Banken treiben die digitale Transformation voran – und sind dabei auf Public-Cloud-Lösungen von US-Hyperscalern angewiesen. Allerdings erschwert ein Urteil des Europäischen Gerichtshofs deren Nutzung, Datenschützer schlagen Alarm. Wie sollten Geldinstitute damit umgehen?
Achtung: Cloud!
Partner des Bank Blogs
Digitale Kanäle, Customer Experience, Automatisierung, IT-Modernisierung: Banken sind schwer damit beschäftigt, die digitale Transformation voranzutreiben. Ein Großteil ihrer Investitionen fließt derzeit in die genannten Bereiche. Das kommt nicht von ungefähr: Wenn Geldinstitute im internationalen Wettbewerb bestehen wollen, müssen sie auf Lösungen setzen, mit denen sich Effizienz, Geschwindigkeit, Skalierbarkeit und Kosteneinsparungen realisieren lassen.
Daher setzen viele auf Public-Cloud-Lösungen der US-Hyperscaler Microsoft, Amazon oder Google. Allerdings hat die Sache einen Haken: Durch das EUGH-Urteil zum EU-US-Privacy-Shield (Schrems II) stehen Banken einer Rechtsunsicherheit gegenüber, wenn sie sich für einen amerikanischen Cloud-Anbieter entscheiden. Denn das Risiko gegen die europäische Datenschutzgrundverordnung (DSGVO) zu verstoßen ist real.
US-Behörden können auf personenbezogene Daten zugreifen
Besonders kritisch sehen die europäischen Richter die sogenannten Drittlandübermittlungen, wenn also Daten aus der EU ins Ausland übermittelt werden, wo nicht dieselben strengen Datenschutzanforderungen gelten wie hierzulande. So stehen beispielsweise die Zugriffsrechte, die amerikanische Behörden auf Daten haben, im Widerspruch zum europäischen Datenschutzrecht. Wie man es auch dreht und wendet, haben US-Behörden damit die Möglichkeit, auf personenbezogene Daten zuzugreifen, ohne dass die Betroffenen je davon erfahren. Spätestens seit den Snowden-Veröffentlichungen von 2014 wurde deutlich, dass die amerikanischen Sicherheitsbehörden auch Industriespionage zu ihrem Aufgabenspektrum zählen.
Diese Gefahr besteht nicht nur in den USA, sondern auch in Staaten wie China oder Russland, mit denen deutsche Banken geschäftliche Beziehungen pflegen. Hier ist also durchaus Skepsis angebracht, was den Datenschutz von Bürgern und Unternehmen der EU angeht. Entsprechend pochen Datenschützer auf die Einhaltung der Datenschutzvorgaben – doch auch sie haben keine einheitliche Linie. Datenschutz ist in Deutschland Ländersache. Allen voran verlangen die Landesdatenschutzbeauftragten, dass Banken alles in ihrer Macht Stehende tun, um die Daten bestmöglich zu sichern.
US-Hyperscaler haben das umfassendste Angebot
Für Banken stellt sich deshalb die Frage: Was nun? Auf amerikanische Cloud-Anbieter ganz zu verzichten ist keine Option, denn diese sind nicht ohne Grund die Platzhirsche am Markt – sie haben schlichtweg das umfassendste Angebot, an das die europäische Konkurrenz nicht herankommt. Andererseits gilt es Reputationsschäden und Strafen wegen Verstößen gegen das Datenschutzgesetz zu vermeiden: Vorstände wissen, dass sie eine Entscheidung und die getroffenen Maßnahmen zur Risikoreduktion wohlüberlegt und informiert sowie gut dokumentiert treffen müssen. Nur unter Einhaltung dieser so genannten Business Judgement Rule stellt ein Vorstand sicher, dass er nicht in die persönliche Haftung genommen werden kann.
Was also ist der Ausweg aus dieser Zwickmühle? Leider gibt es keinen Königsweg, den alle Banken leicht beschreiten können: Jedes Haus muss ganz individuelle Risikoentscheidungen treffen. Dabei ist stets zu berücksichtigen, dass es die absolute Sicherheit nicht geben wird. Es bleibt also eine Sache der Abwägung, wie viel Risiko Geldinstitute an welcher Stelle bereit sind einzugehen. Dabei zählt beispielsweise die Frage, welche Daten verschlüsselt oder pseudonymisiert übermittelt werden – und wo der Schlüssel für die Daten liegt. Verwalten die Geldhäuser diesen selbst, besteht die Gefahr, dass Daten aufgrund menschlichen Versagens oder auch aus Böswilligkeit Einzelner entwendet werden oder verloren gehen. Liegt der Schlüssel bei einem Hyperscaler, lässt sich wiederum der Zugriff ausländischer Behörden nicht kategorisch ausschließen.
EU-US-Privacy Shield lässt Hoffnung aufkommen
Erleichterung werden die neuen Standardvertragsklauseln für die DSGVO bringen, die in Kürze zu erwarten sind. Auch die Tatsache, dass die EU-Kommission in Person von Didier Reynders und Gina Raimondo (US-Handelsministerin) die Gespräche zu einem überarbeiteten EU-US Privacy Shield aufgenommen haben, lässt Hoffnung aufkommen, dass die Rechtunsicherheit perspektivisch aufgelöst wird. Bis dahin werden die Institute auch weiterhin viele Prüfpunkte adressieren müssen: Wie ist die Rechtsgrundlage im Empfänger-Drittland? Welche Datenmengen und Datenkategorien sind erforderlich? Welche technischen und organisatorischen Maßnahmen müssen zusätzlich getroffen werden? Darüber hinaus müssen Banken weitere Schutzmaßnahmen zur Risikomitigation treffen, die beispielsweise Transparenz und Zugriffskontrollen, ergänzende Vertragsklauseln sowie Klauseln zur Beendigung der Datenübermittlung enthalten. All diese Punkte sind kritisch für den Geschäftsbetrieb, daher sollten Banken sich auf dem Weg in die Cloud von einem Experten begleiten lassen.
Ohne Risiko ist die Nutzung amerikanischer Cloud-Lösungen zwar auch damit nicht – allerdings gibt es derzeit keine wettbewerbsfähige Alternative. Die Verantwortlichen der Banken müssen also in den sauren Apfel beißen und alles in ihrer Macht Stehende tun, um die Daten bestmöglich zu schützen.
KPMG macht digitale Transformation im Finanzsektor erlebbar.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.
