Pflicht und Kür
Rund ein Jahr nach Inkrafttreten der Datenschutzgrundverordnung hat sich die Aufregung spürbar gelegt – Zeit für eine Bestandsaufnahme: Banken haben ihre „Pflicht“ inhaltlich erfüllt, doch kaum jemand hat sich bisher an die „Kür“ gewagt. Dabei zeigen Beispiele in anderen Industrien, wie man Datenschutz als Wettbewerbsvorteil begreifen kann.
Rund ein Jahr DSGVO – was bisher geschah
Von einem „Hype“ zu sprechen ist kaum übertrieben: Dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) zum 25. Mai 2018 ging eine Phase intensiver Berichterstattung und hoher Verunsicherung in Öffentlichkeit und Wirtschaft voraus. Auch nach dem Stichtag hielt die Aufmerksamkeit an, häufig getrieben durch Kuriositäten in der (vermeintlichen) Anwendung der Verordnung – etwa in der diskutierten Anonymisierung von Klingelschildern an Mietwohnungen oder der prophylaktischen Abschaltung von Webseiten selbst kleiner Vereine.
Die anfängliche Aufregung hat sich inzwischen weitestgehend gelegt. Die vielfach prophezeite große Abmahnwelle ist bisher ausgeblieben. Stattdessen ist – so drückte es die EU-Justizkommissarin Věra Jourová aus – ein „überfälliges Großreinemachen“ hinsichtlich gespeicherter Daten und automatisierter Datenverarbeitung unternommen worden.
Manch einer mag annehmen, das Thema sei damit nun „erledigt“ – aber weit gefehlt: Inzwischen ist nach einer gewissen Schonfrist seitens der Behörden ein deutlicher Anstieg in der Anzahl laufender Verfahren und ausgesprochener Bußgelder zu beobachten. Erst im Januar 2019 wurde in Frankreich mit 50 Mio. Euro das bisher höchste Bußgeld für eine Datenschutzverletzung in der EU verhängt. Auch öffentlichkeitswirksame Skandale, wie etwa rund um Facebook und Cambridge Analytica, tragen dazu bei, dass sich das Thema „Datenschutz“ beharrlich in der öffentlichen Diskussion hält.
„Pflicht erfüllt“ bei Banken und Sparkassen
Öffentliche Skandale und Rekordbußgelder sind bei Banken und Sparkassen hierzulande bisher eindeutig ausgeblieben. Vielerorts war intern ein durchaus erhöhter Aufwand insbesondere hinsichtlich der neuen Dokumentationspflichten spürbar, aber insgesamt ist der Veränderungsumfang als bewältigbar einzustufen und ein Gewöhnungseffekt beobachtbar.
Auch in der Darstellung gegenüber dem Kunden haben die hiesigen Institute ihre Pflichtaufgaben erfüllt und die Datenschutzerklärungen inhaltlich auf den neuen Standard gehoben, dies zeigte eine umfassende, durch BLC vergangenes Jahr durchgeführte Stichprobe. In der Kommunikation wird das Thema aber nach wie vor eher stiefmütterlich behandelt – viele Banken beschränken sich ganz offenbar auf die Erledigung einer rechtlichen Pflichtaufgabe durch Veröffentlichung eines „kleingedruckten Standardformulars“.
Dass es auch anders geht, zeigten vergangenes Jahr vereinzelte Best Practices in anderen Industrien. Sie haben die DSGVO-Vorgabe einer leicht verständlichen Datenschutzerklärung tatsächlich verinnerlicht und gehen über die rechtliche Pflicht klar hinaus: Die neue Erklärung ist kundenfreundlich gestaltet, interaktiv und an den geeigneten Stellen unmittelbar mit den relevanten Handlungsmöglichkeiten des Nutzers verlinkt. Auch ein vollständiger Abzug der eigenen Daten kann hier „per Knopfdruck“ heruntergeladen werden und ist inhaltlich ohne Probleme auch für Laien nachvollziehbar. Als Beispiel für eine solche Best Practice in der Datenschutzerklärung sei hier etwa XING (Link) genannt.
