Zwei Jahre DSGVO: Banken nehmen den Schutz der Daten sehr ernst – doch die IT hinkt hinterher
Ende Mai vor zwei Jahren trat die DSGVO (europäische Datenschutzgrundverordnung) in Kraft. Zeit, ein Fazit zu ziehen. Wie läuft die Umsetzung in der Finanzbranche? Eine Einschätzung vom IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity.
von Dr. Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity
Kundendaten bilden das Rückgrat für die Geschäftsmodelle von Banken. Auch zur Erfüllung von rechtlichen Verpflichtungen – wie dem Kreditwesen- oder Geldwäschegesetz – müssen Finanzinstitute personenbezogene Daten verarbeiten.Der Datenschutz hat in der Finanzbranche daher einen hohen Stellenwert. Die neue Datenschutzregelung verschärfte die Anforderungen an den Umgang mit personenbezogenen Daten vor zwei Jahren allerdings erheblich.”
Die EU-DSGVO schreibt vor, welche Daten Banken erheben und speichern dürfen. Die Institute müssen zudem dokumentieren, welche Daten erhoben, zu welchem Zweck sie verwendet und wie sie weiterverarbeitet werden. Eine weitere Kernforderung: Daten müssen ab sofort besser vor Verlust oder unbeabsichtigter Zerstörung oder Schädigung geschützt werden.
Finanzbranche als Musterschüler
Für Finanzinstitute bedeutet die Umsetzung dieser Vorgaben eine Mammutaufgabe. Vor allem auch deshalb, weil die Daten in vielen Geldhäusern in unterschiedlichen Systemen gespeichert und verwendet werden. Die Branche erkannte aber auch eine Chance. Mit der Umsetzung der EU-DSGVO kann sie ihr Vertrauensverhältnis gegenüber Kunden, Partnern und Mitarbeitern untermauern und gewinnt Rechtssicherheit. Denn im Zeitalter rasanter Digitalisierung der Finanzgeschäfte und datengetriebener Produkte ist ein gewissenhafter und integerer Umgang mit Informationen unabdingbar.
Die Finanzbranche hat diese Chance genutzt und avancierte zum Musterschüler bei der Umsetzung der Vorgaben. Laut „DSGVO Index Studie“ gaben bereits acht Monate nach Einführung der EU-DSGVO drei Viertel (74 Prozent) der Banken und Versicherungen an, ihre Prozesse befänden sich im Einklang mit der Datenschutzgrundverordnung. Das Analystenhaus techconsult erstellte den Branchenvergleich auf Basis von Daten aus der Energie- und Wasserversorgung, Dienstleistung, der Öffentlichen Verwaltung, Banken und Versicherungen, Telekommunikation, Handel, Industrie und dem Gesundheitswesen. Ob Datenminimierung, Mitarbeiterschulungen oder Datenintegrität: Banken lagen in der Studie bei der Umsetzung stets auf den vorderen Plätzen.
Nachholbedarf bei der IT-Sicherheit
Hat die Branche also alles richtig gemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt.”
Hat die Branche also alles richtig gemacht? Sie hat ihren Kunden jedenfalls klar signalisiert, dass sie den Schutz der Daten ernst nimmt.”
Doch vor allem beim Thema IT-Sicherheit hat die Branche noch Nachholbedarf. Mit der zunehmenden Digitalisierung gibt es immer neue Möglichkeiten für Hacker, Daten abzugreifen oder zu manipulieren. Finanzinstitute können solchen Angriffen häufig nicht genug entgegensetzen. Der oberste Bankenaufseher, BaFin-Exekutivdirektor Raimund Röseler, hat die IT-Sicherheit von Banken und Sparkassen mit der Schulnote 4 bewertet. Hinzu kommt, dass Finanzinstitute ein immer beliebteres Ziel für Hacker werden. Nicht zuletzt, weil sie sich von Angriffen auf Banken und Sparkassen hohe Gewinne versprechen.
Eine besondere Herausforderung an die Einhaltung der EU-DSGVO stellt zudem das Open Banking dar – also die Einführung der EU-Richtlinie PSD 2.”
