Datenschutz im Bankenwesen

Banken und Finanzinstitute verarbeiten tagtäglich eine enorme Menge an besonders sensiblen personenbezogenen Daten ihrer Kunden. Dabei sind auch sie den umfassenden und strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) unterworfen und müssen diese in allen Bereichen ihres Geschäftsbetriebs gewissenhaft einhalten. Diese datenschutzrechtlichen Anforderungen gelten dabei nicht nur in der klassischen Bankfiliale am Schalter, sondern in gleichem Maße auch beim immer wichtiger werdenden Online Banking, beim Mobile Banking über Smartphone-Apps und bei allen anderen digitalen Finanzdienstleistungen.

Das Datenschutzkonzept einer Bank oder eines Finanzinstituts muss demnach sowohl im stationären Filialgeschäft als auch in allen digitalen Kanälen vollständig und lückenlos funktionieren und alle relevanten Verarbeitungsprozesse abdecken. Besonders an Bedeutung gewonnen hat dabei in den letzten Jahren die wirksame Bekämpfung von Cyberkriminalität und die Absicherung gegen digitale Bedrohungen. Neben dem gezielten Abgreifen sensibler Bankdaten wie Kreditkartennummern, PINs und TANs wird auch das systematische Auslesen und Analysieren von Daten über den individuellen Zahlungsverkehr einzelner Kunden zur Ermittlung ihrer Konsumpräferenzen, ihrer finanziellen Situation und ihres Kaufverhaltens für kriminelle Akteure und datengetriebene Geschäftsmodelle immer lukrativer und wirtschaftlich attraktiver.

Ein verantwortungsvoller und datenschutzkonformer Umgang mit den anvertrauten personenbezogenen Daten bewahrt Banken am Ende nicht nur vor empfindlichen aufsichtsrechtlichen Bußgeldern und kostspieligen Rechtsstreitigkeiten, sondern steigert auch das für das Bankgeschäft absolut zentrale und wichtige Kundenvertrauen ganz erheblich und nachhaltig.

Verarbeitung personenbezogener Daten im Bankenwesen

Jedes Mal, wenn personenbezogene Daten eines Kunden verarbeitet werden, muss dies nach der DSGVO aufgrund einer gültigen und einschlägigen Rechtsgrundlage erfolgen. Bei Banken und Finanzinstituten kommen dabei je nach Verarbeitungszweck und Kontext verschiedene Rechtsgrundlagen des Art. 6 Abs. 1 DSGVO in Betracht. Die Verarbeitung zur Erfüllung eines Vertrages nach Art. 6 Abs. 1 lit. b DSGVO ist die häufigste Rechtsgrundlage im klassischen Bankgeschäft – sie deckt alle Datenverarbeitungen ab, die unmittelbar für die Durchführung eines Kontovertrages, eines Kreditvertrages, einer Wertpapierorder oder einer sonstigen Bankdienstleistung erforderlich und notwendig sind.

Daneben spielen die Erfüllung rechtlicher Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO eine zentrale Rolle im Bankenwesen. Banken unterliegen einer Vielzahl gesetzlicher Pflichten, die eine umfangreiche Datenverarbeitung und langfristige Datenspeicherung erfordern. Dazu gehören insbesondere die Identifizierungspflichten nach dem Geldwäschegesetz (GwG), die steuerlichen Aufbewahrungspflichten nach der Abgabenordnung (AO) und dem Handelsgesetzbuch (HGB), die Meldepflichten nach dem Kreditwesengesetz (KWG) sowie die Pflichten im Zusammenhang mit der Bekämpfung von Terrorismusfinanzierung und Finanzsanktionen.

Das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO wird von Banken häufig als Rechtsgrundlage für die Bonitätsprüfung und das Kreditscoring, für interne Risikomodellierung und Betrugsprävention, für die Direktwerbung gegenüber Bestandskunden sowie für die Videoüberwachung von Bankfilialen und Geldautomaten herangezogen. Bei jeder Berufung auf das berechtigte Interesse muss die Bank jedoch eine sorgfältige und dokumentierte Interessenabwägung durchführen, bei der die Interessen des Kunden angemessen berücksichtigt werden.

