Aktueller Stand zur Umsetzung der EU-DSGVO bei Leasinggesellschaften in Deutschland

07 Dezember, 2018

Die Ergebnisse unseres Leasingforums 2018

Die technologische Entwicklung im Rahmen der Digitalisierung schreitet immer weiter voran. Sie führt nicht nur dazu, dass eine immer größere Menge an Daten anfällt, auch kann ein Personenbezug zu diesen Daten heutzutage einfacher denn je hergestellt werden. Auch Leasinggesellschaften sind von dieser Entwicklung stark betroffen. Die Reaktion auf diese Entwicklung ist die EU-Datenschutzgrundverordnung (im Folgenden „EU-DSGVO“), welche das Ziel hat, dass natürliche Personen die Verarbeitung ihrer personenbezogenen Daten besser nachvollziehen und kontrollieren können. 

Auch soll mit der EU-DSGVO ein einheitliches Datenschutzniveau und somit gleiche Wettbewerbsbedingungen in Europa geschaffen werden (Level playing field). Dies wird durch die Verordnung größtenteils durch sogenannte „Grundsätze zur Verarbeitung personenbezogener Daten“ sowie die Ergänzung und Erweiterung der „Betroffenenrechte“ sichergestellt. Darauf aufbauend bestehen Regelungen zu spezifischen Themen wie dem Löschen und Sperren von Daten, der Datenportabilität oder der Dienstleistersteuerung, welche teilweise große Herausforderungen für Unternehmen darstellen.

Business Meeting mit Laptops

Der aktuelle Stand der Umsetzung

Zwar ist die Umsetzungsfrist der EU-DSGVO bereits am 25. Mai 2018 abgelaufen, nichtsdestotrotz weist ein Großteil der Unternehmen in Deutschland noch in einigen Aspekten Lücken auf. Um einen aktuellen Umsetzungsstand für die Leasingbranche ermitteln zu können, wurden im Rahmen des PwC-Leasingforums 2018 die Teilnehmer zur Umsetzung ausgewählter EU-DSGVO Themen befragt. Durch Antwortmöglichkeiten von „noch nicht begonnen“ bis hin zu „vollständig umgesetzt“ sollte festgestellt werden, wie sich die Selbsteinschätzung der Leasingbranche in Bezug auf verschiedene Aspekte der EU-DSGVO darstellt.

Teilgenommen haben an unsere Umfrage, die wir an den Standorten Frankfurt am Main, Düsseldorf und München durchgeführt haben, insgesamt 62 Branchenvertreter. Die Ergebnisse unserer Branchenbefragung stellen sich dabei wie folgt dar:

Anhand dieser Umfrageergebnisse wird deutlich, dass die EU-DSGVO, auch wenn die Umsetzungsfrist bereits abgelaufen ist, weiterhin ein aktuelles Thema in der Leasingbranche darstellt und weiterhin ein hoher Handlungsbedarf besteht. Besonders auffällig sind hierbei die Einschätzungen der Teilnehmer zum Umsetzungsstand „Löschen und Einschränkungen“ sowie „Dienstleistersteuerung“, da hier mehr als 50% der Teilnehmer die getroffenen Maßnahmen in ihrem Haus als nur „teilweise umgesetzt“ einstufen. Im Vergleich zu anderen branchenübergreifenden Umfragen sowie unseren Erfahrungen aus unseren Projekten zeigt sich hier, dass die Leasingbranche diesbezüglich grundsätzlich keine Ausnahme bildet.

Aufgrund des hohen Sanktionspotentials sollte auf der vollständigen Umsetzung der EU-DSGVO allerdings höchste Priorität liegen.

Weitere wichtige Aspekt der EU-DSGVO

Neben unserer Branchenumfrage wurde mit der Rechenschaftspflicht und der damit einhergehenden Beweislastumkehr ein weiterer wichtige Aspekt der EU-DSGVO mit den Teilnehmern diskutiert. Nach der EU-DSGVO reicht es nicht aus das sichere Verarbeiten der Daten mithilfe von technischen und organisatorischen Maßnahmen sicherzustellen, auch muss der Nachweis hierfür erbracht werden. Ein bewährter Ansatz ist die Einführung eines Datenschutzmanagementsystems (DSMS) mit einem entsprechenden Datenschutz-IKS, um die Basis für die Rechenschaftspflicht zu legen.

Da Unternehmen typischerweise wenig Erfahrungen beim Betreiben z.B. eines Risiko- oder Tax Compliance-Managementsystems haben, es jedoch weder einen etablierten Standard zum Aufbau und Betrieb eines DSMS gibt, noch die DSGVO operative sowie explizite Anforderungen an die Ausgestaltung eines DSMS beschreibt, lautet unserer Empfehlung den Datenschutz analog nach IDW PS 980 auszurichten, um Synergien und Schnittstellen nutzen zu können. Des Weiteren hat sich in der Praxis eine Verzahnung mit dem Informationssicherheits-Management-System (ISMS gemäß dem ISO-Standard 27001) und dem Business-Continuity-Management-System (BCMS gemäß dem ISO Standard ISO 22301) als zielführend herausgestellt.

Als Nachweis über die Wirksamkeit der gesamten Datenschutzorganisation werden neben einer Auditierung durch die Interne Revision künftig auch externe Prüfungen sowie Zertifizierungen durch unabhängige Dritte in Betracht kommen (zum Beispiel die Prüfung des Datenschutz-IKS gemäß ISAE 3402 oder ISAE 3000). Dies gilt nicht nur, aber insbesondere auch für Outsourcing-Beziehungen.

Ausblick ePrivacy-Verordnung

Mit der ePrivacy-Verordnung (ePrV) wird demnächst ein weiteres Gesetz zum Thema Datenschutz in Kraft treten, welches im speziellen den Schutz personenbezogener Daten in der elektronischen Kommunikation regulieren soll. Da sich die Kommunikation mit dem Kunden vermehrt online abspielt, sind auch Finanzdienstleister und damit die Leasingbranche von der Verordnung betroffen. Im Gegensatz zur EU-DSGVO werden bei der ePrV nicht nur natürliche, sondern auch juristische Personen geschützt.

Kernelemente der ePrV bilden u. a. die Vertrauenswürdigkeit elektronischer Kommunikation, verbindliche datenschutzfreundliche Voreinstellungen („Privacy by Default), der erweiterte Schutzumfang sowie die werbliche elektronische Kontaktaufnahme.

Contact us

Rüdiger Giebichenstein

Partner, PwC Germany

Tel.: +49 221 2084-188

Follow us