Warum die DSGVO ein Stolperstein für Banken und Versicherer ist … oder eben doch nicht

Häufig wird bei Unter­nehmens­beratungen von Wett­bewerbs­vorteilen durch die DSGVO gesprochen. Doch ist das wirklich so oder ist diese Phrase genauso inhaltsleer wie ein potenzieller positiver Wettbewerbseffekt?
Verschiedenste Studien vertreten dabei ein einheitliches Bild: Die DSGVO stellt Banken und Versicherer vor eine Zerreißprobe.

von Ferris Imken, Data Protection Consultant bei Keyed

Nach einer Studie von Bitkom Research wird das Datenschutzrecht seit der Einführung der DSGVO im Mai 2018 eher als Stolperstein wahrgenommen. So hemmen die rechtlichen Anforderungen aus Sicht der Arbeitgeber die Innovation im Unternehmen, erschweren die Krisenbewältigung in Zeiten der Corona-Pandemie und kosten vor allem Ressourcen in Form von Geld, Kapazitäten und Nerven. Erschwerend hinzu kommt, dass die Einhaltung der Vorgaben den Vertrieb neuer Produkte und Dienstleistungen enorm verzögern kann.

So führt bei 87 Prozent der Befragten, laut einer Datenschutz-Benchmark-Studie von CISCO (Link) aus dem Jahre 2019, die Berücksichtigung der DSGVO branchenunabhängig zu enormen Vertriebsverzögerungen von bis zu sechs Wochen.”

Da ist es nicht verwunderlich, dass auch nach der Studie von Bitkom Research (Link) 89 Prozent der befragten Arbeitgeber nicht an die vollständige Umsetzbarkeit der Anforderungen der DSGVO glauben. Vieles spricht demnach für die DSGVO als Stolperstein.

Dabei sind Synergieeffekte vorhanden! Es ist dabei, wie in so vielen Dingen: Wer seine Sache besser macht als sein Wettbewerber, der hat einen Vorteil. So ist es auch im Datenschutzrecht. Wer die Grundlagen wie z.B. technische und organisatorische Maßnahmen (TOM) nach den aktuell geltenden technischen Standards umsetzt und Datenkraken wie beispielsweise Facebook, Google und Microsoft kritisch hinterfragt, kann schon viel richtig machen. Da der Teufel jedoch meist im Detail steckt und Sachverhalte nicht immer einfach einzuordnen sind, kann gerade in Fällen der datenschutzrechtlichen Dokumentation oder im Rahmen verschiedenster Projekte externe Expertise notwendig sein. Bis dahin lassen sich jedoch nicht nur eigenständig Wettbewerbsvorteile erzielen, sondern auch Stolpersteine vermeiden.

Als digitaler Partner in der Versicherungs- und Bankenbranche können Sie mit einer guten datenschutzrechtlichen Grundlage die häufig auftretenden Auskunftsersuchen von Betroffenen zügig bearbeiten, die Kundenabwicklung verbessern und so gegenüber der Konkurrenz Vertriebspotenziale effizient ausschöpfen.”

Schließlich sind gerade in Finanz- und Versicherungsangelegenheiten Kunden stets darauf bedacht, dass ihre Finanzlage und Lebensumstände weitestgehend im eigenen Machtbereich verbleiben. Hierbei kann eine offenkundige Expertise im Datenschutz und der Datensicherheit das Kundenvertrauen in die angebotenen Produkte und Dienstleistungen verbessern sowie als i-Tüpfelchen in der Neukundengewinnung eingesetzt werden. Eine umfangreiche Berichterstattung wegen aufgetretener Datenpannen wie im Falle der Digitalbank N26 im Herbst 2019 (Link) können so in den meisten Fällen ebenfalls verhindert werden.

Technische und organisatorische Maßnahmen (TOM)

