Thought Leadership
Die Banken- und Finanzenbranche verfügt neben den allgemein geltenden Gesetzen über eigene Branchenregularien, wenn es um die Themen Datenschutz und IT-Sicherheit geht. Jetzt ändert sich die Situation erneut mit der in weniger als einem Jahr in Kraft tretenden EU-Datenschutzgrundverordnung. Malcolm Harkins, Chief Security and Trust Officer bei Cylance, gibt dazu zwei der wichtigsten Fragen und Antworten.
In welcher Weise haben sich die Gesetze und Richtlinien zum Datenschutz und zur Datensicherheit innerhalb der letzten Jahre weiter entwickelt?
Malcolm Harkins: „Dazu muss man nur einen Blick auf die schiere Zahl der inzwischen bei Banken und Finanzinstituten beschäftigten Chief Data Officers werfen. Seit der weltweiten Finanzkrise im Jahr 2008 haben sich die Gesetze und Richtlinien in diesem Sektor grundlegend weiter entwickelt. Schlagworte wie Big Data und Data-Mining für gezieltes Geo-Targeting und eine Personalisierung dieser Daten haben zum Teil zu erheblichen Bedenken geführt. Hier beginnt sich inzwischen eine Veränderung abzuzeichnen. Und zwar dahingehend, den Umfang der erhobenen Daten zu minimieren, so dass nur die wirklich relevanten Datensätze gesammelt, weiter verarbeitet und gespeichert werden. Beschränkt auf nur die Daten, die dazu unbedingt notwendig sind. Wir beobachten in einigen Ländern, dass dazu die existierende Datenschutzgesetzgebung signifikant verstärkt wird.
Im Oktober 2014 hat der Hong Kong Privacy Commissioner ausgedehnte Datenschutz-Leitlinien für alle Institutionen der Finanzbranche angekündigt. Sie regeln wie Kundendaten gesammelt, verarbeitet, gespeichert und genutzt werden dürfen. Was die Ankündigung des Commissioners so besonders macht ist: Banken und Institutionen, die gegen diese Gesetze verstoßen, sollen beim Namen genannt werden. Das verleiht den neuen gesetzlichen Regelungen entsprechend mehr Durchschlagskraft für eine konsequente Umsetzung.
In den USA begrenzt der Financial Services Modernization Act das Veröffentlichen von persönlichen/privaten Daten. Zusätzlich verlangt er, dass die besagten Institutionen im Sinne des Datenschutzes dafür Sorge tragen, dass Datensubjekte das Teilen ihrer Daten ausdrücklich untersagen können. Das Ganze begann als sich selbst regulierendes Rahmenwerk. Inzwischen wird der Financial Services Modernization Act aber immer häufiger von Regierungsbehörden angewandt und durchgesetzt.“
Jedem ist klar: Die EU-Datenschutz-Grundverordnung kommt, und mit ihr eine ganze Reihen von Compliance-Anforderungen. Worin aber besteht der unmittelbare Einfluss auf das breitere Ökosystem der Finanzbranche? Wie beeinflussen die neuen Regelungen Banken und Finanzhäuser selbst, aber auch Hersteller und Partner innerhalb der Branche? Wird das die Branche nachhaltig verändern und wenn ja, was bedeutet das für die Umsetzung von Compliance-Richtlinien (oder im Umkehrschluss ihre Nicht-Einhaltung)?
Malcolm Harkins: „Die EU-Datenschutz-Grundverordnung wird den Druck auf Unternehmen der Finanzbranche weiter erhöhen. Sie müssen nämlich Compliance-Anforderungen nicht nur verstehen, sondern sie müssen sich ganz konkret für den besten Weg, die besten Methoden entscheiden um den Anforderungen gerecht zu werden. Und das betrifft sowohl organisatorische Prozesse wie die technische Umsetzung. Zu den organisatorisch notwendigen Maßnahmen, die innerhalb der DSGVO festgeschrieben sind, gehört es beispielsweise einen Data Protection Officer zu benennen, Richtlinien zum Umgang mit privaten und sensiblen persönlichen Daten zu definieren und umzusetzen, inklusive von Schulungen. Gleichzeitig muss der Sicherheitsansatz jedes Unternehmens es erlauben ein Data Protection Impact Assessment (DPIA) durchzuführen.
Zu den technischen Datenschutzmaßnahmen für private und sensible persönliche Daten gehören etwa die Möglichkeit, Daten zu klassifizieren, die Implementierung von Data Loss Prevention, Verschlüsselung, eine explizite Verwaltung der Zustimmung von Kunden im Hinblick auf ihre Daten und die Begrenzung des übermittelten Datenvolumens. Dazu kommen Technologien, die das Datensubjekt in die Lage versetzen, seine Rechte auszuüben, die den Zugriff auf die betreffenden Daten regeln sowie den Widerruf einer erteilten Erlaubnis und das Löschen der Daten durch den Datenverantwortlichen.
Dabei konzentriert sich die DSGVO ganz besonders auf den Schutz der persönlichen Daten und nicht nur auf den Datenschutz im Allgemeinen. Um Compliance-Richtlinien zu genügen und den Datenschutz in diesem Sinne umzusetzen, werden etliche Unternehmen ihren Datenschutz auf eine höhere und weitreichender Ebene bringen müssen. Sonst ist es kaum möglich persönliche Daten im erforderlichen Maß zu kontrollieren und zu verarbeiten. Das gute an der DSGVO ist, dass sie Unternehmen und Institutionen dazu zwingt, jetzt und in Zukunft bewusster mit sensiblen Daten umzugehen. Und mehr noch, Unternehmen werden haftbar gemacht, sollten sie nicht in der Lage sein, die Anforderungen zu erfüllen. Der Nachteil, zumindest zum aktuellen Zeitpunkt, ist, dass es im Hinblick auf die konkrete Implementierung und Durchsetzung der DSGVO noch viele ungeklärte Fragen gibt. Zusätzlich sind sich etliche Unternehmen nicht ausreichend bewusst, welche Daten sie eigentlich genau sammeln und verarbeiten.
Wie gesagt, die Anforderungen betreffen sowohl organisatorische Prozesse als auch die zur Umsetzung notwendigen technischen Mittel. Sind beide nicht adäquat für den geforderten Datenschutzlevel, führt das potenziell zu immensen Folgekosten. Nicht nur was die Wiederherstellung anbelangt. Die bekannten Strafen reichen bis zu einer Höhe von 4 % des weltweit erzielten Umsatzes im Falle einer Zuwiderhandlung (und eines daraus entstehenden Datenschutzvorfalls). Für manches Unternehmen wäre das wohl das Aus.“
