Liebe auf den zweiten Blick - Rechtssichere ... · helfen Ihnen, Ihre Ziele zu erreichen und solche...

Liebe auf den zweiten Blick - Rechtssichere Geschäftspartnerüberprüfungen auch nach der neuen EU-Datenschutz-Grundverordnung (DSGVO)

Ina Rothe & Christian KlosTwo Towers Consulting GmbH & Co. KG.

Salvatore SaporitoLexisNexis GmbH

Liebe auf den zweiten Blick

Rechtssichere Geschäftspartnerüberprüfungen auch nach der neuen EU-Datenschutz-Grundverordnung (DSGVO)

LexisNexis Webinar 26.09.2017

© 2017 Two Towers Consulting GmbH & Co. KG

Two Towers Consulting & Legal

Sichere Geschäfte ohne böse Überraschungen zu ermöglichen, welcher Compliance-Beauftragte wünscht sich dies nicht? Wirhelfen Ihnen, Ihre Ziele zu erreichen und solche Risiken zu minimieren, die von den Geschäftsprozessen oder denGeschäftspartnern Ihres Unternehmens ausgehen könnten. So ist Ihr Unternehmen vor rechtlichen und wirtschaftlichenUnwägbarkeiten gefeit und kann sich mit Vertrauen in den Unternehmensschutz auf das Kerngeschäft konzentrieren.

Two Towers Consulting ist eine Boutiqueberatung für Compliance-Themen mit angeschlossener Kanzlei. Two Towers stehtdabei für die zwei Gründer, deren sich ergänzende Expertise im gemeinsamen Engagement für Sie Mehrwerte schafft. Mitunseren gemeinschaftlich über 20 Jahren Beratungserfahrung setzen wir neben Seniorität auf eine starkeKundenorientierung, die den jeweiligen Ansprachebedürfnissen unserer unterschiedlichen Mandanten gerecht wird.

Mit professioneller Beratung & Begleitung sowie Schulungen & Coachings helfen wir Ihnen, den Unwägbarkeiten desCompliance-Geschäfts souverän zu begegnen. Sprechen Sie uns gern an!

Christian Klos

Kölner, Rechtsanwalt und Berater, sowie erster Ansprechpartner für alle (datenschutz-)rechtlichen Fragen und für das Vermindern von Risiken, die bei der Nutzung digitaler Technologien bestehen.

[email protected] 9947 993

Ina Rothe

Berlinerin in Köln, Wirtschafts-juristin, zertifizierte Ermittlerin und Erziehungswissenschaftlerin, sowie erste Ansprechpartnerin für das Vermindern von Risiken, die von allen Arten von Geschäftspartnern ausgehen könnten.

[email protected] 9937 998

3


Ihre Themen, unsere Dienstleistungen

Wir unterstützen Sie dabei, Prüfprozesse rechtssicher zu etablieren bzw. zu optimieren oder Überprüfungendurchzuführen, ob KYC, IDD oder CDD. Weltweit.

4


Agenda

EINLEITUNGAlles, was Sie zur DSGVO wissen müssen

ANWENDUNGSFALLGeschäftspartnerüberprüfungen im Kontext der DSGVO

FAZIT & FRAGEN Schluss, Ihre Fragen und unsere Antworten

5


DSGVO Was ist das eigentlich?

6

VERORDNUNG (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

EU- Verordnung = unmittelbare Wirkung!

Inkrafttreten am 25.5.2018

Regelungsbereich: Personenbezogene Daten in der EU

Ziel vor allem: Stärkung der Betroffenenrechte

Harmonisierung des Datenschutzes in der EU

Aber: Zahlreiche „Öffnungsklauseln“

DSGVO im Allgemeinen

Privacy by Design

Transparenz- und Informationspflichten

Einwilligungen

Dokumentations- und Rechenschaftspflichten

Betriebliche Datenschutzbeauftragte

Auftragsverarbeitung

Datenschutzfolgenabschätzung

Recht auf Vergessenwerden

Meldepflichten bei „Datenpannen“

Allgemeine Grundsätze (Art. 5 Abs. 1): Zweckbindung, Datenminimierung, Vertraulichkeit usw.

DSGVO im Speziellen


DSGVO Und ist das jetzt alles neu?

7

Nein!

Aber:

Erweiterung der Informationspflichten

Strengere Vorgaben an Dokumentation und Managementsystem

Massiv erhöhter Bußgeldrahmen(bis zu € 20 Mio. / 4 % Jahresumsatz)

Daher:

Spätestens jetzt aktiv werden:

Bedarf bestimmen und neues Datenschutz-Managementsystem implementieren

Bestehendes Datenschutz-Managementsystem überprüfen und ggf. anpassen


DSGVO Was ist erlaubt?

