Banken und Finanzinstitute verarbeiten eine Vielzahl personenbezogener Daten, von der Zahlungsabwicklung über das allgemeine Internet-Banking bis hin zur Kreditvergabe. Woran sollten Sie denken, wenn es um Datensicherheit und Bankgeschäfte geht?
Da hier eine beträchtliche Menge personenbezogener Daten erhoben wird, von der Kreditwürdigkeitsprüfung bis zur Zahlungsabwicklung, sind Banken und Finanzinstitute an die EU-Datenschutzgrundverordnung (DSGVO) gebunden. Die gute Nachricht ist, dass diese Anforderung, wenn sie richtig umgesetzt wird, auch mit großem Nutzen genutzt werden kann. Eine umfassende Datenschutzstrategie stärkt das Vertrauen der Kunden und bietet einen Wettbewerbsvorteil, den man nicht vernachlässigen sollte.
Warum ist Datenschutz für Banken so wichtig?
Die Zeiten, in denen Bankgeschäfte am Schalter abgewickelt wurden, sind praktisch vorbei. Heute werden Bankgeschäfte online abgewickelt. Aber was bedeutet das für die Datenschutz-Grundverordnung und das Bankwesen? Kurz gesagt, vor allem das Online-Banking setzt die Institute zunehmend unter Druck, Kundendaten zu schützen. Um Transaktionen erfolgreich abwickeln zu können, müssen jedoch sowohl online als auch offline zahlreiche personenbezogene Daten erfasst werden, darunter:
Diese Informationen müssen sowohl online als auch „offline“ bei lokalen Finanzgeschäften sicher aufbewahrt werden. Folglich muss das interne Datenschutzkonzept sowohl für das lokale als auch für das Internet-Banking funktionieren. Vor allem muss das Problem der Cyberkriminalität angegangen werden, um die persönlichen Daten der Kunden zu schützen. Ein erheblicher Teil davon zielt darauf ab, an Bankdaten wie Kreditkartennummern zu gelangen.
Andere Einblicke in Finanztransaktionen hingegen sind für Kriminelle im wahrsten Sinne des Wortes Gold wert, denn der persönliche Zahlungsverkehr gibt Aufschluss über die Vorlieben der Nutzer – Einblicke, die sich teuer verkaufen lassen. Für Banken und Finanzdienstleister, die ausschließlich online tätig sind, muss die Datensicherheit oberste Priorität haben. Andererseits: Wo haben Banken und Finanzinstitute die strengsten Datenschutzanforderungen?
Was sind die Anforderungen an die Datensicherheit für Banken und Finanzinstitute?
In einem ersten Schritt ist zu prüfen, ob die Verarbeitung personenbezogener Daten rechtmäßig ist. Die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) sind Beispiele für Rechtsgrundlagen. Die persönlichen Daten der Kunden müssen von den Banken bei der Erhebung, Speicherung und Verarbeitung geschützt werden. Es muss nachgewiesen werden können (Rechenschaftspflicht), dass und wie die Datenschutzpflichten erfüllt werden.
Der Datenschutz muss in allen verwendeten Systemen und Anwendungen durchgesetzt werden. Die Dokumentationspflicht ist wichtig, da sie eine Vielzahl von Nachweiszielen unterstützt. Dabei sind jedoch die gesetzlichen Aufbewahrungsfristen zu beachten und personenbezogene Daten zu löschen, sobald die Frist abgelaufen ist oder der Zweck nicht mehr erfüllt wird (Stichwort: Löschkonzept).
IT-Sicherheit ist hier ein entscheidendes Stichwort, das vor allem in kleineren oder älteren Banken oft noch schwach ausgeprägt ist.
Da sich das Bankwesen jedoch rasch digitalisiert, müssen alle Systeme, Software- und Hardwarelösungen, Cloud-Dienste und Websites stets auf dem neuesten Stand gehalten werden.
Darüber hinaus sind die obligatorischen Verträge mit Dienstleistern oder Standardvertragsverpflichtungen, die für Datenübermittlungen in Drittländer außerhalb des EWR gelten, insbesondere nach der Einführung des EU-US-Datenschutzschilds, auch für Datenübermittlungen in andere US-Länder relevant.
Personenbezogene Prüfungen (Identitäts- und Altersprüfungen) sind auch bei Finanzinstituten erforderlich, die per Definition keine klassischen Bankgeschäfte tätigen. Um der Geldwäschebekämpfung bzw. Geldwäscheprävention gerecht zu werden, sind neben der Bonitätsprüfung auch Personenkontrollen (Identitäts- und Alterskontrollen) erforderlich.
Banken: hohe Anforderungen an FinTechs
Wie bereits erwähnt, ist ein vollständiges IT-Sicherheitskonzept im Bankensektor von entscheidender Bedeutung, insbesondere für Online-Banken, Online-Zahlungsdienstleister oder Online-Kreditagenturen – mit anderen Worten, für Finanztechnologieunternehmen (FinTech). Im Mittelpunkt steht dabei die Ermittlung der Gefahren, der Schutzbedürftigkeit und des Schutzniveaus der erhobenen und gespeicherten personenbezogenen Daten. Gerade die exzessive Verarbeitung von Nutzerdaten führt schnell zu zahlreichen systemischen Risiken. Relevant ist auch das Vorhandensein eines Berechtigungsmanagements bzw. -konzepts, aus dem die einzelnen Zugriffsberechtigungen erkennbar sein sollten. Dies sorgt für mehr Transparenz bei allen Datenverarbeitungsvorgängen.
Geldbußen für Banken im Rahmen der DSGVO
Wenn Banken die DSGVO-Vorschriften nicht einhalten, können sie mit außerordentlich hohen Geldstrafen belegt werden. So zahlte die Banco Bilbao Vizcaya Argentaria, ein Finanzdienstleistungsunternehmen, im Jahr 2020 satte 5 Millionen Euro an Bußgeldern und war damit eine von 17 Geldbußen in Millionenhöhe, die im vergangenen Jahr verhängt wurden. Eine hohe DSGVO-Geldbuße wurde jedoch bereits Anfang 2021 gegen eine spanische Bank verhängt: Die spanische Caixabank musste wegen unzureichender Informationspflichten (Artikel 13 und 14 DSGVO) sowie der Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Artikel 6 DSGVO) eine Geldbuße in Höhe von 6 Millionen Euro akzeptieren, was zu schwerwiegenden Mängeln führte.
Banken, Kreditinstitute und Finanzdienstleister sind in der Vergangenheit mit Geldbußen belegt worden. Auch wenn die Beträge nicht immer in die Millionen gehen, sind sie alle erheblich und zeigen, dass die Einhaltung der DSGVO nicht auf die leichte Schulter genommen werden darf.
Datenschutz bei Banken und anderen Finanzdienstleistern schützt bei richtiger Umsetzung nicht nur vor Bußgeldern, sondern sendet auch ein starkes Signal an die Kunden: Einerseits fördert ein transparenter Umgang mit dem internen Datenschutz nicht nur das Vertrauen der Verbraucher, sondern verschafft auch einen erheblichen Wettbewerbsvorteil für andere. Denn neben den finanziellen Folgen einer Bestrafung wird es einige Zeit dauern, bis sich der Schaden am Ruf einer Bank erholt hat.