Die Verarbeitung von Daten im Finanzsektor wirft besondere rechtliche Fragen und Probleme auf. Dies gilt unabhängig davon, ob es sich um Daten mit oder ohne Personenbezug handelt. Finanzdaten sind besonders sensibel, regelmäßig von erhöhtem Wert und besonders von Risiken betroffen. Das Finanzaufsichtsrecht macht darüber hinaus für den Umgang mit Daten weitreichende Vorgaben, die gerade in den letzten Jahren von den Aufsichtsbehörden intensiv überwacht wurden. Dieser Beitrag weist auf die wesentlichen Risiken hin und zeigt Ansätze zum Umgang mit diesen Risiken auf.
Hintergrund
Der Finanzsektor ist auf die Verarbeitung von Daten wie kaum eine andere Branche angewiesen. Eine moderne Finanzindustrie ist ohne intensive Datenverarbeitung schlicht nicht denkbar. Gleichzeitig überschneiden sich hier mehrere gesetzliche wie untergesetzliche Regelungsregimes, vom Finanzaufsichtsrecht über das Geldwäscherecht und das IT-Sicherheitsrecht bis hin zum Datenschutzrecht. Damit gehen für die betroffenen Unternehmen auch besondere Risiken von bußgeldbewehrten Verstößen und Reputationsschäden einher.
Im Folgenden werden die aktuell besonders relevanten rechtlichen Herausforderungen für Finanzunternehmen im Umgang mit Daten, einschließlich deren Verarbeitung, hervorgehoben und Ansätze aufgezeigt, wie diesen Herausforderungen begegnet werden kann. Der Beitrag hat insbesondere Kreditinstitute und Finanzdienstleistungsinstitute im Sinne des KWG sowie Wertpapierinstitute im Sinne des WpIG vor Augen. Im Wesentlichen sind die Aussagen aber auch auf Zahlungsinstitute im Sinne des ZAG, Versicherungsunternehmen im Sinne des VAG sowie Kapitalverwaltungsgesellschaften im Sinne des KAGB übertragbar. Gerade in Bezug auf Zahlungsinstitute gelten aber besonders strenge Grundsätze im Hinblick auf die Sicherheit informationstechnischer Systeme (vgl. insb. §§ 53, 54 ZAG). Aus Gründen der Übersichtlichkeit kann der Beitrag keinen Anspruch auf Vollständigkeit erheben.
Finanzaufsichtsrechtliche Anforderungen
Warum regelt das Finanzaufsichtsrecht den Umgang mit Daten?
Das Finanzaufsichtsrecht regelt den Umgang mit Daten zunächst mit Blick auf die aufsichtsrechtlich geforderte Angemessenheit und Wirksamkeit des bankinternen Risikomanagements (§ 25a Abs. 1 Satz 3 KWG). Der richtige Umgang mit Daten ist in diesem Kontext ein Mittel zur Steuerung, Überwachung und Kommunikation von Risiken. Hierzu hat auf internationaler Ebene der Basler Ausschuss für Bankenaufsicht bereits im Jahr 2013 mit dem Standard 239 (Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung) ein detailliertes Regelwerk veröffentlicht. Aber auch das BaFin-Rundschreiben 10/2021 (BA) - Mindestanforderungen an das Risikomanagement („MaRisk“) widmet dem Thema Datenmanagement, Datenqualität und Aggregation von Risikodaten ein ganzes Kapitel, das zumindest für bedeutende Institute (auf Einzel- und Gruppenebene) Anwendung findet. Daten dienen gemäß dieser Betrachtungsweise der Reduktion bzw. Mitigation des Risikoprofils von Finanzunternehmen, sofern letztere mit den Daten vorschriftsgemäß umgehen.