8

Relevante Erlaubnistatbestände:

Einwilligung (Art. 6 Abs. 1 S. 1 lit. a)

Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c)

Wahrung berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f) Interessenabwägung

Veröffentlichung bes. Arten pb Daten durch betroffene Person (Art. 9 Abs. 2 lit. e)

Spezialgesetze: V.a.: BDSG-neu

Grundsätzlich gilt:

Verarbeitung personenbezogener Daten ist verboten, wenn nicht ausdrücklich erlaubt (Art. 6 Abs. 1 DSGVO)

DSGVO folgt damit grundsätzlich dem System des BDSG.

Keine expliziten Erlaubnistatbestände für Compliance-Maßnahmen!


DSGVO Geschäftspartner-Überprüfung

Geschäftspartner-Überprüfung

ERWEITERTE STAMMDATEN

IDENTIFIKATION& VERIFIKATION

COMPLIANCE-INFORMATION

ÖFFENTLICH-KEITSPROFIL

COMPLIANCE-BEWERTUNG

ÜBERWACHUNG

DSGVO-Relevanz

Subjekt: juristische oder natürliche Person

Anlass/Zweck: gesetzliche Pflicht, Hinweis auf Unregelmäßigkeiten, belegter Verdacht...

Erhebung: Informationseinholung, Datenarten, Datenminimierung, Verfahrens-/Quellenarten, Jurisdiktion

Weitere Verarbeitung: Datenumfang, Datenminimierung, Dauer, need-to-know-Prinzip, Jurisdiktion

Dokumentation: Zweckbindung, Zugriffsrechte, Speicherbegrenzung, DSFA, Information d. Betroffenen

9



10







ÜBERWACHUNG?

Zulässigkeit nach DSGVO

• Je nach Anlass:

o Erfüllung rechtlicher Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c), z. B. nach GwG

o Berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f)

• Bei Interessenabwägung: i. d. R. unkritisch, da Daten öffentlich verfügbar

• Nur Daten erheben, welche auch tatsächlich erforderlich sind (z. B. Geburtsdatum zur eindeutigenIdentifikation)

!

BEISPIELEInformationen aus Handels- oder Gewerberegister, inkl. Firma, Adresse, Gesellschafterstruktur sowie persönliche Datenzu den wirtschaftlich Berechtigten, inkl. Geburtsdatum, Wohnsitz



11







ÜBERWACHUNG?


• Rechtsgrundlage bei Sanktionslisten bislang umstritten (EU-VOen wohl keine RGL)

• Keine ausdrückliche Klärung durch DSGVO

• Wohl: Art. 6 Abs. 1 S. 1 lit. f (berechtigte Interessen); massive Sanktionen bei Nichterfüllung möglich!

• Beachten: Frequenz, Datenfelder, Löschfristen, Richtigkeit der Daten

• Bei Einschaltung von Dienstleistern: AV-Vertrag abschließen

• Verweis auf Prüfung durch Bank wohl nicht ausreichend

!

BEISPIELE Abgleich mit Sanktions- und PEP-Listen, Informationen aus Insolvenzregistern oder zur allgemeinen Bonität und Zahlungsdisziplin, z. B. von Creditreform, sowie Gerichtsurteile


DSGVO Bsp. öffentlich verfügbare Informationen

12

Insolvenz-App

• Insolvenzbekanntmachungen, etc. werden in Insolvenzregister veröffentlicht

• Grds. für jedermann zugänglich

• App sammelte Daten und stellte diese in verschiedenen Ansichten bereit(z.B. auch Insolvenzen pro Region)


• Bisher einschlägig: § 29 Abs. 1 S. 1 Nr. 2 BDSG

• AG Rockenhausen: Daten öffentlich verfügbar, aber insb. Art der Darstellung verletztPerskeitsR d. Betroffenen („Prangerwirkung“) – Az.: 2 C 341/16 v. 9.8.2016

• Daher: App rechtswidrig

• DSGVO: Keine § 29 BDSG vergleichbare Regelung

• Abwägung nach Art. 6 Abs. 1 lit f)

• Abwägungsmaßstab eher strenger (kein „offensichtliches“ Überwiegen mehr notwendig)

• Ergebnis: wie zuvor



13







ÜBERWACHUNG?


• Grundsätzlich: Abwägungsentscheidung

• Rückgriff auf Rechtsprechung und Behördenauffassung zu BDSG möglich

• Bei Social Media z. B.: Art der Plattform (beruflich vs. privat); Login oder „Freundschaft“ erforderlich?

• Bei bes. Arten pb Daten (z. B. Gesundheit, sexuelle Orientierung): offensichtlich durch betr. Person öffentlich gemacht? (Art. 9 Abs. 2 lit. e))

• Unterscheidung juristische / natürliche Personen

• Dokumentation der Herkunft

!

BEISPIELE Recherchen in Pressedatenbanken oder dem weiteren Internet, Recherchen in Social Media, diskrete Befragungen(Nahestehende, Kunden, Journalisten etc.), Inaugenscheinnahme


DSGVO Bsp. Datenbank

14


• RGL je nach Anlass bestimmen

Bei nachvollziehbarem Anlass i.d.R. (+), da Daten aus öffentl. Quellen

• Datenminimierung beachten

• Nicht Relevantes nicht in die Dokumentation aufnehmen?

