Neue Datenschutzregelung der EU – betrifft es Schweizer Banken?
Mit der Abstimmung von Mitte April dieses Jahres hat das EU-Parlament die neue Datenschutzreform ((EU) 2016/679) verabschiedet. Dabei endet mit diesem Entscheid ein langanhaltendes Tauziehen, um die Frage, wie die Daten eines Users im EU-Raum geschützt werden können. Ziel dieser neuen Regulation ist es, den Nutzern die Entscheidung wieder zurück zu geben, was mit ihren persönlichen Daten geschehen soll.
Im folgenden Beitrag wird kurz umrissen, was die Regulation beinhaltet, welches die Grundprinzipien sind und welche Implikationen diese Verordnung auf EU-Stufe möglicherweise auf eine Bank in der Schweiz haben könnte.
Zielsetzung der Datenschutzreform
Viele Geschehnisse in den letzten Wochen und Monaten zeigen auf, dass die Zukunft in der Informationsmacht liegt. Der Spähskandal der NSA im SWIFT-System ist nur eines der Beispiele die aufzeigt, dass der Normalbürger nicht vollends weiss, was mit seinen Daten passiert und wer in der Verarbeitung seiner Daten Einsicht hat.
Vor dieser unentwegten Angst des Bürgers wurden bereits früh Bestrebungen in Gang gesetzt, dieses Grundrecht auf europäischer Stufe einheitlicher zu schützen. Der Datenschutz ist per se nicht eine Neuigkeit, die sich mit dem Informationszeitalter ergeben hat, sondern wurde bereits auf nationaler Stufe in jeglicher Ausgestaltung umgesetzt. Die anhaltende Digitalisierung jedoch und die technischen Möglichkeiten zwingt die Legislative darauf zu reagieren und zusätzliche, schärfere Grundsätze zu definieren.
Die neue Verordnung wird den neuen Gegebenheiten angepasst
Die neue Regulation baut auf den bestehenden Regulation (RL 95/46/EG) auf. Diese, alte Richtlinie aus dem Jahr 1995 behält auch weiterhin, was ihre Ziele und Grundsätze betrifft, ihre Gültigkeit. Doch musste eine neue Regulation erstellt werden, um der Einheitlichkeit, dem Fortschritt und der zusehends steigenden Rechtsunsicherheit Rechnung zu tragen.
Die neuen Vorschriften haben per 25.05.2018 Ihre Gültigkeit und betreffen folgende Neuerungen, die darauffolgend wahlweise näher umschrieben werden:
- Recht auf Vergessen werden
- Verarbeitung der Daten nur nach ausdrücklicher Einwilligung der betroffenen Person
- Recht auf Datenübertragbarkeit an einen anderen Dienstleister
- Recht der Betroffenen, bei Verletzung des Schutzes der eigenen Daten darüber informiert zu werden
- Datenschutzbestimmungen müssen in einer klaren und verständlichen Sprache erläutert werden
- Verstösse werden härter geahndet.
Recht auf Löschung (Art. 17 DS-GVO)
Im Grundrecht verankert, sollte jede betroffene Person das Recht haben, der Besitzer/Eigentümer von personenbezogenen Daten zu sein. Einher geht somit neu auch das Recht, dass gespeicherte Daten, auf Verlangen zu löschen sind, wenn sie nicht mehr gebraucht werden oder widerrechtlich sind. Insbesondere dann, wenn man zwar bis zu einem gewissen Grad eine Einwilligung für die Verarbeitung von Daten gegeben hat, jedoch diese Einwilligung dem Verarbeiter wieder entzogen wird.