Kundendaten werden dazu in Web- und Cloud-Anwendungen für Drittparteien wie Zahlungsauslösedienste bereitgestellt. Banken müssen dafür sorgen, dass Unbefugte keinen Zugriff auf diese Daten haben. Mit klassischen Sicherheitssystemen, die am Firmentor enden, ist das nicht möglich. Die marktbeherrschenden Cloud-Anbieter sitzen zudem im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO.
Neue IT-Sicherheitstechnologien
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Auf diese Weise wollen sie europäischem Recht genügen. Das löst jedoch das Problem nicht wirklich: Die Cloud-Anbieter selbst können noch immer auf die Daten zugreifen und aufgrund gesetzlicher Gegebenheiten in ihren Herkunftsländern verpflichtet werden, Dritten Zugang zu gewähren.
Um wirklich der EU-DSGVO zu genügen, braucht es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen.”
Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, der Kunde selbst entscheiden kann, wo seine Daten gespeichert werden, und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance.
Mit der Einführung der ePrivacy-Verordnung (ePVO) kommt bald eine weitere Herausforderung auf Banken zu. Die ePVO soll den Schutz persönlicher Daten bei der Nutzung digitaler Kommunikation europaweit regeln. Ursprünglich sollte die Verordnung gemeinsam mit der EU-DSGVO in Kraft treten. Nun wird sie voraussichtlich 2020 veröffentlicht. Noch ist nicht öffentlich bekannt, wie die Regelung aussehen soll. Eines aber ist sicher: Die Finanzbranche wird von der neuen Regelung erheblich betroffen sein. Denn ob Online-Banking, neue Bezahldienste oder digitale Dienstleistungen: Immer wenn ein Dienst über eine digitale Oberfläche, also etwa eine Webseite oder eine App, benutzt wird, fallen elektronische Daten an, die von der ePrivacy-Verordnung zukünftig geschützt werden.
Abmahnwelle ausgeblieben
Rohde & Schwarz CybersecurityRohde & Schwarz Cybersecurity (Website) ist ein IT-Sicherheitsunternehmen, das digitale Informationen und Geschäftsprozesse von Unternehmen und öffentlichen Institutionen weltweit vor Cyber-Angriffen schützen will. Der IT-Sicherheitsexperte bietet Datensicherheitslösungen für Cloud-Umgebungen, Sicherheit für Websites, Webanwendungen und Webservices sowie Netzwerkverschlüsselung, Desktop- und Mobile-Security. Die Sicherheitslösungen seien nach dem Security-by-Design-Ansatz entwickelt und sollen Cyber-Angriffe proaktiv verhindern.Noch ist die große Abmahnwelle in Folge der EU-DSGVO ausgeblieben. Erste Strafen gab es aber auch bereits in der Finanzbranche: Die Berliner Landesdatenschutzbeauftragte verhängte im Mai 2019 ein Bußgeld in Höhe von 50.000 Euro gegen das Banking-Start-up N26. Der Finanzdienstleister hatte eine Blacklist mit Kunden erstellt, mit denen keine neuen Verträge abgeschlossen werden sollten. Grundsätzlich dürften hier nur Betroffene aufgeführt werden, bei denen ein Verstoß gegen das Geldwäschegesetz zu vermuten ist. N26 aber erfasste auch andere Kunden aus der Kartei, was einen Datenschutzverstoß darstellte. In den kommenden Jahren könnten solche Strafzahlungen deutlich steigen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat ein schärferes Vorgehen bei Verstößen gegen die Vorgaben angekündigt. Er bezog sich dabei aber vor allem auf Konzerne.
Ausblick
Die Finanzbranche hat die EU-DSGVO als Chance genutzt, das Vertrauen ihrer Kunden auszubauen und ihre rechtlichen Risiken zu vermindern. Die Umsetzung wurde daher zügig vorangetrieben. Allerdings hapert es noch beim Schutz vor der zunehmenden Gefahr durch Cyber-Angriffe. Hier bedarf es geeigneter Maßnahmen – vor allem in Hinblick auf neue Schnittstellen und digitale Dienstleistungen. Wenn die Bankenbranche auch noch die Umsetzung der eprivacy-Verordnung gewissenhaft vorantreibt, steht sie bereit für eine sichere und vertrauensvolle digitale Finanzwelt der Zukunft. aj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/107892
Schreiben Sie einen Kommentar