Darüber hinaus sieht das Finanzaufsichtsrecht Daten (das Finanzaufsichtsrecht spricht in diesem Zusammenhang meist von „Informationen“ ohne dass damit ein inhaltlicher Unterschied beabsichtigt ist) und deren Verarbeitung auch als Risikoquelle an. Auch hier ist von internationalen Standardsetzern Vorarbeit geleistet worden. Jüngst hat beispielsweise die Europäische Bankenaufsichtsbehörde EBA umfangreiche Leitlinien für das IKT (Informations- und Kommunikationstechnologie)- und Sicherheitsrisikomanagement veröffentlicht. Auch die BaFin adressiert in ihrem Rundschreiben 10/2017 (BA) - Bankaufsichtliche Anforderungen an die IT („BAIT“) diese sog. Informationsrisiken. Hierbei handelt es sich um das Risiko möglicher Schäden durch mangelnde oder unzulängliche Integrität, Verfügbarkeit, Authentizität oder Vertraulichkeit von Daten. Konsequenterweise fordert die BaFin von Instituten ein angemessenes und wirksames Informationsrisikomanagement, welches insbesondere Vorkehrungen zur Informationssicherheit, ein ordnungsgemäßes Identitäts- und Rechtemanagement sowie Datensicherungskonzepte umfasst. Anders als im vorangehenden Absatz sind Daten damit nicht Mittel des Risikomanagements, sondern Gegenstand bzw. Ziel des Risikomanagements.
Wie müssen Institute mit Daten umgehen, damit diese Daten taugliches Mittel für ein wirksames Risikomanagement sein können?
Damit Daten zu einem wirksamen Risikomanagement beitragen können, müssen die Datenstruktur und Datenhierarchie des Instituts hohen Standards genügen. So hat das Institut zu gewährleisten, dass Daten zweifelsfrei identifiziert, zusammengeführt und ausgewertet werden können sowie zeitnah zur Verfügung stehen.
Besondere Anforderungen gelten für sog. Risikodaten, d.h. Daten, die unmittelbar für die Identifizierung, Beurteilung und Messung von Risiken von Relevanz sind. Diese Risikodaten müssen genau und vollständig sein. Zu diesem Zweck hat jedes Institut interne Anforderungen an die Vollständigkeit und Genauigkeit der Daten zu formulieren. Darüber hinaus müssen die Risikodaten nicht nur in Rohform vorliegen, sondern sie müssen angemessen verarbeitet werden. So müssen Institute die Daten aggregieren und sicherstellen, dass die Daten nach unterschiedlichen Kategorien (Risikokategorien, Geschäftsfelder, Konzerngesellschaften etc.) auswertbar sein. Die Datenaggregation muss dabei im Grundsatz automatisiert erfolgen, weil aggregierte Risikodaten (insbesondere in Stressphasen) zeitnah zur Verfügung stehen müssen. Der Einsatz manueller Prozesse und Eingriffe ist deshalb nach Auffassung der BaFin auf „das notwendige Maß“ zu beschränken (und außerdem hinreichend zu begründen und zu dokumentieren).
Schließlich dürfen sich Institute nicht allein auf die vorhandenen Risikodaten verlassen. Vielmehr müssen die Risikodaten mit anderen im Institut vorhandenen Daten (z.B. aus dem Rechnungs- oder Meldewesen) abgeglichen und plausibilisiert werden. Hierdurch sollen unter anderem Datenfehler und Schwachstellen in der Datenqualität identifiziert werden.
Was haben Unternehmen aus dem Finanzsektor zu beachten, um die mit Daten und Datenverarbeitung verbundenen Risiken angemessen und wirksam zu managen (Informationsrisikomanagement)?
Das aufsichtsrechtlich geforderte Informationsrisikomanagement im weiteren Sinne besteht aus (i) der Formulierung einer IT-Strategie, (ii) einer daraus abzuleitenden IT-Governance, (iii) angemessenen Überwachungs- und Steuerungsprozessen im Hinblick auf Informationsrisiken (Informationsrisikomanagement) sowie (iv) dem Informationssicherheitsmanagement.