Einwilligung vor der Verarbeitung (Art. 6ff. DS-GVO)
Die Verarbeitung von personenbezogenen Daten ist unter anderem dann rechtmässig, wenn vorgängig von der betroffenen Person eine Einwilligung eingeholt wurde. Dabei muss der Verarbeiter jederzeit nachweisen können, dass die betroffene Person diese Einwilligung auch tatsächlich gegeben hat. Macht er dies schriftlich, so muss der Absatz über das Ersuchen der Datenverarbeitung in einer verständlichen und leicht zugänglicher Form geschrieben werden. Letztlich kommt hinzu, dass die betroffene Person jederzeit die Möglichkeit hat, seine Einwilligung zu widerrufen.
Recht auf Datenübertragbarkeit an einen anderen Dienstleister (Art. 20 DS-GVO)
Wechselt bspw. ein Kunde von Dienstleister A zu Dienstleister B, so hat der dieser neuerdings das Recht, dass der Dienstleister A, alle über den Kunden gesammelten Daten in einem gängigen Format strukturiert bereitstellt, damit diese mithilfe automatisierter Verfahren zum Dienstleister B übertragen werden können.
Diverse Informationsrechte der Kunden
Werden von einer Person Daten erhoben und verarbeitet, so muss der Kunde bereits im Zeitpunkt der Erhebung darüber informiert werden, welche Daten die Unternehmung nun genau aufnimmt, für wie lange diese gespeichert und zu welchem Zweck diese verwendet werden.
Werden die Rechte nach der Grundverordnung verletzt, so hat der Verarbeiter innerhalb von 72 Stunden nach Bekanntgabe der Verletzung, die Pflicht diese Verletzung einer definierten Aufsichtsbehörde zu melden.
Hat die Verletzung des Datenschutzes voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der natürlichen Person zur Folge, so benachrichtigt der Verarbeiter die betroffene Person zuzüglich von der Verletzung.
Diese Neuerungen treffen, wenn man den Anwendungsbereich studiert, praktisch jede Unternehmung im EU-Raum. Im Artikel 3 dieser Grundverordnung wird der Anwendungsbereich aber zusätzlich ausgeweitet, sodass auch Schweizer Unternehmungen mit EU Bezug betroffen sein können.
Implikationen auf eine Schweizer Bank
Sachlicher Anwendungsbereich
Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Artikel 2 Abs 1 DG-GVO
Diese Regulation dient dem Zweck persönliche Daten zu schützen, die automatisiert oder nichtautomatisiert verarbeitet werden. Dabei definiert der Regulator was unter dem Terminus personenbezogene Daten zu verstehen ist:
„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann… Artikel 4 Ziff. 1 DS-GVO
Räumlicher Anwendungsbereich
(1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet.
(2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht
a)
betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
Diese Regulation kann, wenn man den räumlichen Geltungsbereich liest auf eine Schweizer Bank seine Implikationen haben. Dabei können zwei mögliche Konstellationen dazu führen, dass sich die Bank in ihrer Strategie, in ihren Prozessen aber auch in ihrer IT-Landschaft Gedanken machen muss, wie sie diese Regulation bis zum 01.01.2018 umsetzen kann.
Erstens – Hat eine Bank eine Niederlassung (Definition unter Art. 4 Ziff. 16 DG-GVO) im EU-Raum und werden personenbezogene Daten verarbeitet, so findet diese Verordnung ihre Geltung, dabei ungeachtet, ob die Daten im EU-Raum oder in der Schweiz verarbeitet werden.
Zweitens – Interpretiert man den zweiten Absatz richtig, so hat diese Verordnung ebenfalls ihre Gültigkeit, wenn man Kunden, die sich im EU-Raum befinden (!) eine Dienstleistung anbietet.
