Im Mai 2016 trat die Datenschutzgrundverordnung der Europäischen Union (DSGVO) in Kraft. Zwei Jahre später, ab Mai 2018, musste die Verordnung in allen EU-Staaten angewendet werden. Nun liegen erste Erfahrungen vor und Unternehmen und Institutionen ziehen Bilanz.

Lesen Sie im folgenden Beitrag, welche Herausforderungen die neuen Regelungen für Banken und Finanzinstitute darstellen, was speziell die DSGVO für das Reporting und die Bank-IT bedeutet und wie die Einführung der Datenschutzgrundverordnung in Deutschland insgesamt und speziell im Bankenbereich gelungen ist.

Hohe Anforderungen der DSGVO speziell an Finanzinstitute

Mit der Datenschutzgrundverordnung der Europäischen Union wurden europaweit neue Anforderungen an die Verarbeitung personenbezogener Daten geschaffen. Für 2019 ist vorgesehen, die DSGVO durch die „EU-e-Privacy-Verordnung“ zu ergänzen. Diese Zusatzverordnung, die sich gegenwärtig noch im Gesetzgebungsverfahren befindet, gilt für den Bereich der elektronischen Kommunikation und wird Internet- und Telemediendienste betreffen.
Ohnehin unterliegen Banken und Finanzinstitute durch verschiedene Vorgaben der Bankenregulierung extrem hohen Anforderungen an das Management ihrer Daten. Dabei geht es nicht nur um den Schutz persönlicher Daten, sondern auch um Cyber-Sicherheit und den Erhalt der Finanzstabilität insgesamt.

Die Umsetzung der Datenschutzgrundverordnung im Bankenbereich erfolgt vor dem Hintergrund, dass Banken zur Erfüllung ihrer rechtlichen Verpflichtung personenbezogene Daten verarbeiten müssen (Artikel 6, Abs. 1c). Finanzinstitute sind beispielsweise dafür verantwortlich, dass das Kreditwesengesetz, das Geldwäschegesetz, das Wertpapierhandelsgesetz und Steuergesetze eingehalten werden. Dazu sind unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken in der Bank und im Konzern notwendig.

Außerdem verarbeiten Banken persönliche Daten, weil sie Aufgaben im öffentlichen Interesse wahrnehmen (Artikel 6, Abs. 1e). Das heißt, die Banken müssen auch bei der DSGVO im Einklang mit den Vorgaben beispielsweise der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) handeln.

© Wright Studio/Shutterstock.com

Strenge Kontrollen und hohe Bußgelder

Insgesamt hat sich das Datenmanagement mit der DSGVO für Banken nicht grundsätzlich verändert. Die von der Finanzbranche vor der Verabschiedung der DSGVO getätigten Datenverarbeitungen bleiben weiterhin zulässig, denn sie erfolgen ja überwiegend zur Vertragserfüllung oder aufgrund gesetzlicher Vorgaben.

Allerdings hat die DSGVO alle Beteiligten stärker für den verantwortungsvollen Umgang mit den Daten der Kunden oder Mitarbeiter sensibilisiert, denn die Behörden kontrollieren streng, wie die Verordnung und anderen Regulierungen im Bankenwesen von der Bank-IT umgesetzt werden. Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Aufsicht über den Datenschutz bei Banken und Finanzdienstleistern obliegt den jeweils örtlich zuständigen Landesdatenschutzbehörden.

Anspruchsvolles Berichtswesen

Die DSGVO gibt sehr konkret vor, wie die Erhebung, die Auswahl, die Archivierung und die Verarbeitung personenbezogener Daten zu erfolgen hat. Die Bank-IT hat damit fortlaufend dafür zu sorgen, dass die Profile den Anforderungen der DSGVO entsprechen. Die zu erbringenden Rechenschaftspflichten sind streng. Finanzinstitute müssen beispielsweise nachweisen, dass sie genau wissen, wo sich personenbezogene Daten befinden, und zwar innerhalb aller Systeme und Geschäftsbereiche. Mit einem sehr sensiblen Berechtigungsmanagement müssen sie jederzeit den Überblick haben, wer wann Zugriff auf die personenbezogenen Daten hat. Die DSGVO sieht unter anderem vor, dass die Dokumentationspflichten als Nachweis gegenüber Datenschutzbehörden ausgeweitet werden, sodass gerichtlichen Verfahren mehr Beweismaterial zugrunde gelegt werden kann. Unternehmen insgesamt müssen die Einhaltung aller Grundsätze der DSGVO jederzeit nachweisen können und Mechanismen einführen, die den Verlauf und die Nutzung von persönlichen Daten kontrollieren.

