Eine Sache des Vertrauens – Bankdaten mit hohen Datenschutzanforderungen
FinTechs haben Banken vorgemacht, was sich mit Digitalisierung erreichen lässt. Technologiegetriebene, innovative Finanzdienstleistungen punkten mit Einfachheit und Schnelligkeit – vor allem bei einer jungen, aufgeschlossenen Zielgruppe mit viel Potenzial. Einst klar abgesteckte Geschäftsfelder der Banken sind dadurch von außen angreifbar geworden.
Internetzahlungsdienste, Kredit- und Investmentplattformen, Digital-Banking-Anbieter, Robo Advice, Tradinganwendungen und Online-Finanzratgeber – das sind nur einige Beispiele für digitale Angebote, die sich heute oft außerhalb der klassischen Bankenwelt bewegen. Die Digitalisierung ist aber nicht nur ein Thema für die letzte Schnittstelle zum Kunden. Sie spielt auch im Hintergrund eine zentrale Rolle. Hier geht es vor allem um mehr Effizienz, schnellere Abwicklung, Kosteneinsparungen sowie um treffsicherere Prognosen, Bewertungen und Planungen.
Für Digitalisierung und Innovation sind Banken oft auf externe Partner angewiesen. Ob interne oder externe Datenverarbeitung – immer stellt sich automatisch die Frage nach dem Datenschutz und den Datenschutzanforderungen.
Banken und generell Finanzdienstleister unterliegen wegen des Besitzes und des Umgangs mit sensiblen Kundendaten besonders hohen Datenschutzanforderungen. Datensicherheit und Datenschutz folgen dabei nicht nur rechtlichen Vorgaben, sie sind auch Grundlage des Kundenvertrauens – ein besonders wertvolles Gut.
Laut Postbank Digitalstudie 2020[1] vertrauen 83 Prozent der Bundesbürgerinnen und -bürger Banken, wenn es um den Schutz ihrer Daten geht, nur im Gesundheitswesen ist das Datenvertrauen noch etwas höher. Dieses Vertrauen gilt es nicht zu enttäuschen.
Beim Datenschutz durch Banken gelten vielfältige regulatorische Anforderungen. Maßgeblich zu beachten sind:
- die Datenschutz-Grundverordnung (DSGVO),
- das Bundesdatenschutzgesetz (BDSG),
- das Kreditwesengesetz (KWG),
- die Mindestanforderungen an das Risikomanagement (MaRisk),
- die zweite Zahlungsdiensterichtlinie (PSD 2),
- das IT-Sicherheitsgesetz.
Der Datenschutz stößt allerdings dort an seine Grenzen, wo es um die Befriedigung staatlicher Informationsbedürfnisse geht. Das Bankgeheimnis ist den letzten Jahren löchriger geworden. Banken sind gesetzlich verpflichtet, Betrug, Geldwäsche, Steuerhinterziehung und anderen Straftaten vorzubeugen. Zu diesem Zweck müssen sie bestimmte Kundendaten transparent machen, prüfen oder zur Verfügung stellen. Auch das gehört zum Umgang mit Kundendaten und spielt in die Digitalisierung hinein.
BankingHub-Newsletter
Analysen, Artikel sowie Interviews rund um Trends und Innovationen im Banking alle 2-3 Wochen direkt in Ihr Postfach
Möglichkeiten und Grenzen des Data-Minings im Bankensektor
In wohl keiner anderen Branche liegen so umfassende, vielfältige und transparente Daten zu den finanziellen Verhältnissen und zum Finanzverhalten von Kunden vor wie im Bankenwesen. Data-Driven-Banking und Data-Mining sind modische Schlagwörter, welche die gezielte Datenauswertung und ‑nutzung zur Kundenansprache und zur Generierung von zusätzlichem Geschäft bezeichnen.
Es geht um datenbasierte, maßgeschneiderte Produktangebote zum richtigen Zeitpunkt je nach aktuellem und konkretem Bedarf. Dies ist u. a. mithilfe künstlicher Intelligenz möglich.
Viele Entwicklungen stehen hier noch am Anfang. Bisher wird der vorhandene Datenschatz erst zu einem kleinen Teil gehoben. Das liegt unter anderem daran, dass die Möglichkeiten noch lange nicht alle erkannt sind und es oft an den technischen, personellen und finanziellen Ressourcen zur Realisierung von Lösungen fehlt.
Auch ist die Nutzung personenbezogener Daten stets an das Einverständnis des Kunden gebunden, womit wieder der Datenschutz ins Spiel kommt. Die Bundesbürger/-innen sind hier sehr sensibel. In der bereits erwähnten Postbankstudie erklärten 80 Prozent der Befragten, dass sie Daten für Onlineanwendungen nur freigeben, wenn diese für die gewünschte Dienstleistung zwingend erforderlich sind. Es muss also schon ein persönlicher Zusatznutzen geboten werden, um mehr Datenfreigabebereitschaft zu erzeugen.
