Zwei Jahre DSGVO: Banken nehmen den Schutz der Daten sehr ernst – doch die IT hinkt hinterher

Ende Mai vor zwei Jahren trat die DSGVO (europäische Daten­schutz­grund­verordnung) in Kraft. Zeit, ein Fazit zu ziehen. Wie läuft die Umsetzung in der Finanzbranche? Eine Einschätzung vom IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity. 

von Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity

Kundendaten bilden das Rückgrat für die Geschäftsmodelle von Banken. Auch zur Erfüllung von rechtlichen Verpflichtungen – wie dem Kreditwesen- oder Geldwäschegesetz – müssen Finanzinstitute personenbezogene Daten verarbeiten.

Der Datenschutz hat in der Finanzbranche daher einen hohen Stellenwert. Die neue Datenschutzregelung verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten vor zwei Jahren allerdings erheblich.”

Die EU-DSGVO schreibt vor, welche Daten Banken erheben und speichern dürfen. Die Institute müssen zudem dokumentieren, welche Daten erhoben, zu welchem Zweck sie verwendet und wie sie weiterverarbeitet werden. Eine weitere Kernforderung: Daten müssen ab sofort besser vor Verlust oder unbeabsichtigter Zerstörung oder Schädigung geschützt werden.

Finanzbranche als Musterschüler

Für Finanzinstitute bedeutet die Umsetzung dieser Vorgaben eine Mammutaufgabe. Vor allem auch deshalb, weil die Daten in vielen Geldhäusern in unterschiedlichen Systemen gespeichert und verwendet werden. Die Branche erkannte aber auch eine Chance. Mit der Umsetzung der EU-DSGVO kann sie ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern untermauern und gewinnt Rechtssicherheit. Denn im Zeitalter rasanter Digitalisierung der Finanzgeschäfte und datengetriebener Produkte ist ein gewissenhafter und integerer Umgang mit Informationen unabdingbar.

Die Finanzbranche hat diese Chance genutzt und avancierte zum Musterschüler bei der Umsetzung der Vorgaben. Laut „DSGVO Index Studie“ gaben bereits acht Monate nach Einführung der EU-DSGVO drei Viertel (74 Prozent) der Banken und Versicherungen an, ihre Prozesse befänden sich im Einklang mit der Datenschutzgrundverordnung. Das Analystenhaus techconsult erstellte den Branchenvergleich auf Basis von Daten aus der Energie- und Wasserversorgung, Dienstleistung, der Öffentlichen Verwaltung, Banken und Versicherungen, Telekommunikation, Handel, Industrie und dem Gesundheitswesen. Ob Datenminimierung, Mitarbeiterschulungen oder Datenintegrität: Banken lagen in der Studie bei der Umsetzung stets auf den vorderen Plätzen.

Nachholbedarf bei der IT-Sicherheit

Hat die Branche also alles richtig gemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt.”

Doch vor allem beim Thema IT-Sicherheit hat die Branche noch Nachholbedarf. Mit der zunehmenden Digitalisierung gibt es immer neue Möglichkeiten für Hacker, Daten abzugreifen oder zu manipulieren. Finanzinstitute können solchen Angriffen häufig nicht genug entgegensetzen. Der oberste Bankenaufseher, BaFin-Exekutivdirektor Raimund Röseler, hat die IT-Sicherheit von Banken und Sparkassen mit der Schulnote 4 bewertet. Hinzu kommt, dass Finanzinstitute ein immer beliebteres Ziel für Hacker werden. Nicht zuletzt, weil sie sich von Angriffen auf Banken und Sparkassen hohe Gewinne versprechen.

Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt zudem das Open Banking dar – also die Einführung der EU-Richtlinie PSD 2.”

Kundendaten werden dazu in Web- und Cloud-Anwendungen für Drittparteien wie Zahlungsauslösedienste bereitgestellt. Banken müssen dafür sorgen, dass Unbefugte keinen Zugriff auf diese Daten haben. Mit klassischen Sicherheitssystemen, die am Firmentor enden, ist das nicht möglich. Die marktbeherrschenden Cloud-Anbieter sitzen zudem im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.

Neue IT-Sicherheitstechnologien

Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.

Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen.”

Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden, und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.

Mit der Ein­füh­rung der ePri­va­cy-Ver­ord­nung (eP­VO) kommt bald ei­ne wei­te­re Her­aus­for­de­rung auf Ban­ken zu. Die eP­VO soll den Schutz per­sön­li­cher Da­ten bei der Nut­zung di­gi­ta­ler Kom­mu­ni­ka­ti­on eu­ro­pa­weit re­geln. Ur­sprüng­lich soll­te die Ver­ord­nung ge­mein­sam mit der EU-DS­GVO in Kraft tre­ten. Nun wird sie vor­aus­sicht­lich 2020 ver­öf­fent­licht. Noch ist nicht öf­fent­lich be­kannt, wie die Re­ge­lung aus­se­hen soll. Ei­nes aber ist si­cher: Die Fi­nanz­bran­che wird von der neu­en Re­ge­lung er­heb­lich be­trof­fen sein. Denn ob On­line-Ban­king, neue Be­zahl­diens­te oder di­gi­ta­le Dienst­leis­tun­gen: Im­mer wenn ein Dienst über ei­ne di­gi­ta­le Ober­flä­che, al­so et­wa ei­ne Web­sei­te oder ei­ne App, be­nutzt wird, fal­len elek­tro­ni­sche Da­ten an, die von der ePri­va­cy-Ver­ord­nung zu­künf­tig ge­schützt werden.

Abmahnwelle ausgeblieben

Noch ist die große Abmahnwelle in Folge der EU-DSGVO ausgeblieben. Erste Strafen gab es aber auch bereits in der Finanzbranche: Die Berliner Landesdatenschutzbeauftragte verhängte im Mai 2019 ein Bußgeld in Höhe von 50.000 Euro gegen das Banking-Start-up N26. Der Finanzdienstleister hatte eine Blacklist mit Kunden erstellt, mit denen keine neuen Verträge abgeschlossen werden sollten. Grundsätzlich dürften hier nur Betroffene aufgeführt werden, bei denen ein Verstoß gegen das Geldwäschegesetz zu vermuten ist. N26 aber erfasste auch andere Kunden aus der Kartei, was einen Datenschutzverstoß darstellte. In den kommenden Jahren könnten solche Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Er bezog sich dabei aber vor allem auf Konzerne.

Ausblick

Die Finanzbranche hat die EU-DSGVO als Chance genutzt, das Vertrauen ihrer Kunden auszubauen und ihre rechtlichen Risiken zu vermindern. Die Umsetzung wurde daher zügig vorangetrieben. Allerdings hapert es noch beim Schutz vor der zunehmenden Gefahr durch Cyber-Angriffe. Hier bedarf es geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Wenn die Bankenbranche auch noch die Umsetzung der eprivacy-Verordnung gewissenhaft vorantreibt, steht sie bereit für eine sichere und vertrauensvolle digitale Finanzwelt der Zukunft. aj