Der Schutz von vertraulichen Informationen und Kundendaten ist in der Finanzbranche essenziell. Neben einer klaren Kundenerwartung müssen Unternehmen insbesondere die strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) erfüllen. Unsere Erfahrungen und die Tätigkeitsberichte der Datenschutzaufsichtsbehörden zeigen, dass das nicht immer einfach ist. In diesem Artikel informieren wir über die drei häufigsten Datenschutzverstöße in der Finanzbranche und geben Tipps, wie diese vermieden werden können:
- Fehlversand von Kundenanschreiben oder Kontoauszügen
Zu diesem Fehler können wohl viele aus eigenen Erfahrungen berichten: Eine kurze Unachtsamkeit und schon wurde die E‑Mail an den falschen Adressaten versandt. Es ist daher nicht verwunderlich, dass der Fehlversand von Kundenanschreiben, aber auch Kontoauszügen zu den häufigsten Datenschutzverstößen in der Finanzbranche zählt. Abhilfe können insbesondere technische Maßnahmen schaffen: Um den Fehlversand zu vermeiden, kann beispielsweise ein Warnhinweis im Falle einer Vielzahl von Empfängern, eine Aufforderung zur Überprüfung der Adressaten oder ein technisches Freigabeerfordernis eingeführt werden. - Unbefugte Zugriffe auf Kundendaten durch Beschäftigte
Datenschutzverstöße folgen häufig auch aus dem unbefugten Zugriff auf Kundendaten durch Beschäftigte eines Kreditinstituts. Die Datenschutzaufsichtsbehörden berichten regelmäßig von Fällen, in denen Beschäftigte – sei es aufgrund einer persönlichen Verbindung oder „rein interessehalber“ – ohne geschäftlichen Grund auf Kundendaten wie beispielsweise Kontoinformationen zugreifen. Zur Vermeidung entsprechender Verstöße kommt – neben organisatorischen Vorgaben – insbesondere die Einführung eines Berechtigungskonzepts in Betracht. Darin werden die Zugriffsberechtigungen anhand von Kategorien festgelegt und diese auf das jeweils erforderliche Minimum reduziert. Zugleich sollte eine nachvollziehbare Protokollierung von Zugriffen eingerichtet und stichprobenartig überprüft werden. - Unzureichendes Management von Auskunftsersuchen
Wie in sämtlichen Branchen nehmen auch in der Finanzbranche Auskunftsersuchen von Kunden zu. Schwierigkeiten bereitet oft die fristgerechte und vollständige Beantwortung des Ersuchens. Nicht selten verstehen Kunden das Auskunftsersuchen als „kostenlosen (zweiten) Kontoauszug“. Während die bayerische Datenschutzaufsichtsbehörde diesbezüglich die Auffassung vertritt, dass lediglich der reine Informationsgehalt mitzuteilen ist, hat das OLG München entschieden , dass der Betroffene einen Anspruch auf Überlassung der Informationen in der Form hat, wie sie dem Verantwortlichen vorliegen. Für die Beantwortung von Auskunftsersuchen sollte in Prozessen die gesamte Bearbeitung des Ersuchens von dessen Eingang bis zu dessen Beantwortung inklusive interner Zuständigkeiten festgelegt werden.
Fazit
Unseren Erfahrungen zufolge ist die Finanzbranche in Bezug auf die Einhaltung datenschutzrechtlicher Vorgaben insgesamt bereits gut aufgestellt. Wie die Entscheidungen von Datenschutzaufsichtsbehörden und Gerichten deutlich machen, unterlaufen dennoch immer wieder Fehler, welche – nicht zuletzt aufgrund der hohen Erwartungen der Kunden – in der Regel besonders schwer wiegen. Es lohnt sich daher, aus bekannten Fehlern zu lernen und geeignete Maßnahmen zur Vermeidung entsprechender Verstöße vorzusehen.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda.