EU-Datenschutz-Grundverordnung

Die Finanzbranche vor der nächsten großen Herausforderung?

19.08.2016 von Dirk Häußermann
Die aktuellsten Meldungen zur neuen EU-Datenschutz-Grundverordnung verdeutlichen, dass diese vor allem für Finanzdienstleistungsunternehmen eine Herausforderung darstellen wird.

Der Umfang der Änderungen und Ergänzungen der bestehenden Regelungen wird signifikante Veränderungen für den Umgang mit Daten und ihre Speicherung im gesamten Sektor der Finanzdienstleister haben. Es lohnt sich also, hier einmal genauer hinzusehen, um sich schon jetzt für die Zukunft zu rüsten.

Was verbirgt sich hinter der Verordnung? Ganz allgemein soll sie den Bürgern ermöglichen, die Kontrolle über ihre eigenen Daten zurückzugewinnen und gleichzeitig die Regulierungen zum Datenschutz innerhalb der EU vereinheitlichen. Geplanter Zeitpunkt des Inkrafttretens ist das Jahr 2018. Als vollständiger Ersatz zur bestehenden Datenschutzrichtlinie wird mit der Einführung der Verordnung der Schutz der Privatsphäre erweitert: So werden in Zukunft sowohl Daten von einem Unternehmen oder einer Person innerhalb der EU als auch von Organisationen, die sich außerhalb der EU befinden und Daten von EU-Bürgern verarbeiten, von der Verordnung abgedeckt. Persönliche Daten erstrecken sich heute bereits über verschiedenste Bereiche, darunter die üblichen Informationen zur Person wie Adresse oder Geburtsdatum, über Fotos bis hin zu Social-Media-Inhalten. Zusätzliche Herausforderungen wie das Recht der Kunden, die über sie gespeicherten Informationen einsehen und bei Bedarf löschen lassen zu können, setzen Finanzdienstleister unter Druck, ihre internen Richtlinien im Umgang mit Kundendaten genau zu überprüfen.

Dazu kommen neue Regelungen, beispielsweise dass eine ausdrückliche Zustimmung zur Speicherung von Daten und ihrer Nutzung vorhanden sein muss. Wer gegen diese Regel verstößt, dem drohen hohe Bußgelder oder Sanktionen: Bis zu 20 Millionen Euro oder vier Prozent der weltweiten Jahreseinnahmen können als maximale Strafe bei der Verletzung derRichtlinien erhoben werden. Für die meisten Finanzdienstleister ist dies eine erhebliche Belastung. Die hohen Strafen verdeutlichen, dass die General Data Protection Regulation (GDPR) - so der offizielle Name der EU-Datenschutz-Grundverordnung - ein wichtiges Thema für Finanzdienstleiser ist. Durch die neuen Regelungen wächst die Bedeutung der Daten und damit einhergehend auch die des Data Privacy Officer.

EU-Datenschutzreform 2016: Die wichtigsten Änderungen
Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.
"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.
"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).
Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.
Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.
Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.
Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.
Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.
Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.
Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.
Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.
Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.
Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Herausforderungen beim Datenschutz

Für Finanzdienstleister ist der Umgang mit sensiblen Daten Alltag. Dennoch werden mit dem Inkrafttreten der GDPR neue Herausforderungen auf sie zukommen, die es zu überwinden gilt:

1. Das Finden von Kundendaten

Eine der größten Schwierigkeiten für Institutionen ist es, zunächst alle sensiblen Daten innerhalb des Unternehmens ausfindig zu machen. Kundendaten werden innerhalb verschiedenster Systeme und in unterschiedlichsten Formaten gespeichert. Das können traditionelle Systeme für Transaktionen sein oder auch Systeme, die der Kundenbindung dienen. Denn mit dem Aufstieg des Omnichannels auch im Bereich der Finanzdienstleister treten Kunden über alle Kanäle und geeigneten Medien mit dem Unternehmen in Kontakt.

Sobald sie dies tun, hinterlassen sie einen digitalen Fußabdruck, der gespeichert wird und hinzugezogen werden kann, falls Fehler auftreten oder um Aktivitäten nachvollziehen zu können. Jeder Fußabdruck und jede Interaktion kann somit relevant für die Datenschutzregelungen sein: Von Daten aus Anwendungsprotokollen der letzten Nutzersitzungen in einer Web-Anwendung, über Daten aus Social Media Feeds des Kundenservice, Web-Analytics-Systeme, die die Customer Journey auf der Unternehmenswebseite dokumentieren oder Telefonanrufe der Kunden bis hin zu klassischen Papierdokumenten, wie beispielsweise einer Mitteilung über eine Adressänderung.