Banken lassen eine solch offene Kommunikation bisher weitgehend vermissen. Dabei sollte die Bedeutung eines transparenten Datenschutzes als Hygienefaktor und nachhaltige Grundlage für die Kundenbeziehung in der digitalen Welt nicht unterschätzt werden. Finanzielle Daten stellen für Deutsche gemäß der BLC-Bankkundenstudie 2018 nämlich die mit Abstand sensibelsten Daten dar – noch vor Kontaktdaten auf dem Smartphone oder Profilen in sozialen Netzwerken.
„Kür“ im Datenschutz als Wettbewerbsvorteil
Klar ist: Hinreichender Datenschutz und Datensicherheit sind ein absolutes „Muss“. Mehrere Umfragen haben deutlich gemacht, dass Verstöße deutliche Folgen nach sich ziehen könnten: Ein Großteil der Befragten würde einen Anbieterwechsel oder rechtliche Schritte in Erwägung ziehen (z. B. „Cybersecurity and Privacy Research“ der Firma IBM mit > 1.000 Befragten in Deutschland).
Banken genießen gerade in diesem Punkt einen hohen Vertrauensvorschuss. Auch dies belegt die BLC-Bankkundenstudie 2018: Rund drei von vier Deutschen sprechen ihrer Bank ihr Vertrauen aus – ein Spitzenwert im Vergleich zu anderen Industrien. Insbesondere zeigt sich hier ein klarer „Heimvorteil“ gegenüber den Anbietern der Digital Economy.
Dieser Vertrauensvorschuss ist durchaus gerechtfertigt. Eine Untersuchung häufig benutzter Apps im Auftrag des Bundesministeriums der Justiz und für Verbraucherschutz (Studie „Verbraucherinformationen bei Apps – Empirie“, durchgeführt durch infas) betrachtete u. a. 20 Apps im Bereich „Banking/Finanzen“ – Ergebnis: Der Großteil der betrachteten Finanz-Apps bietet aus Datenschutzsicht noch erhebliches Verbesserungspotenzial (u. a. Apps prominenter Payment-Anbieter) – die Anwendungen etablierter Regionalinstitute hingegen stechen positiv hervor.
Diesen Vorsprung gilt es beizubehalten und aktiv als eigene Stärke im Wettbewerb auszuspielen. Einen solchen Ansatz haben sich etwa deutsche Technologie-Unternehmen in der Entwicklung rund um Cloud-Angebote zu Eigen gemacht: Sie nutzten die öffentliche Skepsis gegenüber etablierten Anbietern infolge des NSA-Skandales und vermarkteten offensiv Alternativen mit Server-Standort innerhalb Deutschlands. Folgerichtig haben inzwischen viele US-Amerikanischen Anbieter nachgezogen und ebenfalls Cloud-Dienste mit Servern innerhalb der EU im Angebot.
An diesem Beispiel zeigt sich, dass im Wettbewerb um den Kunden neben „harten Fakten“ auch das Bewusstsein um sich verändernde Werte entscheidender wird. So finden sich bereits Stimmen, die eine „ethische Datenverarbeitung“ in einem Satz mit Werten wie „Umweltbewusstsein“ und „Nachhaltigkeit“ nennen und zum künftigen Mainstream erklären. Vorreiter, die solch einen Wandel antizipieren und für ihren Markenauftritt nutzen, können sich einen relevanten Wettbewerbsvorteil verschaffen.
Gesucht: Mut zum Quantensprung
Aus rechtlicher Sicht ist das pünktliche Sicherstellen geforderter Mindestlösungen durchaus ausreichend. Aus langfristiger vertrieblicher Perspektive ist aber eine andere Sicht auf das Thema empfehlenswert: Banken müssen zum Quantensprung ansetzen und die künftige Rolle eines transparenten Datenschutzes für die Kundenbeziehung neu begreifen. Eine offene, kundenorientierte Kommunikation stärkt die eigene Marke und schafft Akzeptanz für die Datenverarbeitung im Rahmen digitaler Dienstleistungen.
Parallel wird bereits auf europäischer Ebene die nächste Reform vorbereitet: Die ePrivacy-Verordnung soll ergänzend zur DSGVO das Datenschutzrecht im Internet umfassend präzisieren, etwa durch eine kontrovers diskutierte Verschärfung der Vorgaben zur Verwendung von Cookies und Tracking (Stichwort „Opt-in“). Das Thema Datenschutz wird also so schnell nicht von der Bildfläche verschwinden.