Gehe zum Hauptinhalt
Blog
26.03.2018 Datenschutzgrundverordnung

Kein Problem!

Ab dem 25. Mai gelten die Regelungen der Datenschutzgrundverordnung. Durch sie verschärft der europäische Gesetzgeber den Datenschutz an vielen Stellen. Fundamentale Umbrüche kommen zwar nicht auf deutsche Banken zu, ihre Hausaufgaben müssen sie aber selbstverständlich dennoch gewissenhaft erledigen.

Jetzt sind es keine zwei Monate mehr: Nach langen Verhandlungen und Anhörungen und über zwei Jahre nach Inkrafttreten, gelten die Regelungen der Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai dieses Jahres. Als EU-Verordnung ist sie – im Gegensatz zur ihrer Vorgängerin, der EU-Datenschutzrichtlinie aus dem Jahr 1995 – unmittelbar in allen Mitgliedsstaaten wirksam und regelt so die Prämissen für den Datenschutz in Europa neu und vor allem: einheitlich. „Crazy“, sei die bisherige Praxis gewesen, in Europa 28 unterschiedliche Datenschutzstandards zu haben, so 2016 der damalige EU-„Digitalkommissar“ Günther Oettinger.

Zeitleiste Datenschutzgesetzgebung
Zeitleiste Datenschutzgesetzgebung

Viel Bekanntes, einige Neuerungen

Aus deutscher Perspektive bleiben viele bereits bekannte und im Bundesdatenschutzgesetz geregelte Grundsätze erhalten und werden „lediglich" auf ein einheitliches Mindestniveau gehoben und modernisiert. Dazu zählen beispielsweise Einwilligungserfordernisse sowie Informations-, Auskunfts- und Widerspruchsrechte der Betroffenen.

Einzelne Aspekte der DSGVO bringen aber auch hierzulande echten Neuerungswert mit entsprechendem Medienecho. Die deutlich erhöhten Bußgelder etwa, wonach Verstöße gegen die DSGVO mit bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens oder bis zu 20 Millionen Euro geahndet werden, je nachdem, welcher der Beträge höher ist. Oder aber das Recht auf Vergessenwerden, das auch Suchmaschinenbetreiber verpflichtet, bei berechtigten Löschungsansprüchen von Betroffenen Verweise und Links auf entsprechende Inhalte Dritter zu entfernen. An dieser Stelle weitet die DSGVO die Rechtsprechung des Europäischen Gerichtshofs von 2014 noch einmal aus.

Andere Neuregelungen sollen gezielt den europäischen Binnenmarkt stärken: Das Marktort-Prinzip fordert die Einhaltung europäischer Datenschutzregeln durch alle in der EU aktiven Anbieter – unabhängig vom Sitz des Unternehmens. Zusätzlich dürfen Unternehmen künftig den Datenaustausch innerhalb der EU nicht mehr mit Hinweis auf unterschiedliche Datenschutzgesetze ablehnen und müssen auf Wunsch der Betroffenen personenbezogene Daten sogar direkt an andere Unternehmen übertragen.

Übersicht Kernelemente
Übersicht Kernelemente

Erhöhte Anforderungen für datenverarbeitende Unternehmen

Gegenüber datenverarbeitenden Unternehmen werden zentrale technische und organisatorische Anforderungen deutlich verstärkt.

Zum einen sind im Sinne des übergreifenden Prinzips der Datensparsamkeit bei technischen Lösungen das Design und die Standardeinstellungen künftig grundsätzlich auf die Vermeidung nicht notwendiger Datenerhebung und -verarbeitung auszurichten („Privacy by design and by default“).

Zum anderen stellt der Gesetzgeber höhere Rechenschafts- und Meldepflichten auf. So muss beispielsweise bei „voraussichtlich hohem Risiko“ der Verarbeitung – etwa im Falle von Profiling – bereits vorab eine Abschätzung der Folgen durch das Unternehmen durchgeführt, dokumentiert sowie ggf. eine Datenschutzbehörde konsultiert werden.