Bankgeheimnis und Datenschutz – Zwei Schutzmechanismen

Neben den allgemeinen datenschutzrechtlichen Vorschriften der DSGVO gilt im Bankenwesen traditionell das Bankgeheimnis als zusätzlicher und eigenständiger Schutzmechanismus für die finanziellen Daten der Kunden. Das Bankgeheimnis ist in Deutschland nicht gesetzlich kodifiziert, sondern ergibt sich aus den Allgemeinen Geschäftsbedingungen der Banken und Sparkassen, der langjährigen höchstrichterlichen Rechtsprechung des Bundesgerichtshofs sowie dem allgemeinen Vertrauensverhältnis zwischen Bank und Kunde. Es verpflichtet die Bank, über alle kundenbezogenen Tatsachen und Wertungen, die ihr im Rahmen der Geschäftsbeziehung bekannt geworden sind, strengstes Stillschweigen zu bewahren.

Das Bankgeheimnis und der datenschutzrechtliche Schutz nach der DSGVO bestehen grundsätzlich nebeneinander und ergänzen sich in ihrer Schutzwirkung gegenseitig. Während die DSGVO den umfassenden Schutz aller personenbezogenen Daten gewährleistet und den Betroffenen weitreichende Rechte einräumt, schützt das Bankgeheimnis spezifisch die Vertraulichkeit der finanziellen Kundendaten vor unbefugter Weitergabe an Dritte. In bestimmten Fällen kann das Bankgeheimnis sogar einen weitergehenden Schutz bieten als die DSGVO allein, etwa bei der Weitergabe von Kundendaten innerhalb eines Bankkonzerns an verbundene Unternehmen.

Besondere Herausforderungen beim Online Banking und Mobile Banking

Die zunehmende Digitalisierung des Bankgeschäfts bringt erhebliche und neuartige datenschutzrechtliche Herausforderungen mit sich, die weit über die klassischen Anforderungen des stationären Filialgeschäfts hinausgehen. Beim Online Banking und Mobile Banking werden nicht nur die eigentlichen Transaktionsdaten verarbeitet, sondern auch umfangreiche technische Daten wie IP-Adressen, Gerätekennungen, Browser-Fingerprints, Standortdaten und detaillierte Nutzungsverhaltensdaten erhoben und gespeichert. Diese zusätzlichen Daten dienen teilweise der Betrugsprävention und der Authentifizierung des Nutzers, können aber auch zur Erstellung detaillierter Nutzungsprofile verwendet werden.

Die starke Kundenauthentifizierung (Strong Customer Authentication, SCA) nach der EU-Zahlungsdiensterichtlinie PSD2 erfordert die Verarbeitung zusätzlicher Authentifizierungsdaten wie biometrischer Merkmale (Fingerabdruck, Gesichtserkennung), Einmalpasswörter per SMS oder Push-Benachrichtigung und gerätespezifischer Sicherheitsmerkmale. Biometrische Daten fallen nach Art. 9 Abs. 1 DSGVO unter die besonderen Kategorien personenbezogener Daten und unterliegen damit einem besonders strengen Schutzregime. Banken müssen sicherstellen, dass die biometrischen Authentifizierungsdaten ausschließlich lokal auf dem Gerät des Kunden gespeichert und verarbeitet werden und nicht zentral auf den Servern der Bank vorgehalten werden.

Auch die zunehmende Öffnung der Bankenwelt durch Open Banking und die PSD2-Richtlinie, die Drittanbietern wie Kontoinformations- und Zahlungsauslösediensten unter bestimmten Voraussetzungen Zugriff auf Kundenkontodaten gewährt, stellt den Datenschutz vor neue und komplexe Herausforderungen. Die Bank muss sicherstellen, dass der Zugriff von Drittanbietern nur mit der ausdrücklichen Einwilligung des Kunden erfolgt, technisch auf das erforderliche Minimum beschränkt wird und jederzeit vom Kunden widerrufen werden kann.

Aufbewahrungsfristen und das Recht auf Löschung

Im Spannungsfeld zwischen den datenschutzrechtlichen Löschpflichten nach Art. 17 DSGVO und den umfangreichen gesetzlichen Aufbewahrungspflichten müssen Banken ein sorgfältig abgestimmtes und differenziertes Löschkonzept entwickeln und konsequent umsetzen. Die handels- und steuerrechtlichen Aufbewahrungsfristen nach dem HGB und der AO betragen für die meisten bankgeschäftlichen Unterlagen und Belege sechs beziehungsweise zehn Jahre. Geldwäscherechtliche Aufbewahrungspflichten nach dem GwG sehen eine fünfjährige Aufbewahrung der Identifizierungsunterlagen und Transaktionsaufzeichnungen vor. Auch nach Beendigung der Geschäftsbeziehung müssen Banken diese Fristen vollständig einhalten, bevor die Daten gelöscht werden können und müssen.

