Banken & Datenschutz: Anforderungen der DSGVO an Finanzinstitute

Die EU-Datenschutz-Grundverordnung, kurz DSGVO, nimmt Banken und Finanzhäuser in die Pflicht, da hier von der Prüfung der Kreditwürdigkeit bis hin zur Zahlungsabwicklung eine nicht unerhebliche Anzahl personenbezogener Daten erhoben werden. Das Gute daran: Aus dieser Pflicht kann bei der richtigen Umsetzung auch ein enormer Vorteil geschlagen werden. Denn ein lückenloses Datenschutzkonzept steigert das Kundenvertrauen und stellt einen nicht zu unterschätzenden Wettbewerbsvorteil dar.
 

Warum ist Datenschutz bei Banken besonders wichtig?

Die Zeiten, in denen Bankgeschäfte am Schalter abgewickelt wurden, sind größtenteils vorbei. Banking läuft heute online – aber was bedeutet das für das Thema Bank & DSGVO? Kurz gesagt stellt vor allem das Online-Banking einmal mehr höhere Anforderungen an den Datenschutz bei Banken. Um Transaktionen richtig durchführen zu können, muss aber online wie „offline“ eine erhebliche Zahl personenbezogener Daten erhoben werden, wie:

• Name, Wohnort, E-Mail-Adresse
• Alter z.B. mittels Personalausweises (für Identitäts- und Altersprüfungen)
• Bankdaten (IBAN, BIC, PIN, TAN)
• Personalausweisnummer (z.B. beim online Video-Ident-Verfahren)
• Schufa-Einträge (für eine Kreditwürdigkeitsprüfung)
• Usw.

Diese Daten müssen angemessen geschützt werden – sowohl beim Onlinebanking wie auch „offline“ bei Bankgeschäften vor Ort. Das interne Datenschutzkonzept muss daher für beide Wege des Bankings funktionieren: vor Ort und im Netz. Hier ist es vor allem das Thema Cyberkriminalität, vor dem die personenbezogenen Daten von Kund:innen geschützt werden müssen. Diese zielt zu einem großen Prozentsatz darauf ab, Bankdaten wie beispielsweise Kreditkartendaten abzufischen.

Doch auch andere Einblicke in Bankgeschäfte ist für Kriminelle im wahrsten Wortsinn Gold wert, bildet der persönliche Zahlungsverkehr doch die Präferenzen von Nutzer:innen ab – Erkenntnisse, die teuer verkauft werden können. Für Banken und Finanzdienstleister, die ausschließlich online agieren, muss auf dem Datenschutz also definitiv ein Hauptaugenmerk liegen. Wo aber liegen die größten Datenschutzanforderungen für Banken und Finanzinstitute?
 

Welche Datenschutzanforderungen gibt es für Banken und Finanzinstitute?

Im ersten Schritt ist stets zu prüfen, ob die Verarbeitung personenbezogener Daten zulässig ist. Als Rechtsgrundlage kommen u.a. die Durchführung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Erfüllung einer rechtlichen Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO in Betracht. Diese personenbezogenen Daten von Kund:innen müssen von Banken bei der Erhebung, Speicherung und weiteren Verarbeitung geschützt werden. Hierbei muss nachgewiesen werden können (Rechenschaftspflicht), dass und wie die Vorgaben zum Datenschutz eingehalten werden. Der Datenschutz muss dabei insbesondere auch in allen verwendeten Systemen und Anwendungen sichergestellt werden. Die Dokumentationspflicht dient unterschiedlichen Nachweiszwecken und ist deshalb von hoher Relevanz. Allerdings sind auch hier die gesetzlichen Aufbewahrungsfristen zu wahren und bei Fristablauf bzw. Zweckfortfall die personenbezogenen Daten unverzüglich zu löschen (Stichwort: Löschkonzept).

