Autor: Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG
Hohe Anforderungen für besonders schützenswerte Informationen
Das 1×1 des Datenschutzes für das Finanzwesen
Mit der Einführung der Datenschutzgrundverordnung, kurz DSGVO, im Mai 2018 rückte der Datenschutz noch einmal verstärkt in den Fokus von Unternehmen, Banken sowie Sparkassen, Behörden und Institutionen. Vor allem die Sicherheit personenbezogener Daten wird in erhöhtem Maße gestärkt. Im Finanzwesen handelt es sich oft um besonders schützenswerte Informationen, da durch diese unter anderem Aussagen über Einkommens- und Vermögensverhältnisse oder geschäftliche und persönliche Verbindungen getroffen werden können. Durch die zunehmende Verbreitung von Finanz-Apps, die beispielsweise jederzeit und ortsunabhängig das Prüfen des aktuellen Kontostands, das Tätigen von Überweisungen, den Kauf von Aktien und das mobile Bezahlen per Smartphone erlauben, hat die Speicherung und Verarbeitung von digitalen Daten in diesem Sektor auch noch einmal zugenommen. Doch beim Banking, Payment, Trading und der Buchhaltung gilt es besondere Vorsicht walten zu lassen – das Finanzwesen wird insgesamt häufiger als Unternehmen anderer Branchen von Cyberkriminellen angegriffen.
Hackerangriffe waren bereits erfolgreich
Ende August 2019 tauchten beispielsweise zwei Dateien mit Kundeninformationen des internationalen Finanzdienstleisters Mastercard auf. Neben einer Tabelle mit Datensätzen von Zehntausenden Kunden des Bonusprogramms „Priceless-Specials“, welche Vor- und Nachnamen, Geburtsdaten, E-Mailadressen und zum Teil auch Postanschriften und Handynummern enthielt, machten Recherchen von „heise Security“ auf eine zweite Textdatei aufmerksam, die aus rund 84.000 vollständigen Kartennummern bestand – allerdings ohne zusätzliche Informationen wie Karteninhaber, Ablaufdatum oder Prüfnummer, die eine missbräuchliche Nutzung der Daten problemlos ermöglichen würden. Im September 2019 konnten Betrüger aus Brasilien hingegen mehr als 2.000 Konten der Oldenburgischen Landesbank (OLB) plündern. Den Betroffenen konnten im Wege unrechtmäßiger Zahlungstätigungen mit gefälschten Karten so rund 1,5 Millionen Euro gestohlen werden. Um solche Vorgänge zu verhindern und sensible Informationen zu schützen, gilt es deshalb als Beteiligter des Finanzwesens dem Datenschutz besondere Aufmerksamkeit zu schenken.
Hohe Anforderungen – auch zum Erhalt der Finanzstabilität
Aufgrund der hohen Schutzbedürftigkeit der verarbeiteten Daten sind Banken, Sparkassen und Finanzdienstleister in besonderem Maße zur Gewährleistung des Datenschutzes und der Datensicherheit verpflichtet. Sie müssen hierbei vielfältige regulatorische Anforderungen beachten. Neben der DSGVO und dem Bundesdatenschutzgesetz (BDSG) müssen die Unternehmen auch branchen- und bereichsspezifische Ansprüche, zum Beispiel das Kreditwesengesetz, das Geldwäschegesetz, das Wertpapierhandelsgesetz, Steuergesetze, die Mindestanforderungen an das Risikomanagement (MaRisk) oder das IT-Sicherheitsgesetz beachten. Dabei geht es nicht nur um den Schutz persönlicher Daten – gemäß Artikel 6 der DSGVO ist die Verarbeitung von personenbezogenen Daten besonderer Kategorien beispielsweise nur dann erlaubt, wenn Betroffene einwilligen –, sondern auch um Cybersicherheit und den Erhalt der Finanzstabilität.