• Nachvollziehbar dokumentieren

Exkurs: LexisNexis – Geschäftspartnerüberprüfung

Salvatore Saporito, Team Leader Europe Risk & Compliance

16LexisNexis GmbH – Willkommen bei den Informationsexperten!

Zunahme an Strafverfolgungen

Rasant wachsende Bedeutung der erweitertenGeschäftspartnerüberprüfung

Sensibilität für das Thema dringt bis in den Mittelstand durch

Verlagerung der Anforderungen von Kundenhin zum Geschäftspartner und weiter

Standardisierungstendenzen sinderkennbar in der Ermittlungstiefe –Integration in eigene Systeme

Erkennbare Trends


ZentraleQuellen

Sanktions-listen

Rechtsdaten

BiographischeQuellen

PEP-Daten

Weltweite Presse

Firmen-informationen

Abdeckung der Compliance-Anforderungen durch zentrale Quellen


Risikoansatz und Quellen für Due Diligence

Informationsquellen – nur welche?


Identifikation meiner Geschäftspartner und Einteilung in Cluster

Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen

Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)

Prüfungsprozess und Recherchequellen festlegen

Informationsauswertung und Schaffung einer Entscheidungsgrundlage

Unterstützung durch IT zur Standardisierung

Einbettung in den betrieblichen Kontext

Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung


Lexis Diligence® - Geschäftspartnerüberprüfung

Zugriff auf alle Quellen über nur eine Suchmaske

Benutzerfreundliche Oberfläche und vielfältige Such-Optionen

Automatisches Erkennen von Nachrichten mit negativer Tonalität

Information per E-Mail, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden

Dokumentationsnachweis über Report Builder


Verfügbare Quellen

23.000+ internationale Pressequellen ca. 300 deutschsprachige Publikationen einschließlich Branchenpublikationen

PEP-, Sanktions- und Watch- und Black-Listen inkl. World Compliance, INFO4C, EU Consolidated List,

OFAC

200+ Anbieter internationaler und deutscherFirmeninformationen

Signifikante Länderprofile

Internationale Rechtsinformationen

Be

nja

min

Th

orn

/ p

ixe

lio.d

e

Zurück zu Ina Rothe & Christian Klos

Salvatore Saporito, Team Leader Europe Risk & Compliance



23







ÜBERWACHUNG?


• Grundsätzlich (+)

• Bewertungslogik transparent machen

• Quellen nachweisen!

BEISPIELE Risikoorientierte Ampel-Logik (grün, gelb, rot) auf Grundlage der vorgenannten Schritte, nach welcher sichÜberwachungsturnus richtet



24







ÜBERWACHUNG?


• s. o. !

BEISPIELE Monitoring im Verlauf der Geschäftsbeziehung oder Ad-hoc-Recherchen im Falle von Hinweisen auf Unregelmäßigkeiten



25

Anlass/Zweck

Art

Umfang

Betroffene/r

Know-the-data

Quellen:

Intern/extern

Inland/EU/Nicht-EU-Ausland

Erhebungs- und erste Verarbeitungsmittel:

manuell (auch: telefonisch)/automatisiert (z. B. Sanktionslistenabgleiche,Hunchly-Logging)

interne Datenbanken, Datenbanken/Apps von Drittanbietern

Weitere Verarbeitungsmittel:

Workflow-/Risikoanalysetools, inkl. Grafik-tools

Dokumentation und Verteilung:

Sharepoint, Cloud/im Schrank

mit Dritten (auch Konzerngesellschaften)

Inländisch/grenzüberschreitend (ggf. Anonymiserungsgrade bei Reporting)

Follow-the-data


Fazit & Fragen

26

Geschäftspartner müssen/sollten/dürfen im Rahmen von Geschäftspartnerüberprüfungen identifiziertund überprüft werden.

Dabei muss der Überprüfungsansatz Datenschutz/DSGVO-sicher gestaltet werden, v.a. durch:

• Bestimmung der Rechtsgrundlage und nachvollziehbare Dokumentation von Anlass, Datenquellen undSchlussfolgerungen

• Ggf. Information der betroffenen Person(en)

• Durchführung einer Datenschutzfolgenabschätzung

• Aufnahme von CMS-Tools oder Datenbanken in das Verzeichnis von Verarbeitungstätigkeiten

• Festlegung von Löschfristen

• Restriktive Berechtigungskonzepte

Fragen?

Ina Rothe

Christian Klos Salvatore Saporito

Two Towers Consulting LexisNexis GmbH

GmbH & Co. KG.

[email protected] [email protected]

Liebe auf den zweiten Blick - Rechtssichere ... · helfen Ihnen, Ihre Ziele zu erreichen und solche...

Documents

Transcript of Liebe auf den zweiten Blick - Rechtssichere ... · helfen Ihnen, Ihre Ziele zu erreichen und solche...