Liebe auf den zweiten Blick - Rechtssichere Geschäftspartnerüberprüfungen auch nach der neuen EU-Datenschutz-Grundverordnung (DSGVO)
Ina Rothe & Christian KlosTwo Towers Consulting GmbH & Co. KG.
Salvatore SaporitoLexisNexis GmbH
Liebe auf den zweiten Blick
Rechtssichere Geschäftspartnerüberprüfungen auch nach der neuen EU-Datenschutz-Grundverordnung (DSGVO)
LexisNexis Webinar 26.09.2017
© 2017 Two Towers Consulting GmbH & Co. KG
Two Towers Consulting & Legal
Sichere Geschäfte ohne böse Überraschungen zu ermöglichen, welcher Compliance-Beauftragte wünscht sich dies nicht? Wirhelfen Ihnen, Ihre Ziele zu erreichen und solche Risiken zu minimieren, die von den Geschäftsprozessen oder denGeschäftspartnern Ihres Unternehmens ausgehen könnten. So ist Ihr Unternehmen vor rechtlichen und wirtschaftlichenUnwägbarkeiten gefeit und kann sich mit Vertrauen in den Unternehmensschutz auf das Kerngeschäft konzentrieren.
Two Towers Consulting ist eine Boutiqueberatung für Compliance-Themen mit angeschlossener Kanzlei. Two Towers stehtdabei für die zwei Gründer, deren sich ergänzende Expertise im gemeinsamen Engagement für Sie Mehrwerte schafft. Mitunseren gemeinschaftlich über 20 Jahren Beratungserfahrung setzen wir neben Seniorität auf eine starkeKundenorientierung, die den jeweiligen Ansprachebedürfnissen unserer unterschiedlichen Mandanten gerecht wird.
Mit professioneller Beratung & Begleitung sowie Schulungen & Coachings helfen wir Ihnen, den Unwägbarkeiten desCompliance-Geschäfts souverän zu begegnen. Sprechen Sie uns gern an!
Christian Klos
Kölner, Rechtsanwalt und Berater, sowie erster Ansprechpartner für alle (datenschutz-)rechtlichen Fragen und für das Vermindern von Risiken, die bei der Nutzung digitaler Technologien bestehen.
[email protected] 9947 993
Ina Rothe
Berlinerin in Köln, Wirtschafts-juristin, zertifizierte Ermittlerin und Erziehungswissenschaftlerin, sowie erste Ansprechpartnerin für das Vermindern von Risiken, die von allen Arten von Geschäftspartnern ausgehen könnten.
[email protected] 9937 998
3
© 2017 Two Towers Consulting GmbH & Co. KG
Ihre Themen, unsere Dienstleistungen
Wir unterstützen Sie dabei, Prüfprozesse rechtssicher zu etablieren bzw. zu optimieren oder Überprüfungendurchzuführen, ob KYC, IDD oder CDD. Weltweit.
4
© 2017 Two Towers Consulting GmbH & Co. KG
Agenda
EINLEITUNGAlles, was Sie zur DSGVO wissen müssen
ANWENDUNGSFALLGeschäftspartnerüberprüfungen im Kontext der DSGVO
FAZIT & FRAGEN Schluss, Ihre Fragen und unsere Antworten
5
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Was ist das eigentlich?
6
VERORDNUNG (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
EU- Verordnung = unmittelbare Wirkung!
Inkrafttreten am 25.5.2018
Regelungsbereich: Personenbezogene Daten in der EU
Ziel vor allem: Stärkung der Betroffenenrechte
Harmonisierung des Datenschutzes in der EU
Aber: Zahlreiche „Öffnungsklauseln“
DSGVO im Allgemeinen
Privacy by Design
Transparenz- und Informationspflichten
Einwilligungen
Dokumentations- und Rechenschaftspflichten
Betriebliche Datenschutzbeauftragte
Auftragsverarbeitung
Datenschutzfolgenabschätzung
Recht auf Vergessenwerden
Meldepflichten bei „Datenpannen“
Allgemeine Grundsätze (Art. 5 Abs. 1): Zweckbindung, Datenminimierung, Vertraulichkeit usw.
