DSGVO und ihre Auswirkungen auf den Bankensektor in Deutschland

Herausforderungen der DSGVO für Banken und Finanzinstitute

Im Mai 2016 trat die Datenschutzgrundverordnung der Europäischen Union (DSGVO) in Kraft. Zwei Jahre später, ab Mai 2018, musste die Verordnung in allen EU-Staaten angewendet werden. Nun liegen erste Erfahrungen vor und Unternehmen und Institutionen ziehen Bilanz.

Lesen Sie im folgenden Beitrag, welche Herausforderungen die neuen Regelungen für Banken und Finanzinstitute darstellen, was speziell die DSGVO für das Reporting und die Bank-IT bedeutet und wie die Einführung der Datenschutzgrundverordnung in Deutschland insgesamt und speziell im Bankenbereich gelungen ist.

Hohe Anforderungen der DSGVO speziell an Finanzinstitute

Mit der Datenschutzgrundverordnung der Europäischen Union wurden europaweit neue Anforderungen an die Verarbeitung personenbezogener Daten geschaffen. Für 2019 ist vorgesehen, die DSGVO durch die „EU-e-Privacy-Verordnung“ zu ergänzen. Diese Zusatzverordnung, die sich gegenwärtig noch im Gesetzgebungsverfahren befindet, gilt für den Bereich der elektronischen Kommunikation und wird Internet- und Telemediendienste betreffen.
Ohnehin unterliegen Banken und Finanzinstitute durch verschiedene Vorgaben der Bankenregulierung extrem hohen Anforderungen an das Management ihrer Daten. Dabei geht es nicht nur um den Schutz persönlicher Daten, sondern auch um Cyber-Sicherheit und den Erhalt der Finanzstabilität insgesamt.

Die Umsetzung der Datenschutzgrundverordnung im Bankenbereich erfolgt vor dem Hintergrund, dass Banken zur Erfüllung ihrer rechtlichen Verpflichtung personenbezogene Daten verarbeiten müssen (Artikel 6, Abs. 1c). Finanzinstitute sind beispielsweise dafür verantwortlich, dass das Kreditwesengesetz, das Geldwäschegesetz, das Wertpapierhandelsgesetz und Steuergesetze eingehalten werden. Dazu sind unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken in der Bank und im Konzern notwendig.

Außerdem verarbeiten Banken persönliche Daten, weil sie Aufgaben im öffentlichen Interesse wahrnehmen (Artikel 6, Abs. 1e). Das heißt, die Banken müssen auch bei der DSGVO im Einklang mit den Vorgaben beispielsweise der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) handeln.

© Wright Studio/Shutterstock.com

Strenge Kontrollen und hohe Bußgelder

Insgesamt hat sich das Datenmanagement mit der DSGVO für Banken nicht grundsätzlich verändert. Die von der Finanzbranche vor der Verabschiedung der DSGVO getätigten Datenverarbeitungen bleiben weiterhin zulässig, denn sie erfolgen ja überwiegend zur Vertragserfüllung oder aufgrund gesetzlicher Vorgaben.

Allerdings hat die DSGVO alle Beteiligten stärker für den verantwortungsvollen Umgang mit den Daten der Kunden oder Mitarbeiter sensibilisiert, denn die Behörden kontrollieren streng, wie die Verordnung und anderen Regulierungen im Bankenwesen von der Bank-IT umgesetzt werden. Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Aufsicht über den Datenschutz bei Banken und Finanzdienstleistern obliegt den jeweils örtlich zuständigen Landesdatenschutzbehörden.

