Datenschutz für Banken und Finanzdienstleister

Banken und Finanzdienstleister verarbeiten in nahezu jedem Geschäftsprozess personenbezogene Daten ihrer Kunden. Dazu gehören Prozesse wie Zahlungsabwicklungen oder Prüfungen von Kreditvergaben. Oft handelt es sich um besonders schutzwürdige Daten, weil durch diese u.a. Aussagen über

• Einkommens- und Vermögensverhältnisse,
• geschäftliche und persönliche Verbindungen oder
• das Konsumverhalten

getroffen werden können. Werden Konto- oder Kreditkarteninformationen unverschlüsselt fehlübermittelt, sieht das Gesetz eine Meldung der Datenpanne an die zuständige Aufsichtsbehörde für den Datenschutz sowie an die Betroffenen vor – häufig mit weitreichenden Folgen wie Bußgeldern und Schadensersatzpflichten.

Aufgrund der hohen Schutzbedürftigkeit der verarbeiteten Daten sind Banken und Finanzdienstleister in besonderem Maße zur Gewährleistung des Datenschutzes und der Datensicherheit verpflichtet.

Sie müssen hierbei vielfältige regulatorische Anforderungen beachten. Zu nennen sind neben den Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) branchen- und bereichsspezifische Anforderungen, z.B.

• das Kreditwesengesetz (KWG),
• die Mindestanforderungen an das Risikomanagement (MaRisk) oder
• das IT-Sicherheitsgesetz.

Zugleich besteht für Banken eine gesetzliche Verpflichtung, Betrug, Geldwäsche und andere Straftaten, wie Terrorismusfinanzierung, vorbeugend zu verhindern. Des Weiteren müssen Kredit- und Finanzdienstleistungsinstitute ihre Vertragspartner bereits vor Begründung der Geschäftsbeziehung oder Durchführung der Transaktion identifizieren.

Neben der Vorlage des Personalausweises werden hierfür immer öfter Video-Ident-Verfahren eingesetzt. Zur Erfüllung dieser gesetzlichen Verpflichtungen ist eine umfassende Verarbeitung von personenbezogenen Daten erforderlich, die in Übereinstimmung mit den Datenschutzanforderungen zu bringen ist.

Im Zuge der wachsenden Digitalisierung und Harmonisierung des Zahlungsverkehrs ist zukünftig von einer verstärkten Regulierung des Banken- und Finanzsektors auszugehen. Um den technologischen Entwicklungen Rechnung zu tragen, hat der europäische Gesetzgeber beispielsweise die europäische Zahlungsdiensterichtlinie (Payment Service Directive, PSD) überarbeitet.

Mit der Zweiten Zahlungsdiensterichtlinie (PSD II), welche durch die Neufassung des Zahlungsdienstaufsichtsgesetzes (ZAG) ins deutsche Rechte umgesetzt wurde, erfolgte eine umfassende Regelung aller Zahlungsdienste innerhalb der Europäischen Union. Durch die neue Richtlinie werden insbesondere Zahlungsauslösedienste, wie die umgehende Bezahlung von Onlinekäufen und Kontoinformationsdienste, die einen Gesamtüberblick über die finanzielle Situation zu einem bestimmten Zeitpunkt ermöglichen, reguliert.

Diese Dienstleister sollen im Zahlungsverkehr zwischen dem Bankkunden und der kontoführenden Bank auftreten. Für die Erbringung ihrer Dienstleistung benötigen sie bestimmte Daten der Bankkunden. Sofern eine Einwilligung des Kunden vorliegt, sind Banken verpflichtet, dem Zahlungsdienstleister Zugriff auf die Daten des Bankkunden zu gewähren. Hierdurch werden zwar innovative Zahlungsdienste gefördert, zugleich ist dies jedoch mit erheblichen Datenschutzbedenken verbunden.

Damit Banken und Zahlungsdienstleister rechtskonform aufgestellt sind, sollten diese bei der technischen und organisatorischen Umsetzung von Zahlungsdienstleistungen sowohl die Anforderungen der DSGVO, wie die Informationspflicht bei der Erhebung von personenbezogenen Daten oder das Auskunftsrecht, als auch die regulatorischen Vorgaben der PSD II beachten. Unsere erfahrenen Berater unterstützen Sie gern bei der Umsetzung Ihres Vorhabens.

Ihr Datenschutz in Expertenhänden! Wir unterstützen Sie gern, die Verarbeitung von Bankdaten rechtskonform und praxisorientiert zu gestalten.

Unsere Beratungsleistungen umfassen beispielsweise:

• Prüfung der Einhaltung der Datenschutzvorschriften und Aufbau praxisorientierter Datenschutzkonzepte,
• Beratung zum datenschutzkonformen Einsatz von Video-Ident-Verfahren,
• Beratung im Hinblick auf den Einsatz von Cloud-Anbietern,
• Entwicklung von Richtlinien zum Datenschutz und zur Nutzung der betrieblichen IT-Infrastruktur,
• Beratung bzgl. der Umsetzung von Zahlungsdienstleistungen unter Beachtung der regulatorischen Vorgaben der PSD II sowie der DSGVO,
• Durchführung von Mitarbeiterschulungen,
• Beratung im Zusammenhang mit dem Einsatz externer Dienstleister,
• datenschutzkonforme Gestaltung aller Prozesse, z.B. Kundenberatung, Kreditentscheidungen, Zahlungsabwicklung,
• Beratung bzgl. der datenschutzkonformen Durchführung und Dokumentation rechtlich notwendiger Prüfungen (z.B. Geldwäsche- und Betrugsprävention),
• Beratung im Zusammenhang mit der Durchführung von Mitarbeiterüberprüfungen (z.B. Zuverlässigkeitsprüfung nach dem Geldwäschegesetz, internes Kontrollsystem, Prüfung von Sanktionslisten (Compliance Screening)),
• Gestaltung von Datenschutzhinweisen,
• Beratung im Zusammenhang mit internationalen Datentransfers,
• Beratung zur datenschutzkonformen Ausgestaltung des Mobile Banking, wie z.B. Banking-Apps,
• Stellung des externen Datenschutzbeauftragten,
• Einführung von Prozessen zur Sicherstellung und Umsetzung von Betroffenenrechten, z.B. Auskunftsersuchen.