Ab dem 25.05.2018 gilt die DSGVO. Betroffene Personen haben dann ein Recht auf Auskunft über die über sie gespeicherten personenbezogene Daten. Finanzinstitute, die nicht nur aus gesetzlichen Gründen eine Reihe von Personenmerkmalen erheben und verarbeiten, stellt dies vor eine besondere Herausforderung, da sie unter Umständen mit einer großen Anzahl von Anfragen rechnen müssen. Bei Sparkassen, wie auch bei vielen anderen Finanzinstituten, wird die sogenannte Betroffenenauskunft deshalb bei Bedarf automatisch vom operativen System gesetzeskonform generiert. Dieses Vorgehen birgt allerdings ein nicht unerhebliches Image- und Haftungsrisiko, da erfahrungsgemäß nicht alle so veröffentlichten Daten den Anforderungen der DSGVO entsprechen. Die emagixx GmbH bietet mit seiner Dienstleistung „Personenmerkmale“ eine Möglichkeit, die kritische Daten zeitnah zu bereinigen.

Zur besseren Einschätzung des Kunden oder auch zur Serviceoptimierung ist es in Finanzinstituten gängige Praxis, Zusatzinformationen über den Kunden zu hinterlegen. Bei Sparkassen stehen im operativen System OSPlus hierfür Textfelder zur Verfügung, die direkt im oder nach dem Beratungsgespräch von Sparkassenmitarbeitern befüllt werden. Erste Stichproben zeigen, dass einige der so hinterlegten Informationen leider nicht den in der DSGVO festgelegten Anforderungen an die Verarbeitung personenbezogener Daten entsprechen.

Die DSGVO sieht vor, dass personenbezogene Daten grundsätzlich nur für festgelegte, eindeutige und legitime Zwecke erhoben werden dürfen („Zweckbindung“), dem Zweck angemessen und erheblich  („Datenminimierung“) und außerdem sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen („Richtigkeit“) (Artikel 5, Abs. 1). Besondere Kategorien personenbezogener Daten wie politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten etc. unterliegen darüber hinaus einem weiteren Schutz und dürfen – bis auf wenige Ausnahmen - grundsätzlich nicht verarbeitet werden.

Beim automatischen Generieren der Betroffenenauskunft der Sparkassen werden – wie in der DSGVO vorgesehen – alle im System vorhandenen Informationen in einem Dokument zusammengefasst und dem Betroffenen ausgehändigt. Dies gilt auch für irrtümlicher Weise oder aus Unwissenheit erhobene Informationen wie z. B. „pflegt kranke Mutter“ oder gar „ist krank“. Diese Art des Verstoßes gegen die DSGVO kann, je nach Reaktion des Betroffenen, ein erhebliches Image- oder Haftungsrisiko darstellen.

Die emagixx GmbH hat aus diesem Grund - basierend auf seiner Prüfsoftware enfoxx - eine Dienstleistung entwickelt, bei der die in den Textfeldern hinterlegten Informationen mit Hilfe eines Regelwerks strukturiert aufarbeitet, kategorisiert und analysiert werden. Anschließend erfolgt bei gesetzeswidrigen Informationen wie Krankheiten etc. eine automatische Löschung der Inhalte oder, falls die Textfelder darüber hinaus Informationen enthalten, deren Aufbewahrung gewünscht wird, eine Weiterleitung zur manuellen Bearbeitung durch Sparkassenmitarbeiter. Aufgrund der ausgereiften Technologie ist die Dienstleistung in nur wenigen Tagen abgeschlossen, so dass Sparkassen auch jetzt noch zeitnah ihre Daten bereinigen können.