Finanzwirtschaft in der Cloud? Allgemeine Verunsicherung …
Nach und nach finden auch immer mehr Banken und Versicherungen den Weg in die Cloud. Aber dort angekommen, wartet ein Problem: Wer als europäisches Unternehmen personenbezogene Daten an US-Provider gibt, verlässt rechtssicheren Boden. Die Politik sucht bereits Lösungen: Die neueste ist das Trans-Atlantic Data Privacy Framework. Ob es vor dem EuGH besteht und wie Finanzfirmen ihre Daten schützen können, weiß Daniel Wagenknecht, KPMG-Partner im Bereich Financial Services.
von Daniel Wagenknecht, KPMG
Die Mühlen der Finanzwelt mahlen manchmal etwas langsamer. So zum Beispiel beim Thema digitale Transformation. Doch obwohl es ein bisschen gedauert hat, schieben im Schatten der Gesamtwirtschaft auch immer mehr Banken und Versicherungen ihre Prozesse in die Cloud. Die Euphorie in der Welt der Geldunternehmen war nie größer. Acht von zehn Firmen setzen bereits auf diese innovative Technologie, das hat der Cloud-Monitor Financial Services von KPMG erst jüngst im August ermittelt. Mit zwölf Prozentpunkten haben sich im vergangenen Jahr sogar mehr Finanzdienstleister für den Schritt in die Cloud entscheiden als in der Gesamtwirtschaft. Das Ende der Fahnenstange ist damit noch nicht erreicht, denn 14 Prozent der befragten Unternehmen planen bereits ihren Weg in die Wolken.Bei all der Euphorie schwingt aber auch eine gewisse Verunsicherung mit. In der Regel der Hauptgrund dafür, warum sich die Finanzwelt schwertut mit weitreichenden Veränderungen. Gerade, wenn sie so disruptiv sind wie jene, die die Digitalisierung mit sich bringt. Aber dafür gibt es eine einfache Erklärung:
Kaum eine andere Branche sieht sich derart vielen Compliance-Vorschriften ausgesetzt oder muss sich Prüfungen unterziehen, wie die Finanzwirtschaft. Gleichzeitig sind Sicherheitslücken oder Compliance-Vorfälle ein echter Reputationskiller in einem Geschäftsfeld, in dem Vertrauen und Verlässlichkeit eine große Rolle spielen.”
Deshalb zeigen sich manche Finanzunternehmen bei Digitalisierungsvorhaben auch zurückhaltender.
Compliance und Sicherheit: Woran es beim Cloud-Computing fehlt
Der Cloud-Monitor bestätigt diesen Eindruck. So berichten fast zwei Drittel aller befragten Finanzunternehmen und damit mehr als in der Gesamtwirtschaft, bei der Integration der Technologie auf Probleme in Sachen Sicherheit und Compliance gestoßen zu sein. Mit 90 Prozent ist die Anzahl derer, denen Vertrauen in Sicherheit und Compliance bei den Providern besonders wichtig ist, auch entsprechend hoch. Um ihnen den Start in die Cloud zu erleichtern, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindestanforderungen an sicheres und regelgerechtes Cloud-Computing definiert und im Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue) aufgenommen. Auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) greift auf die Kriterien zurück. Sie sind eine nützliche Hilfe, aber sie ändern wenig an der grundsätzlichen Unsicherheit.
Diese Verunsicherung rührt auch daher, dass ein gesetzlicher Rahmen für den Datentransfer in Drittländer fehlt. Denn seit der Europäische Gerichtshof (EuGH) das sogenannte Data Privacy Shield, ein Abkommen zwischen Europäischer Union (EU) und den USA, gekippt hat, ist eine Rechtsgrundlage für den Datentransfer zwischen EU-Firmen und den Clouds der großen US-amerikanischen Anbieter in die Ferne gerückt. Das heißt im Klartext:
Wer seine personenbezogenen Daten in die Hände von US-Providern gibt, betritt eine rechtliche Grauzone. Das ist problematisch, schließlich haben die Marktführer für Cloud-Computing, Firmen wie Google, Microsoft und Amazon, ihren Sitz in Übersee.”
Auf der anderen Seite sind gerade die Kundendaten von Banken oder Versicherungen besonders sensibel, das Risiko daher besonders hoch und Verstöße deshalb auch sehr teuer. Denn wer gegen Datenrecht verstößt, riskiert hohe Geldstrafen von bis zu 20 Millionen Euro.
Hoffnung am Horizont: Trans-Atlantic Data Privacy Framework
Autor Daniel Wagenknecht, KPMGDaniel Wagenknecht ist Partner bei KPMG (Webseite) im Bereich Financial Services (im Bereich Banken und Versicherer bei IT-Management-Themen). Nach Stationen als Senior Management Consultant für IT Solutions and Services bei Siemens und Atos, stieß er bereits in 2012 zur KPMG (Schwerpunkt Sourcing & Cloud-Beratung, Auswahl passender Dienstleister, Vertragsgestaltungen, Konzeptionierung und Aufbau des Sourcing Managements). Er studierte Bachelor of Computer Science an der Universität Paderborn und hat einen Master in Accounting & Finance an der Hochschule für Ökonomie und Management berufsbegleitend abgeschlossen. Zudem ist er zertifizierter Professional Scrum Master und Product Owner und hat diverse fachliche Zertifikate zu Projektmanagement und technologischen Themen erlangt.
