Kundendaten bilden das Rückgrat für die Geschäftsmodelle von Banken. Auch zur Erfüllung von rechtlichen Verpflichtungen – wie dem Kreditwesen- oder Geldwäschegesetz – müssen Finanzinstitute personenbezogene Daten verarbeiten. Der Datenschutz hat in der Finanzbranche daher schon immer einen hohen Stellenwert.

Anzeige

Die neue Datenschutzregelung verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten vor zwei Jahren allerdings erheblich. Die EU-DSGVO schreibt vor, welche Daten Banken erheben und speichern dürfen. Die Institute müssen zudem dokumentieren, welche Daten erhoben, zu welchem Zweck sie verwendet und wie sie weiterverarbeitet werden. Eine weitere Kernforderung: Daten müssen ab sofort besser vor Verlust oder unbeabsichtigter Zerstörung oder Schädigung geschützt werden.

Finanzbranche als Musterschüler

Dr. Falk Herrmann ist seit Januar 2019 CEO bei Rohde & Schwarz Cybersecurity.Rohde & SchwarzFür Finanzinstitute bedeutet die Umsetzung dieser Vorgaben eine Mammutaufgabe. Vor allem auch deshalb, weil die Daten in vielen Geldhäusern in unterschiedlichen Systemen gespeichert und verwendet werden. Die Branche erkannte aber auch eine Chance. Mit der Umsetzung der EU-DSGVO kann sie ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern untermauern und gewinnt Rechtssicherheit. Denn im Zeitalter rasanter Digitalisierung der Finanzgeschäfte und datengetriebener Produkte ist ein gewissenhafter und integrer Umgang mit Informationen unabdingbar.

Die Finanzbranche hat diese Chance genutzt und avancierte zum Musterschüler bei der Umsetzung der Vorgaben. Laut „DSGVO Index Studie“ gaben bereits acht Monate nach Einführung der EU-DSGVO drei Viertel (74 Prozent) der Banken und Versicherungen an, ihre Prozesse befänden sich im Einklang mit der Datenschutzgrundverordnung. Das Analystenhaus techconsult erstellte den Branchenvergleich auf Basis von Daten aus der Energie- und Wasserversorgung, Dienstleistung, der Öffentlichen Verwaltung, Banken und Versicherungen, Telekommunikation, Handel, Industrie und dem Gesundheitswesen. Ob Datenminimierung, Mitarbeiterschulungen oder Datenintegrität: Banken lagen in der Studie bei der Umsetzung stets auf den vorderen Plätzen.

Nachholbedarf bei der IT-Sicherheit

Hat die Branche also alles richtiggemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt. Doch vor allem beim Thema IT-Sicherheit hat die Branche noch Nachholbedarf. Mit der zunehmenden Digitalisierung gibt es immer neue Möglichkeiten für Hacker, Daten abzugreifen oder zu manipulieren. Finanzinstitute können solchen Angriffen häufig nicht genug entgegensetzen:

Der oberste Bankenaufseher, BaFin-Exekutivdirektor Raimund Röseler, hat die IT-Sicherheit von Banken und Sparkassen mit der Schulnote 4 bewertet. Hinzu kommt, dass Finanzinstitute ein immer beliebteres Ziel für Hacker werden. Nicht zuletzt, weil sie sich von Angriffen auf Banken und Sparkassen hohe Gewinne versprechen.

Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt zudem das Open Banking dar – also die Einführung der EU-Richtlinie PSD 2. Kundendaten werden dazu in Web- und Cloud-Anwendungen für Drittparteien, wie Zahlungsauslösedienste, bereitgestellt. Banken müssen dafür sorgen, dass Unbefugte keinen Zugriff auf diese Daten haben. Mit klassischen Sicherheitssystemen, die am Firmentor enden, ist das nicht möglich.

Anzeige

Die marktbeherrschenden Cloud-Anbieter sitzen zudem im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.