Datenschutz in der Bank – mehr als Schmuck am Hemd!

Dem Thema „Datenschutz“ wurde in der Vergangenheit eher wenig Aufmerksamkeit gewidmet. Verantwortliche Datenschützer haben natürlich ihre Pflichten gemäß § 4g Bundesdatenschutzgesetz (BDSG) wahrgenommen, …Autor: Dr. Haiko Timm, Januar 2009

Dem Thema „Datenschutz“ wurde in der Vergangenheit eher wenig Aufmerksamkeit gewidmet. Verantwortliche Datenschützer haben natürlich ihre Pflichten gemäß § 4g Bundesdatenschutzgesetz (BDSG) wahrgenommen, aber nur vereinzelte Sonderprüfungen in diesem Bereich, äußerst seltene Kundenanfragen und generell nur wenig Problemfälle haben dazu geführt, dass der Datenschutz innerhalb des Beauftragtenwesens nicht selten am Rande steht. Ein Anzeichen dafür ist das geringe Zeitbudget, das zur Abwicklung der notwendigen Tätigkeiten bereitgestellt wird.

In den letzten Monaten häufen sich Meldungen über den Missbrauch von Personendaten. Immer wieder werden umfangreiche Adress-Datenbestände (inkl. Bankdaten) im Internet zum Kauf angeboten. Der jüngste Fall der Veröffentlichung von Kreditkartendaten von Kunden der Berliner Landesbank zeigt, dass der generelle Anspruch an Banken hinsichtlich des Schutzes ihrer Kundendaten deutlich steigen wird. Der Bundesdatenschutzbeauftragten Peter Schaar kritisiert vor allem, dass von Banken beauftragte Unternehmen selber keine ausreichenden Schutzmaßnahmen haben und eine Prüfung der Vorgehensweise durch die Auftraggeber in vielen Fällen nicht stattfindet. Allzu leicht wird sonst der „schwarze Peter“ im Problemfall bei der Bank landen und die anhaltende Wirkung eines Imageschadens ist sicherlich unbestritten. Dazu kommen die steigende Internetkriminalität und die Entwicklung Web 2.0 mit ihrer veränderten Nutzungsform des Internets, die ebenso häufig Fragen nach dem Schutz von personenbezogenen Daten mit sich bringt.

Damit wird neben dem Aufbau eines IT-Sicherheitsmanagements zur Erfüllung der Ansprüche an die technisch-organisatorische Ausstattung gem. Abschnitt 7.2. der MaRisk auch mehr Aufwand zur Erfüllung eines effektiven Datenschutzes zu leisten sein. Betrachtet man die verfolgten Ziele hinsichtlich Datensicherheit und Datenschutz wird eine enge Verwandtschaft beider Bereiche schnell deutlich.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in dieser Hinsicht vor einiger Zeit den Baustein 1.5 „Datenschutz“ innerhalb der Grundschutzkataloge veröffentlicht. Beschrieben wird dort eine Grundschutz-orientierte Vorgehensweise für die Aufgaben des Datenschutzbeauftragten. Seine Tätigkeit bekommt einen auf die gesamte Organisation ausgerichteten übergreifenden Charakter. Aus Sicht des BSI muss Datenschutz als Managementprozess verstanden werden.

Der Baustein besteht aus einer Darstellung von 13 Gefährdungspotentialen und 16 Maßnahmen um den Gefahren zu begegnen. Unterschieden werden Maßnahmen für die Planung und Konzeption, Umsetzung und für den laufenden Betrieb. Natürlich stehen die Inhalte im Einklang mit dem BDSG. Ausgehend von der Veröffentlichung einer Datenschutzrichtlinie werden die Aufgaben des Datenschutzbeauftragten und das Verfahrensverzeichnis als Dokumentationsform skizziert. Ebenso erfolgt eine Beschreibung der notwenigen technischen und organisatorischen Kontrollmaßnahmen nach §9 BDSG zur praktischen Umsetzung des Datenschutzes. Natürlich wird auch die Aufrechterhaltung des Datenschutzes im Regelbetrieb thematisiert um sowohl Änderungen im Datenschutzrecht Rechungen zu tragen als auch neue Techniken und Verfahren in Hinsicht auf ihre Datenschutzrelevanz zu betrachten.

Es ist leicht zu erkennen, dass sich in der Darstellung des BSI die Vorgehensweisen des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten sehr stark ähneln. Allein die vorgeschlagenen Inhalte und die Zielsetzung der Datenschutzrichtlinie lassen sich gut mit der allgemeinen IT-Sicherheitsleitlinie vergleichen. Auch ist die Sensibilisierung der Bankmitarbeiter in beiden Bereichen eine unverzichtbare Forderung zu Erreichung der verfolgten Ziele. Insofern ist in den Banken zu entscheiden, inwieweit sich der Datenschutz in das übergreifende Thema „IT-Sicherheitsmanagement“ integrieren lässt.

Eine sinnvolle Lösung kann z.B. das Zusammenführen der Aufgaben zur Förderung von Datensicherheit und Datenschutz durch eine Personalunion des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten sein. Im Kapitel 3.4.4 des BSI-Standards 100-2 wird auf diesen Sachverhalt hingewiesen.

Dr. Haiko Timm