Die IT-Strategie umfasst insbesondere die Entwicklung der IT-Aufbau- und IT-Ablauforganisation (einschließlich Personaleinsatz und Budget) des Instituts, die Entwicklung der IT-Architektur sowie Grundsätze des IT-Notfallmanagements. Der Detaillierungsgrad der Strategien ist dabei abhängig von Umfang und Komplexität sowie dem Risikogehalt der Geschäftsaktivitäten des Instituts (vgl. MaRisk, AT 4.2 Tz. 4). Die Strategie ist dem Aufsichtsrat vorzulegen und muss mit diesem erörtert werden (vgl. MaRisk, AT 4.2 Tz. 6).
Unter IT-Governance versteht das Finanzaufsichtsrecht die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse (vgl. BAIT, Tz. 2.1). Von zentraler Bedeutung sind dabei IT-Aufbau- und IT-Ablauforganisation, also die Definition von Aufgaben und Prozessen (Ablauforganisation) sowie die Einrichtung von Organisationseinheiten (Aufbauorganisation) und die Zuweisung der vorgenannten Aufgaben und Prozesse zu einzelnen (oder mehreren) der eingerichteten Organisationseinheiten. Zur IT-Aufbau- und IT-Ablauforganisation gehört insbesondere die Zuweisung von Berechtigungen im Hinblick auf Daten. Diese sind (wie auch in anderen Bereichen der Organisation eines Finanzunternehmens) nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben und bei Bedarf zeitnah anzupassen (vgl. MaRisk, AT 4.3.1 Tz. 2).
Das Informationsrisikomanagement beschreibt nach Vorstellung der BaFin ein System zum Management der Informationsrisiken (vgl. BAIT, Tz. 3.2). Von besonderer Bedeutung ist hierbei der Begriff des Informationsverbunds, verstanden als ein Verbund geschäftsrelevanter Daten und Informationen, Geschäfts- und Unterstützungsprozessen, IT-Systemen und der zugehörigen IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen. Für einen jeden Informationsverbund ist der Schutzbedarf zu ermitteln. Der Schutzbedarf ist das (vom Institut ermittelte) Risiko, dass die „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ oder „Authentizität“ der Daten des Informationsverbunds beeinträchtigt werden könnten. „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ der Daten werden auch als Schutzziele des Informationsrisikomanagements bezeichnet (vgl. BAIT, Tz. 3.4).
Damit ist die Schutzbedarfsanalyse eine Risikoanalyse, und zwar des abstrakten Informationsrisikos. Auf Basis dieser abstrakten Risikoanalyse hat das betreffende Institut die Anforderungen zu definieren, die zur Erreichung des jeweiligen Schutzbedarfs angemessen sind (Sollmaßnahmenkatalog). Im Anschluss hat ein Vergleich des Sollmaßnahmenkatalogs mit der tatsächlichen Umsetzung zu erfolgen (Soll-Ist-Vergleich). Dieser Vergleich stellt gewissermaßen die konkrete Risikoanalyse dar und berücksichtigt mögliche Bedrohungen, das Schadenspotenzial, die Schadenshäufigkeit sowie den Risikoappetit des Instituts. Über die Ergebnisse der Analyse ist die Geschäftsleitung regelmäßig, mindestens jedoch vierteljährlich, zu unterrichten (vgl. BAIT, Tz. 3.11).
Unter Informationssicherheitsmanagement versteht das Finanzaufsichtsrecht einen fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung der Sicherheit von Daten des Instituts umfasst. Kernelement des Informationssicherheitsmanagements ist eine sog. Informationssicherheitsleitlinie, die von der Geschäftsleitung des Instituts beschlossen werden muss (vgl. BAIT, Tz. 4.2). Diese hat die strategischen Vorgaben für die Informationssicherheit zu enthalten. Nach Auffassung der BaFin umfasst dies eine Festlegung der Kompetenzen, Rollen und Verantwortlichkeiten, um die Sicherheit von Informationen sicherzustellen. Auf Basis der Informationssicherheitsleitlinie haben die Fachbereiche konkretisierende, den Stand der Technik berücksichtigende Informationssicherheitsrichtlinien und Informationssicherheitsprozesse (mit den Teilprozessen Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung) zu definieren (vgl. BAIT, Tz. 4.3).
