Home » Fachbeiträge » Cloud & Web » Noch immer keine Klarheit für Banken nach Schrems II – Wege aus dem Dilemma

Noch immer keine Klarheit für Banken nach Schrems II – Wege aus dem Dilemma

Um vor datenschutzrechtlichen Schlupflöchern zu schützen, wurde die Zusammenarbeit von europäischen Banken und US-Cloud-Anbietern nach dem Privacy-Shield-Abkommen 2020 gekippt.

5 Min. Lesezeit
Foto ©AdobeStock/thodonal

Um vor datenschutzrechtlichen Schlupflöchern zu schützen, wurde die Zusammenarbeit von europäischen Banken und US-Cloud-Anbietern nach dem Privacy-Shield-Abkommen 2020 gekippt. Seitdem operieren die Banken in einem rechtlichen Graubereich. Eine verzwickte Lage, denn regulatorische Vorsicht kann schnell zu Nachsehen im internationalen Wettbewerb führen. Aber es gibt valide Wege, wie Banken mit der Unsicherheit umgehen und regulatorische Spielräume für sich nutzen können.

Ob für Unternehmen oder Sicherheitsbehörden – Daten sind im Zeitalter der Digitalisierung ein überaus kostbarer Rohstoff. Mit ihrer zunehmenden Speicherung und Verwendung durch Dritte verbinden sich allerdings auch erhebliche Gefahren, etwa für die informationelle Selbststimmung von Bürgern. In Deutschland und Europa ist der Datenschutz deshalb ein besonders hohes Gut, das durch die Verfassung und die Grundrechte-Charta der EU garantiert wird. Ein Privileg, das nicht selbstverständlich ist. So genießen etwa Sicherheitsbehörden in den USA umfassende Zugriffsrechte auf personenbezogene Daten – so auch bei den Cloud Providern.

Der Europäische Gerichtshof hat aus diesem Grund im Juli 2020 das Privacy Shield als Grundlage für den Datentransfer zwischen EU und USA gekippt. Ein „Gewinn“ für den Datenschutz der europäischen Bürger, doch für viele Unternehmen ein großes Problem. Denn ohne die führenden Cloud-Anbieter aus den USA ist eine effiziente und kostengünstige Verwaltung digitaler Daten heute kaum mehr möglich. Das gilt auch für europäische Banken, die im Wettbewerb mit ihren internationalen Konkurrenten in hohem Maße auf die Dienstleistungen der US-Hyperscaler angewiesen sind.

Hohe Strafzahlungen bei unklarer Rechtslage

Hohe Standards beim Schutz von Informationen und Kundendaten sind in der Bankenbranche eigentlich nichts Neues – auch nicht im Bereich von Public Clouds. So unterliegen europäische Geldinstitute mittlerweile einer Vielzahl von datenschutzrechtlichen (insbesondere DS-GVO) sowie aufsichtsrechtlichen Anforderungen (unter anderem MaRisk, BAIT, EBA Guidelines). Auf der Grundlage dieser Vorschriften galt für den Datenaustausch mit US-Providern bis Juli 2020 ein Abkommen, das die Einhaltung europäischer Standards beim Transfer regeln sollte – das EU-US-Privacy-Shield. An ihm haben sich auch die europäischen Banken bis zum Schrems-II-Urteil des EU-Gerichthofs orientiert. Da es allerdings nicht dazu in der Lage war, US-Behörden ausreichend in ihren Zugriffsrechten auf Daten von EU-Bürgern zu beschränken, wurde es kurzerhand gekippt.

Seitdem herrscht unter Banken Unklarheit, wie sie mit den Hyperscalern aus dem Silicon Valley zu verfahren haben. Zwar wurde mit den Standardvertragsklauseln (Standard Contractual Clauses, SCC) der Europäischen Kommission mittlerweile eine neue Grundlage ermöglicht, doch erreicht diese bisher noch nicht das gleiche Datenschutz-Niveau wie zuvor. Im Umgang mit Providern aus EU-Drittstaaten operieren Banken deshalb nach wie vor im Graubereich, was erhebliche Geschäftsrisiken mit sich bringt. So sind die Strafen, welche die Datenschutzbehörden bei Regelverstößen verhängen, alles andere als zimperlich und können je nach Schwere bis zu 20 Millionen Euro oder vier Prozent der weltweiten Einnahmen eines Unternehmens ausmachen. Banken sind daher in der Praxis dazu verpflichtet, zusätzliche Sicherungsvorkehrungen in Form von technischen und organisatorischen Maßnahmen (TOMs) zu ergreifen und umzusetzen, operieren hier aber nach wie vor in eigenem Ermessen.