DSGVO im Speziellen
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Und ist das jetzt alles neu?
7
Nein!
Aber:
Erweiterung der Informationspflichten
Strengere Vorgaben an Dokumentation und Managementsystem
Massiv erhöhter Bußgeldrahmen(bis zu € 20 Mio. / 4 % Jahresumsatz)
Daher:
Spätestens jetzt aktiv werden:
Bedarf bestimmen und neues Datenschutz-Managementsystem implementieren
Bestehendes Datenschutz-Managementsystem überprüfen und ggf. anpassen
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Was ist erlaubt?
8
Relevante Erlaubnistatbestände:
Einwilligung (Art. 6 Abs. 1 S. 1 lit. a)
Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c)
Wahrung berechtigter Interessen des Verantwortlichen (Art. 6 Abs. 1 S. 1 lit. f) Interessenabwägung
Veröffentlichung bes. Arten pb Daten durch betroffene Person (Art. 9 Abs. 2 lit. e)
Spezialgesetze: V.a.: BDSG-neu
Grundsätzlich gilt:
Verarbeitung personenbezogener Daten ist verboten, wenn nicht ausdrücklich erlaubt (Art. 6 Abs. 1 DSGVO)
DSGVO folgt damit grundsätzlich dem System des BDSG.
Keine expliziten Erlaubnistatbestände für Compliance-Maßnahmen!
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG
DSGVO-Relevanz
Subjekt: juristische oder natürliche Person
Anlass/Zweck: gesetzliche Pflicht, Hinweis auf Unregelmäßigkeiten, belegter Verdacht...
Erhebung: Informationseinholung, Datenarten, Datenminimierung, Verfahrens-/Quellenarten, Jurisdiktion
Weitere Verarbeitung: Datenumfang, Datenminimierung, Dauer, need-to-know-Prinzip, Jurisdiktion
Dokumentation: Zweckbindung, Zugriffsrechte, Speicherbegrenzung, DSFA, Information d. Betroffenen
9
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
10
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG?
Zulässigkeit nach DSGVO
• Je nach Anlass:
o Erfüllung rechtlicher Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c), z. B. nach GwG
o Berechtigtes Interesse (Art. 6 Abs. 1 S. 1 lit. f)
• Bei Interessenabwägung: i. d. R. unkritisch, da Daten öffentlich verfügbar
• Nur Daten erheben, welche auch tatsächlich erforderlich sind (z. B. Geburtsdatum zur eindeutigenIdentifikation)
!
BEISPIELEInformationen aus Handels- oder Gewerberegister, inkl. Firma, Adresse, Gesellschafterstruktur sowie persönliche Datenzu den wirtschaftlich Berechtigten, inkl. Geburtsdatum, Wohnsitz
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
11
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG?
Zulässigkeit nach DSGVO
• Rechtsgrundlage bei Sanktionslisten bislang umstritten (EU-VOen wohl keine RGL)
• Keine ausdrückliche Klärung durch DSGVO
• Wohl: Art. 6 Abs. 1 S. 1 lit. f (berechtigte Interessen); massive Sanktionen bei Nichterfüllung möglich!
• Beachten: Frequenz, Datenfelder, Löschfristen, Richtigkeit der Daten
• Bei Einschaltung von Dienstleistern: AV-Vertrag abschließen
• Verweis auf Prüfung durch Bank wohl nicht ausreichend
!