Die finanzaufsichtsrechtlichen Anforderungen beziehen sich aber nicht allein auf organisatorische bzw. prozessuale Erfordernisse. Vielmehr hat die BaFin auch die Ausstattung und die Ressourcen vor Augen. Sowohl das Informationsrisikomanagement (im engeren Sinne) als auch das Informationssicherheitsmanagement sind quantitativ und qualitativ angemessen mit Ressourcen auszustatten (vgl. BAIT, Tz. 2.3).
Wer ist bei den Instituten intern für die Einhaltung dieser Anforderungen zuständig?
Nach Auffassung der BaFin sind für die Angemessenheit und Wirksamkeit des Risikomanagements eines Instituts alle Geschäftsleiter zuständig, soweit die wesentlichen Elemente des Risikomanagements betroffen sind. Es spricht viel dafür, dass zu diesen wesentlichen Elementen auch die Anforderungen an das Datenmanagement (als Mittel des Risikomanagements) sowie das Informationsrisikomanagement (als Ziel bzw. Gegenstand des Risikomanagements) zu zählen sind.
Dies kommt in den MaRisk und den BAIT auch zum Ausdruck. So ist das Datenmanagement und die Datenqualität „Chefsache“: die entsprechenden Grundsätze hat die Geschäftsleitung des Instituts zu genehmigen und in Kraft zu setzen (vgl. MaRisk, AT 4.3.4 Tz. 1). Auch die IT-Strategie, die IT-Governance sowie die Informationssicherheitsleitlinie sind von der Geschäftsleitung zu beschließen (vgl. BAIT, Tz. 1.1, 2.2 und 4.2).
Die Geschäftsleiter eines übergeordneten Unternehmens einer Gruppe sind für ein angemessenes und wirksames Risikomanagement auch auf Gruppenebene zuständig. Dies umfasst auch die in diesem Beitrag beschriebenen daten- und datenverarbeitungsrelevanten Aspekte des Risikomanagements (vgl. auch MaRisk, AT 4.3.4 Tz. 1).
Neben der Geschäftsleitung schreibt das Finanzaufsichtsrecht die Verantwortung für den ordnungsgemäßen Umgang mit Daten aber auch anderen Stellen im betreffenden Institut ausdrücklich zu. Sofern derartige Stellen nicht existieren, müssen sie eingerichtet werden:
- Eine vom Frontoffice unabhängige Stelle hat zu überprüfen, ob die institutsinternen Regelungen, Verfahren, Methoden und Prozesse zum Umgang und der Verarbeitung von Daten eingehalten werden (MaRisk, AT 4.3.4 Tz. 7).
- Für Zwecke des Informationssicherheitsmanagements ist die Funktion des Informationssicherheitsbeauftragten einzurichten (BAIT, Tz. 4.4). Diese Funktion muss unabhängig sein und hat neben der Beratung der Geschäftsleitung auch selbst zu einem angemessenen Informationssicherheitsmanagement beizutragen, zum Beispiel durch Erstellung von Informationssicherheitsrichtlinien, die Steuerung von Informationssicherheitsprozessen, die Untersuchung von Informationssicherheitsvorfälle sowie Schulungsmaßnahmen zur Informationssicherheit. Der Informationssicherheitsbeauftragte ist auch laufender Ansprechpartner der BaFin.
Welche Folgen drohen dem Institut bei einem Verstoß gegen die finanzaufsichtsrechtlichen Vorgaben für den Umgang mit Daten?
