Klare Regeln, teure Verstöße: Das Recht auf Löschen – und die Folgen für Finanzinstitute

Bürger der EU dürfen bald einfordern, dass ihre persönlichen Daten auf Wunsch gelöscht werden. Die EU möchte dieses und weitere Rechte in der Datenschutzverordnung (GDPR) festzurren und so den Datenschutz in das Zeitalter von Big Data katapultieren. Für Finanzinstitute leiten sich daraus Pflichten ab, die sie massiv fordern werden. Sie müssen im Spannungsfeld von Speicher- und Löschpflichten sowie Mandantenfähigkeit agieren.

von Mario Hoffmann,
E-Discovery Sales Specialist, Veritas

Die EU ist beim Datenschutz unter Zugzwang. Ihre bisherigen Richtlinien stammen aus dem Jahr 1995. Damals existierten im jungen Internet 23.500 Webseiten. Social Media, Cloud Computing und Big Data hatte bis auf einen kleinen Kreis von IT-Visionären niemand auf der Agenda. Mit der neuen Richtlinie unter dem Namen „EU General Data Protection Regulation (GDPR)” will die EU den Datenschutz nun in die Gegenwart bringen. Datenschutz soll als fundamentales Grundrecht gesichert bleiben und in Europa einheitlich und lückenlos geregelt sein. So soll für Firmen ein verlässlicher rechtsicherer Rahmen entstehen.

Wer EU-Kunden bedient und deren Daten speichert, hat sich an dieses Gesetz zu halten, auch wenn der Firmensitz außerhalb der EU liegt.

Finanzinstitute unterliegen bereits zahlreichen Speicherpflichten. Sie müssen auf diverse Anfragen von Regulierungsbehörden reagieren und elektronische Daten zielgerichtet zur Verfügung stellen. Für diese Unternehmen wird es wichtiger denn je, Daten zu kategorisieren, um beiden Ansprüchen zu genügen und die geschäftsrelevanten Daten getrennt von zusätzlichen Informationen zu behandeln.

Klare Regeln und teure Verstöße

Seit 2014 verhandeln die Regierungen über die Datenschutzreform. Diesen Sommer wollen sich die Mitgliedstaaten, die EU-Kommission und das -Parlament im so genannten Trilog einigen und einen ersten handfesten Entwurf der Richtlinie festzurren. Bundesjustizminister Maas machte Anfang Mai Angaben zum Zeitplan: „Ziel ist es, die Verordnung noch in diesem Jahr zu verabschieden“. Die Richtlinie selbst soll dann Mitte bis Ende 2017 verabschiedet werden.

Die Privatsphäre eines Bürgers in der EU soll nach dem Grundsatz „Privacy by Design“ geschützt sein. Ein Bürger muss gegenüber dem Unternehmen seine Einwilligung geben (Opt In) und das Sammeln und Speichern seiner personenbezogenen Daten ist dann an diesen einen Zweck gebunden.

Die Regeln gelten dabei sowohl für das Unternehmen, das den Zweck definiert als auch für Outsourcing-Partner oder Dritte, die im Auftrag des ersten die Daten bearbeiten. Ziel ist die Zügelung des Datenhungers von Unternehmen: Sie sollen nur die Daten sammeln und speichern, die sie für den jeweiligen vom User genehmigten Zweck tatsächlich brauchen.

Löschen, Informieren, Portieren bis spätestens 2017

Aus den Grundsätzen ergeben sich zahlreiche Pflichten für alle Unternehmen, die mit den personenbezogenen Daten von EU-Bürgern hantieren: Wünscht es der Bürger, so muss ein Unternehmen seine personenbezogenen Daten innerhalb einer gewissen Frist löschen. Sollte der Ernstfall eintreffen und personenbezogene Daten in falsche Hände geraten, muss die betroffene Person fristgerecht darüber informiert werden. Zudem darf jeder Bürger nachfragen, welche Daten von ihm gespeichert sind und Zugang einfordern. Außerdem sollen Unternehmen dafür sorgen, dass sich persönliche Daten leicht von einem zum anderen Unternehmen portieren lassen. Das sind zum Teil neue Pflichten, die Unternehmen bis spätestens 2017 erfüllen müssen.

Das statistische Bundesamt ist überzeugt, dass auf die deutsche Wirtschaft allein im ersten Jahr 1,5 Milliarden Euro an Kosten zukommen werden.

In jedem EU-Land übernehmen Aufsichtsbehörden die Aufgabe, über die Einhaltung dieser Pflichten zu wachen. In Deutschland wird diese Aufgabe von den Aufsichtsbehörden für den Datenschutz in den Bundesländern ausgeübt. Die Zuständigkeit der Aufsichtsbehörden richtet sich dabei nach dem Hauptgeschäftssitz des Unternehmens. Bei Verstößen drohen Geldbußen von bis zu fünf Prozent des globalen Umsatzes oder von 100 Millionen Euro. Aussitzen könnte also teuer werden.