BEISPIELE Abgleich mit Sanktions- und PEP-Listen, Informationen aus Insolvenzregistern oder zur allgemeinen Bonität und Zahlungsdisziplin, z. B. von Creditreform, sowie Gerichtsurteile
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Bsp. öffentlich verfügbare Informationen
12
Insolvenz-App
• Insolvenzbekanntmachungen, etc. werden in Insolvenzregister veröffentlicht
• Grds. für jedermann zugänglich
• App sammelte Daten und stellte diese in verschiedenen Ansichten bereit(z.B. auch Insolvenzen pro Region)
Zulässigkeit nach DSGVO
• Bisher einschlägig: § 29 Abs. 1 S. 1 Nr. 2 BDSG
• AG Rockenhausen: Daten öffentlich verfügbar, aber insb. Art der Darstellung verletztPerskeitsR d. Betroffenen („Prangerwirkung“) – Az.: 2 C 341/16 v. 9.8.2016
• Daher: App rechtswidrig
• DSGVO: Keine § 29 BDSG vergleichbare Regelung
• Abwägung nach Art. 6 Abs. 1 lit f)
• Abwägungsmaßstab eher strenger (kein „offensichtliches“ Überwiegen mehr notwendig)
• Ergebnis: wie zuvor
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
13
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG?
Zulässigkeit nach DSGVO
• Grundsätzlich: Abwägungsentscheidung
• Rückgriff auf Rechtsprechung und Behördenauffassung zu BDSG möglich
• Bei Social Media z. B.: Art der Plattform (beruflich vs. privat); Login oder „Freundschaft“ erforderlich?
• Bei bes. Arten pb Daten (z. B. Gesundheit, sexuelle Orientierung): offensichtlich durch betr. Person öffentlich gemacht? (Art. 9 Abs. 2 lit. e))
• Unterscheidung juristische / natürliche Personen
• Dokumentation der Herkunft
!
BEISPIELE Recherchen in Pressedatenbanken oder dem weiteren Internet, Recherchen in Social Media, diskrete Befragungen(Nahestehende, Kunden, Journalisten etc.), Inaugenscheinnahme
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Bsp. Datenbank
14
Zulässigkeit nach DSGVO
• RGL je nach Anlass bestimmen
Bei nachvollziehbarem Anlass i.d.R. (+), da Daten aus öffentl. Quellen
• Datenminimierung beachten
• Nicht Relevantes nicht in die Dokumentation aufnehmen?
• Nachvollziehbar dokumentieren
Exkurs: LexisNexis – Geschäftspartnerüberprüfung
Salvatore Saporito, Team Leader Europe Risk & Compliance
16LexisNexis GmbH – Willkommen bei den Informationsexperten!
Zunahme an Strafverfolgungen
Rasant wachsende Bedeutung der erweitertenGeschäftspartnerüberprüfung
Sensibilität für das Thema dringt bis in den Mittelstand durch
Verlagerung der Anforderungen von Kundenhin zum Geschäftspartner und weiter
Standardisierungstendenzen sinderkennbar in der Ermittlungstiefe –Integration in eigene Systeme
Erkennbare Trends
17LexisNexis GmbH – Willkommen bei den Informationsexperten!
ZentraleQuellen
Sanktions-listen
Rechtsdaten
BiographischeQuellen
PEP-Daten
Weltweite Presse
Firmen-informationen
Abdeckung der Compliance-Anforderungen durch zentrale Quellen
18LexisNexis GmbH – Willkommen bei den Informationsexperten!
Risikoansatz und Quellen für Due Diligence
Informationsquellen – nur welche?
19LexisNexis GmbH – Willkommen bei den Informationsexperten!
Identifikation meiner Geschäftspartner und Einteilung in Cluster
Risk Assessment durch Identifikation der Risikofelder sowie Kategorisierung in Risikogruppen
Verhältnis Risikopotential und Ressourcenaufwand einschätzen, um Umfang der Überprüfung festzulegen (Ermittlungstiefe)
Prüfungsprozess und Recherchequellen festlegen
Informationsauswertung und Schaffung einer Entscheidungsgrundlage
Unterstützung durch IT zur Standardisierung
Einbettung in den betrieblichen Kontext
Prozess zum Aufbau einer effektiven Geschäftspartnerüberprüfung
20LexisNexis GmbH – Willkommen bei den Informationsexperten!
