26/06/2018 Credit Management
Rolf Anweiler

Limits, Scores, und nun auch noch Datenschutz im Credit Management?

Der 25. Mai war dieses Jahr ein besonderes Datum: Selten wurde dem Wirksamwerden eines neuen Gesetzes so viel Aufmerksamkeit geschenkt wie bei der neuen Datenschutz-Grundverordnung (DS-GVO). Ein Grund dafür ist sicherlich auch die Androhung hoher Bußgelder bei Verstoß gegen die neuen Regelungen.

Auch das Credit Management eines Unternehmens musste und muss sich die Frage stellen, inwieweit die neuen Regelungen die eigenen Prozesse und den Umgang mit personenbezogenen Daten beeinflussen. Mit diesem Blogbeitrag möchten wir Denkanstöße geben, in welchen Bereichen und beim Umgang mit welchen Daten durch die neuen Vorgaben Handlungsbedarf entstehen könnte.

Geltungs- und Anwendungsbereich der DS-GVO.

Grundsätzlich betrifft die DS-GVO jegliche Verarbeitung und Nutzung personenbezogener Daten von natürlichen Personen, die einen Wohnsitz in der EU haben, oder „aufhältig“ in der EU, also z.B. im Urlaub, sind. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Offensichtliche personenbezogene Daten sind z.B. Name, Adresse, Geburtsort – weniger offensichtlich personenbezogen sind Daten wie etwa eine Kundennummer, der Finanzstatus oder eine Vorgangsnummer.

Im Credit Management müssen vor allem folgende Datensätze kritisch betrachtet werden:

  • Daten von B2C-Debitoren
  • Daten von Debitoren-Ansprechpartnern
  • Daten von Debitoren-Geschäftsführern / Managern
  • Personenbezogene Auskunftsdaten

Schritt für Schritt zur Umsetzung der DS-GVO im Credit Management.

Im Folgenden erhalten Sie einige Tipps, die Sie bei der Umsetzung der in der DS-GVO-geregelten Anforderungen berücksichtigen sollten. Wichtig: Es handelt sich um keine Checkliste, die 1:1 abgearbeitet werden kann. Ziehen Sie in jedem Fall Ihren Datenschutzbeauftragten hinzu, um zu klären, welche individuellen Vorgaben für Ihr Unternehmen beachtet werden müssen.

Schritt 1: Ist-Analyse

  • Überprüfen Sie, an welchen Stellen in Ihrem Unternehmen personenbezogene Daten erhoben, verarbeitet und genutzt werden.
  • Analysieren Sie, in welchen IT-Systemen die Daten erfasst sind und ob sie automatisiert verarbeitet werden.
  • Sind die IT-Systeme im Verfahrensverzeichnis registriert?
  • Haben Sie Dienstleister, die Daten für Sie verarbeiten (beispielsweise Saas-Lösungen)? Wo haben diese Dienstleister ihren Unternehmenssitz? Haben Sie mit diesen einen Vertrag zur Auftragsverarbeitung geschlossen?
  • Führen Sie eine Risikoabschätzung durch: Bestehen Risiken für die Daten der natürlichen Personen?
  • Gibt es bei Ihnen ein Datenschutzmanagement, um die Sicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten und zu dokumentieren?
  • Können Sie die Meldefristen im Falle einer Verletzung der DS-GVO einhalten?
  • Sind Ihre Mitarbeiter im Bilde, welche Rechte und Pflichten durch das Inkrafttreten der DS-GVO entstehen und wie sie mit personenbezogenen Daten umgehen sollen?
  • Prüfen Sie die vorhandenen Datenschutzerklärungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern.
  • Dokumentieren Sie im Rahmen der Ist-Analyse auch mögliches Optimierungspotential oder Themen, bei denen Sie bezüglich der Konformität unsicher sind.

Schritt 2: Analyse des Optimierungspotentials

  • Betrachten Sie die Dokumentation aus Schritt 1: In welchen Bereichen besteht Handlungsbedarf? Mit welchen Maßnahmen erreichen Sie eine Datenschutzkonformität?
  • Machen Sie sich Gedanken über Zeitrahmen, Budget und Priorisierung der nötigen Maßnahmen.
  • Ernennen Sie einen Projektverantwortlichen, der die Umsetzung vorantreibt.

Schritt 3: Umsetzung der Maßnahmen mit dem Ziel der DS-GVO-Konformität

  • Passen Sie Ihre Datenschutzhinweise an.
  • Verschlüsseln Sie Ihre Daten.
  • Erstellen Sie neue Berechtigungskonzepte in der IT-Landschaft.
  • Passen Sie Ihre Prozesse im Credit Management an.
  • Schulen Sie Ihre Mitarbeiter.

Grundsätzlich sollten Sie prüfen, welche Daten wirklich benötigt und in welcher Form diese im Unternehmen genutzt werden. Ein Unternehmen hat sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch zum Zeitpunkt der Verarbeitung angemessene technische und organisatorische Maßnahmen zu treffen.

Auch wir als Softwareanbieter haben uns frühzeitig mit dem Thema beschäftigt und bieten unseren Kunden neue Features, mit denen sie leichter Konformität zu den neuen Regelungen herstellen können.