Umfragen zufolge vertrauen die Deutschen in Sachen Datenschutz Banken und Sparkassen in besonderem Maße - weit mehr als zum Beispiel den Internetunternehmen. Warum ist das so? Was machen Kreditinstitute anders, um sich dieses Vertrauen zu verdienen?
Ein zeitlicher Vorläufer des heutigen Datenschutzrechts bei Banken ist das Bankgeheimnis, welches schon seit dem 17. Jahrhundert existent ist. Das Bankgeheimnis gilt seitdem per se und findet sich auch heute noch durchgängig in den Allgemeinen Geschäftsbedingungen. Das Bankgeheimnis wird täglich im Kontakt mit den Kunden tatsächlich und rechtlich als vertragliche Verschwiegenheit gelebt. Zudem halten die Banken auch vielfältigen persönlichen Kundenkontakt, sodass die Ansprechpartner bekannt sind. Ferner bestehen in der Regel langjährige Geschäftsbeziehungen mit entsprechend gewachsenem Vertrauen.
Internetfirmen haben diese Historie jedoch nicht, sie sind in der Regel bestrebt, ihre Kunden sehr schnell und allumfassend kennenzulernen. In der jüngeren Vergangenheit hatten diese Unternehmen dem Datenschutz auch eher geringe Bedeutung beigemessen, insbesondere wenn die Unternehmen im Ausland ihren Sitz haben. Datenschutzhinweise hatten häufig einen riesigen Umfang und waren kryptisch formuliert.
Für die Banken war Datenschutz schon immer ein wichtiges Thema. Und das Datenschutzrecht in Deutschland galt immer als vergleichsweise streng. Wie gut waren Banken in Deutschland damit für die Datenschutzverordnung gerüstet?
Die Banken haben schon aus der langjährigen Vergangenheit durchgehend betriebliche Datenschutzbeauftragte, sodass für sie und auch für deren Mitarbeiter die Fragestellungen zur neuen Datenschutzgrundverordnung im Kern kein Neuland darstellen. Gleichwohl umfasst die Datenschutzgrundverordnung wesentliche Neuregelungen, diese lassen sich aber mit der vorhandenen nötigen Fachkunde und entsprechenden Ressourcen umsetzen.
An welchen Stellen besteht dennoch Handlungsbedarf? Und wie hoch ist der zu bewerten? Welche Bereiche der Banken sind betroffen?
Anhand bei uns auflaufender Rechtsfragen ist zu erkennen, dass die Banken durchgehend die Datenschutzgrundverordnung umgesetzt haben. Es werden aktuell im Wesentlich eher Spezialfragen aufgeworfen, die im Einzelfall zu lösen sind.
Wo sehen Sie die größten Herausforderungen?
Die größten Herausforderungen der Grundverordnung sind im Zusammenhang mit Datenpannen zu sehen. Hierbei ist eine Meldepflicht von 72 Stunden normiert, die lediglich bei geringen Risiken für persönliche Rechte und Freiheiten der Betroffenen beziehungsweise natürlichen Personen nicht einschlägig ist. Die auftretenden Ereignisse fordern damit eine schnelle Bewertung, die bei komplexen Vorgängen nicht einfach vorzunehmen ist. Eine verspätete Meldung kann zu einem Bußgeld führen.
Es entspricht einem Erfahrungssatz, dass Datenpannen vorkommen, dieses gleichsam wie im Straßenverkehr, auch dort ereignen sich Unfälle. Insoweit bleibt die künftige Entwicklung, insbesondere das Verhalten der jeweiligen Landesdatenschutzbehörden als Meldeempfänger, abzuwarten.
Können kleinere Banken die Umsetzung allein leisten? Oder welche Unterstützung gibt es im Verbund?
Auch kleinere Banken können grundsätzlich mit der erweiterten Thematik des Datenschutzes nach der Datenschutzgrundverordnung umgehen. Vielfach wird dabei auf externe Datenschutzbeauftragte zurückgegriffen, speziell im genossenschaftlichen Bereich bietet dazu das Unternehmen der Genotec GmbH, Neu-Isenburg, seine Dienste an. Im Zuge des Einsatzes und der Handhabung modernster Kommunikationsmittel kann auch das in der Praxis entsprechend geleistet werden.
