Cloud-Verwaltung: Zuerst DSGVO und dann erst PSD2 – Compliance im Finanzwesen

Die Mehrheit der großen Geld­institute verwaltet seine Daten und Informationen in eigenen Netzwerken und scheut eine einheitliche Cloud-Verwaltung – zu groß ist die Sorge um sensible Kundendaten. Gerade jetzt, wo die DSGVO in aller Munde ist und der Stichtag immer näher rückt. Leider stagniert dadurch die Industrie und innovative Ideen werden immer häufiger von FinTech-Startups vorgestellt als von großen Finanzinstituten.

von Per Stritich, Vice President für DACH von Box 

Mit dem Inkrafttreten der neuen Datenschutz-Grundverordnung am 25. Mai 2018 müssen viele Unternehmen die Verwaltung von Kundendaten überdenken. Auch Banken sammeln Daten, die von den neuen Regelungen betroffen sind und deren Verwaltung vor dem Stichtag daher noch einmal geprüft werden sollte.

Dies ist nicht nur eine Herausforderung, sondern auch eine Chance, die Verwaltung von Kundendaten neu und effizienter zu gestalten.”

Die DSGVO und Banken – Kundendaten richtig verwalten

Da Finanzdienstleister besonders sensible Daten ihrer Kunden verwalten, untersteht die Branche natürlich bereits strengen Regulierungen. Trotzdem müssen sich Banken zusätzlich zur bereits vorhandenen „PSD 2“-Richtlinie („Payment Service Directive“) auch auf die DSGVO gesondert vorbereiten. Bisher ist es üblich, dass aus Kundendaten und -informationen gezielt Werbung für weitere Produkte, wie z.B. Darlehen, Kreditkarten oder Versicherungen geschaltet werden. Informationen für dieses Targeting werden zum Beispiel aus der Customer Journey auf der Homepage und im Online Banking gezogen, also aus Daten, die nicht in direkter Verbindung zu den Kontodaten stehen.

Mit Inkrafttreten der DSGVO können diese Informationen nicht mehr ohne die Zustimmung der Kunden genutzt, weiterverarbeitet und aufbewahrt werden. Diese Zustimmung muss bei den Kunden nun explizit eingefordert werden.”

Dazu gehört auch, dass Kunden nachträglich in der Lage sind, die Sammlung dieser Daten zu widerrufen, Zugriff auf die betreffenden Informationen bekommen und den Datenverantwortlichen zur Löschung aufrufen können. Finanzdienstleister müssen also zu jeder Zeit wissen, wo sich die Daten befinden, wer darauf Zugang hat und wie diese genutzt werden. So wird etwa sichergestellt, dass der Datenschutzbeauftragte seinen Job auch erledigen kann, das Recht auf Vergessenwerden im Zweifelsfall durchgesetzt wird oder ein etwaiger Verstoß binnen 72 Stunden gemeldet werden kann. Zur Einhaltung der neuen Vorschriften gehört es auch, die Zustimmung der Kunden explizit zu verwalten. Weitere technische Maßnahmen müssen die Klassifizierung von Daten enthalten und das Implementieren von Data Loss Prevention. Neben den technischen Umsetzungen schreibt die DSGVO auch organisatorische Veränderungen vor. So müssen alle Mitarbeiter in Bezug auf den Schutz von Kundendaten neu geschult werden und es muss ein Data Protection Officer benannt werden.

Compliance dank Cloud Content Management

Die DSGVO ist eine große Chance für Finanzunternehmen, neue Richtlinien zur IT-Sicherheit einzuführen. Insbesondere im Bereich Cloud Content Management gibt es effiziente Lösungen, die über die Anforderungen der DSGVO hinausgehen – der Serverstandort ist nur eine dieser Anforderungen. Cloud Computing heißt, dass IT-Ressourcen, die geographisch verteilt sind, an einem Ort – in der Cloud – gebündelt werden und einer Vielzahl von Mitarbeitern in einem Netzwerk zur Bearbeitung bereitgestellt werden. Gerade bei Unternehmen mit verschiedenen Standorten bietet das Cloud Management entscheidende Vorteile. Dabei sind die meisten Cloud-Management-Anbieter natürlich nicht erst seit der Ankündigung der DSGVO auf Datenschutz spezialisiert. So wie sich Banken das sichere Verwalten von Geld auf die Fahne schreiben, stehen Cloud-Anbieter für das sichere Verwalten von Daten. Daher können Banken hier ruhig die Verantwortung teilen und sich externer Expertise bedienen.