Im Wettbewerb führt Vorsicht zu Nachsehen

Für Banken ist derzeit also nicht immer nachvollziehbar, wann ein datenschutzrechtlicher Regelverstoß aus Sicht der Aufsichtsbehörden vorliegt. Ein nicht unwesentliches Problem für die Banken, da sie in hohem Maße von ihrer Reputation abhängig sind und aus Verstößen entstehende Imageschäden noch mehr fürchten dürften als die Strafzahlungen selbst. Entsprechend groß ist derzeit die Verunsicherung in der Branche. Gleiches gilt allerdings auch für die Aufsichtsbehörden, die sich aufgrund der allgemeinen Rechtsunsicherheit
bisher mit Klagen zurückhalten. Und so stellt sich für alle Beteiligten letztlich die gleiche Frage: Wie soll man mit Cloud-Anbietern aus den USA umgehen?

Trotz vieler Fragezeichen dürfte klar sein: Eine Trennung von den amerikanischen Marktführern würde für EU-Banken deutliche Nachteile im internationalen Wettbewerb mit sich bringen, da gleichwertige Alternativen bisher fehlen. Die Option „US-Rückzug“ steht deshalb nicht zur Debatte, wenngleich manche Geldinstitute bereits dazu übergegangen sind, besonders vertrauliche und schützenswerte Daten nicht mehr in Übersee zu speichern. Darüber hinaus gilt es für Banken jedoch, sich mit der anhaltenden Unsicherheit zu arrangieren und ihr mit einer gesunden Risikoakzeptanz zu begegnen. Geschäftsentscheidungen im Umgang mit amerikanischen Cloud Providern sollten dabei möglichst im Sinne des bestehenden Rechts getroffen werden und sich so gut es geht begründen lassen. Denn wo klare Rechtsgrundlagen fehlen, sind eine offene Diskussionskultur und Kooperationsbereitschaft gegenüber der Aufsicht umso wichtiger.

Follow fast and don’t break things!

Mehr noch: Wer seine Position mit stichhaltigen Argumenten unterfüttert, ist eventuell sogar in der Lage, die regulatorische Unsicherheit für sich zu nutzen. Denn bei der Entwicklung neuer „Standards“ spielen gerade solche Unternehmen eine wichtige Rolle, die frühzeitig Fakten in unklaren Rechtsräumen schaffen. Dies gilt im besonderen Maße, wenn sie ihre Interessen geschlossen vertreten. Gerade im Umgang mit digitalen Technologien und Geschäftsmodellen hat diese Vorgehensweise bereits zu Erfolg geführt – man denke nur an Unternehmen wie Microsoft, Google oder Amazon. Dennoch sollten Banken ihre Kompetenzen hier nicht überschreiten und sich stets eng mit den Aufsichtsbehörden abstimmen, gelten für sie nun einmal besondere Regeln. Die Vorreiterrolle im Sinne eines „Move fast and break things“ dürfte eher anderen Branchen zukommen.

Für Banken bietet es sich dagegen an, die Rolle eines „Fast Followers“ einzunehmen. Um ihr gerecht zu werden, empfiehlt es sich bei der Zusammenarbeit mit US-Providern auf einen ganzheitlichen Stakeholder-Ansatz zu achten. Auf diese Weise lässt sich vermeiden, dass wichtige Compliance- oder Datenschutz-Anforderungen zu Beginn eines Projekts vernachlässigt und im späteren Verlauf aufwendig nachgeholt werden müssen. Daher sollten zentrale Fragen im Bereich der Verschlüsselung, zum Ort der Datenverarbeitung und -speicherung sowie zu Zugriffsrechten frühzeitig geklärt werden und ein administrativer Zugriff aus nicht EU-Staaten unterbunden werden.

Neues Privacy Shield nach europäischem Vorbild?

Während die datenschutzrechtliche Lage für Banken im Cloud-Geschäft also weiterhin unklar ist, muss es in naher Zukunft Lösungen geben. Ein Ansatz, für den sich in den USA ein politisches Fenster öffnen könnte, ist die Neuausrichtung des amerikanischen Datenschutzrechts – und zwar nach dem Vorbild europäischer Standards, die weltweit als führend gelten. So fand erst kürzlich eine Anhörung vor dem US-Kongress statt, bei der sich Repräsentanten des Silicon Valleys für einen besseren Schutz der Privatsphäre in den USA aussprachen, da sie bei ihren Produkten ansonsten einen zunehmenden Vertrauensverlust befürchten. Darüber hinaus stellen auch die weitreichenden Zugriffsrechte der US-Behörden eine ernsthafte Bedrohung ihres Auslandsgeschäfts dar, gegen die sie sich nun mit einer datenschutzrechtlichen Untergrenze schützen wollen. Eine stärkere Harmonisierung mit dem EU-Recht im Zuge einer Neuauflage des US-EU-Privacy-Shields könnte eines Tages also vielleicht Realität werden.

Autoren: Gerrit Bojen und Daniel Wagenknecht, Partner bei KPMG im Bereich Financial Services

 

Sie finden den Artikel auch im eMagazine der IT-SICHERHEIT 1/2022.

Gerrit Bojen

Gerrit Bojen

Daniel Wagenknecht

Daniel Wagenknecht

Andere interessante Fachbeiträge

Fünf Faktoren für eine Kosten-Nutzen-Analyse

Warum jedes Unternehmen ein SOC braucht

So sichern Unternehmen APIs gegen Angriffe von außen