Entlastend wirken hingegen eingeräumte Möglichkeiten zur Selbstregulierung. Interne Verhaltensregeln zur Datenverarbeitung (Code of Conducts) und externe Zertifizierungen werden mit Anreizen versehen und können Dokumentationspflichten reduzieren. Die Zertifizierung von einzelnen, konkreten Verarbeitungsvorgängen beispielsweise erfolgt durch eine Aufsichtsbehörde oder eine akkreditierte Stelle und dient bereits als Nachweis über die Einhaltung der DSGVO für den jeweiligen Vorgang. Was einmal (nachweislich) richtig gemacht wurde, muss dann nicht ständig erneut abgenommen werden.

Gestärkte Durchsetzungskraft

Kaum ein Bericht über die DSGVO, der nicht die neuen empfindlichen Bußgelder hervorhebt. In der Tat verfügen die Datenschutzbehörden damit zukünftig über ein scharfes Schwert. Genauso wichtig sind aber die einheitlichen Verfahrensregeln, insbesondere für grenzüberschreitende Angelegenheiten innerhalb der EU. Sie sind ganz wesentlich für die Durchsetzung von Beschwerden zum Datenschutz: So können sich Unternehmen und Privatpersonen an die Behörden in ihrem jeweiligen Heimatland wenden – diese verhandeln kooperativ oder führen gegebenenfalls eine Entscheidung durch Eskalation in einen Europäischen Datenschutzausschuss herbei („One Stop Shop-Mechanismus“).

Kaum Revolutionäres für Finanzdienstleister

Klar ist: Aufgrund einer Vielzahl regulatorischer Projekte, häufig vorzufindenden IT-Altlasten und den von ihnen verwalteten, besonders sensiblen Daten, kommt die Umsetzung der DSGVO den Banken und Sparkassen nicht unbedingt gelegen.

Die gute Nachricht ist: Viele der Neuregelungen sind für deutsche Banken in Tat und Wahrheit gar nicht so neu. Oder nicht relevant, denn teilweise zielt die DSGVO erkennbar auf ganz andere Datenverarbeiter ab (etwa das Recht auf Vergessenwerden oder das Marktort-Prinzip). Andere Themen stehen ohnehin auf der Agenda der traditionell datenschutzbewussten deutschen Banken: Die Projekte, die wir bei Finanzdienstleistern begleiten durften, setzten selbstverständlich auf eine eindeutige Zustimmung der Kunden sowie „privacy by design and by default“. Datenschutzbetrachtungen hatten dabei von jeher Vorrang auch vor vertrieblichen Offensivgedanken.

Andere Aspekte sind aber für Banken durchaus relevant, beispielsweise die erhöhten Dokumentations- und Nachweispflichten bei Datenverarbeitungstätigkeiten. Ebenso bleiben Datenminimierung und die Löschung nicht mehr benötigter Daten nach unserer Erfahrung auch weiterhin eine große Herausforderung für Banken. Hier entfaltet die DSGVO auch durch ihre Durchsetzungsmechanismen Wirkung und drängt Banken dazu, bestehende Schwachstellen endlich zu adressieren und neue Lösungen zu entwickeln.

Mut zur aktiven Auseinandersetzung mit dem Thema Daten

Wenngleich Banken nicht im Fokus der neuen Regelungen rund um die DSGVO stehen: Sie sollten die DSGVO als Anlass nehmen, um ausstehende Hausaufgaben zu den Themen rund um Daten und Datenschutz umfassend nachzuholen.

Vor allem im deutschen Markt bietet sich nämlich die Möglichkeit, durch strenge Datensicherheit sowie durch transparente und proaktive Kommunikation das Vertrauen des Kunden zu stärken – auch in bewusster Abgrenzung zu neuen Anbietern, die keinen Vertrauensvorschuss genießen. Auf diesem Gebiet haben klassische Anbieter einen großen Vorsprung etwa gegenüber Fintechs. Noch.

Hier können Banken dem für den digitalen Binnenmarkt zuständigen Vizepräsidenten der Europäischen Kommission Andrus Ansip nur zustimmen: „Unsere digitale Zukunft kann nur auf Vertrauen fußen.“ Durch gestärktes Vertrauen – und den Mut, aktiv mit dem Kunden über Daten zu kommunizieren – können Banken die Basis für freiwillige Zustimmungen zu gezielten Datenerhebungen und -verarbeitungen legen. Damit drehen sie das Thema Datenschutz vom potentiellen Hindernis zu einem „Enabler“ in der digitalen Welt um.