TOM kön­nen für die Ver­mei­dung von Stol­per­stei­nen ei­ne wich­ti­ge Rol­le spie­len. Da­bei han­delt es sich im We­sent­li­chen um Maß­nah­men, die die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen schüt­zen sol­len. Be­son­ders die tech­ni­schen Maß­nah­men kön­nen zur Da­ten­si­cher­heit bei­tra­gen. Aber auch bei der Ent­wick­lung von neu­en Pro­duk­ten oder Dienst­leis­tun­gen kann ei­ne früh­zei­ti­ge Ein­be­zie­hung der DSGVO sinn­voll sein. Ge­meint ist der Grund­satz “Da­ta Pri­va­cy by De­sign and De­fault”. Dem­nach ist es bei der Ent­wick­lung neu­er Pro­duk­te und Dienst­leis­tung wich­tig, die da­ten­schutz­recht­li­chen An­for­de­run­gen von Be­ginn bis zum an­schlie­ßen­den Ver­trieb um­fas­send zu be­rück­sich­ti­gen. Hier­bei gilt es si­cher­zu­stel­len, dass be­reits im Ent­wick­lungs­pro­zess die An­for­de­run­gen der DSGVO be­rück­sich­tigt (Da­ta Pri­va­cy by De­sign) und da­ten­schutz­freund­li­che Vor­ein­stel­lun­gen für den End­nut­zer vor­ge­nom­men wur­den (Da­ta Pri­va­cy by De­fault). Da­zu kann ei­ne funk­tio­nie­ren­de tech­ni­sche In­fra­struk­tur, aber auch ein ent­spre­chen­des UX-De­sign bei­tra­gen. Bei­spie­le für ge­eig­ne­te TOM sind z.B. die Pseud­ony­mi­sie­rung/An­ony­mi­sie­rung von Da­ten, in­di­vi­dua­li­sier­ba­re Be­rech­ti­gungs­kon­zep­te, ei­ne Mul­ti-Fak­tor-Au­then­ti­fi­zie­rung, die Wahl ei­nes eu­ro­päi­schen Ser­ver­stand­or­tes oder Fern­war­tungs-Richt­li­ni­en. Fer­ner sind auch Ein­stel­lungs­mög­lich­kei­ten der Ein­wil­li­gun­gen oft von Nut­zern (als Self­ser­vice) ge­wünscht. Hier­mit kann man die da­ten­schutz­recht­li­chen An­for­de­run­gen an ei­ne frei­wil­li­ge Ein­wil­li­gung er­fül­len und glei­cher­ma­ßen den An­sprü­chen der Nut­zer ge­recht wer­den. Ins­be­son­de­re Ver­si­che­rungs- und Fi­nanz­un­ter­neh­men be­nö­ti­gen oh­ne­hin Ein­wil­li­gun­gen, so­bald Pro­filing aus­ge­übt wird oder be­son­de­re Ka­te­go­ri­en per­so­nen­be­zo­ge­ner Da­ten ver­ar­bei­tet wer­den (z.B. Gesundheitsdaten).

Die Wahl des richtigen Dienstleisters

Im Geschäftsverkehr ist es zudem nicht unüblich, sich eines Dienstleisters zu bedienen, um sich ressourcenschonend auf die eigene Kernkompetenz zu konzentrieren. Dabei können Sie entweder selbst dieser Dienstleister sein oder einen solchen beauftragten.

Auch hier sollten Sie aus Sicht des Datenschutzes stets gut aufgestellt sein. Es sollte Ihnen bei der Prüfung vor einer Beauftragung auffallen, ob der Dienstleister seine Pflichten nach der DSGVO ernst nimmt und auf Ihre Fragen antworten kann.”

Gleichzeitig sollten Sie als Dienstleister die relevanten Fragen bereits beantwortet wissen, bevor diese gestellt wurden. Als Verantwortlicher der Datenverarbeitung drohen sonst im Zweifel erhebliche Bußgelder, bei denen auch ein beauftragter Dienstleister entlang der Weisungskette haftbar gemacht werden kann. Folglich sollte im Wege der sogenannten Auftragsverarbeitung ein vernünftiger Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, der dem Regelungsinhalt des Art. 28 Abs. 3 DSGVO entspricht. Zudem sollten TOM-Listen in den AVV einbezogen werden und abhängig von der jeweiligen Art der verarbeitenden Daten weitere Maßnahmen getroffen werden. Weiterhin ist stets darauf zu achten, wo ein eingesetzter Dienstleister seinen Sitz hat und wohin Ihre personenbezogenen Daten letztendlich übermittelt werden. Häufig werden Sie mit dem Thema der Drittlandsübermittlung bei Audits, bei Auskunftsersuchen von Betroffenen oder bei Behördenanfragen konfrontiert. Es empfiehlt sich im Vorhinein die Rechtsgrundlage (Angemessenheitsbeschluss oder eine geeignete Garantie gem. Art. 45-46 DSGVO) zu kennen bzw. entsprechende Vorkehrungen getroffen zu haben.

Ist die Berücksichtigung dieser kleinen Dinge somit ein Erfolgsgarant für die versprochenen Wettbewerbsvorteile? Leider nicht. Denn es kommt nicht nur auf das ‘ob’, sondern auch auf das ‘wie’ an. Dies bedeutet im Umkehrschluss, dass bei einer Umsetzung der datenschutzrechtlichen Anforderungen durchaus erhebliche Qualitätsunterschiede möglich sind. Sofern Sie die richtigen Rückschlüsse aus dem eben Gesagten ziehen, sind Qualitätsunterschiede in Ihrem Produkt oder Ihrer Dienstleistung gegenüber dem Wettbewerb nicht unmöglich. Sie können nur eben nicht garantiert werden. Was jedoch eine gewisse Garantie bietet, ist die Tatsache, dass jede Einbeziehung einer datenschutzrechtlichen Sichtweise in Entscheidungsprozesse ein wichtiger Schritt ist und Stolpersteine vermeiden kann.

Es lässt sich demgemäß sagen, dass die DSGVO nur ein Stolperstein der Unternehmen ist, die ihre gesetzliche Verpflichtung ignorieren. Für alle darüber hinaus betroffenen Unternehmen ist es eine Chance, die es zu ergreifen gilt und zu Wettbewerbsvorteilen führen kann.”

Am Ende liegt es an einem selbst, dass beste aus dem nicht Veränderbaren zu machen. Entziehen kann sich der datenschutzrechtlichen Verantwortung schlussendlich niemand. Profitieren können alle!Ferris Imken, Keyed