Kontrolle über die DSFA
Um die Sicherheit der personenbezogenen Daten zu gewährleisten, gibt es beispielsweise die Datenschutz-Folgeabschätzung, kurz DSFA. Im Grunde handelt es sich bei diesem Instrument um eine Erweiterung der früheren Vorabkontrolle. Die Vorabkontrolle war nach dem alten deutschen Bundesdatenschutzgesetz, kurz BDSG, immer dann durchzuführen, wenn besonders sensible Daten verarbeitet wurden. Im Vergleich zum alten BDSG umfasst die DSFA einen größeren Anwendungsbereich: Sie ist immer dann notwendig, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, es sich um die weiträumige Überwachung öffentlicher Bereiche handelt, es um die Verarbeitung von Daten besonderer Kategorien oder Daten über strafrechtliche Verurteilungen und Straftaten geht. Im Rahmen der DSFA gilt es zunächst eine strukturierte Bewertung der Risiken der geplanten Datenverarbeitung vorzunehmen. Außerdem müssen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung – also die Zwecke der beabsichtigten Verarbeitung gegenüber den möglichen Gefahren – überprüft werden. Anschließend erfolgt die Bewertung der Risiken für die betroffene Person. Einzelne Schritte der Verarbeitung gilt es daraufhin zu untersuchen, welche Gefahren drohen. Zudem müssen Faktoren wie Transparenz und Möglichkeiten zur Intervenierbarkeit bewertet werden. Nach der Risikobewertung erfolgt schließlich die Klärung von spezifischen Gegenmaßnahmen, also dem Einsatz von den technisch-organisatorischen Maßnahmen, kurz TOM.
Schutzmaßnahmen ergreifen und planen
Die technischen und organisatorischen Maßnahmen müssen Banken, Sparkassen und Finanzdienstleister zum Schutz personenbezogener Daten ergreifen. Diese gilt es festzulegen und zu dokumentieren. Zu den technischen Maßnahmen zählen viele physische Verfahrensweisen, wie das Abschließen von Schränken, die Kundenakten enthalten. Eine organisatorische Maßnahme wäre in diesem Falle, die Schlüsselausgabe zu dokumentieren. Die DSGVO gibt vor, das Schutzniveau dem jeweiligen Risiko anzupassen und verschiedene Maßnahmen darin miteinzuschließen. So gehört beispielsweise sowohl die Pseudonymisierung als auch die Verschlüsselung personenbezogener Daten dazu. Aber auch laut Artikel 32 Abs. 1(b) „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Auch ein Verfahren, wie die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüft, bewertet und evaluiert werden soll, gilt es für die Gewährleistung der Sicherheit zu bedenken und zu dokumentieren. Diese Dienstleistung übernehmen beispielsweise externe Datenschutzbeauftragte. Dadurch sichern Unternehmen die Prüfung durch einen Dritten, haben also einen wesentlich unabhängigeren Blick darauf, und vermitteln nach außen, etwa gegenüber der Aufsichtsbehörde, einen besseren Eindruck.
Bei Verstößen können Bußgelder folgen
Insgesamt müssen Finanzinstitute nachweisen, dass sie zu jeder Zeit wissen, wo die personenbezogenen Daten gespeichert sind und verarbeitet werden – und zwar innerhalb aller Systeme und Geschäftsbereiche. Grundsätzlich gilt es streng darauf zu achten, dass jeder Mitarbeiter nur Zugriff auf Daten hat, die er für die Ausübung der jeweiligen Aufgaben benötigt. Auch im Fall der Weitergabe von Daten an Dritte muss geprüft werden, ob, unter welchen Voraussetzungen und in welchem Umfang die Weitergabe der Informationen erfolgen darf. Die Behörden kontrollieren streng, wie die DSGVO und andere Regulierungen im Finanzwesen umgesetzt werden. Bei Verstößen sind bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes an Bußgeld möglich. Mahnungen oder Bußen verhängen die Kontrollbehörden, wenn Unternehmen ihre Zertifizierungs- oder Überwachungspflichten oder bestimmte Vorschriften der DSGVO verletzen. Sanktionen und die Höhe der Strafgelder richten sichdabei nach der Art der Verstöße. Zum Beispiel spielt es eine Rolle, wie viele Personen die Datenschutzverletzung betrifft, ob das Unternehmen absichtlich handelte oder sich die Firma kooperativ verhält. Im Mai 2019 verhängte die Berliner Landesdatenschutzbehörde zum Beispiel ein Bußgeld von 50.000 Euro gegen das Banking-Start-up „N26“. Das Unternehmen hatte personenbezogene Daten unzuverlässig verarbeitet, indem es eine Blacklist mit Kunden erstellte, mit denen keine neuen Verträge abgeschlossen werden sollten. Es dürfen grundsätzlich jedoch nur Betroffene aufgeführt werden, bei denen Verstöße gegen das Geldwäschegesetz zu vermuten sind.
Quelle: Borgmeier Media Gruppe GmbH