Anspruchsvolles Berichtswesen

Die DSGVO gibt sehr konkret vor, wie die Erhebung, die Auswahl, die Archivierung und die Verarbeitung personenbezogener Daten zu erfolgen hat. Die Bank-IT hat damit fortlaufend dafür zu sorgen, dass die Profile den Anforderungen der DSGVO entsprechen. Die zu erbringenden Rechenschaftspflichten sind streng. Finanzinstitute müssen beispielsweise nachweisen, dass sie genau wissen, wo sich personenbezogene Daten befinden, und zwar innerhalb aller Systeme und Geschäftsbereiche. Mit einem sehr sensiblen Berechtigungsmanagement müssen sie jederzeit den Überblick haben, wer wann Zugriff auf die personenbezogenen Daten hat. Die DSGVO sieht unter anderem vor, dass die Dokumentationspflichten als Nachweis gegenüber Datenschutzbehörden ausgeweitet werden, sodass gerichtlichen Verfahren mehr Beweismaterial zugrunde gelegt werden kann. Unternehmen insgesamt müssen die Einhaltung aller Grundsätze der DSGVO jederzeit nachweisen können und Mechanismen einführen, die den Verlauf und die Nutzung von persönlichen Daten kontrollieren.

Der Umgang mit Daten bei IT-Tests

Wenn neue IT-Systeme eingeführt wurden, bevorzugten Institute bei den entsprechenden Tests in der Vergangenheit den Einsatz von echten Daten. Letztlich verlangt die Bankenaufsicht IT-Tests unter möglichst realen Bedingungen. Außerdem ist der Aufwand zur Erzeugung synthetischer Daten hoch. Wenn keine personenbezogenen Daten zum Test neuer Systeme verwendet werden, ist die Verwendung von Echt-Daten durchaus in Ordnung. Da sich die DSGVO aber speziell um personenbezogene Daten kümmert, ist sie überall dort relevant, wo solche Daten erhoben und verarbeitet werden. Der Schutz persönlicher Daten sollte schon bei der IT-Entwicklung mitgedacht und eingebaut werden; deshalb empfiehlt es sich, beim Testmanagement auf Echt-Daten zu verzichten.

Ruhiger Start der DSGVO in Deutschland

Nach Angaben des Digitalverbands Bitkom hatten im Mai 2019 erst 24 Prozent der Unternehmen in Deutschland die DSGVO vollständig umgesetzt. Konkrete Angaben zur Finanzbranche gibt es nicht. In einer Anfrage einiger FDP-Bundestagsabgeordneten an die Bundesregierung zur Umsetzung der DSGVO bei Banken verwies die Bundesregierung auf die Zuständigkeit der örtlichen Landesdatenschutzbehörden. Allerdings erklärte sie, dass die BaFin auf der Grundlage von Aufsichtsgesprächen davon ausgeht, dass in einigen Instituten die DSGVO bereits vollständig umgesetzt ist.

Nach einer Studie der Unternehmensberatung EY zu ersten Erfahrungen mit der Einführung der Datenschutzgrundverordnung der EU gab es im ersten Jahr in Deutschland 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO, in nur 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf 16.100 Euro beliefen. Damit waren die deutschen Behörden im europäischen Vergleich am aktivsten. In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt, stellt EY fest. Die Anzahl der Verwarnungen war hingegen in den Niederlanden besonders hoch: Dort wurden zwar 1.018 Verwarnungen gezählt, jedoch nur ein einziger Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister wegen eines Verstoßes gegen Sicherheit der Datenverarbeitung. Dieses Bußgeld war zugleich die höchste in der EU im Jahr 2018 verhängte Strafgebühr.

Allerdings brachte das Jahr 2018 mit der DSGVO einen enormen Anstieg von Datenschutzanfragen und -meldungen an die zuständigen Behörden in Deutschland. Zum einen verlangt die Verordnung die Meldung eventueller Verstöße gegen die DSGVO. Zum anderen haben die Datenschutzbehörden auch die Aufgabe, zu beraten und zu sensibilisieren. So lagen die Meldungen von Datenschutzpannen gemäß Artikel 33 DSGVO mit durchschnittlich 2.960 pro Behörde auf sehr hohem Niveau.

