53
Raiffeisen Bank International | Nachhaltigkeitsbericht 2018
Management Übersicht Vorwort
von Nachhaltigkeit
Verantwortungsvoller
Banker
Fairer Partner –
Human Resources
Fairer Partner –
Betriebsökologie
Engagierter
Bürger
GRI-Inhaltsindex
und Prüfbericht
tigen Verletzungen von Menschenrechten dienen können. Dies gilt besonders für Geschäfte mit Bezug zu
Ländern, in denen politische Unruhen, militärische Konflikte oder sonstige permanente Verletzungen von Menschenrechten
stattfinden oder zu erwarten sind.
Ebenso spielt die Berücksichtigung von Bedürfnissen und Anliegen unserer Kunden bei der Gestaltung, beim Vertrieb
und bei der Nutzung unserer Produkte und Services eine wichtige Rolle für unser Geschäft. Neben der Sicherheit
der Produkte ist uns die Sicherheit der Kunden ein zentrales Anliegen. Dies beinhaltet – neben dem Zugang
zu relevanten Informationen über Produkte und Services – die Nachprüfbarkeit von Behauptungen, die Aufklärung
über mögliche Risiken des Produkts oder der Dienstleistung sowie entsprechende Informationen, wie etwaige Risiken
verringert werden können. Zum Beispiel wird die wirtschaftliche Machbarkeit einer Kreditrückzahlung für den
Kunden genau abgeklärt (siehe auch Kapitel „Verantwortungsvolle Kreditvergabe“ Seite 54). Wo es möglich ist,
weisen wir Kunden auch auf Nachhaltigkeitsaspekte in Bezug auf unsere Produkte hin. Etwaige Beschwerden, die
an uns herangetragen werden, prüfen wir sorgfältig und beantworten sie ehestmöglich. Außerdem streben wir einen
umfassenden barrierefreien Zugang für benachteiligte Personengruppen zu unseren Finanzdienstleistungen an. Der
Schutz von Kundendaten ist ebenfalls Teil unserer sozialen Verantwortung (siehe folgendes Kapitel).
Schutz der Kundendaten und Datensicherheit
Die RBI sieht den umfassenden Schutz aller ihr übermittelten oder zugänglich gemachten Daten, von Kunden wie von
Mitarbeitenden, als integralen Bestandteil ihrer geschäftlichen Tätigkeit und misst diesem sehr hohe Bedeutung bei.
Für die Erfassung, Speicherung, Verarbeitung und Übermittlung von personenbezogenen Daten natürlicher Personen
gelten neben den zwingenden gesetzlichen Anforderungen in der RBI verpflichtend einzuhaltende interne
Grundsätze und Prozesse, deren Einhaltung durch das Group Data Privacy Office, durch den Datenschutzbeauftragten
sowie durch Group Information und Cyber Security gemanagt und durch die Konzernrevision überprüft
wird. Zudem orientieren sich sämtliche innerhalb der RBI implementierten und angewendeten Datensicherheitsmaßnahmen
an den jeweils aktuellen technischen Sicherheitsstandards.
Die wichtigsten Kernpunkte der RBI-Sicherheitsstrategie sind:
• Regelmäßige Adaptierung der Sicherheitsstrategie auf Basis branchentypischer Standards: Die Prozesse und
technischen Maßnahmen im Bereich Informationssicherheit sind an Standards wie z. B. ISO 27001 angelehnt.
• Permanentes Beobachten der Bedrohungslage
• Sicherheitstests und Notfallübungen: Interne und externe Sicherheitsüberprüfungen, wie z. B. Penetrationstests,
werden regelmäßig durchgeführt.
• Sicherstellen der Verfügbarkeit der Systeme
• Sensibilisierung der Mitarbeitenden: Alle Mitarbeitenden der RBI sind verpflichtet, regelmäßige Sicherheitsschulungen
zu absolvieren.
Eine Beschreibung der technischen Sicherheitsmaßnahmen ist auf der Homepage der RBI AG zu finden:
www.rbinternational.com Über uns Security Technical and Organizational Measures
Durch die Umsetzung der EU-Datenschutz-Grundverordnung 2016/679 (EU-DSGVO) bis zu deren Anwendbarkeit
ab 25.5.2018 hat die RBI eine Reihe von weiteren technischen und organisatorischen Maßnahmen etabliert,
die die bislang geltenden Datenschutz-Grundsätze und -Prozesse ausgebaut und verstärkt haben. Im Detail wurde
ein Projekt zur EU-DSGVO-Implementierung geplant und erfolgreich realisiert, das im Wesentlichen die RBIBereiche
Prozesse, Organisation, Systeme und Verträge mit Bezug auf die EU-DSGVO durchleuchtet und analysiert
hat. Darauf aufbauend wurden für jeden dieser genannten Bereiche die erforderlichen Maßnahmen zur
Anpassung an die Anforderungen der EU-DSGVO definiert und umgesetzt. Der existierende organisatorische
Rahmen wurde um eine eigene spezifische Aufbau- und Ablauforganisation für Datenschutz erweitert.