Mai 2018 wird mit der Verabschiedung der Datenschutz-Grundverordnung oder kurz DSGVO gekennzeichnet. Die Vielzahl strenger Richtlinien und Vorschriften zur Einhaltung haben das bereits bestehende Regelwerk, dem Finanzinstitute folgen müssen, erheblich erweitert. Dies stellte für Unternehmen der Finanzbranche eine echte Herausforderung dar.
Dieser Artikel behandelt alles, was Sie über die DSGVO-Konformität für Finanzunternehmen wissen müssen, ihre Auswirkungen auf Finanzorganisationen und wie Sie diese Vorschriften mühelos einhalten können.
Was ist die DSGVO?
Die Datenschutz-Grundverordnung ist ein EU-Gesetz zum Datenschutz, das darauf abzielt, die persönlichen Daten von EU-Bürgern zu schützen, wenn sie mit Unternehmen außerhalb der Europäischen Union umgehen.
Wenn Ihr Unternehmen sich innerhalb der EU befindet, gelten anstelle der DSGVO das EU-Recht und die Verordnung Nr. 45/2001. Die DSGVO erfordert jedoch, dass alle Rechtsakte der Union im Hinblick auf den Datenschutz mit der DSGVO übereinstimmen.
Kurz gesagt legt die DSGVO fest, wie und wann personenbezogene Daten von Nutzern erhoben und verarbeitet werden können, unabhängig von der Branche, in der Sie tätig sind.
Wenn wir über die wichtigsten Punkte der DSGVO sprechen, können wir folgendes auflisten:
- Im Falle eines Datenlecks haben Unternehmen 72 Stunden Zeit, um diese zu melden;
- Sie müssen Datenschutz durch Gestaltung für alle Ihre Operationen und Technologien übernehmen;
- Um personenbezogene Daten zu verarbeiten, müssen Sie die ausdrückliche Zustimmung eines Nutzers einholen;
- Es gibt Fälle, in denen Sie einen Datenschutzbeauftragten einstellen müssen, um die Vorschriften zu erfüllen;
- Sie sollten eine Aufzeichnung aller Verarbeitungsvorgänge haben;
- Stellen Sie sicher, dass sowohl die Rechte Ihrer Kunden als auch Ihrer Mitarbeiter auf Löschung personenbezogener Daten gewährleistet sind;
- Alle internationalen Übertragungen müssen bestimmte Anforderungen erfüllen.
DSGVO und Finanzdienstleistungen
Was hat die DSGVO für Banken, Finanzinstitute und Zahlungsdienstleister (PSPs) gebracht?
Insgesamt bedeutet die Umsetzung der DSGVO für Banken und Finanzdienstleistungen strenge Anforderungen und Vorschriften zur Information von betroffenen Personen, zur Gewährung von Portabilitätsrechten und zur zeitnahen Meldung von Datenverletzungen.
Gemäß der DSGVO für Finanzinstitute wird der PSP als Datenverarbeiter und der Händler als Datenverantwortlicher betrachtet, während der Kunde und der Karteninhaber die betroffenen Personen sind. Kundendaten zusammen mit ihren Kartendaten gelten als personenbezogene Daten gemäß der DSGVO. Der Zahlungsdienstleister muss sich um die Kreditkarten der Kunden und verschiedene Online-Zahlungsmethoden kümmern, die von Kunden zur Freigabe von Geldern an Händler ausgewählt wurden.
Jede Finanzinstitution muss sowohl die DSGVO als auch andere Gesetze (zum Beispiel das AML-Gesetz zur Geldwäschebekämpfung) einhalten. Darüber hinaus unterliegen alle Finanzdienstleistungen zusammen mit Unternehmen für Zahlungsabwicklung den DSGVO-Sanktionen. Solche Sanktionen umfassen Schäden, die den betroffenen Personen entstanden sind, Geldbußen und Verwarnungen.
Zum Beispiel, wenn wir vom Finanzsektor sprechen, hat die spanische Datenschutzbehörde im Jahr 2021 Caixabank wegen des Missbrauchs von personenbezogenen Daten und Verstößen gegen die Zustimmungsvorschriften gemäß der DSGVO mit 7,3 Millionen US-Dollar bestraft.
Gilt die DSGVO für Unternehmen im Finanzdienstleistungssektor?
Bereits vor der Einführung der DSGVO arbeiteten Unternehmen in Finanzinstituten nach einer strikten Compliance-Kultur. Sie hatten auch einen Risikomanagementrahmen, der die Sicherheit von Datenschutz und Privatsphäre gewährleistete. Es war jedoch eine Herausforderung, da eine große Menge an Nutzerdaten zu verwalten war.
Die DSGVO für Finanzinstitute erfordert, dass diese proaktiv bei der Einhaltung agieren. Um über Finanzorganisationen in Nicht-EU-Ländern zu sprechen, die auf dem EU-Markt tätig sind, müssen sie alle regulatorischen Bestimmungen und die Auswirkungen der DSGVO auf ihre Operationen verstehen.
Heutzutage erfordert die Datensammlung und -verwaltung im Finanzsektor innovativere und automatisierte Technologien. Und all diese Technologien müssen DSGVO-konform sein.
Eine der Hauptanforderungen der DSGVO ist die Kommunikation privater Informationen an Kunden. Deshalb müssen Unternehmen Kunden über alle von ihnen gesammelten Daten informieren, erklären, warum sie diese benötigen, und was sie damit tun werden. Das ist jedoch im Wesentlichen das, was Finanzunternehmen seit Jahren tun, daher sind diese Anforderungen für sie leicht zu erfüllen, im Gegensatz zu Nicht-Finanzorganisationen.