Regulierungen und Gesetzen mit Hilfe von Software entsprechen

Um der zunehmenden Regulierung und der Vielzahl neuer Gesetzesvorgaben gerecht zu werden, kommt im Finanzdienstleistungssektor immer mehr Regulierungs-, Compliance- und Governance-Software zum Einsatz. Investitionen in Technologien, die die Erfüllung der regulatorischen Anforderungen garantieren, sind in den vergangenen Jahren geradezu explodiert. Hat die Bank-IT die richtige RegTech-Software zur Verfügung, die automatisch erkennt, ob beispielsweise personenbezogene Daten genau so verarbeitet werden wie in der DSGVO vorgegeben, garantiert dies schon einmal den richtigen Umgang mit den persönlichen Daten der Kunden und einen Schutz vor eventuellen Bußgeldern für die Bank.

Unser eLearning für Ihr professionelles Data Management

small akademie. clear focus.

eLearning

Data Management in Unternehmen:

Grundlagen, Konzepte und Herausforderungen in der Praxis

On-Demand
3 Stunden
Zertifikat
Deutsch
Unsere Data Management Grundlagen eLearning gibt Ihnen einen aktuellen Überblick über die Welt der Daten und das Grundverständnis über Data Management.

Unser Ziel ist es, die Sprachfähigkeit sowohl bei Mitarbeitern als auch Führungskräften zu verbessern, die notwendig für die Entwicklung, Implementierung und Betrieb eines effektiven Data Managements im Unternehmen ist. Somit kann das Unternehmen einen MEHRWERT aus Daten schöpfen und die digitale Transformation beschleunigen.

Stärken und Schwächen der Bankenregulierung

Bankenregulierung als Festlegung rechtlicher Regeln

Bankenregulierung ist eine Maßnahme des Staates oder einer Staatengemeinschaft, um Finanzkrisen zu verhindern oder zumindest weniger wahrscheinlich zu machen. Unter Bankenregulierung versteht man die Festlegung rechtlicher Regeln im Bereich Finanzwirtschaft, um die Finanzstabilität zu schützen. Lesen Sie in diesem Beitrag, welche Vorteile eine strenge Bankenregulierung Ihrem Finanzinstitut bringt, welche Schwerpunkte die Bankenregulierung für 2019 auf die Tagesordnung setzt und wie Sie neue Gesetze und Verordnungen schnell und effektiv umsetzen können.

Mehr Finanzstabilität durch Bankenregulierung

Bankenregulierung gibt es schon immer. Wie die Finanzkrise 2007/2008 gezeigt hat, erfüllte sie aber über Jahrzehnte hinweg nicht die Anforderungen, um Finanzinstitutionen in die Lage zu versetzen, Krisen abzuwenden oder zu überstehen. Nach dem Zusammenbruch von Lehman-Brothers 2008 verpflichteten sich die G-20-Staats- und -Regierungschefs daher, ihre aufsichtsrechtlichen Vorschriften, die aufsichtsrechtlichen Aufsicht und das Risikomanagement zu stärken. Dies sollte sicherstellen, dass alle Finanzmärkte, Produkte und Teilnehmer entsprechend ihres Zustandes besser reguliert oder beaufsichtigt werden.

In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFIN) die oberste Finanzaufsichtsbehörde. Sie ist zuständig für Kreditinstitute, Finanzdienstleister, Kapitalverwaltungsgesellschaften, Versicherungsunternehmen und Pensionsfonds (beaufsichtigte Unternehmen) sowie den Wertpapierhandel. Grundlage ihrer Tätigkeit sind Gesetze und Verordnungen des Bundestages sowie EU-Verordnungen.