Der Umgang mit Daten bei IT-Tests

Wenn neue IT-Systeme eingeführt wurden, bevorzugten Institute bei den entsprechenden Tests in der Vergangenheit den Einsatz von echten Daten. Letztlich verlangt die Bankenaufsicht IT-Tests unter möglichst realen Bedingungen. Außerdem ist der Aufwand zur Erzeugung synthetischer Daten hoch. Wenn keine personenbezogenen Daten zum Test neuer Systeme verwendet werden, ist die Verwendung von Echt-Daten durchaus in Ordnung. Da sich die DSGVO aber speziell um personenbezogene Daten kümmert, ist sie überall dort relevant, wo solche Daten erhoben und verarbeitet werden. Der Schutz persönlicher Daten sollte schon bei der IT-Entwicklung mitgedacht und eingebaut werden; deshalb empfiehlt es sich, beim Testmanagement auf Echt-Daten zu verzichten.

Ruhiger Start der DSGVO in Deutschland

Nach Angaben des Digitalverbands Bitkom hatten im Mai 2019 erst 24 Prozent der Unternehmen in Deutschland die DSGVO vollständig umgesetzt. Konkrete Angaben zur Finanzbranche gibt es nicht. In einer Anfrage einiger FDP-Bundestagsabgeordneten an die Bundesregierung zur Umsetzung der DSGVO bei Banken verwies die Bundesregierung auf die Zuständigkeit der örtlichen Landesdatenschutzbehörden. Allerdings erklärte sie, dass die BaFin auf der Grundlage von Aufsichtsgesprächen davon ausgeht, dass in einigen Instituten die DSGVO bereits vollständig umgesetzt ist.

Nach einer Studie der Unternehmensberatung EY zu ersten Erfahrungen mit der Einführung der Datenschutzgrundverordnung der EU gab es im ersten Jahr in Deutschland 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO, in nur 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf 16.100 Euro beliefen. Damit waren die deutschen Behörden im europäischen Vergleich am aktivsten. In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt, stellt EY fest. Die Anzahl der Verwarnungen war hingegen in den Niederlanden besonders hoch: Dort wurden zwar 1.018 Verwarnungen gezählt, jedoch nur ein einziger Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister wegen eines Verstoßes gegen Sicherheit der Datenverarbeitung. Dieses Bußgeld war zugleich die höchste in der EU im Jahr 2018 verhängte Strafgebühr.

Allerdings brachte das Jahr 2018 mit der DSGVO einen enormen Anstieg von Datenschutzanfragen und -meldungen an die zuständigen Behörden in Deutschland. Zum einen verlangt die Verordnung die Meldung eventueller Verstöße gegen die DSGVO. Zum anderen haben die Datenschutzbehörden auch die Aufgabe, zu beraten und zu sensibilisieren. So lagen die Meldungen von Datenschutzpannen gemäß Artikel 33 DSGVO mit durchschnittlich 2.960 pro Behörde auf sehr hohem Niveau.

Regulierungen und Gesetzen mit Hilfe von Software entsprechen

Um der zunehmenden Regulierung und der Vielzahl neuer Gesetzesvorgaben gerecht zu werden, kommt im Finanzdienstleistungssektor immer mehr Regulierungs-, Compliance- und Governance-Software zum Einsatz. Investitionen in Technologien, die die Erfüllung der regulatorischen Anforderungen garantieren, sind in den vergangenen Jahren geradezu explodiert. Hat die Bank-IT die richtige RegTech-Software zur Verfügung, die automatisch erkennt, ob beispielsweise personenbezogene Daten genau so verarbeitet werden wie in der DSGVO vorgegeben, garantiert dies schon einmal den richtigen Umgang mit den persönlichen Daten der Kunden und einen Schutz vor eventuellen Bußgeldern für die Bank.