Bei den Banken türmen sich die IT-Projekte – und mit der Novelle der EU-Datenschutzverordnung gesellt sich nun eines dazu, das es in seiner Komplexität in sich hat, ist dieses doch mit allen anderen digitalen und regulatorischen Initiativen verknüpft. Und da keine zwölf Monate bis zur vollen Umsetzung verbleiben, müssen die Banken das Projekt jetzt beherzt angehen.Von Björn Godenrath, FrankfurtDas Rad der Regulierung dreht sich stetig weiter und beschert den Banken per 25. Mai 2018 den nächsten großen Brocken. Denn in knapp einem Jahr endet die Umsetzungsfrist für die EU-Datenschutz-Grundverordnung (DSGVO/GDPR), ab dann müssen die Banken compliant sein mit den Vorschriften, welche eine Richtlinie von 1995 ablösen, die national mitunter unterschiedlich umgesetzt wurde. Dieser Spielraum ist nun begrenzt, auch wenn noch speziellere Regelungen auf nationaler Ebene möglich sind. In Deutschland werden wesentliche Vorgaben zum Datenumgang bislang vom Bundesdatenschutzgesetz (BDSG) gemacht. Die Vier-Wochen-FristFür Industrie und Finanzwirtschaft tickt nun die Uhr für den EU-weit einheitlichen Umgang mit personenbezogenen Daten, denn die Nutzer erhalten mehr Rechte und Selbstbestimmung im Datenverkehr. Die Vorgaben der Verordnung fehlerfrei umzusetzen ist dabei keine triviale Aufgabe. “Das ist besonders für die Finanzindustrie ein Problem, denn die Banken haben eine unglaublich heterogene IT-Landschaft mit vielen Altsystemen. Und wenn eine Bank auf mehr als 100 IT-Systemen personenbezogene Daten hat, kann es schwierig sein, dem unverzüglichen Kundenrecht auf Löschung seiner Daten gerecht zu werden. Dafür gilt eine Frist von etwa vier Wochen”, erklärt Bernhard Gehra, Partner bei der Boston Consulting Group.Seiner Ansicht nach ist es fünf vor zwölf, wollen die Banken fristgemäß die Prozesse aufgesetzt haben. “Zwölf Monate ist nicht viel Zeit für IT-Projekte in Banken, von denen sie mit Mifid II, IFRS 9 und PSD 2 einige haben – plus allgemeine Digitalisierungsprojekte, deren Kernidee die Nutzung von Daten ist.” Und das potenziert dann die Herausforderung einer parallel umzusetzenden Datenschutzverordnung, die überall mit hineinspielt. Gehra zufolge ist deren Implementation “umfangreich und teuer”, in einer Großbank komme als Minimum ein zweistelliger Millionenbetrag zusammen. Und wer schludert und damit Verstöße begeht, dem drohen heftige Bußgelder: Bis zu 20 Mill. Euro für natürliche Personen (bei einer Ordnungswidrigkeit alle an dem Vergehen beteiligten Entscheidungsträger) sowie bis zu 4 % des Konzernumsatzes – das kann sich dann zu einem dreistelligen Millionenbetrag summieren. Es lauern StolpersteineUnd Stolpersteine gibt es reichlich. So muss mit dem inzwischen voll digital möglichen Kontowechsel wirklich alles raus sein bei der alten Bank. Gehra warnt, dass sämtliche Klageanwälte schon bereitständen, sollten Unfälle passieren. Um so dringender ist es für die Institute, sich zu wappnen und neben der reinen IT-Seite auch das operative Zielmodell auf die erhöhten Anforderungen der DSGVO auszurichten.Gehra zufolge wird mit der Umsetzung der Verordnung im Unternehmen die Rolle des Datenschutzbeauftragten gestärkt. Seine Kompetenzen müssten von der Bank neu definiert werden, also was für Schnittstellen zu anderen Bereichen bestehen und wer damit für was verantwortlich ist. Denn häufig gebe es noch einen Chief Digital Officer oder einen Chief Data Officer – wie diese Rollen untereinander definiert werden, dazu müssten sich Banken heute schon Gedanken machen. Denn erst wenn das Einsatzgebiet und damit das Mandat des Datenschutzbeauftragten definiert ist, bestehe eine sinnvolle Verantwortungsabgrenzung. Diese Mandatsklärung sei auch wichtig für die gesamte Banksteuerung, sagt Gehra.Auch wenn die Banken bereits über Compliance-Kosten stöhnen, käme mit der Datenschutzverordnung jetzt noch mal einiges dazu. Da es bislang typischerweise recht kleine Einheiten seien, müssten Banken nun Mitarbeiter im Datenschutz aufbauen. So seien zum Beispiel auch KYC-Systeme (Know Your Customer, KYC) betroffen und all diese Fragen landeten dann “in Abteilungen mit drei bis vier Leuten”.Dabei zeigt sich schon jetzt, dass die Verordnung in ihrer Umsetzung Probleme verursacht. Das wurde zuletzt deutlich beim Streit um ein Kapitel der PSD2, das Screen Scraping. Dabei geht es um das maschinelle Auslesen von Kontodaten durch Fintechs. Das sollte der regulatorischen Vorgabe zufolge eigentlich begrenzt werden und nur noch über eine dezidierte Schnittstelle mit geringerem Zugang zum Datenschatz der Banken erlaubt werden – bis sich die EU-Kommission kürzlich auf die Seite der Fintechs schlug und nun das volle Aufdrehen des Datenhahns über eine zusätzliche Schnittstelle befürwortet. Der European Banking Federation (EBF) zufolge ist aber nur der ursprüngliche technische Regulierungsstandard voll konform mit der EU-Datenschutzverordnung. Die Fintech-Lobby hingegen vertritt die Ansicht, die EU-Datenschutz-Grundverordnung lege vor allem fest, dass die Kontrolle über Daten beim Kunden selbst liegen müsse – und das sei gewährleistet, erfordere der Zugang zu Kundendaten doch immer die Zustimmung des Kontoinhabers. Zu allgemein formuliertEs ist kompliziert. “Das Gesetz hat nicht zur Präzisierung beigetragen”, kritisiert Gehra. Es gebe mehr als ein Dutzend Beispiele aus der Praxis analog zum Screen Scraping. Auch der Digitalverband Bitkom bemängelte bereits, dass viele Regeln für ihre praktische Umsetzung zu allgemein formuliert seien. Damit seien in der Anfangszeit der Umsetzung gewisse Rechtsunsicherheiten unvermeidlich. So wie es aussieht, reiht sich die EU-Datenschutzverordnung ein in den üblichen Umsetzungssalat.