Ist der Traum von der „Wolke“ für Finanzfirmen damit also schon ausgeträumt? Nein, es gibt durchaus Grund zur Zuversicht. Denn die Absage des EuGHs an das Data Privacy Shield war lange noch kein Grund für die EU und die USA, ihre Gespräche zu beenden. Schließlich sind beide Wirtschaftsräume an einer Lösung interessiert: Die USA will den heimischen Unternehmen das Geschäft mit EU-Kunden nicht verbauen, da es zu Umsätzen und damit zu Steuereinnahmen führt. Gleichzeitig will Europa seiner Wirtschaft keinen Nachteil im internationalen Wettbewerb verschaffen, indem sie ihnen den Zugang zu digitalen Lösungen beschränkt. Deshalb haben EU-Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden erst im Frühjahr 2022 ein neues Abkommen angekündigt: das Trans-Atlantic Data-Privacy Framework. Aber wird damit alles besser?
Diese Frage lässt sich so einfach nicht beantworten. Zu groß sind die Einschnitte, die im US-amerikanischen Datenrecht nötig wären. Denn die unterschiedlichen Standards für den Schutz personenbezogener Daten waren auch die Ursache dafür, warum der EuGH das Privacy Shield gekippt hat. So sind laut Datenschutz-Grundverordnung (DSGVO) sämtliche Datentransfers in ein Land außerhalb der EU reglementiert. Zudem nehmen es die USA mit dem Datenschutz nicht ganz so genau. Größter Streitpunkt ist der sogenannte „Patriot Act“. Ein Gesetz, das es etwa Geheimdiensten erlaubt, auf Unternehmensdaten zuzugreifen. Das ist mit EU-Recht nicht in Einklang zu bringen. Dieses Eingriffsrecht auf ein notwendiges Maß zu begrenzen, ist deshalb auch Bestandteil des neuen Data-Privacy Framework.
Bis es Banken und Finanzunternehmen endgültig Rechtssicherheit bietet, ist es jedoch noch ein weiter Weg. Denn bisher ist das Framework nichts als eine Absichtserklärung.”
Damit aus der Absprache eine rechtlich bindende Vereinbarung wird, muss die Europäische Kommission eine Exekutiventscheidung, also einen sogenannten Angemessenheitsbeschluss, treffen. Wann das der Fall sein wird, ist nicht klar. Bis dahin bleibt die allgemeine Verunsicherung.
Schon heute mit (Rechts)Sicherheit in die Cloud
Komplett ohne Rechtssicherheit müssen Banken und Finanzdienstleister auf ihrem Weg in die Cloud allerdings nicht leben. Denn solange es keine allgemein gültige Rechtsgrundlage gibt, können sie auf sogenannte Standardvertragsklauseln setzen. Das sind von der Europäischen Kommission veröffentlichte Vertragsmuster, die den Datentransfer zwischen EU und Drittländern regeln. Weil diese Klauseln aber in der Regel noch nicht genügen, sind darüber hinaus noch angemessene technisch-organisatorische Maßnahmen notwendig, kurz: TOMs. Diese Maßnahmen zielen darauf ab, dass die in der Cloud zu verarbeitenden Informationen zusätzlich vor Zugriffen Dritter geschützt werden; und wenn die Cloudanbieter keinen direkten Zugriff auf die Daten haben, gelingt das den Geheimdiensten typischerweise auch nicht. Das erfüllt damit den Schutzaspekt, an dem das Privacy Shield gescheitert war.
Allerdings gibt es einen entscheidenden Nachteil gegenüber einem Standardwerk:
Denn während etwa die Standardvertragsklauseln wie auch ein generelles Abkommen einfach unverändert angewendet werden können, müssen die TOMs einzeln angepasst werden. Das heißt, jede Bank und jeder Finanzdienstleister, der Cloud-Lösungen nutzen möchte, muss sich individuell Gedanken über passende Maßnahmen machen.”
Das reicht von der Pseudonymisierung und Verschlüsselung der Daten bis hin zur einzelnen Kontrolle, wer auf welche Daten zugreifen darf. So sollte etwa risikoorientiert vom Institut entschieden werden, ob die kryptografischen Schlüssel, also die Zugänge zu den Datensätzen, beim Provider liegen oder ausschließlich auf eigener Infrastruktur verwaltet werden. Je nach Anwendungsfall kann eine der beiden Optionen angewendet werden – mit den entsprechenden Vor- und Nachteilen. Denn bei eigener Verschlüsselung stehen nicht alle Services aus der Cloud vollumfänglich zur Verfügung. Mit verschlüsselten Daten arbeitet es sich eben schlecht.
Wer als Bank oder Finanzdienstleister in die Cloud möchte, kann also bereits jetzt schon umziehen, ohne sich allzu große datenschutzrechtliche Sorgen machen zu müssen – und ohne auf eine generelle Vereinbarung zwischen Europa und den USA warten zu müssen. Einzige Voraussetzung: Das Unternehmen muss sich Gedanken um den Schutz der personenbezogenen Daten – oder besser noch aller schutzbedürftigen Informationen – machen, wenn diese in ein Drittland transferiert werden oder von dort darauf zugegriffen wird. Aber diese Motivation sollte in Zeiten der Digitalisierung ohnehin intrinsisch aus jeder Organisation kommen. Gerade, wenn es sich um so eine vertrauenswürdige Branche wie die der Banken und Versicherer handelt.Daniel Wagenknecht, KPMG
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/145213
Schreiben Sie einen Kommentar