2. Kundenanfragen zur Einsicht der gespeicherten persönlichen Informationen

Mit der neuen Verordnung haben Kunden nun das Recht, alle persönlichen Informationen, die vom Finanzdienstleister über sie gespeichert werden, einzusehen. Während die Herausforderung der Sammlung der Daten an sich ähnlich ist wie im obigen Punkt, liegt der Unterschied hier darin, dass die Informationen über die Unternehmensgrenze hinweg wandern und dadurch zusätzliche Sicherheitsmaßnahmen erfordern. Zudem ist der Vorgang sehr kostspielig, wenn er manuell vorgenommen wird. Der kritische Punkt ist hier: Wenn die Daten aus dem Unternehmen nicht vollständig sind und der Kunde dies erkennt, zeigt das, dass das Unternehmen seine Kundendaten nicht unter Kontrolle hat. Damit ebnet die Institution sich selbst den Weg zu Bußgeldern oder Sanktionen.

3. Was ist zu tun, sobald Kundendaten identifiziert sind?

Angenommen, ein Unternehmen hat alle relevanten Kundendaten lokalisiert, muss nun festgelegt werden, wie mit diesen Daten weiter verfahren wird. Mit der neuen GDPR-Verordnung wird eine sogenannte Opt-in-Klausel eingeführt. Kunden können so der Speicherung und Nutzung ihrer Daten zustimmen. Finanzdienstleistungsunternehmen müssen allerdings beachten, dass diese Zustimmung nur für bestimmte Bereiche der Kundendaten gelten kann. Mit der zunehmenden Komplexität durch diese Zustimmungsklausel müssen Unternehmen entscheiden, wie sie die Nutzung der Daten handhaben, die nicht unter diese Zustimmung fallen, ohne dabei die finanzielle Integrität und Transaktionsprozesse innerhalb des gesamten Unternehmens zu beeinträchtigen.

4. Das "Recht auf Vergessen" umsetzen

Mit der Einführung der GDPR-Verordnung können Kunden verlangen, dass all ihre relevanten persönlichen Daten innerhalb aller Systeme eines Unternehmens gelöscht werden. Es lässt sich schwer vorhersagen, wie viele Kunden dieses Recht tatsächlich ausüben werden. Doch wenn man sich die öffentliche Diskussion vor Augen hält, kann man davon ausgehen, dass dies vorkommen wird und zumindest anfänglich auch das Interesse der Medien auf sich zieht. Deshalb ist es umso wichtiger, sich hier als Unternehmen gut vorzubereiten. Dabei ist die Entfernung von Daten innerhalb verschiedener Systeme und unterschiedlicher Formate entweder sehr zeit- und kostenintensiv (und birgt das Risiko, nicht alle Daten entfernt zu haben) oder aber erfordert von Unternehmen, ihre Prozesse auf eine industrielle Weise zu automatisieren. Ob manuell oder automatisiert - Unternehmen müssen zukünftig verstärkt darauf achten, dass Kosten, Risiken und Zeitaufwand so niedrig wie möglich gehalten werden und entsprechende Lösungen einführen.

