Datenschutzrechtliche Anforderungenan das Lieferantenmanagement

Salvatore SaporitoLexisNexis GmbH

Karl ViertelAlyne GmbH

KARL VIERTEL

CEO und Gründer Alyne

● Background in Cyber Security und Datenschutz

● Zuvor Director bei Deloitte im Bereich Cyber Risk Management

● Erfahrung in der Gestaltung und Umsetzung von Cyber Security und Datenschutz Projekten in Europa und Asien - Fokus auf Financial Services

AGENDA

FINTECH VS. REGTECH

ALYNE FACTS

DS-GVO LIEFERANTENPRÜFUNG

FINTECH VS. REGTECH

FINTECH VS. REGTECH

FINTECH

End-Kunden fokussiert

Experimente mit neuen Ansätzen

Hinter Hype-Cycle

Oft von “Outsidern” betrieben

REGTECH

Fokus auf Back Office

Digitalisierung bestehender Prozesse

Pre Hype-Cycle

Aus “leidvoller Erfahrung” geboren

ALYNE SAAS FÜR MODERNES RISIKOMANAGEMENT UND COMPLIANCE

LIEFERANTEN PRÜFUNG

DATENSCHUTZ BASELINE

IMPLEMENTIERUNG VON REGULIERUNG

CYBER SECURITY MANAGEMENT

OPRISK MANAGEMENT

USE CASE BEISPIELEZAHLEN UND FAKTEN

MEHR ALS 40 KUNDEN WELTWEIT

GEGRÜNDET SEPTEMBER 2015

BÜROS IN MÜNCHEN UND LONDON

VENTURE CAPITAL FINANZIERT

25 MITARBEITER

BEISPIEL: LIEFERANTENPRÜFUNG

WIESO LIEFERANTEN PRÜFEN?

● Auftragsverarbeitung im Datenschutz

● Outsourcing Management

● Wesentlicher Beitrag zum Cyber Security Risiko

● Transparenz im operationellen Risikomanagement

DATENSCHUTZGRUNDVERORDNUNG

GRUNDLAGEN

● Betroffene Personen sind Eigentümer ihrer Daten und bestimmen über die Nutzung

● Betroffene Personen müssen befähigt sein, ihre Rechte auszuüben

● Verarbeiter sind mit dem Schutz der personenbezogenen Daten betraut

● Verarbeiter stehen in der Verantwortung für Datenpannen

● Grundlagen der DS-GVO sind nicht neu!

LIEFERANTENPRÜFUNG

DS-GVO ANFORDERUNGEN

● “Auftragsverarbeiter” müssen vor Beginn auf Angemessenheit geprüft werden

● Hierzu gehört auch die zweifelsfreie Identifikation des Auftragsverarbeiters

● Es gelten Erfordernisse für die vertraglichen Vereinbarungen der Auftragsverarbeitung

● Angemessenheit der Schutzmaßnahmen müssen regelmäßig überprüft werden und in einem Verzeichnis geführt werden

● Der Auftraggeber steht in der Pflicht, auf angemessene technischeund organisatorische Schutzmaßnahmen zu prüfen

Exkurs: LexisNexis – Geschäftspartnerüberprüfung

Salvatore Saporito, Team Leader Europe Risk & Compliance

Zunahme an Strafverfolgungen

Relevanz für erweiterte Geschäftspartnerüberprüfung

Sensibilität bis in den Mittelstand

Verlagerung der Anforderungen von Kunden zum Geschäftspartner

Standardisierungstendenzen in derErmittlungstiefe erkennbar

Integration in eigene Systeme

Erkennbare Trends

ZentraleQuellenSanktionslisten

Rechtsdaten

BiographischeQuellen

PEP-Daten

Weltweite Presse

Firmen-informationen

Abdeckung der Compliance-Anforderungen durch zentrale Quellen

Informationsquellen – nur welche?