Die finanzaufsichtsrechtlichen Vorgaben sind nicht nur auf dem Papier relevant. Vielmehr stellen das KWG (und andere anwendbare Gesetze) den Aufsichtsbehörden ein umfangreiches Instrumentarium zur Durchsetzung der Pflichten zur Hand. In einem ersten Schritt kann die BaFin die Beseitigung der Mängel im Risikomanagement (einschließlich Informationsrisikomanagement) anordnen (vgl. § 25a Abs. 2 Satz 2 KWG). Dies kann im Anschluss an eine Sonderprüfung oder aus einem anderen Anlass (z.B. Hinweisen eines Whistleblowers) erfolgen.
Zur Überwachung der Umsetzung kann die BaFin die regelmäßige Berichterstattung über die Fortschritte anordnen (§ 44 Abs. 1 KWG) oder einen Sonderbeauftragten einsetzen, der ggü. der Geschäftsleitung umfassende Einsichts- und Informationsrechte hat (§ 45c Abs. 2 Nr. 6 KWG). Falls diese Maßnahmen nicht zielführend sind, kommt auch die Anordnung zusätzlicher Eigenmittel nach § 6c KWG oder die Beschränkung der Geschäftstätigkeit des Instituts (§ 45b Abs. 1 KWG) in Frage. Letzteres kann, wie in der jüngsten Vergangenheit geschehen, auch Wachstumsbeschränkungen (z.B. im Hinblick auf Neukunden) umfassen.
Des Weiteren kann die Aufsicht auch gegen die Geschäftsleiter vorgehen und diese formal verwarnen (§ 36 Abs. 2 KWG) bzw. bei Erfolglosigkeit die Abberufung der verantwortlichen Geschäftsleiter verlangen und diesen Geschäftsleitern auch die Ausübung ihrer Tätigkeit bei anderen Instituten untersagen (§ 36 Abs. 1 KWG). Da die Mitglieder des Aufsichtsrats eines Instituts die Geschäftsleiter auch im Hinblick auf die Einhaltung der einschlägigen bankaufsichtsrechtlichen Regelungen überwachen müssen (§ 25d Abs. 6 KWG), können Abberufungsverlangen und Tätigkeitsverbote auch in Bezug auf die Aufsichtsräte erfolgen (§ 36 Abs. 3 KWG).
Schließlich kommt auch eine zivilrechtliche Haftung der Geschäftsleiter (oder Mitglieder des Aufsichtsrats) in Betracht, da die Nichteinhaltung finanzaufsichtsrechtlicher Pflichten im Regelfall einen Verstoß gegen die Legalitätspflicht darstellen wird. Die Einzelheiten hierzu sind in Rechtsprechung und Schrifttum umstritten, insbesondere wenn „nur“ ein Verstoß gegen Rundschreiben der BaFin vorliegt. Welchen Grad der Verbindlichkeit diese haben (also ob diese die gesetzlichen Bestimmungen zulässigerweise konkretisieren) ist noch nicht höchstrichterlich geklärt. Wir würden aufgrund der drohenden persönlichen Haftungsrisiken dazu raten, die Vorgaben wie Gesetzesrecht zu behandeln und entsprechend zu beachten.
Datenschutzrechtliche Anforderungen
Für welche Unternehmen im Finanzsektor ist das Datenschutzrecht besonders relevant?
Datenschutzrechtliche Anforderungen betreffen alle Unternehmen der Finanzindustrie. Besonders relevant sind sie aber für Banken und Zahlungsdienstleister, die Daten über die Transaktionen von natürlichen Personen verarbeiten.
Ein gesteigertes Risiko trifft außerdem sog. Novobanken und andere Finanzunternehmen mit digitalisierten Geschäftsmodellen wie Robo-Advisor, Kontoinformationsabieter etc., bei denen die Datenverarbeitung noch über die bloße Ermöglichung von Transaktionen hinausgeht. Foren, in denen sich Kunden über Anlagestrategien ähnlich wie auf den sozialen Medien austauschen können, Dashboards, die den Kunden ihr Zahlungsverhalten vor Augen führen – solche besonderen Angebote bedürfen besonderer datenschutzrechtlicher Prüfung.