Was Unternehmen zur EU-Datenschutzreform beachten müssen
Was Unternehmen zur EU-Datenschutzreform beachten müssen
Es ist wohl nur noch eine Frage von Wochen und Monaten, bis die neue EU-Datenschutzverordnung in Kraft tritt. Was bedeutet das für die Unternehmen? Was müssen sie wissen? Marco Schmid, Country Manager DACH beim Webhoster Rackspace, gibt Tipps.
Einwilligung
Unternehmen müssen sicherstellen, dass sie über eine unmissverständliche Einwilligung zur Verarbeitung personenbezogener Daten verfügen, sowohl von Kunden als auch von Mitarbeitern. Von dieser Neuerung sind vor allem Firmen im Consumer-Bereich betroffen, die alle Daten aus ihren Kunden-Datenbanken löschen müssen, für die kein Einverständnis vorliegt. So ist es beispielsweise nicht zulässig, die Daten von Frau Mustermann, die vor zehn Jahren Socken für ihren Mann gekauft hat, weiterhin zu speichern. Marketingabteilungen müssen zukünftig in der Lage sein, Anfragen von Kunden zu berücksichtigen, die um die Löschung ihrer persönlichen Daten bitten oder wollen, dass ihre Daten nicht weiter genutzt werden.
"Recht auf Vergessen"
Die meisten Unternehmen konzentrieren sich erfolgreich darauf, Daten zu sammeln – aber die wenigsten darauf, sie auch wieder aus ihren Systemen zu löschen. Dies wird eine Herausforderung für viele Firmen, sobald Googles „Recht auf Vergessen“ zum Tragen kommt. Eventuell ist die Anonymisierung von Daten eine Alternative für Unternehmen, die es sich leisten können.
Technische und organisatorische Maßnahmen
Ein weiterer wichtiger Aspekt ist die Sicherheit der IT-Systeme vor ungewollten Zugriffen. Setzen Unternehmen geeignete Kontrollen ein, um Kunden- und Personaldaten zu schützen – und das solange es erforderlich ist und ohne dass die Gefahr eines unbeabsichtigten Verlusts entsteht? Ist überhaupt bekannt, warum solche Daten gespeichert werden – geschieht es einfach nur wegen der legitimen Absicht, sie weiter zu verarbeiten? Indem Unternehmen diese Fragen beantworten, bereiten sie sich technisch und organisatorisch auf die Einführung der neuen Datenschutz-Verordnung vor.
Anzeige bei Verstößen
Unternehmen, die Daten verarbeiten, sind dazu verpflichtet, Verstöße gegen die Datensicherheit den zuständigen Datenschutz-Behörden und den Betroffenen innerhalb von 72 Stunden zu melden, wenn der Verstoß zu hohen Risiken führt. Daher müssen Unternehmen zuverlässige Reaktionsprozesse zum Incident Management etablieren, mit denen sie dieser Verpflichtung nachkommen können.
Umsetzung und Strafen
Wenn ein Unternehmen aus irgendeinem Grund gegen die Datenschutz-Verordnung verstößt, kann die zuständige Behörde eine Strafe von bis zu einer Million Euro oder zwei Prozent des jährlichen Umsatzes fordern.

Lösungen für den Datenschutz

Dies mag für viele Unternehmen wie ein unüberwindbares Hindernis wirken. Doch moderne Software-Lösungen können dabei helfen, viele der oben angesprochenen Herausforderungen im Rahmen der GDPR-Verordnung zu adressieren.

1. Lösungen zum Finden von Daten

Lösungen, die im Rahmen von Data Intelligence eingesetzt werden, können zur Einhaltung der Verordnung genutzt werden. Diese Lösungen automatisieren das Auffinden wichtiger Kundendaten über alle Anwendungen und Datenspeicher eines Unternehmens hinweg. Mithilfe flexibler, hochleistungsfähiger und skalierbarer Scan-Techniken werden Kundendaten schnell und genau bestimmt und dargestellt. Dazu werden alle Orte identifiziert, wo Kundendaten gespeichert werden und durch Dashboards und Reports visualisiert. Das ermöglicht Unternehmen, nicht nur genau zu wissen, wo sich sensible Daten befinden, sondern auch, welchem Risiko sie ausgesetzt sind. Dabei kommen die gleichen Fähigkeiten zum Einsatz, die auch zum Auffinden sensibler Daten innerhalb von Unternehmen genutzt werden, um diese adäquat vor unerlaubtem Zugriff oder Missbrauch zu schützen.

2. Data-Masking-Lösungen

Damit die Integrität von Transaktionen aufrechterhalten und die Richtlinien im Bereich Finance und Accounting eingehalten werden können, lassen sich Kundendaten maskieren. So stellt man sicher, dass sie nicht für fremde Zwecke genutzt werden. Dazu gibt es Lösungen, die verschiedene Arten der Datenmaskierung ermöglichen, während sie im Prinzip die Speicherung aller Daten erlauben, aber diese nur für autorisierte Personen sichtbar sind. Da der Zugriff auf bestimmte Daten über eine Autorisierung für Finanzinstitutionen bereits angewendet wird, kann eine bestehende Lösung eventuell relativ einfach angepasst werden. Das spart Kosten und Zeit.

