Ende Mai vor zwei Jahren trat die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Zeit, ein Fazit zu ziehen. Wie läuft die Umsetzung in der Finanzbranche? Eine Einschätzung vom IT-Sicherheitsexperten Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity.
Kundendaten bilden das Rückgrat für die Geschäftsmodelle von Banken. Auch zur Erfüllung von rechtlichen Verpflichtungen – wie dem Kreditwesen- oder Geldwäschegesetz – müssen Finanzinstitute personenbezogene Daten verarbeiten. Der Datenschutz hat in der Finanzbranche daher schon immer einen hohen Stellenwert.
Die neue Datenschutzregelung verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten vor zwei Jahren allerdings erheblich. Die EU-DSGVO schreibt vor, welche Daten Banken erheben und speichern dürfen. Die Institute müssen zudem dokumentieren, welche Daten erhoben, zu welchem Zweck sie verwendet und wie sie weiterverarbeitet werden. Eine weitere Kernforderung: Daten müssen ab sofort besser vor Verlust oder unbeabsichtigter Zerstörung oder Schädigung geschützt werden.
Finanzbranche als Musterschüler
Die Finanzbranche hat diese Chance genutzt und avancierte zum Musterschüler bei der Umsetzung der Vorgaben. Laut „DSGVO Index Studie“ gaben bereits acht Monate nach Einführung der EU-DSGVO drei Viertel (74 Prozent) der Banken und Versicherungen an, ihre Prozesse befänden sich im Einklang mit der Datenschutzgrundverordnung. Das Analystenhaus techconsult erstellte den Branchenvergleich auf Basis von Daten aus der Energie- und Wasserversorgung, Dienstleistung, der Öffentlichen Verwaltung, Banken und Versicherungen, Telekommunikation, Handel, Industrie und dem Gesundheitswesen. Ob Datenminimierung, Mitarbeiterschulungen oder Datenintegrität: Banken lagen in der Studie bei der Umsetzung stets auf den vorderen Plätzen.
Nachholbedarf bei der IT-Sicherheit
Hat die Branche also alles richtiggemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt. Doch vor allem beim Thema IT-Sicherheit hat die Branche noch Nachholbedarf. Mit der zunehmenden Digitalisierung gibt es immer neue Möglichkeiten für Hacker, Daten abzugreifen oder zu manipulieren. Finanzinstitute können solchen Angriffen häufig nicht genug entgegensetzen:
Der oberste Bankenaufseher, BaFin-Exekutivdirektor Raimund Röseler, hat die IT-Sicherheit von Banken und Sparkassen mit der Schulnote 4 bewertet. Hinzu kommt, dass Finanzinstitute ein immer beliebteres Ziel für Hacker werden. Nicht zuletzt, weil sie sich von Angriffen auf Banken und Sparkassen hohe Gewinne versprechen.
Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt zudem das Open Banking dar – also die Einführung der EU-Richtlinie PSD 2. Kundendaten werden dazu in Web- und Cloud-Anwendungen für Drittparteien, wie Zahlungsauslösedienste, bereitgestellt. Banken müssen dafür sorgen, dass Unbefugte keinen Zugriff auf diese Daten haben. Mit klassischen Sicherheitssystemen, die am Firmentor enden, ist das nicht möglich.
Die marktbeherrschenden Cloud-Anbieter sitzen zudem im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.
neue IT-Sicherheitstechnologien
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.
Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann wo seine Daten gespeichert werden, und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.
Mit der Einführung der ePrivacy-Verordnung (ePVO) kommt bald eine weitere Herausforderung auf Banken zu. Die ePVO soll den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die Verordnung gemeinsam mit der EU-DSGVO in Kraft treten. Nun wird sie voraussichtlich 2020 veröffentlicht. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. Eines aber ist sicher: Die Finanzbranche wird von der neuen Regelung erheblich betroffen sein. Denn ob Online-Banking, neue Bezahldienste oder digitale Dienstleistungen: Immer wenn ein Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung zukünftig geschützt werden.
Abmahnwelle ausgeblieben
Noch ist die große Abmahnwelle in Folge der EU-DSGVO ausgeblieben. Erste Strafen gab es aber auch bereits in der Finanzbranche: Die Berliner Landesdatenschutzbeauftragte verhängte im Mai 2019 ein Bußgeld in Höhe von 50.000 Euro gegen das Banking-Start-up N26. Der Finanzdienstleister hatte eine Blacklist mit Kunden erstellt, mit denen keine neuen Verträge abgeschlossen werden sollten. Grundsätzlich dürften hier nur Betroffene aufgeführt werden, bei denen ein Verstoß gegen das Geldwäschegesetz zu vermuten ist. N26 aber erfasste auch andere Kunden aus der Kartei, was einen Datenschutzverstoß darstellte.
In den kommenden Jahren könnten solche Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Er bezog sich dabei aber vor allem auf Konzerne.
Ausblick
Die Finanzbranche hat die EU-DSGVO als Chance genutzt, das Vertrauen ihrer Kunden auszubauen und ihre rechtlichen Risiken zu vermindern. Die Umsetzung wurde daher zügig vorangetrieben. Allerdings hapert es noch beim Schutz vor der zunehmenden Gefahr durch Cyberangriffe. Hier bedarf es geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Wenn die Bankenbranche auch noch die Umsetzung der eprivacy-Verordnung gewissenhaft vorantreibt, steht sie bereit für eine sichere und vertrauensvolle digitale Finanzwelt der Zukunft.