Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen, und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.
Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen. Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann wo seine Daten gespeichert werden, und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.
Mit der Einführung der ePrivacy-Verordnung (ePVO) kommt bald eine weitere Herausforderung auf Banken zu. Die ePVO soll den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die Verordnung gemeinsam mit der EU-DSGVO in Kraft treten. Nun wird sie voraussichtlich 2020 veröffentlicht. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. Eines aber ist sicher: Die Finanzbranche wird von der neuen Regelung erheblich betroffen sein. Denn ob Online-Banking, neue Bezahldienste oder digitale Dienstleistungen: Immer wenn ein Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung zukünftig geschützt werden.
Abmahnwelle ausgeblieben
Noch ist die große Abmahnwelle in Folge der EU-DSGVO ausgeblieben. Erste Strafen gab es aber auch bereits in der Finanzbranche: Die Berliner Landesdatenschutzbeauftragte verhängte im Mai 2019 ein Bußgeld in Höhe von 50.000 Euro gegen das Banking-Start-up N26. Der Finanzdienstleister hatte eine Blacklist mit Kunden erstellt, mit denen keine neuen Verträge abgeschlossen werden sollten. Grundsätzlich dürften hier nur Betroffene aufgeführt werden, bei denen ein Verstoß gegen das Geldwäschegesetz zu vermuten ist. N26 aber erfasste auch andere Kunden aus der Kartei, was einen Datenschutzverstoß darstellte.
In den kommenden Jahren könnten solche Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Er bezog sich dabei aber vor allem auf Konzerne.
Ausblick
Die Finanzbranche hat die EU-DSGVO als Chance genutzt, das Vertrauen ihrer Kunden auszubauen und ihre rechtlichen Risiken zu vermindern. Die Umsetzung wurde daher zügig vorangetrieben. Allerdings hapert es noch beim Schutz vor der zunehmenden Gefahr durch Cyberangriffe. Hier bedarf es geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Wenn die Bankenbranche auch noch die Umsetzung der eprivacy-Verordnung gewissenhaft vorantreibt, steht sie bereit für eine sichere und vertrauensvolle digitale Finanzwelt der Zukunft.