An welchen Stellen kann das Rechenzentrum helfen - etwa bei der Beauskunftung oder der Datenlöschung nach der gesetzlichen Aufbewahrungsfrist? Lässt sich das automatisieren, gibt es hierzu Lösungen?
Auskunftsanfragen nach Art. 15 Datenschutzgrundverordnung können in der Tat einen erheblichen Umfang annehmen, wie dies bereits sofort nach Inkrafttreten in Einzelfällen festzustellen war. Gleichwohl kann aber in der Bearbeitung mittlerweile auf eine entsprechende IT-Unterstützung zurückgegriffen werden, sodass dann nur vereinzelt noch entsprechende Klärungen/Ergänzungen notwendig sind.
Im Übrigen haben Rechenzentralen beziehungsweise Rechendienstleister in Abstimmung mit den Banken Löschläufe implementiert, sodass auch insoweit der Pflicht zur Datenlöschung nachgekommen werden kann.
Wie sehen Sie die Position eines Datenschutzbeauftragten in einer Bank oder Sparkasse? Ist der Datenschutzbeauftragte mitunter der "Bremser", der Ideen aus anderen Abteilungen wie dem Marketing eine Absage erteilen muss? Und wie verändert sich das unter den neuen rechtlichen Rahmenbedingungen?
Die in Artikel 39 Datenschutzgrundverordnung geregelten Aufgaben des Datenschutzbeauftragten lassen erkennen, dass er schon sehr früh in datenschutzrechtliche Fragestellungen in Unternehmen einzubinden ist. Damit wird in der Praxis im Idealfall erreicht, dass der Datenschutzbeauftragte eher eine Lenkungsfunktion übernimmt und im Unternehmen sicherstellen kann, dass nachhaltige und praktisch umsetzbare Datenverarbeitungen gelebt werden können. Das gilt auch für das Marketing beziehungsweise die Werbung.
Die Datenschutzgrundverordnung erkennt im Erwägungsgrund Nr. 47 die Werbung ausdrücklich als berechtigtes unternehmerisches Interesse an. Gleichwohl kann der Kunde dagegen seinen Widerspruch erklären und scheidet damit als Werbeempfänger aus. In der Praxis tritt das jedoch eher in geringem Umfang auf. Diese Widerspruchmöglichkeit war auch in der Vergangenheit schon ein bekanntes Regelungsgefüge.
Welches Spannungsfeld gibt es zwischen Compliance und Datenschutz? Compliance setzt ja auch Einsichts- und Auskunftsrechte voraus ...
Wenn man Compliance als vorausschauendes Steuerungsinstrument versteht, so gilt das für den Datenschutz entsprechend. Die Besonderheit beim Datenschutz besteht jedoch darin, dass es mit der Datenschutzgrundverordnung zugunsten von allen natürlichen Personen detaillierte und umfängliche gesetzliche Regelungen gibt, die zudem eine konkrete Dokumentation erfordern. Die Aufsicht erfolgt zudem über eine unabhängige Stelle (Landesdatenschutzbeauftragte).
Was ist beim Outsourcing zu beachten?
Sofern man Outsourcing als Auftragsverarbeitung versteht, ist insoweit zu sehen, dass die einschlägigen Regelungen dazu in Artikel 28 bis 30 der Datenschutzgrundverordnung zu finden sind. Hier besteht ein weitgehend identischer Gleichlauf mit den Vorgängerregelungen des Datenschutzrechts, sodass auch diese Fragestellungen in der Branche an sich nichts Neues darstellen.
Im Hinblick auf den risikobasierten Ansatz der Datenschutzgrundverordnung ist aber als wesentlich zu sehen, dass hohe Risiken für Rechte und Freiheiten der betroffenen natürlichen Personen vermieden werden sollen. Andernfalls wäre mit der Datenschutzaufsicht in eine Konsultation einzutreten. Im praktischen Anwendungsfall lässt sich das Risiko grundsätzlich durch entsprechend notwendige technisch organisatorische Maßnahmen minimieren. Im Ergebnis ist damit auch eine umfassende Auftragsverarbeitung von Daten praktisch umsetzbar.
