Datenschutz im Bankenwesen
Banken und Finanzinstitute verarbeiten viele personenbezogene Daten. Dabei sind auch sie den Anforderungen der DSGVO unterworfen. Diese Anforderungen sind nicht nur in der Filiale, sondern auch beim Online Banking zu erfüllen.
Das Datenschutzkonzept einer Bank muss demnach sowohl online als auch offline funktionieren. Besonders an Bedeutung gewonnen hat hier die Bekämpfung von Cyberkriminalität. Neben dem Abgreifen von Bankdaten wie Kreditkartennummern wird auch das Auslesen von Daten über den individuellen Zahlungsverkehr zur Ermittlung von Präferenzen der Kunden immer wirtschaftlicher.
Ein verantwortlicher Umgang mit personenbezogenen Daten bewahrt am Ende nicht nur vor etwaigen Bußgeldern, sondern steigert auch das Kundevertrauen enorm.
Verarbeitung personenbezogener Daten
Jedes Mal, wenn personenbezogene Daten verarbeitet werden, muss dies aufgrund einer Rechtsgrundlage erfolgen. Bei Banken kann dies auf die Einwilligung des Kunden (Art. 6 I lit. a DSGVO), die Durchführung eines Vertrages (Art. 6 I lit. b DSGVO) oder die Erfüllung einer rechtlichen Verpflichtung gestützt werden (Art. 6 I lit. c DSGVO).
Die erhobenen Daten müssen zu jedem Stadium der Verarbeitung vor unbefugtem Zugriff geschützt werden. Insbesondere sind hierbei auch alle verwendeten Systeme und Anwendungen auf ihre Datensicherheit hin zu überprüfen.
Dokumentation und Aufbewahrung
Dass die Daten ausreichend geschützt werden, muss die Bank auf Nachfrage darlegen können (Rechenschaftspflicht, Art. 5 II DSGVO). Deshalb muss von der Bank der Umgang mit den Daten dokumentiert werden. Hierbei sind gesetzliche Aufbewahrungsfristen je nach Art der Daten zu berücksichtigen. Laufen diese ab, sind die Daten unverzüglich und sicher zu löschen.
IT-Sicherheit
Die fortschreitende Digitalisierung macht es gerade auch im Finanzwesen erforderlich, der IT-Sicherheit viel Aufmerksamkeit zu schenken.
Alle verwendeten Systeme, Soft- und Hardwarelösungen, Cloud-Dienste sowie Websites müssen immer auf dem neuesten Stand der Technik gehalten werden. Dazu genügt es meist, die verwendeten Systeme immer dann zu aktualisieren, sobald es dafür ein neues Update gibt.
Auch ist immer darauf hinzuweisen, wenn Daten in Drittländer übertragen werden.
Andere Adressaten
Neben den klassischen Banken sind auch alle anderen Finanzinstitute sowie FinTechs (Finanztechnologie-Unternehmen) in der Pflicht, die Anforderungen der DSGVO zu erfüllen. Denn auch hier werden in vergleichbarem Maße sensible Daten verarbeitet wie in der klassischen Bank vor Ort am Schalter.
Je höher die Risiken für und der Schutzbedarf der Daten, desto höher sind die Anforderungen an die Schutzmaßnahmen. Besondere Bedeutung hat hier ein passendes Berechtigungsmanagement/-konzept, bei dem einzelne Zugriffsberechtigungen ersichtlich und damit der Datenverarbeitungsprozess transparent werden.
Je nach Unternehmen sind auch spezielle Regelungen wie etwa aus dem Wertpapierhandelsgesetz oder dem geltenden Steuergesetz zu beachten.
Konsequenzen bei Verstoß: Bußgelder
Bei Verstoß gegen die Anforderungen der DSGVO droht die Verhängung eines Bußgeldes. Hiervon bleiben auch Banken nicht verschont: Auch sie finden sich in den höchsten Bußgeldern wieder. So auch in den 17 Bußgeldern in Millionenhöhe des Jahres 2020.
Um dies zu umgehen und das Vertrauen der Kunden zu stärken, bietet es sich immer an, im Rahmen von Datenschutz und IT-Sicherheit professionelle Beratung heranzuziehen.