Was sind die wichtigsten datenschutzrechtlichen Anforderungen für Unternehmen im Finanzsektor?
Auch das Datenschutzrecht enthält dabei Anforderungen an die Datensicherheit (Art. 32 DS-GVO). Personenbezogene Daten, insbesondere Kundendaten, müssen angemessen vor unabsichtlicher oder absichtlicher Beeinträchtigung geschützt werden, insbesondere vor Verlust, Nichtverfügbarkeit oder unbefugter Offenlegung.
Eine besondere Herausforderung stellt dies in sog. Auslagerungssituationen dar, in denen das Unternehmen einen Dienstleister einschaltet und ihm dafür Zugang auf die personenbezogenen Daten der Kunden (und ggf. auch der Mitarbeiter) gewährt. Die aufsichtsrechtlichen Anforderungen werden hier ergänzt durch das Erfordernis datenschutzrechtlicher Regelungen. Typischerweise müssen Unternehmen und Dienstleister eine Auftragsverarbeitungsvereinbarung abschließen, in Einzelfällen kann aber auch eine sog. Vereinbarung über gemeinsame Verantwortlichkeit erforderlich sein (Artt. 26, 28 DS-GVO).
Im Bereich der Datensicherheit sehen sich viele Unternehmen des Finanzsektors zudem einem datenschutzrechtlichen Zielkonflikt ausgesetzt. Denn die Sicherheit der Kundendaten erfordert zu einem gewissen Grad die Kontrolle jener, die mit diesen Daten umgehen – der Mitarbeiter. Dazu werden häufig sogenannte Security Incident & Event Management („SIEM“) Systeme eingesetzt, die nachverfolgen, wer wann, wie lange und mit welcher Berechtigung auf Kundendaten zugreift. Die Verarbeitung personenbezogener Daten von Beschäftigten ist jedoch nur im verhältnismäßigen Umfang zulässig (Art. 6 Abs. 1 lit. f DS-GVO; § 26 Abs. 1 Bundesdatenschutzgesetz). Unternehmen müssen hier einen schmalen Grat beschreiten, um ihren gesetzlichen Pflichten Genüge zu tun. Den Grat zu beleuchten hilft oft eine sog. Datenschutz-Folgenabschätzung (Art. 35 DS-GVO).
Unternehmen müssen Daten jedoch nicht nur sicher verarbeiten. Die Verarbeitung muss auch im Übrigen rechtmäßig sein, d.h. insbesondere einem bestimmten legitimen Zweck dienen, sich eine auf tragfähige Rechtsgrundlage stützen und nicht über das Erforderliche hinausgehen. Das bedeutet oft, dass die Einwilligung des Kunden erforderlich ist, bevor das Unternehmen dessen Daten zur Personalisierung der Dienstleistung oder für Werbezwecke nutzen kann. Außerdem sind Datenerhebungsformulare genau daraufhin zu prüfen, dass nur die notwendigen Daten gesammelt werden.
Im Hinblick auf das Erfordernis der Datenminimierung besteht zudem ein Spannungsverhältnis zu bestimmten aufsichtsrechtlichen Anfordernissen. Grundsätzlich sollten aufsichtsrechtliche Aufbewahrungspflichten und Datenschutzrecht nahtlos ineinandergreifen – die gesetzlich erforderliche Aufbewahrung, z.B. von Anlageberatungsgesprächen nach MiFiD II, ist datenschutzrechtlich gerechtfertigt (Art. 6 Abs. 1 lit. c DS-GVO), die gesetzlich nicht erforderliche Aufbewahrung dagegen verboten, solange nicht ein anderer Rechtfertigungsgrund eingreift. In der Praxis begegnet man jedoch oft dem Problem, dass die verschiedenen Aufsichtsbehörden die Vorschriften unterschiedlich auslegen, zumal wenn sie unterschiedlichen Staaten angehören. So müssen Unternehmen sorgfältig kommunizieren und abwägen, um allen regulatorischen Anforderungen gerecht zu werden.