Lexis Diligence® - Geschäftspartnerüberprüfung
Zugriff auf alle Quellen über nur eine Suchmaske
Benutzerfreundliche Oberfläche und vielfältige Such-Optionen
Automatisches Erkennen von Nachrichten mit negativer Tonalität
Information per E-Mail, wenn für bestimmte Suchbegriffe neue Ergebnisse gefunden werden
Dokumentationsnachweis über Report Builder
21LexisNexis GmbH – Willkommen bei den Informationsexperten!
Verfügbare Quellen
23.000+ internationale Pressequellen ca. 300 deutschsprachige Publikationen einschließlich Branchenpublikationen
PEP-, Sanktions- und Watch- und Black-Listen inkl. World Compliance, INFO4C, EU Consolidated List,
OFAC
200+ Anbieter internationaler und deutscherFirmeninformationen
Signifikante Länderprofile
Internationale Rechtsinformationen
Be
nja
min
Th
orn
/ p
ixe
lio.d
e
Zurück zu Ina Rothe & Christian Klos
Salvatore Saporito, Team Leader Europe Risk & Compliance
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
23
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG?
Zulässigkeit nach DSGVO
• Grundsätzlich (+)
• Bewertungslogik transparent machen
• Quellen nachweisen!
BEISPIELE Risikoorientierte Ampel-Logik (grün, gelb, rot) auf Grundlage der vorgenannten Schritte, nach welcher sichÜberwachungsturnus richtet
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
24
Geschäftspartner-Überprüfung
ERWEITERTE STAMMDATEN
IDENTIFIKATION& VERIFIKATION
COMPLIANCE-INFORMATION
ÖFFENTLICH-KEITSPROFIL
COMPLIANCE-BEWERTUNG
ÜBERWACHUNG?
Zulässigkeit nach DSGVO
• s. o. !
BEISPIELE Monitoring im Verlauf der Geschäftsbeziehung oder Ad-hoc-Recherchen im Falle von Hinweisen auf Unregelmäßigkeiten
© 2017 Two Towers Consulting GmbH & Co. KG
DSGVO Geschäftspartner-Überprüfung
25
Anlass/Zweck
Art
Umfang
Betroffene/r
Know-the-data
Quellen:
Intern/extern
Inland/EU/Nicht-EU-Ausland
Erhebungs- und erste Verarbeitungsmittel:
manuell (auch: telefonisch)/automatisiert (z. B. Sanktionslistenabgleiche,Hunchly-Logging)
interne Datenbanken, Datenbanken/Apps von Drittanbietern
Weitere Verarbeitungsmittel:
Workflow-/Risikoanalysetools, inkl. Grafik-tools
Dokumentation und Verteilung:
Sharepoint, Cloud/im Schrank
mit Dritten (auch Konzerngesellschaften)
Inländisch/grenzüberschreitend (ggf. Anonymiserungsgrade bei Reporting)
Follow-the-data
© 2017 Two Towers Consulting GmbH & Co. KG
Fazit & Fragen
26
Geschäftspartner müssen/sollten/dürfen im Rahmen von Geschäftspartnerüberprüfungen identifiziertund überprüft werden.
Dabei muss der Überprüfungsansatz Datenschutz/DSGVO-sicher gestaltet werden, v.a. durch:
• Bestimmung der Rechtsgrundlage und nachvollziehbare Dokumentation von Anlass, Datenquellen undSchlussfolgerungen
• Ggf. Information der betroffenen Person(en)
• Durchführung einer Datenschutzfolgenabschätzung
• Aufnahme von CMS-Tools oder Datenbanken in das Verzeichnis von Verarbeitungstätigkeiten
• Festlegung von Löschfristen
• Restriktive Berechtigungskonzepte
Fragen?
Ina Rothe
Christian Klos Salvatore Saporito
Two Towers Consulting LexisNexis GmbH
GmbH & Co. KG.