Aus Feh­lern ler­nen: 3 Tipps zum Daten­schutz im Finanzsektor

Der Schutz von ver­trau­li­chen Infor­ma­tio­nen und Kun­den­da­ten ist in der Finanz­bran­che essen­zi­ell. Neben einer kla­ren Kun­den­er­war­tung müs­sen Unter­neh­men ins­be­son­de­re die stren­gen Anfor­de­run­gen der Datenschutz-Grundverordnung (DSGVO) erfül­len. Unse­re Erfah­run­gen und die Tätig­keits­be­rich­te der Daten­schutz­auf­sichts­be­hör­den zei­gen, dass das nicht immer ein­fach ist. In die­sem Arti­kel infor­mie­ren wir über die drei häu­figs­ten Daten­schutz­ver­stö­ße in der Finanz­bran­che und geben Tipps, wie die­se ver­mie­den wer­den können:

1. Fehl­ver­sand von Kun­den­an­schrei­ben oder Kon­to­aus­zü­gen
   Zu die­sem Feh­ler kön­nen wohl vie­le aus eige­nen Erfah­run­gen berich­ten: Eine kur­ze Unacht­sam­keit und schon wur­de die E‑Mail an den fal­schen Adres­sa­ten ver­sandt. Es ist daher nicht ver­wun­der­lich, dass der Fehl­ver­sand von Kun­den­an­schrei­ben, aber auch Kon­to­aus­zü­gen zu den häu­figs­ten Daten­schutz­ver­stö­ßen in der Finanz­bran­che zählt. Abhil­fe kön­nen ins­be­son­de­re tech­ni­sche Maß­nah­men schaf­fen: Um den Fehl­ver­sand zu ver­mei­den, kann bei­spiels­wei­se ein Warn­hin­weis im Fal­le einer Viel­zahl von Emp­fän­gern, eine Auf­for­de­rung zur Über­prü­fung der Adres­sa­ten oder ein tech­ni­sches Frei­ga­be­er­for­der­nis ein­ge­führt werden.
2. Unbe­fug­te Zugrif­fe auf Kun­den­da­ten durch Beschäf­tig­te
   Daten­schutz­ver­stö­ße fol­gen häu­fig auch aus dem unbe­fug­ten Zugriff auf Kun­den­da­ten durch Beschäf­tig­te eines Kre­dit­in­sti­tuts. Die Daten­schutz­auf­sichts­be­hör­den berich­ten regel­mä­ßig von Fäl­len, in denen Beschäf­tig­te – sei es auf­grund einer per­sön­li­chen Ver­bin­dung oder „rein inter­es­se­hal­ber“ – ohne geschäft­li­chen Grund auf Kun­den­da­ten wie bei­spiels­wei­se Kon­to­in­for­ma­tio­nen zugrei­fen. Zur Ver­mei­dung ent­spre­chen­der Ver­stö­ße kommt – neben orga­ni­sa­to­ri­schen Vor­ga­ben – ins­be­son­de­re die Ein­füh­rung eines Berech­ti­gungs­kon­zepts in Betracht. Dar­in wer­den die Zugriffs­be­rech­ti­gun­gen anhand von Kate­go­rien fest­ge­legt und die­se auf das jeweils erfor­der­li­che Mini­mum redu­ziert. Zugleich soll­te eine nach­voll­zieh­ba­re Pro­to­kol­lie­rung von Zugrif­fen ein­ge­rich­tet und stich­pro­ben­ar­tig über­prüft werden.
3. Unzu­rei­chen­des Manage­ment von Aus­kunfts­er­su­chen
   Wie in sämt­li­chen Bran­chen neh­men auch in der Finanz­bran­che Aus­kunfts­er­su­chen von Kun­den zu. Schwie­rig­kei­ten berei­tet oft die frist­ge­rech­te und voll­stän­di­ge Beant­wor­tung des Ersu­chens. Nicht sel­ten ver­ste­hen Kun­den das Aus­kunfts­er­su­chen als „kos­ten­lo­sen (zwei­ten) Kon­to­aus­zug“. Wäh­rend die baye­ri­sche Daten­schutz­auf­sichts­be­hör­de dies­be­züg­lich die Auf­fas­sung ver­tritt, dass ledig­lich der rei­ne Infor­ma­ti­ons­ge­halt mit­zu­tei­len ist, hat das OLG Mün­chen ent­schie­den , dass der Betrof­fe­ne einen Anspruch auf Über­las­sung der Infor­ma­tio­nen in der Form hat, wie sie dem Ver­ant­wort­li­chen vor­lie­gen. Für die Beant­wor­tung von Aus­kunfts­er­su­chen soll­te in Pro­zes­sen die gesam­te Bear­bei­tung des Ersu­chens von des­sen Ein­gang bis zu des­sen Beant­wor­tung inklu­si­ve inter­ner Zustän­dig­kei­ten fest­ge­legt werden.

Fazit

Unse­ren Erfah­run­gen zufol­ge ist die Finanz­bran­che in Bezug auf die Ein­hal­tung daten­schutz­recht­li­cher Vor­ga­ben ins­ge­samt bereits gut auf­ge­stellt. Wie die Ent­schei­dun­gen von Daten­schutz­auf­sichts­be­hör­den und Gerich­ten deut­lich machen, unter­lau­fen den­noch immer wie­der Feh­ler, wel­che – nicht zuletzt auf­grund der hohen Erwar­tun­gen der Kun­den – in der Regel beson­ders schwer wie­gen. Es lohnt sich daher, aus bekann­ten Feh­lern zu ler­nen und geeig­ne­te Maß­nah­men zur Ver­mei­dung ent­spre­chen­der Ver­stö­ße vorzusehen.