Welche Herausforderungen gibt es im Kontext mit der Digitalisierung? Stößt die Erschließung neuer Ertragspotenziale jetzt an Grenzen, noch bevor sie richtig in Schwung gekommen ist? Und ist Big Data im Bankgeschäft unter der DSGVO überhaupt noch realistisch?
Es liegt in der Natur der Sache beziehungsweise im Regelungsgegenstand, dass die Neuregelung des Datenschutzes Grenzen setzt, insbesondere wenn es um sensible beziehungsweise besondere Kategorien von Daten (Artikel 9 der Datenschutzgrundverordnung, zum Beispiel Gesundheitsdaten). Dies sind aber Bereiche, die im Geschäft einer Bank grundsätzlich keine Relevanz haben.
Im Gesamtkontext der Datenschutzgrundverordnung ist aber auch beispielsweise ein Profiling geregelt, das in bestimmtem Umfang und mit einzuhaltender Transparenz entsprechend umgesetzt werden kann. Es ist legitimes Unternehmensinteresse, seine Kunden bestmöglich zu kennen, damit passende Produkte angeboten werden können. Die Datenschutzgrundverordnung ermöglicht solche Maßnahmen, wenn auch unter höherem Aufwand.
Ein umfängliches Profiling des Kunden gemäß Artikel 4 Ziff. 4 der Grundverordnung kann umgesetzt werden, dies grundsätzlich im Wege einer Einwilligung, eines Vertrages oder auch mittels eines berechtigten Interesses des Unternehmens, sofern umfängliche Informationspflichten erfüllt werden.
Mit Sicherheit werden dazu über kurz oder lang auch Banken auf ihre Kunden entsprechend zugehen. Dieser Weg ist nun hohen Transparenzanforderungen geschuldet. Ein "heimliches Tun" hat damit endgültig sein Ende gefunden. Es kann damit davon ausgegangen werden, dass sich Big Data bei Banken in der Breite gerade erst am Anfang der Entwicklung befindet
Ergeben sich durch die neuen Anforderungen an den Datenschutz, eventuell auch in Verbindung mit der PSD2, auch neue Geschäftsmöglichkeiten, etwa indem sich Banken als sicherer Datenspeicher positionieren? Oder gilt auch hier: Außer Spesen nichts gewesen?
Banken waren schon immer in rechtlicher Hinsicht zur Verschwiegenheitsverpflichtung angehalten, damit sich als sicherer "Datenspeicher" zu positionieren beziehungsweise sich generell so zu verhalten. Unter diesem Aspekt enthalten die Re gelungen von PSD2 an sich keine Neuerungen.
Die spannendere Frage ist jedoch, ob Zahlungsverkehrsdaten beispielsweise im Rahmen von Profiling nach der Datenschutzgrundverordnung genutzt werden können. Hier ist zu sehen, dass die Datenschutzgrundverordnung neben den Regelungen zur PSDII steht - als europäisches Recht - und es insoweit nicht ausgeschlossen erscheint, für spezielle Fälle beziehungsweise bestimmte Tatbestände gemäß der Datenschutzgrundverordnung auch Daten aus dem Zahlungsverkehr mit einzubeziehen. Die diesbezüglichen Entwicklungen im Hinblick auf neue geschäftliche Möglichkeiten/Produkte, die Praxis der Aufsichtsbehörden, die Mitwirkung/das Verhalten von Kunden bleibt gleichwohl abzuwarten.
Es ist insoweit im Interesse von Unternehmen beziehungsweise Banken, ihre Kunden im bestmöglichen Umfang zu bedienen. Nutzloser Aufwand, insbesondere im Hinblick auf Vermeidung zur Werbung für völlig unnötige Dinge gegenüber dem konkreten Kunden verursacht nicht erwünschte Kosten, bindet unnötig Ressourcen und kann als belästigend für den Kunden angesehen werden. Kunden dürfen aus berechtigtem Interesse nach der neuen Datenschutzgrundverordnung erwarten, dass sie von ihrer Bank passende Angebote erhalten.