Compliance

Compliance trägt maßgeblich dazu bei, dass sich die Deka-Gruppe im Einklang mit den jeweils gültigen gesetzlichen und aufsichtsrechtlichen Regelungen verhält. Im Bereich Compliance sind die Themenkomplexe Kapitalmarkt- und Immobilien-Compliance, Zentrale Stelle Finanzkriminalität, Normen-Compliance, Steuer-Compliance und Informationssicherheitsmanagement (inklusive Datenschutz) verortet. Hierbei bündelt die Zentrale Stelle Finanzkriminalität die Geldwäschebekämpfung, die Abwehr von Terrorismusfinanzierung, Maßnahmen zur Betrugsprävention, zur Bekämpfung sonstiger strafbarer Handlungen und zur Bekämpfung von Korruption sowie die Umsetzung von Finanzsanktionen und Embargos.

Der Bereich Compliance entwickelt für die Deka-Gruppe in den verantworteten Themenbereichen auf Basis von geltenden gesetzlichen und aufsichtsrechtlichen Anforderungen gruppenweite Standards und Richtlinien und unterstützt die Organisationseinheiten in der DekaBank sowie den betroffenen Tochtergesellschaften mit entsprechenden Schulungen und Beratung bei deren Implementierung und Umsetzung. Darüber hinaus ist der Bereich regelmäßig in verschiedene Projekte sowie Prozesse eingebunden, insbesondere in Neu-Produkt-Prozesse, wesentliche Änderungen der Ablauf- und Aufbauorganisation sowie Auslagerungen, die sicherstellen sollen, dass die Deka-Gruppe die regulatorischen Anforderungen erfüllt sowie eventuelle Interessenkonflikte frühzeitig identifiziert und möglichst vermeidet.

Verfahren und Kontrollen in den Facheinheiten, aber auch innerhalb der Compliance-Einheit selbst dienen der Verhinderung und Aufdeckung von Unregelmäßigkeiten und sind ein fester Bestandteil des Compliance-Managementsystems der Deka-Gruppe. Um potenzielle Compliance-Risiken zu identifizieren und mit geeigneten Maßnahmen auf ihre Reduzierung hinzuwirken, führt der Bereich als 2. Verteidigungslinie im sogenannten „Three lines of defence model (TLoD)“ Überwachungs- und Kontrollaufgaben auf allen Ebenen des Bankbetriebs durch.

Basierend auf den aktuellen Entwicklungen zum umfassenden Management von operationellen Risiken – diese umfassen sowohl „Financial“ als auch „Non-Financial Risk“ (NFR) – wurde im vierten Quartal 2018 in der Verantwortung des Bereichs Compliance das Projekt „NFR“ etabliert. Ziel des Projektes ist es, NFR als strategische Komponente des Risikomanagements zu etablieren sowie im Zuge eines effektiven und effizienten Umgangs mit nichtfinanziellen Risiken die Risikobewertung und Kontrollansätze zu „Non-Financial Risk“ (insbesondere Compliance-Risiken, regulatorische Risiken, Cyber-Risiken) zu bündeln.

Datenschutz

Die Einheit Datenschutz der DekaBank wirkt darauf hin, dass die datenschutzrechtlichen Regelungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) sowie andere datenschutzrelevanten Vorschriften in der DekaBank eingehalten werden. Die Einheit ist seit Oktober 2018 organisatorisch im Bereich Compliance angesiedelt und besteht neben dem Datenschutzbeauftragten und seinem Stellvertreter aus fünf weiteren Mitarbeitern. Die Datenschutzbeauftragten sind für die DekaBank und ihre inländischen Tochtergesellschaften – mit Ausnahme der Tochtergesellschaft S-Broker, die über einen eigenen Datenschutzbeauftragten verfügt – benannt. Für den Standort Luxemburg ist ebenfalls ein eigener Datenschutzbeauftragter bestellt worden. Die Datenschutzbeauftragten sind in der Erfüllung ihrer Pflichten aus Art. 39 DS-GVO weisungsfrei und besitzen eine direkte Berichtslinie zum Vorstand beziehungsweise zu den Geschäftsführungen der deutschen Tochtergesellschaften.

Zweck der DS-GVO und des BDSG ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem verfassungsrechtlich geschützten Persönlichkeitsrecht beeinträchtigt wird. Zur Umsetzung der Anforderungen aus der im Mai 2018 in Kraft getretenen DS-GVO sowie der parallelen Novellierung des BDSG wurde ein Datenschutzmanagement-System etabliert. Dieses definiert unter anderem Prozesse, durch die sichergestellt wird, dass die gesetzlichen Anforderungen des Datenschutzes bei der Planung, Einrichtung, dem Betrieb und nach Außerbetriebnahme von Verarbeitungen umgesetzt werden. Die Prozesse wurden in einem übergreifenden Datenschutzkonzept dokumentiert. Dieses beschreibt unter anderem die bei der Verarbeitung der personenbezogenen Daten zu berücksichtigenden Aspekte. Hierzu zählen insbesondere die Wahrung der Betroffenenrechte sowie die Erfüllung der Informationspflicht gegenüber Kunden sowie Mitarbeitern.