Datenschutzrechtliche Pflichten der Banken gegenüber ihren Kunden

Banken müssen ihre Kunden umfassend und transparent über die Verarbeitung ihrer personenbezogenen Daten informieren. Dies geschieht in der Regel über detaillierte Datenschutzhinweise nach Art. 13 und Art. 14 DSGVO, die dem Kunden bei der Kontoeröffnung ausgehändigt werden und auf der Website der Bank dauerhaft zugänglich sein müssen. Darüber hinaus müssen Banken die umfangreichen Betroffenenrechte der DSGVO gewährleisten – insbesondere das Auskunftsrecht nach Art. 15 DSGVO, das Recht auf Berichtigung nach Art. 16 DSGVO, das Recht auf Löschung nach Art. 17 DSGVO, das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO und das Widerspruchsrecht nach Art. 21 DSGVO. Die Umsetzung dieser Rechte stellt Banken aufgrund der Vielzahl der verarbeiteten Datenkategorien und der komplexen IT-Landschaft vor erhebliche organisatorische und technische Herausforderungen.

Fazit: Datenschutz als Wettbewerbsvorteil im Bankenwesen

Datenschutz ist im Bankenwesen nicht nur eine gesetzliche Pflicht, sondern zunehmend auch ein echter und messbarer Wettbewerbsvorteil. Kunden vertrauen ihr Geld und ihre sensibelsten finanziellen Daten bevorzugt Banken an, die nachweislich und glaubwürdig einen hohen Datenschutzstandard gewährleisten und transparent mit den Daten ihrer Kunden umgehen. Banken, die den Datenschutz ernst nehmen und als integralen Bestandteil ihrer Unternehmenskultur und ihrer Geschäftsstrategie verstehen, können sich damit positiv von der Konkurrenz abheben und das Vertrauen ihrer Kunden langfristig stärken.

Aktuelle regulatorische Entwicklungen im Finanzsektor

Der Finanzsektor unterliegt neben der DSGVO einer Vielzahl weiterer regulatorischer Anforderungen, die den Umgang mit personenbezogenen Daten betreffen und in den letzten Jahren deutlich verschärft wurden. Die europäische Verordnung über die digitale operationale Resilienz im Finanzsektor (DORA), die seit Januar 2025 verbindlich gilt, stellt umfassende neue Anforderungen an das IT-Risikomanagement, die Cybersicherheit und die Meldung von IT-Vorfällen bei Finanzinstituten und deren kritischen IT-Dienstleistern. Banken müssen unter DORA sicherstellen, dass ihre IT-Systeme widerstandsfähig gegen Cyberangriffe sind, regelmäßige Penetrationstests durchführen, ihre IT-Lieferketten überwachen und schwerwiegende IT-Vorfälle innerhalb enger Fristen den zuständigen Aufsichtsbehörden melden.

Darüber hinaus gewinnt auch die Regulierung des Einsatzes von Künstlicher Intelligenz im Bankenwesen zunehmend an Bedeutung. Viele Banken setzen KI-basierte Systeme für die automatisierte Kreditentscheidung, das Kunden-Scoring, die Betrugserkennung und die personalisierte Finanzberatung ein. Die EU-Verordnung über Künstliche Intelligenz (AI Act) stuft bestimmte KI-Anwendungen im Finanzbereich als Hochrisiko-Systeme ein, die besonderen Transparenz-, Dokumentations- und Überwachungspflichten unterliegen. Banken, die KI-Systeme für Entscheidungen einsetzen, die erhebliche Auswirkungen auf die finanzielle Situation ihrer Kunden haben, müssen sicherstellen, dass diese Systeme nachvollziehbar, diskriminierungsfrei und datenschutzkonform gestaltet sind und den betroffenen Kunden ein Recht auf menschliche Überprüfung automatisierter Entscheidungen eingeräumt wird.

Als externer Datenschutzbeauftragter unterstützen wir Banken und Finanzdienstleister bei der Umsetzung aller datenschutzrechtlichen Anforderungen – kontaktieren Sie uns für eine unverbindliche Beratung.