Auswirkungen auf die Finanzbranche unter der DSGVO
Um DSGVO-konform zu bleiben, müssen Finanzinstitute das erforderliche System einsetzen, um die sensiblen Daten von EU-Bürgern sicher zu erfassen, zu verfolgen und zu verwalten. Zudem sind alle sensiblen Kundendaten, die Teil der Finanzdaten sind, die privaten Daten der betroffenen Personen, die Sicherheitsanforderungen gemäß der DSGVO haben. Daher müssen auch robuste Cybersicherheitsmaßnahmen vorhanden sein.
Finanzunternehmen müssen sie informieren und Anfragen bezüglich personenbezogener Daten über dieses System bearbeiten. Zu den unverzichtbaren Elementen der DSGVO-Konformität von Finanzinstituten gehören:
Einwilligung
Die DSGVO definiert die Einwilligung des Kunden als ‚echte Wahl und Kontrolle‘. Alle Verantwortlichkeiten zur Erlangung der Einwilligung liegen bei einem Unternehmen. Dies bedeutet, dass Sie die Einwilligung des Nutzers einholen müssen, bevor Sie ihre persönlichen Daten sammeln. Außerdem wäre es hilfreich, wenn Sie aufzeichnen, wie, wann und was jedem Benutzer über die Einwilligung mitgeteilt wurde. Wiederum kann der Benutzer jederzeit den Widerruf seiner Einwilligung verlangen.
Datenlöschung
Gemäß der DSGVO hat jede Person das Recht, die Löschung ihrer sensiblen Daten durch eine Bank oder eine andere Finanzinstitution zu verlangen. Auch die Daten, die ein Finanzunternehmen mit einem anderen Drittanbieterunternehmen geteilt hat. Aus diesem Grund müssen alle Finanzunternehmen zuverlässige Dateninventare und -verfolgungen einsetzen, um auf Anfrage die sensiblen Daten der Benutzer schnell und effizient zu entfernen.
Datenverletzungen
Die DSGVO verhängt schwere Strafen bei Datenverletzungen. Und unter einer Datenverletzung verstehen sie jeden Fall eines Sicherheitsvorfalls, der zur Zerstörung, Veränderung, zum Verlust, Zugriff oder zur Offenlegung personenbezogener Daten eines Benutzers führt. Im Falle eines solchen Vorfalls haben Sie nur 72 Stunden Zeit, den Regulierungsbehörden darüber zu informieren.
Datenschutz durch Technikgestaltung
Gemäß diesem Punkt der DSGVO für Finanzinstitute muss der Datenschutz das Fundament jeder Geschäftspolitik, Operation oder Projekt sein. Dies bedeutet auch, dass das Unternehmen vollständig für die Einhaltung und den Datenschutz verantwortlich ist und genau zeigt, wie sie konform sind, nicht nur berichten. Andernfalls können Sie mit 4% des globalen Umsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) bestraft werden.
Anbietermanagement
Wie in vielen anderen Branchen ist Daten die Grundlage jeder Finanzorganisation und wird über viele Apps und Softwarelösungen geteilt. Daher ist die Schaffung eines robusten und transparenten Prozesses darüber, wie externe Anbieter mit den Daten von Kunden umgehen müssen, von entscheidender Bedeutung.
Datenschutzbeauftragter (DSB)
Wenn eine Finanzorganisation große Datenbestände privater Daten verwaltet, ist es wahrscheinlich erforderlich, einen DSB einzustellen. Ihre Hauptaufgaben umfassen:
- Erstellung und Verwaltung von Datenschutzrichtlinien und -aktivitäten;
- Empfehlungen und Bewertungen zur Verbesserung von Datenschutzmaßnahmen geben;
- Mitarbeiter schulen;
- Interne Audits durchführen.
Die Einhaltung der DSGVO und anderer Finanzvorschriften
Zweifellos gibt es mehrere Anforderungen der DSGVO, die von Finanzorganisationen in kurzer Zeit umgesetzt werden müssen. Ja, alles manuell zu erledigen, ist eine Herausforderung. Mit einer automatisierten Lösung würde das jedoch kinderleicht.
Heutzutage gibt es zahlreiche Lösungen, die Ihrem Finanzunternehmen helfen, DSGVO-konform zu bleiben. Wenn Sie beispielsweise den Zendesk-Support verwenden, können Sie die GDPR Compliance-App ausprobieren. Diese praktische Lösung verfügt über alle erforderlichen Funktionen, um die Daten Ihrer Kunden sicher zu halten:
- Entfernen Sie alle persönlichen Daten des Benutzers und behalten Sie wertvolle Informationen über die Person bei. Außerdem erstellen Sie eine eindeutige ID zur Identifizierung eines Benutzers.
- Keine mühsame manuelle Arbeit. Laden Sie automatisch alle erforderlichen Informationen zu Ihren Kunden und Tickets in eine CSV-Datei herunter.
- Löschen Sie vollständig die Daten der Benutzer und Tickets aus Ihrem Zendesk mit nur wenigen Klicks.
- Bearbeiten Sie mühelos einzelne oder Gruppendaten, indem Sie Listen mit zahlreichen Filtern erstellen.
- Bei Premiumzugriff können Sie den Zeitpunkt planen, zu dem Sie die Daten des Benutzers löschen oder Tickets anonymisieren möchten, die sich auf einen bestimmten Benutzer beziehen. Sie können auch Ihre eigenen Automatisierungsregeln anpassen und auswählen, was am besten zu Ihnen passt.
- Sie können mit Hilfe der GDPR Compliance-App nicht nur Benutzer, sondern auch die gesamte Organisation löschen. Einfach ausgedrückt, löschen Sie sie einzeln oder in großen Mengen.