Risikoansatz und Quellen für Due Diligence

Identifikation meiner Geschäftspartner und Einteilung in Cluster

Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen

Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)

Prüfungsprozess und Recherchequellen festlegen

Informationsauswertung und Schaffung einer Entscheidungsgrundlage

Unterstützung durch IT zur Standardisierung

Einbettung in den betrieblichen Kontext

Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung

Lexis Diligence® - Geschäftspartnerüberprüfung

Zugriff auf alle Quellen über nur eine Suchmaske

Benutzerfreundliche Oberfläche und vielfältige Such-Optionen

Erkennen von Nachrichten mit negativer Tonalität

E-Mail-Alert, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden

Dokumentationsnachweis über Report Builder

Zurück zu Karl Viertel

Salvatore Saporito, Team Leader Europe Risk & Compliance

USE CASE BESCHREIBUNG

Gruppieren nach Risiko

Lieferanten Prüfen

Ergebnisse Auswerten

Risiken Analysieren

Entscheidung Treffen

ERFOLGSFAKTOREN

● Skalierbarkeit auf alle Lieferanten

● Schnelle Umsetzung und kurzer Prozessdurchlauf

● Informierte Entscheidungen ermöglichen

● Belastbarkeit der Risikoinformation

REGTECH THESEN

REGTECH DIGITALISIERT DURCH:

BESSERE SKALIERBARKEITWo manuelle Lösungen an Ihre Grenzen stoßen, skalieren RegTech Lösungen

EINFACHERE BEDIENBARKEITRegTech-Lösungen vereinfachen die Interaktion mit komplexer Information und ersetzen sperrige Enterprise Software

BUSINESS-FOKUSSIERUNGRegTechs sind Lösungen für das Business, nicht Software für die IT

STÄRKERE AUTOMATISIERUNGRegTechs steigern ihren Wertbeitrag, wo manuelle und ressourcenintensive Prozesse automatisiert werden

BESSERE SKALIERBARKEIT

Excel & Email, aufwendige Schnittstellen, Vor-Ort-Prüfungen, Stichproben werden ersetzt durch...

EINFACHE INTEGRATIONMit moderner Web-Technologie sind Datenintegrationen stark vereinfacht

RISK ANALYTICSErlaubt die schnelle und automatisierte Risikoidentifikation

UMFANGREICHE BIBLIOTHEKENErmöglicht schnellen start und einfache Anpassung an Lieferantengruppen

EINFACHERE BEDIENBARKEIT

Office Dokumente und Enterprise Software im Look and Feel der 90er Jahre werden ersetzt durch...

WORKFLOW MANAGEMENTEinfache Übersichten erleichtern die Steuerung umfangreicher Prozesse

MODERNE USAGE PATTERNSInformationsdesign aus Social Media ermöglicht einfachste Interaktion mit komplexen Daten

STRUKTURIERTE DATENErlauben einfache Erfassung und automatisierte Auswertung

BUSINESS FOKUSSIERUNG

Lange Software-Integrationsprojekte, Wasserfallmodell und Big-Bang IT-Rollouts werden ersetzt durch...

AGILES RISIKOMANAGEMENTDie Verwaltung identifizierter Risiken von Lieferanten erfolgt agil und kontinuierlich

KONFIGURATION DURCH DAS BUSINESSWorkflows, User, Inhalte und Strukturen werden durch Fachbereiche erstellt

DYNAMISCHE EINBINDUNG DES TEAMSOrganisationsstrukturen werden dynamisch angepasst durch User

STÄRKERE AUTOMATISIERUNG

Mehrere Fragebögen einzelner Fachbereiche, manuelle Risikoauswertungen und -analyse werden ersetzt durch...

SELF SERVICE PORTALEFachbereiche stoßen proaktiv Risikoprozesse an und binden automatisch Entscheidungsträger ein

WEITERE AUTOMATISIERUNG MIT NLPAutomatischer Abgleich von Policies, Kontrollen, etc. mittels Natural Language Processing und AI

AUTOMATISCHE RISIKOBEWERTUNGEine automatisierte Analyse der Prüfungsergebnisse ermöglicht schnellere Lieferantenprüfung

IHRE DS-GVO GAP-ANALYSE

Sie können Ihre kostenlose DS-GVO Gap Analyse noch vervollständigen und erhalten von Alyne einen Report.

Salvatore SaporitoSalvatore.Saporito@lexisnexis.de

Karl Viertelkarl.viertel@alyne.com