Bankenregulierung erhöht qualitative Anforderungen

Im Zuge der Bankenregulierung stellen die staatlichen Stellen und die EU heute höhere Anforderungen an die Finanzwirtschaft als vor der Finanzkrise:

  • Banken müssen quantitativ und qualitativ höhere Anforderungen an die Kapitalausstattung erfüllen.
  • Banken müssen ausreichend Liquidität vorhalten.
  • Es existieren Mechanismen, um auch Bankenriesen, deren Zusammenbruch weitreichende Folgen für die gesamte Finanzstruktur haben, abwickeln zu können.
  • Mit Hilfe der makroprudenziellen Regulierung werden nicht nur einzelne Institute, sondern wird die Stabilität des Finanzsystems als Ganzes überwacht. Eine wichtige Rolle spielt dabei die Identifikation systemischer Risiken. Indem Gesetze und Verordnungen die Finanzbranche zum Schutz vor Krisen regulieren, wird gleichzeitig der Anlegerschutz gestärkt. Durch Rechnungslegungs- und Publizitätsvorschriften wird Transparenz gewährleistet. Ebenso wird sichergestellt, dass der allgemeine Zahlungsverkehr funktioniert.

Bankenregulierung ist kein abgeschlossener Prozess. So wie sich das Umfeld ändert, also das gesamtwirtschaftlichen Gefährdungspotenzial und das einzelwirtschaftliche Risiko, so werden neue Gesetze und Verordnungen erlassen, die von den Finanzinstituten umgesetzt werden müssen.

Header Bankenregulierung
© yanin kongurai/shutterstock.com

Digitalisierung als Schwerpunkt der Bankenregulierung

Ein aktueller Schwerpunkt der Bankenregulierung, der alle Finanzinstitute direkt betrifft, besteht in der Begleitung des Digitalisierungsprozesses. Hier stellen sich die Fragen:

  • Wie ist aufsichtlich und regulatorisch mit den Marktveränderungen umzugehen, die durch die Digitalisierung ausgelöst werden?
  • Wie kann die BaFin sicherstellen, dass die innovativen Technologien und IT-Systeme sowie Daten, die bei den beaufsichtigten Unternehmen genutzt werden, sicher sind?

Datensicherheit – also Cybersecurity, Data Governance, Drittanbieter und Datenschutz – steht ganz oben auf der Must-Have-Liste von Finanzinstituten, um Gefahren abzuwenden.

DSGVO als besondere Herausforderung

Im vergangenen Jahr trat die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft – ein Meilenstein der regulatorischen Unterstützung zur Schaffung eines vollständigen digitalen Binnenmarkts. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die DSGVO ist eine einzigartige Regelung für das Datenmanagement zum Schutz der Privatsphäre für alle Mitglieder der EU und des Europäischen Wirtschaftsraums (EWR), deren Umsetzung die gesamte Wirtschaft, allen voran aber die Finanzbranche, vor große Herausforderungen stellte und weiterhin stellt. Ob die Verordnung in allen Teilen den Ansprüchen gerecht wird, die an sie gestellt werden, bleibt dahingestellt. Fakt ist: Für Unternehmen hat sie weitreichende Konsequenzen, insbesondere in der Finanzbranche, die wie kaum ein anderer Wirtschaftszweig von Datenflüssen lebt.

In Buchhaltungssystemen sind die Änderungen und Folgen, die sich aus der Erhebung, der Auswahl, Archivierung und Verarbeitung personenbezogener Daten ergeben, gravierend: Schließlich gehört zum Geschäftsmodell von Finanzinstituten die Nutzung sehr sensibler Daten. Die Banken haben Einblick in die finanzielle Situation einer Person, kennen sein Girokonto und seine Kreditwürdigkeit. Die Informationen werden vielfältig verwendet, beispielsweise zur Risikoklassifizierung für die interne Berechnung. Damit die personenbezogenen Profile den Anforderungen der DSGVO genügen, müssen die neuen Regeln von der Bank-IT umgesetzt werden. Das ist kein einmaliger, sondern ein fortlaufender Prozess. Die Umsetzung erfolgt um so schneller und reibungsloser, um so mehr Bedeutung dem Datenmanagement in einem Finanzinstitut beigemessen wird.

DSGVO als Gratwanderung

So hat die DSGVO zweifellos das Datenmanagement in rechnungslegungsrelevanten Informationssystemen modernisiert. Allerdings habe die Verordnung der Wirtschaft auch viele neue bürokratische Informations-, Berichts- und Dokumentationspflichten aufgebürdet, ohne einen Mehrwert für den Datenschutz zu erreichen, kritisieren Wirtschaftsvertreter.

