Praxistipps: Die Auswirkungen der EU Datenschutz-Grund­verordnung (DS-GVO) auf Finanzdienstleister

Die Datenschutz-Grundverordnung (DS-GVO), oder “General Data Protection Regulation” (GDPR) auf Englisch, ist die neue EU-weite Richtlinie zur Regelung des Datenschutzes. In dieser Form ersetzt sie direkt die bisherigen EU-Regelungen sowie die jeweiligen nationalen Gesetzgebungen. Es ist nun nicht mehr notwendig, dass die Mitgliedsstaaten eine jeweilige lokale Gesetzesimplementierung einführen (sie können jedoch weitergehende Maßnahmen  in manchen Bereichen treffen). Stefan Sulistyo (Geschäftsführer der Alyne) erklärt, was die DSGVO für Banken und Versicherer im Detail bedeutet.

von Stefan Sulistyo, Geschäftsführer der Alyne

Die DSGVO wurde im Frühjahr 2016 verabschiedet und ist damit bis 25. Mai 2018 umzusetzen. Viel Zeit, dachten sicher noch viele im vergangenen Jahr, doch nun tickt die Uhr immer lauter und viele Organisationen werden langsam nervös, was hierfür ggf. zu tun ist. Die Idee im Wesentlichen: Eine Vereinheitlichung der Standards und Regularien für die gesamte EU und dabei auch Anpassung an die technologisch-ökonomischen Begebenheiten (z.B. Cloud-Technologien und ansteigende Auslagerung von Datenverarbeitungen und Datenexporten).

Wesentliche Neuerungen zum BDSG im praktischen Umgang

Mit ein wenig googlen findet man mittlerweile viele Artikel über die Neuerungen im Vergleich zum aktuellen Bundesdatenschutzgesetz (BDSG). Es finden sich in dieser Berichterstattung im Wesentlichen Punkte zu:
1. Meldepflichten bei Vorfällen
2. Bestimmungen zu Einverständniserklärungen (inkl. von Minderjährigen)
3. Datenschutz-Folgenabschätzung (Privacy Impact Assessment)
4. Privacy-by-Design
5. Bestellung von Datenschutzbeauftragten
6. Recht auf “Vergessen”
7. Auftragsdatenverarbeitungen
8. Datenportabilität

Auswirkungen auf Finanzdienstleister

Interessant dabei ist, dass dies zu großen Teilen (und insbesondere in der praktischen Umsetzung) eigentlich keine neuen Anforderungen sind, sondern so auch schon in der alten EU-Direktive bzw. insbesondere im BDSG zu finden waren. Dies gilt auch insbesondere für Finanzdienstleister, da deren Geschäftsmodell schon immer im Kern aus der Verarbeitung von Daten bestand und diese in vielen vielen Fällen eben auch personenbezogene Daten sind.

Man könnte also meinen, dass Finanzdienstleister bereits seit langem gut vorbereitet sein sollten in Sachen Datenschutz, doch woher nun die große Verunsicherung und befürchteten Auswirkungen in diversen betroffenen Banken, Versicherungen & Co?”

Offenbar sind auch trotz bereits bestehender Regularien ein nicht geringer Teil der Finanzdienstleister nur unzureichend konform und haben sich bisher auf Grund der geringen Kontrolldichte und der überschaubaren Bußgeldhöhen eher etwas ‘durchgewurschtelt’.”

Bei genauerer Betrachtung ist dies jedoch auch nicht verwunderlich: Finanzdienstleister waren mit die ersten Nutzer der elektronischen Datenverarbeitung. Die IT-Strukturen sind also häufig äußerst komplex und bestehen schnell aus tausenden IT-Applikationen, z.T. noch auf alten Mainframes. Ob hier immer schon von Anfang an Privacy-by-Design eingesetzt wurde, um angemessene technisch-organisatorische Maßnahmen zu implementieren? Oder wie aufwändig ist die Bearbeitung von Auskunftsersuchen oder die Umsetzung von Sperr- und Löschanforderungen (das “Recht auf Vergessen”)? Die über die komplette IT-Landschaft und IT-Dienstleister zu überblicken, ist schwierig und sehr aufwändig.

Doch nun drohen plötzlich Strafzahlungen in zweistelliger Millionenhöhe (bzw. 2 – 4 Prozent des Gesamtjahresumsatzes). Das erklärt nun tatsächlich die gefühlte Panik.

