Deutsche Bank

Nichtfinanzieller Bericht 2017

Datenschutz

Sämtliche Daten, die einen direkten oder indirekten Bezug zu einer natürlichen Person haben, werden durch nationale und internationale Regelungen geschützt. Zu den personenbezogenen Daten zählen insbesondere Informationen und Angaben von Kunden, aber beispielsweise auch Daten unserer Beschäftigten sowie Daten der Beschäftigten unserer Lieferanten und Dienstleister. Vor dem Hintergrund, dass im Zeitalter zunehmender Digitalisierung nahezu alle Geschäftsprozesse auch die Verarbeitung personenbezogener Daten erfordern, ist der Schutz dieser Daten unser besonderes Anliegen.

Unsere Abteilung Konzerndatenschutz (Group Data Privacy, GDP) ist eine spezialisierte, unabhängige Kontrollfunktion mit Büros in Frankfurt am Main, Berlin, New York, Singapur sowie London und Birmingham. Die Abteilung konzentriert sich auf Zulässigkeitsfragen im Hinblick auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten, die der Bank überlassen wurden. Unser GDP-Team berichtet direkt an den Vorstand und wird in den Ländern, in denen wir tätig sind, von lokalen Datenschutzbeauftragten unterstützt. Zwischen unserer zentralen und der dezentralen Datenschutzorganisation bestehen damit direkte und indirekte Berichtslinien. Regelmäßige Abstimmungen und ein ständiger Austausch über datenschutzrelevante Themen finden auf globaler, europäischer und lokaler Ebene statt. Zusätzlich ist die Deutsche Bank in relevanten Gremien und Arbeitskreisen, wie beispielsweise dem Bundesverband deutscher Banken, IBM Guide Share Europe und Bitkom, vertreten und beteiligt sich in diesem Rahmen auch an der Interpretation und Weiterentwicklung branchenspezifischer und maßgeblicher Standards. Das Mandat für den Konzerndatenschutz innerhalb der Deutschen Bank wird durch eine Datenschutzeinheit der Postbank ergänzt.

Der regulatorische Datenschutz hat in der Deutschen Bank einen hohen Stellenwert – datenschutzrechtliche Entwicklungen werden von uns regelmäßig beobachtet und analysiert. Wir nehmen Veränderungen vor und passen unsere Kontrollprozesse an. Gleiches gilt auch für technische Entwicklungen und neue digitale Geschäftsmodelle – gemeinsam mit den zuständigen Bereichen prüft der Konzerndatenschutz diese auf die Einhaltung datenschutzrechtlicher Vorgaben.

Nach mehr als vier Jahren Verhandlungszeit trat am 24. Mai 2016 die EU-Datenschutz-Grundverordnung in Kraft. Nach einer Übergangszeit von zwei Jahren wird die Verordnung Ende Mai 2018 verbindlich. Unser Hauptaugenmerk liegt darauf, die umfänglichen Anforderungen gemeinsam mit unseren Geschäftsbereichen und Infrastrukturfunktionen umzusetzen und die entsprechenden Weichen zu stellen, damit die Bank ab Ende Mai 2018 diese erfüllt. Anderenfalls drohen der Bank empfindliche Geldbußen und hieraus resultierend erhebliche finanzielle, aufsichtsrechtliche und rufschädigende Risiken. Im Rahmen eines Projekts zur Umsetzung der Vorgaben der EU-Datenschutz-Grundverordnung werden bankweit Prozesse, Verträge, Richtlinien und Formulare überprüft und angepasst. In diesem Zuge überarbeiten wir auch unser Rahmenwerk zum Konzerndatenschutz, um die Prüfung der Einhaltung datenschutzrechtlicher Vorgaben umfassend gewährleisten zu können. Das Projekt wird durch drei Mitglieder des Vorstands begleitet.

Um Datenschutzverstöße vermeiden und effektiv behandeln zu können, haben wir geeignete Prozesse implementiert. Sie tragen dazu bei, dass etwaige Vorkommnisse unverzüglich gemeldet und geeignete Maßnahmen eingeleitet werden können.