Datenlöschung versus Speicherung speziell in der Finanzbranche 

Die Finanzbranche bearbeitet und verwaltet eine große Menge an geschäftsrelevanten und zweckgebundenen Daten, die zunächst nicht unter den Löschungsanspruch fallen, sondern bestimmte Zeiträume lang gespeichert werden müssen. Die Institute müssen zudem den Anfragen von Regulierungsbehörden genügen und ihnen die richtigen Daten schnell und zielgerichtet zur Verfügung stellen. Momentan sind in vielen Finanzinstituten die IT-Abteilungen mit der Beschaffung dieser Daten betraut. Allerdings wird dies zunehmend zu einer erheblichen Belastung: Innerhalb der letzten drei Jahre sind die Anfragen aus dem Compliance-Bereich deutlich gestiegen und schon heute sind die IT-Abteilungen zu 50 Prozent mit Anfragen dieser Art ausgelastet. Sind die Daten nur unstrukturiert gespeichert, fällt es umso schwerer, die angefragten Informationen fristgerecht zur Verfügung zu stellen.

Laut dem Beratungsunternehmen IDC wächst die Menge der unstrukturierten Daten, wie sie etwa in E-Mails zu finden sind, jedes Jahr um 62 Prozent. Die IT-Abteilungen sind also gefordert, eine Bewertung der vorhandenen Daten vorzunehmen, ohne massiv in die Infrastruktur oder IT-Prozesse eingreifen zu müssen.

Veritas hat daher begonnen, Metadaten zu allen Daten zusammenzutragen und auszuwerten, die von den Archivierungs-, Backup- und Storage-Management-Lösungen ohnehin generiert werden. 86 Prozent der Fortune 500 Unternehmen setzen eine dieser Lösungen bereits ein. Aus diesen Informationen lässt sich eine genaue Landkarte zu Informationen im Unternehmen zeichnen, auch wenn sie auf verschiedenste Lokationen und Speicherorte verteilt sind. Die IT wird anhand der Metadaten entscheidende Fragen beantworten können:

1. Welche personenbezogenen Daten besitzt das Unternehmen?
2. Wo liegen diese Daten und wie lange schon?
3. Wer hat darauf Zugriff?
4. Welche Sicherheitsmechanismen schützen sie vor Missbrauch?
5. Nutzt die Firma die Daten zweckgebunden?
6. Werden personenbezogene Daten fristgerecht gelöscht?

Finanzinstitute profitieren angesichts dieser Herausforderungen von einer umfassenden Information-Governance-Strategie, die grundlegend regelt, wie Informationen verwaltet werden und wer darauf zugreifen kann. Auf diese Weise können sie sicherstellen, dass sie nur zweckgebundene Daten bereitstellen, nur bestimmten Mitarbeitern mit den entsprechenden Berechtigungen Zugriff gewähren und zudem den Speicherort genau lokalisieren.

Erkenntnis hinter den Daten

Das Wissen über die eigenen Daten wird Finanzinstituten nicht nur helfen, die neuen Regularien der EU zu erfüllen und Risiken für Reputation und Umsatz besser zu kontrollieren. Sie werden zugleich viel effizienter an so genannte „Target Rich Data“ kommen, wie IDC diesen Informationstypus in einem Papier von 2014 nennt. Darunter versteht das Analystenhaus Daten, aus denen ein Unternehmen den höchsten Wert extrahieren kann. Eine kluge Analyse dieser Daten und die dadurch gewonnenen Einsichten hätten das Potenzial, die Firma oder die Gesellschaft in einer sinnvollen Weise zu verändern. Wenn sich ein Unternehmen beim Informationsmanagement bereits heute entsprechend aufstellt, wird es also nicht nur für die neue Regulative von 2017 gerüstet sein. Es wird schneller an so genannte Target Rich Daten kommen, mehr wissen als die Konkurrenz und sich so einen Vorteil verschaffen können.
Zudem werden Finanzinstitute dank dieser besonders tiefen Einsicht in die Daten in die Lage versetzt, genau und schnell zwischen zweckgebundenen Daten und Informationen, die darüber hinausgehen, zu unterscheiden. So können sie sowohl den Ansprüchen der Datenschutzbehörden und den Wünschen der Bürger nach Löschung der Daten entsprechen, auf der anderen Seite auch den Regulierungsbehörden die erforderlichen Informationen zur Verfügung zu stellen. IT-Abteilungen sparen auf diese Weise erhebliche Kapazitäten und können diese einsetzen, um andere Aufgaben in Angriff zu nehmen.aj