Vergleich zu anderen EU-Ländern

Viele Länder haben die alte EU-Direktive 95/46/EG vergleichsweise unverändert übernommen und fuhren dort bisher eher einen Minimalansatz. Ich möchte hier den Fokus auf zwei Themen lenken, welche signifikante Auswirkungen auf die praktische Umsetzung der Datenschutzanforderungen in den EU-Ländern haben werden:

1. Verpflichtung zur Bestellung von Datenschutzbeauftragten – In der alten EU Direktive war dies nur optional und wurde daher auch in vielen nationalen Gesetzgebungen nicht übernommen. Jetzt wird dies aber verpflichtend, wenn die (personenbezogene) Datenverarbeitung wesentlich zum Geschäftsmodell gehört bzw. wenn besondere Arten personenbezogener Daten verarbeitet werden. Überlegen Sie einmal, auf wie viele Firmen dies zutreffen könnte und woher dann die ganzen Menschen mit entsprechenden Fachkenntnissen und Erfahrung kommen sollen, um die ganzen neuen Datenschutz-Stellen auszufüllen?

2. Auftragsdatenverarbeitung – Auch wenn das Konzept der Data Controller und Data Processor bereits vorher vorhanden war, wurde Auftragsdatenverarbeitung (ADV) in anderen EU-Ländern bisher eher lax gehandhabt (eher so wie vor der 2009er BDSG Novelle). Hier gibt es in Kombination mit Privacy-by-Design wesentlich stringentere Anforderungen und hier ist daher auch mit einer viel höheren Kontrolldichte durch Aufsichtsbehörden und in Folge durch die verantwortlichen Stellen in der Privatwirtschaft bei ihren jeweiligen Zulieferern zu rechnen.

Wie sieht es eigentlich mit England aus?

Vergangenes Jahr war ja sehr ereignisreich, u.a. durch die sog. Brexit-Abstimmung. Wird England daher die DSGVO nicht einführen? Nach aktuellem Stand wird der tatsächliche Austritt nicht mehr vor dem 25. Mai 2018 stattfinden, daher wird die DSGVO zunächst auch unverändert im Vereinigten Königreich gelten. Zudem ist damit zu rechnen, dass die Regelungen in einer derartigen Form auch über den Austritt hinaus bestand haben werden, um weiterhin einfache Datenexporte von und zu EU-Ländern zu ermöglichen.

Effekte außerhalb der EU

Eine weite­re Neuerung liegt in der Abkehr vom sog. Territorialitäts­p­rinzip zum Markt­stand­ort­prinzip, d.h. die Regelun­gen gel­ten auch für Un­ternehmen außerhalb der EU, wenn die­se auch Da­ten von EU Bürgern ver­arbei­ten. Dies pas­siert natürlich in ers­ter Li­nie, wenn die­se Un­ternehmen auch den hiesigen Markt direkt bedienen, über Auf­tragsdatenver­arbei­tun­gen jedoch auch indirekt über die ver­tragli­chen Anforde­run­gen ih­rer EU-beheimate­ten Auf­traggeber.

Zu erwartende Stolpersteine und Praxis-Tipps

Was sollte man also nun tun, um sich auf die DSGVO vorzubereiten? Zunächst ist anzumerken, dass wir uns derzeit in einer etwas unglücklichen Zwischenphase befinden, die auch zu Unwägbarkeiten führen kann. Formell gelten die alten Regelungen bis zum 25. Mai 2018 weiter, jedoch wird sich derzeit kaum eine Aufsichtsbehörde dazu verleiten lassen, noch klare Aussagen zu unklaren Themen abzugeben, die sich möglicherweise zu dem Übergangstermin ändern werden (z.B. ADV Verträge mit nicht-EU Dienstleistern, Anwendbarkeit von EU Standardvertragsklauseln oder EU-US Privacy Shield in welchen Konstellationen usw.).

Manche der Regelungen bedürfen außerdem auch weiterer konkreter Ausgestaltung, z.B. die Akkreditierung für DSGVO konforme Zertifizierungen oder Code-of-Conducts.”

Um sich selbst einen Überblick zum Reifegrad der eigenen Datenschutz-Kontrollen zu verschaffen, bietet es sich an, zunächst eine entsprechende Analyse der eigenen Prozesse und IT-Systeme durchzuführen, sowie ggf. auch über die relevanten datenverarbeitenden Dienstleister.

Solch eine Analyse kann z.B. über spezialisierte Beratungsunternehmen erfolgen oder auch über Verfahren zum Datenschutz Selbst-Assessment. Mit den Ergebnissen der Analyse lassen sich dann entsprechende Risikomaßnahmen zur Umsetzung priorisieren und deren Effektivität anschließend messen.

Letztendlich sollte so ein “Plan-Do-Check-Act” Zyklus auch regelmäßig als ein Prozess der kontinuierlichen Verbesserung durchlaufen werden. Auf diese Weise sollte sich auch jede Kontrolle der Aufsichtsbehörden oder der eigenen Auftraggeber sehr effizient durchführen lassen.aj