Was ist aktuell das größte datenschutzrechtliche Problem für Finanzunternehmen?
In einer ähnlich angespannten Situation befinden sich europäische Finanzunternehmen, die aus gesetzlichen oder operativen Gründen darauf angewiesen sind, Daten in Länder außerhalb der EU zu übermitteln. Denn das europäische Recht sieht besondere Beschränkungen für die Übermittlung personenbezogener Daten in Drittländer außerhalb von EU und EWR vor, damit die personenbezogenen Daten im Drittland angemessen geschützt bleiben.
Dies ist der Fall, wenn das Datenschutzniveau in dem Drittland von der EU-Kommission offiziell anerkannt wurde (Art. 45 DSGVO) – solche sog. Angemessenheitsbeschlüsse wurden jedoch nur für eine kleine Anzahl von Ländern erlassen (darunter das Vereinigte Königreich, die Schweiz, Kanada, Argentinien und Japan, aber nicht die USA, Indien, Russland, China, Brasilien, die Türkei oder Australien). Liegt für das jeweilige Land kein Angemessenheitsbeschluss vor, müssen zusätzliche Garantien geschaffen werden, z. B. durch den Abschluss einer Datenschutzvereinbarung auf der Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO).
Nach einem kürzlich ergangenen Urteil des Gerichtshofs der Europäischen Union reichen Standardvertragsklauseln alleine jedoch nicht aus, wenn das Recht des Empfängerstaates (behördliche) Datenzugriffe erlaubt, die über das nach europäischen Maßstäben verhältnismäßige Maß hinausgehen. Denn gegen solche Datenzugriffe können vertragliche Verpflichtungen alleine keinen wirksamen Schutz bieten. EU-Unternehmen, die personenbezogene Daten in Drittländer, insbesondere die USA, übermitteln wollen, müssen daher die Umstände und Folgen dieser Übermittlung genau analysieren (sog. Data Transfer Impact Assessment) und ggf. zusätzliche Schutzmaßnahmen ergreifen. Wie diese Schutzmaßnahmen aussehen können, ist allerdings aktuell noch nicht abschließend geklärt und muss daher für jeden Einzelfall geprüft werden.
Behörden in Drittländern werden ohnehin in der Regel nicht bereit sein, mit einem europäischen Unternehmen Standardvertragsklauseln abzuschließen. Insoweit muss das Unternehmen daher prüfen, ob eine Datenübermittlung auf Grundlage einer der Ausnahmeregelungen des Artikel 49 DS-GVO zulässig ist, insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DS-GVO). Diese Ausnahmeregelung zielt speziell auf die Verwendung personenbezogener Daten in Gerichtsverfahren ab (z.B. auf eine subpoena), kann aber auch andere Arten von Offenlegungen rechtfertigen (z.B. in Rahmen von sog. monitorships).
Ausblick
Die rechtlichen Herausforderungen bei der Verarbeitung von Daten im Finanzsektor werden zukünftig voraussichtlich noch größer, sie wachsen gleichsam zusammen mit den Chancen. Gleichzeitig ist absehbar, dass die rechtlichen Regelungen künftig strenger durchgesetzt werden als in der Vergangenheit. Die BaFin hat beispielsweise nach der Erfahrung der Autoren gerade die Themen Datensicherheit und Informationsrisikomanagement zu einem aufsichtlichen Schwerpunkt gemacht und auch etablierte Marktteilnehmer zu Verbesserungen in diesen Feldern angehalten. Für Novobanken und Fintechs können Defizite in diesen Bereichen jedoch existenzgefährdend sein, da einschneidende Maßnahmen bis hin zum Entzug der Erlaubnis drohen.