3. Master-Data-Management-Lösungen

Ein Grundpfeiler der meisten Customer-Centricity- oder Customer360-Programme sind Master Data Management (MDM) -Lösungen. Teil des Mastering-Prozesses ist, Daten aus dem gesamten Unternehmen zu sammeln und mithilfe verschiedenster Techniken einem Kunden zuzuordnen. Dieser Ansatz ermöglicht, Datensätze aus unterschiedlichen Systemen unter einem Kunden zusammenzuführen und für die spätere Nutzung zu verwahren. Sobald alle Kundendaten mithilfe des Mastering-Ansatzes verwaltet werden, verfügen Unternehmen über die Fähigkeit, die gespeicherten Datensätze, die einem bestimmten Kunden zuzuordnen sind, einwandfrei zu identifizieren. Wenn ein Kunde nun von seinem "Recht auf Vergessen" Gebrauch macht, haben Unternehmen folgende Möglichkeiten:

- Wenn der Mastering-Prozess auf einem Analytical-MDM-Ansatz beruht, können Reports erstellt werden, die alle relevanten Kundendaten auflisten. Dieser Report lässt sich an die jeweiligen Teams weiterleiten, die dann die relevanten Kundendaten manuell aus den entsprechenden Systemen löschen. Ein Update der Masterdaten des Kunden zeigt, ob alle Einträge entfernt wurden (da sie nicht länger gemastert werden) oder ob weitere Schritte notwendig sind.

- Wenn die Mastering-Prozesse auf einem Operational-MDM-Ansatz basieren, werden die Daten mit dem Verweis "zu löschen" gekennzeichnet und mithilfe der zugrundeliegenden Technologien entsprechend automatisch gelöscht.

4. Information-Lifecycle-Management-Lösungen

Information Lifecycle Management (ILM) ist ein Ansatz, um sicherzustellen, dass Daten korrekt gelöscht werden. In vielen Fällen bedeutet dies, dass Parameter festgelegt werden müssen, die die Regelungen darüber kontrollieren, welche Daten gelöscht werden, wann sie gelöscht werden und wie sie gelöscht werden sollen. Dies ist eine übliche Anforderung bei Finanzdienstleistern, bei der veraltete Daten aus den Systemen gelöscht und dann Berichte zu den Ergebnissen verfasst werden. ILM-Lösungen können ebenfalls dazu verwendet werden, um die Erstellung eines Data Repository aus nicht mehr genutzten Anwendungen zu automatisieren. So verursachen diese Anwendungen keine Kosten mehr, während die Daten für Reporting- oder Analysezwecke genutzt werden können. Bei diesem Ansatz entsteht ein neuer Speicherplatz von Kundendaten, der in die Prozesse zum Auffinden von Daten integriert werden muss.

Bitkom-Umfrage: Digitalisierung der Finanzbranche
Bitkom-Umfrage Finanzbranche
Das Smartphone soll laut Umfrage in zehn Jahren das dritthäufigste Zahlungsmittel sein.
Bitkom-Umfrage Finanzbranche
Auch Bankgeschäfte sollen sich künftig einfach mobil am Smartphone abwickeln lassen.
Bitkom-Umfrage Finanzbranche
Infolge dessen erwartet die Finanzbranche, dass künftig weniger Bankfilialen benötigt werden.
Bitkom-Umfrage Finanzbranche
Fast durch die Bank sehen die Finanzunternehmen die Digitalisierung als Chance.
Bitkom-Umfrage Finanzbranche
Die Meinungen, wann die Bedeutung des Bargelds zurückgeht, gehen stark auseinander.
Bitkom-Umfrage Finanzbranche
Gleichzeitig gibt es natürlich Hemmnisse, die geplanten Innovationen im Wege stehen, insbesondere die Skepsis der Kunden und die Regulierung.

Was kommt als nächstes?

Durch die GDPR-Verordnung wird deutlich, dass die Kontrolle über Kundendaten bei Finanzdienstleistungsunternehmen nun zu einer Geschäftsnotwendigkeit geworden ist. Die Konsequenzen bei Nichteinhaltung sind einfach zu gravierend. Doch es gibt ein Licht am Ende des Tunnels: Es existieren bereits Softwarelösungen, die viele der Herausforderungen adressieren, vor die die Unternehmen durch GDPR gestellt werden. Im nächsten Schritt müssen die Unternehmen die einzelnen Details der neuen Verordnung genau prüfen und die verfügbaren Lösungen entsprechend auswählen.

Zwei Jahre scheinen aus heutiger Sicht noch weit entfernt zu sein, doch Unternehmen müssen sich jetzt vorbereiten, um die Implementierung so einfach, schnell und kostengünstig wie möglich umzusetzen, hohe Strafen zu vermeiden und - nicht zuletzt - ihren Kunden den optimalen Schutz bieten können. (fm)