Bei der Auswahl sollten Finanzunternehmen darauf achten, dass Cloud-Anbieter den Binding Corporate Rules (BCR) folgen, die der DSGVO entsprechen.”

Die BCR sind Datenschutzverpflichtungen, die von internationalen Datenschutzbehörden zertifiziert werden, wenn sie den Anforderungen entsprechen. Zusätzlich sollten Cloud-Anbieter proaktiv unabhängige Sicherheits- und Datenschutzmaßnahmen durchlaufen, um so den Kunden mehr Transparenz bieten zu können. Speichern Unternehmen personenbezogene Daten in der Cloud, sollten sie mit diesem Anbieter grundlegend klären, welche Maßnahmen er trifft, um Risiken zu vermeiden und Compliance-Anforderungen zu erfüllen. Dabei lässt sich leicht feststellen, wo die aktuellen Bedürfnisse liegen, die sich sehr wahrscheinlich seit Beginn der Zusammenarbeit geändert haben – nicht nur im Hinblick auf die DSGVO. Sind On-Premise-Lösungen unter dem eigenen Dach eventuell am besten geeignet? Eine Public Cloud kann zum Beispiel mehr Vorteile bieten, wenn die Daten auf europäischen Servern liegen und in den Händen von zertifizierten Experten sind, die sich seit Jahren mit der DSGVO und Compliance beschäftigen.

Mithilfe von Cloud Content Management können komplexe und zeitaufwändige Teilschritte von Kommunikationsprozessen werden erheblich abgekürzt. Die Backoffice-Arbeit wird reduziert und der Arbeitsplatz für die Mitarbeiter ungebundener. Gleichzeitig werden wichtige Informationen und Daten an einem Ort – in der Cloud – aufbewahrt. Soll die CCM-Lösung den Anforderungen der DSGVO entsprechen, empfiehlt es sich, zunächst die Infrastruktur einzurichten. Eine vereinheitlichte Lösung hat gegenüber fragmentierten Patchwork-Systemen den Vorteil, dass alle erhobenen Daten über Kunden, Partner oder Mitarbeiter auf eine Quelle und nicht auf verschiedene Datenbanken, Betriebssysteme, Anwendungen, Plattformen, Postfächer & Co. zurückgehen.

Erst DSGVO, dann PSD 2

Oft verzögern alte Strukturen, die nur von wenigen Mitarbeitern durchschaut werden, die Entwicklung der internen IT-Strukturen und bieten wenig Raum für Innovationen und neue Ideen. Dabei ist eine einheitliche filialübergreifende Verwaltung von Kundendaten in der Cloud nur der Anfang – Stichwort Open Banking. Auch wenn Kunden natürlich hohe Sicherheitsanforderungen voraussetzen, wünschen sie eine immer bessere Vernetzung von Diensten. Durch die Bereitschaft Schnittstellen anzubieten und dadurch für verschiedene Services zugänglich zu machen, können Kunden noch flexiblere Strukturen angeboten werden. Gleichzeitig können Banken durch geeignete APIs andere Serviceangebote in das eigene System schneller einbinden und so z.B. mit Startups einfacher kooperieren. Denn diese können noch lange nicht dem Filialennetz und etablierten Banken die Stirn bieten, aber durchaus ihre Expertise zur Verfügung stellen.

Die zweite EU-Zahlungsdienstrichtlinie (PSD 2) sieht vor, dass Banken ab 2019 dritten Zahlungsdienstleistern Kontodaten zugänglich machen müssen. Damit Finanzunternehmen also im nächsten Jahr nicht vor ähnlichen Herausforderungen stehen, wie jetzt mit dem DSGVO-Stichtag am 25. Mai, sollten sie frühzeitig anfangen …

…veraltete Strukturen aufzubrechen und die Türen – per API – für innovative Ideen und Anwendungen öffnen.”aj