Aus den Erwägungen – «Damit einer natürlichen Person der gemäß dieser Verordnung gewährleistete Schutz nicht vorenthalten wird, sollte die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen anzubieten. Um festzustellen, ob dieser Verantwortliche oder Auftragsverarbeiter betroffenen Personen, die sich in der Union befinden, Waren oder Dienstleistungen anbietet, sollte festgestellt werden, ob der Verantwortliche oder Auftragsverarbeiter offensichtlich beabsichtigt, betroffenen Personen in einem oder mehreren Mitgliedstaaten der Union Dienstleistungen anzubieten.» Aus den Erwägungen Ziff 23 DS-GVO
Sprich, so die Interpretation des Autors, wenn nun bspw. eine Schweizer Bank (ohne Niederlassung in der EU) eine Homepage mit dem Kürzel http://www.bankxyz.de betreibt und dort die Möglichkeit anbietet sich mit der Bank in Verbindung setzten zu können, so findet die Regulation auf diese Bank Anwendung und muss die daraus entstehenden Pflichten aus der Schweiz heraus einhalten.
Wenn die Regulation nun seine Anwendung auf eine Schweizer Bank hätte, wo würden die resultierenden Pflichten ihre Auswirkung haben?
Das CC Sourcing hat in Ihrer Forschungstätigkeit eine Methode entwickelt, wie man die Implikationen einer Regulation aufgrund der bestehenden Modelle visualisiert darstellen kann.
Die neue Datenschutzreform wird nun anhand des Bankenmodells (Alt, Rainer; Bernet, Beat & Zerndt, Thomas (2009)Transformation von Banken – Praxis des In- und Outsourcings auf dem Weg zur Bank 2015, S. 57) indikativ abgebildet.
Implikation auf das Bankmodell
Auf diesem Modell können Banken nun für Ihre eigenen Prozesse und Teilprozesse ableiten, wo die Regulation ihre Auswirkungen haben wird. Augenscheinlich ist die Auswirkung bei den Stammdatenhaltung, in der Verarbeitung von Zahlungen, Wertschriftentransaktionen und in der Kundeninteraktion.
Dabei stellen sich dem Autor folgende Fragen, die gerne in einer Diskussion ergründet werden können:
- Reicht die Aufklärung über die Verarbeitung personenbezogener Daten in den allgemeinen Geschäftsbedingungen oder muss ein zusätzliches Formular unterschrieben werden?
- Wie ist der branchenweite Standard für die Übertragung von Daten? Können gespeicherten Kundenhistorien einer anderen Bank ohne weiteres übertragen werden?
- Wie ist die Vereinbarkeit mit dem Bankkundengeheimnis?
- Was bedeutet das Recht auf Vergessen? Welche Daten sind zwingend zu archivieren und welche sind auf Kundenwunsch zu löschen?
- Gibt es aus Ihrer Sicht noch weitere Fragestellungen? Schreiben Sie mir!
Fazit
Die Regulation hat zwar keine direkte Anwendung auf eine Schweizer Bank, kann jedoch je nach Konstellation seine Implikation haben, indem es eine Niederlassung in der EU hat oder es Personen, die sich in der EU befinden, Dienstleistungen anbietet.
Die Durchsetzung dieser Verordnung birgt auch seine Schwierigkeiten. Grundsätzlich ist die Durchsetzung auf eine Schweizer Bank nur unter gewissen Umständen möglich. Hat diese eine Niederlassung auf europäischem Boden, so kann die Durchsetzung über diese erfolgen.
Findet die Regulation seine Anwendung müssen die Prozesse, die im Modell indikativ ausgewiesenen wurden, analysiert werden und die Pflichten der Grundverordnung verankert werden. Beispielsweise müssten gesteuert auf das Domizil des Kunden oder Interessenten die richtigen AGBs mit den zusätzlichen Erläuterung ausgegeben werden. Die definierten Kundendaten müssten exportierbar vorbereitet werden. Der Kunde muss in der Interaktion mit der Bank die Möglichkeit haben, gewisse Einwilligungen zur Verarbeitung von personenbezogenen Kundendaten widerrufen zu können.
Gerne helfen wir Ihnen bei einer ersten Analyse ihrer Prozesse/Strategie auf Grund der bereits getätigten Analysen auf den Modellen. Nehmen Sie dazu mit Patrik Solis Kontakt auf.