Ein wichtiges Stichwort ist hierbei die IT-Sicherheit, bei der es vor allem bei kleineren oder alteingesessenen Bankhäusern oftmals mangelt. Da sich aber der Banking-Bereich immer schneller digitalisiert, müssen alle verwendeten Systeme, Soft- und Hardwarelösungen, Cloud-Dienste sowie Websites stets auf dem neusten Stand gehalten werden.
Zudem braucht es die nötigen Verträge mit Dienstleistern (z.B. AV-Verträge, die beispielsweise mit Cloud-Anbieter:innen geschlossen werden) oder Standardvertragsklauseln, die bei Datentransfers in Drittländer außerhalb des EWR und vor allem nach der Kippung des EU-U.S.-Privacy Shields für den Datentransfer ins US-amerikanische Ausland relevant sind.

Auch bei Finanzinstituten, die laut Definition keine klassischen Bankgeschäfte betreiben, sind die Anforderungen hoch: neben der Kreditwürdigkeitsprüfung sind Personenüberprüfungen (Identitäts- und Altersprüfung) ein Muss, beispielsweise, um der Bekämpfung von Geldwäsche bzw. der Geldwäscheprävention gerecht zu werden. Darüber hinaus gibt es noch andere Regelungen, die das Erheben und Speichern personenbezogener Kundendaten notwendig machen, wie etwa das Wertpapierhandelsgesetz oder die geltenden Steuergesetze.

Banken: Hohe Anforderungen auch an FinTechs

Wie bereits angedeutet, ist es im Bankensektor vor allem für Onlinebanken, Online-Zahlungsdienstleister:innen oder online Kreditvermittlungen – kurz: für Finanztechnologie (Fin-Tech)-Unternehmen – herausragend wichtig, ein umfangreiches IT-Sicherheitskonzept zu haben. Zentral darin sind die Bestimmung der Risiken, des Schutzbedarfs und des Schutzniveaus der erhobenen und gespeicherten personenbezogenen Daten. Es ist gerade die sehr umfassende Verarbeitung von Nutzerdaten, die immer schneller verschiedene systemische Risiken hervorruft.  Auch von Relevanz ist zudem das Vorliegen eines Berechtigungsmanagements bzw. -konzepts, woraus die einzelnen Zugriffsberechtigungen ersichtlich sein sollen. Dies sorgt für mehr Transparenz bei sämtlichen Datenverarbeitungsprozessen.

DSGVO Bußgelder für Banken

Die Bußgelder für Banken fallen bei Missachtung der DSGVO-Vorgaben teils enorm hoch aus. So musste ein Unternehmen für Finanzdienstleistungen, Banco Bilbao Vizcaya Argentaria, 2020 satte 5 Millionen Euro zahlen und schaffte es damit unter die 17 Bußgelder in Millionenhöhe letztes Jahr. Aber auch bereits zu Beginn des Jahres 2021 wurde ein hohes DSGVO-Bußgeld gegen eine spanische Bank verhängt: die spanische CAIXABANK musste ein Bußgeld von 6 Millionen Euro hinnehmen, da es sowohl bei den Informationspflichten (Art. 13 und 14 DSGVO) als auch bei der Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art. 6 DSGVO) zu gravierenden Mängeln kam.

Bußgelder gegen Banken, Kreditinstitute oder Finanzdienstleister sind kein Einzelfall. Zwar fallen sie nicht immer in Millionenhöhe aus, doch sie sind alle ernst zu nehmen und zeigen, dass die Einhaltung der DSGVO nicht auf die leichte Schulter genommen werden sollte.

Richtig umgesetzt schützt der Datenschutz bei Banken und anderen Finanzdienstleistern nicht nur vor Bußgeldern, sondern ist auch ein wichtiges Signal an Kund:innen: Zum einen wirkt sich der transparente Umgang mit dem internen Datenschutz nicht nur fördernd auf das Vertrauen der Kund:innen aus, zum anderen stellt er auch einen wichtigen Wettbewerbsvorteil dar. Denn abgesehen vom finanziellen Schaden eines Bußgeldes wird vor allem der Reputationsschaden bei vielen Banken so schnell nicht wieder gut zu machen sein.