Viele Detailfragen im Tagesgeschäft – Beispiel Videoident-Chat
Ein typischer praktischer Fall im Tagesgeschäft, bei dem Digitalisierung auf Datenschutz und Datensicherheit trifft, ist das Videoident-Verfahren. Der Videoident-Chat wird heute vielfach als einfache und bequeme Alternative zur Postident-Legitimationsprüfung bei Online-Neukundenanträgen angeboten. Die BaFin hat mit Rundschreiben Nr. 3/2017 ausführliche Vorgaben zur Organisation und Durchführung von Videoident-Chats erlassen.
Danach müssen während des Chats umfangreiche personenbezogene Daten erhoben werden. Die Einwilligung zur Datenerhebung ist einzuholen und zu dokumentieren. Es müssen außerdem ausreichende IT-technische Vorkehrungen zur Datenerfassung, -validierung und -sicherheit getroffen werden.
Mitarbeitende oder externe Dienstleister, die den Videochat durchführen, müssen entsprechend im Datenschutz geschult und zur Einhaltung der Datenschutzvorgaben verpflichtet sein. Bei Einschaltung externer Dienstleister ergeben sich ggf. weitere Anforderungen bezüglich Kundeneinwilligungen und der Beachtung des Datenschutzes bei Datenübermittlungen.
Schon dieses einfache Beispiel aus dem Tagesgeschäft macht deutlich, welche umfangreichen datenschutzrechtlichen und datensicherheitstechnischen Implikationen ein digitales Angebot nach sich ziehen kann.
Mehr Angriffsflächen für Cyberattacken erfordern mehr Cybersicherheit
Mit der zunehmenden Digitalisierung des Geschäfts steigt die Gefahr für Cyberangriffen von außen. Das Bankensystem mit seinen riesigen Datenmengen und gewaltigen Geldbewegungen ist hier eine besondere Zielscheibe. Daher bedarf es auch besonderer Anstrengungen im Bereich der Cybersicherheit.
Cyberkriminelle nutzen vielfältige Ansatzpunkte, um Banken und deren Kunden finanziell zu schaden. Phishing-E-Mails und gefälschte Webseiten sind da noch harmlosere Formen des Angriffs. Gefährlicher sind Attacken, die auf die komplette IT-Infrastruktur einer Bank zielen oder den Umweg über Angriffe auf IT-Systeme von Kunden, Geschäftspartnern oder Dienstleistern – sogenanntes Island Hopping – gehen, um das Bankensystem anzugreifen.
Die BaFin und das Bundesamt für Sicherheit in der Informationstechnik haben sich im vergangenen Jahr in einer umfangreichen Veröffentlichung[2] dem Thema „Cybersicherheit und Banken“ gewidmet. Die Banken sind hier unterschiedlich gut aufgestellt. Nicht selten wird die eigene Sicherheitskompetenz überschätzt. Dabei gibt es schätzungsweise ca. 28 erfolgreiche Angriffe pro Institut und Jahr. Cyberschutz ist zugleich aktiver Datenschutz.
Umgang mit US-Hyperscalers – ein restriktives EuGH-Urteil
Bei der digitalen Transformation setzen Banken häufig auf überall abrufbare, skalierbare Speicherplätze in Public Clouds. Wichtige Anbieter sind hier die sogenannten Hyperscalers Microsoft, Amazon und Google in den USA. Sie decken zusammen etwa drei Viertel der Public-Cloud-Angebote weltweit ab.
Bezüglich der Nutzung solcher Cloud-Dienste hat ein Mitte vergangenen Jahres erlassenes EuGH-Urteil für erhebliche Rechtsunsicherheit gesorgt. Das EuGH-Urteil zum EU-US Privacy Shield lässt Zweifel an der Vereinbarkeit von Datenübermittlungen in solche Public Clouds und den DSGVO-Vorgaben aufkommen. Denn grundsätzlich dürfen aus der EU nur Datentransfers in Länder mit vergleichbaren Datenschutzstandards erfolgen.
Da US-Behörden weiter gehende Zugriffsrechte haben, besteht ein Risiko im Hinblick auf die Datenschutzkonformität. Andererseits bedeutete der Ausschluss der US-Hyperscalers ein erhebliches Hindernis bei den Digitalisierungsanstrengungen.
Im Übrigen gilt diese Problematik nicht nur bei Datenübermittlungen in die USA, sondern noch mehr bei Datentransfers in Länder mit „kritischem“ Datenumgang wie China oder Russland. Auch in diese Länder unterhalten deutsche Institute vielfältige Geschäftsbeziehungen.
Fazit: bei Digitalisierungsprojekten Datenschutz immer im Blick behalten
Dieser Beitrag kann das komplexe Thema nur beispielhaft anreißen. Er soll eine Vorstellung vermitteln, in welch vielfältiger Weise Digitalisierungsvorhaben und Datenschutz bei Banken miteinander verknüpft sind.
Datensicherheit und Datenschutz setzen dabei oft Rahmenbedingungen, die bei der Digitalisierung zu berücksichtigen sind. Das gilt insbesondere, wenn es um die Nutzung personenbezogener Daten geht. Hier ist ohne Kundeneinwilligung kaum etwas möglich.
