiten und Umgang mit Auftragsverarbeitern
• Inhalt und Umfang von Löschkonzepten
• Welche Prozesse gibt es zur Meldung von Datenschutzverletzungen?
• Erforderliche Nachweise zur Einhaltung der DSGVO
• Lessons Learned

Christoph Maier, Head of Internal Audit, Raiffeisen Bank International AG

Praxisbericht

Prüfpraxis: Prüfung des Outsourcings unter Beachtung der relevanten Gesetze

• §25 BWG: Umfangreiche Verpflichtungen für Kreditinstitut und der Dienstleister
• Neue Europäische Entwicklungen „EBA Guidelines on Outsourcing“ und die Anforderungen in der Praxis
• Ausgelagerte Daten: Datenübermittlung, Speichern von Daten, Datenlöschung: welche Absicherung sind hierzu sinnvoll
• Datenverlagerung ins Ausland: Was ist dabei zu berücksichtigen?
• Was bringen Zertifikate: Welche Datenschutz spezifischen Zertifikate können von Dienstleistern einfordert werden und was bringen sie?
• Prüfungspflichten der Internen Revision
• Outsourcing im Prüffokus der Aufsicht: Worauf sollte die Revisoren ihr Hauptaugenmerk richten?

Ing. Thomas Buchberger, Risikomanager, Data Governance Office, Raiffeisenlandesbank NÖ-Wien AG