Einige Bereiche der DSGVO sind unklar formuliert, zum Beispiel:

  • der Geltungsbereich der Verordnung bei der Nutzung personenbezogener Daten für nationale Sicherheitsaktivitäten oder für die Strafverfolgung innerhalb der EU
  • die zahlreichen Ausnahmen zum „Recht auf Vergessenheit“, die gegen Meinungsfreiheit, Gesundheitsinteressen, rechtliche Verpflichtungen und historische Aspekte abgewogen werden sollen.

Ethische Fragen stellen sich beispielsweise beim „Adaptive Pricing“, wo die Preisänderung von der Nachfrage des Kunden abhängt, berechnet durch ausgefeilte Formeln, die Kundenprofile enthalten. Auch können Radiofrequenz-Identifikationssystem in der Arbeitskleidung verwendet werden, um die Bewegungen der Mitarbeiter im Laufe des Tages zu verfolgen.

Die Gratwanderung “Notwendigkeit versus Reduzierung der Privatsphäre”, die alle Unternehmen gegenwärtig erleben oder “Privatsphäre versus Sicherheit” stellt eine große Herausforderung dar – auch für das Datenmanagement.

Brexit erfordert Neuordnung der Datenstrukturen

Ein weiterer Schwerpunkt der Tätigkeit der Bankenregulierung durch die BaFIN in diesem Jahr ist der Brexit, der Austritt des Vereinigten Königreichs aus der EU. London ist der größte Finanzplatz Europas. Wenn Großbritannien den Zugang zum Binnenmarkt verliert, hat das weitreichende Folgen für den Finanzsektor. Nicht nur viele außereuropäische Banken haben ihre europäische Hauptniederlassung in London, auch europäische Banken besitzen am Standort zahlreiche Niederlassungen. Diese Institute können auf der Grundlage des sogenannten „financial passporting“ bisher in der ganzen EU grenzüberschreitende Geldgeschäfte tätigen.

Mit dem Brexit steht dieser Finanzpass auf dem Spiel. Wie auch immer sich der Austritt gestaltet, müssen neue Regeln aufgestellt werden, die den ganzen Finanzsektor betreffen. Das betrifft auch Banken, Versicherungen, Investmentgesellschaften oder Leasingunternehmen, die keine Filiale in London haben. Letztlich führt im Finanzsektor kein Datenstrom an London vorbei.
Mit dem Brexit entbrennt auch der Wettbewerb darum, welches Land künftig die Rolle Londons in Europa einnehmen wird – oder sich zumindest neben London zum attraktivsten Finanzplatz innerhalb der EU etablieren kann. Hier lauert die Gefahr, dass Regeln gelockert werden, um Finanzinstituten eine Niederlassung an einem bestimmten Standort schmackhaft zu machen.
Ohnehin lässt gegenwärtig der Regulierungseifer elf Jahre nach der Bankenkrise nach. Der Bankenverband warnt davor, dass es zunehmend politisch wieder akzeptabel wird, den Abbau von Bankenregulierung zu verlangen.

Auf die Balance kommt es an

Tatsächlich ist die Regulierung des Bankensektors ein Drahtseilakt. Auf der einen Seite muss sie gewährleisten, dass die Finanzmarktarchitektur auf einem stabilen Fundament steht. Auf der anderen Seite sollen zu viele Vorschriften und Belastungen die Ertragskraft der Institute nicht mindern. Politik und Bankenaufsicht sind gefordert, die richtige Balance zu finden. Die Finanzinstitute selbst können Regulierungen am besten begegnen, indem sie ihr Datenmanagement so im Griff haben, dass neue Gesetze oder EU-Verordnungen keinen Tsunami auslösen, sondern schnell und effizient umgesetzt werden können.

staperior staperior staperior