Im Schatten der PSD2 (Payment Services Directive), welche auch in der Schweiz, vor allem wegen der geforderten Öffnung der Bankkonten für Drittanbieter, eine gewisse Aufmerksamkeit auf sich ziehen konnte, ging eine ebenso bedeutende EU-Verordnung fast in Vergessenheit. Die Rede ist von der Datenschutzgrundverordnung (DSGVO), auch bekannt in Englisch als General Data Protection Regulation (GDPR). Diese Verordnung wird im Mai 2018 für alle EU-Mitgliedsländer in Kraft treten.
Alle Organisationen, die in Europa aktiv sind, müssen der GDPR entsprechen. Dies umfasst auch jene Organisationen ohne Niederlassung in der EU, die Güter und Dienstleistungen an Personen in der EU anbieten. Die GDPR enthält eine Reihe neuer Regeln, die von Unternehmen fordern, ihre Systeme und Prozesse für den Datenschutz erneut zu überprüfen und zu aktualisieren. Dazu gehören insbesondere personenbezogene Daten, die sich auf identifizierte oder identifizierbare natürliche Personen, sog. Datensubjekte, beziehen.
Es stellt sich wie bei der PSD2 die Frage, inwieweit hiesige Firmen (in unserem Blog in erster Linie Finanzinstitute) von der Regulation betroffen sind. Die Verordnung verlangt u.a. folgendes:
- Analysiert der Betreiber einer Website das Nutzerverhalten seiner Besucher, ist er verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen
- Die Einwilligung zur Erhebung von Nutzerdaten muss unmissverständlich und klar sein (ein Hinweis in den AGBs reicht nicht aus)
- Ein europäischer Kunde kann künftig von einem Schweizer Anbieter verlangen, dass dieser seine Kundendaten löscht ("Recht auf Vergessen")
- Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet sich der Verantwortliche unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde
Obige Punkte treffen mit Sicherheit bei allen Onlinebanking-Lösungen zu. Ist es doch schon seit langem Usus von einem identifizierten, eingeloggten Bankkunden sein Verhalten während seiner Session zu loggen und in der Folge auszuwerten. Generell steigert sich aktuell bei den Finanzinstituten der Appetit auf Sammlungen nach noch persönlicheren Kundendaten. Natürlich immer im Sinne des Kunden für die Unterbreitung von noch besser zugeschnittenen Angeboten. Bei all diesen Aufzeichnungen und Auswertungen sollten die GDPR-Anforderungen in Zukunft miteinbezogen werden, um im Schadensfall nicht auf dem falschen Fuss erwischt zu werden.
Sollte ein Schadensfall eintreten, kann es für den Verursacher teuer werden. Gemäss der Verordnung kann bei einem eingetretenen Ereignis die betroffene Firma mit bis zu vier Prozent vom Jahresumsatz oder bis zu zwanzig Millionen EUR gebüsst werden. Das sind natürlich konkrete finanzielle Risiken, welche in das Risiko-Management jeder Bank einfliessen sollten. Daneben sollten alle IT-Systeme inventarisiert und analysiert werden, welche personenbezogene Daten aufzeichnen.
Eine anschliessende Einfluss-Analyse in Bezug auf die GDPR-Anforderungen verschafft Klarheit über den jeweiligen Handlungsbedarf. Idealerweise erfolgt die Identifizierung von Lösch-, Sperr- bzw. Pseudonymisierungs-Kandidaten regelmässig und automatisiert, inklusive Bereitstellung eines angepassten Berichtwesens über gelöschte und zur Löschung anstehende Daten. Hier setzt das Lösungspaket von ACTICO und PPI an – eine kürzlich erfolgreich ins Leben gerufene Kooperation für den Bereich Datenclearing.
Auf dem Finanzplatz Schweiz hört man aktuell wenig zur EU-Verordnung. Namhafte lokale Wirtschaftskanzleien weisen auch darauf hin, dass die hiesigen Gesetze vergleichbar mit den GDPR-Anforderungen seien und im Prinzip kein grosser Handlungsbedarf bestehe. Nichtsdestotrotz stellt sich die Frage, ob im Fall einer Klage (z.B. eines Kunden aus einem EU-Land) die bestehenden IT-Systeme alle Anforderungen zu erfüllen in der Lage sind und alle Prozesse adäquat funktionieren.
Mehr Infos zum Thema und zur Kooperation von ACTICO und PPI finden Sie hier.
Dieser Blog wurde von Carsten Miehling gepostet.
#Regulierung, #GDPR, #PSD2, #DSGVO, #PPI, #ACTICO