Sie verwenden
iz.de als
Gastnutzer
Alle Leistungen ansehen

{{vm.izPaket[vm.user.izPaket].title}}

Ihre Leistungen

Digitales | 15.08.2019

Aus IZ33/2019, S. 14

Von Ulrich Schüppler

In diesem Artikel:
  • Organisationen:
    Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
  • Personen:
    Pierre Gronau

"Datenschutz ist unserer Gesellschaft nichts wert"

Kapitalverwalter können sich beim Datenschutz künftig nicht mehr hinter externen Dienstleistern verschanzen. Die BaFin hat im Führjahr ein entsprechendes Rundschreiben auf den Weg gebracht, das im Lauf dieses Sommers in Kraft tritt. IT-Experte Pierre Gronau befürchtet jedoch, dass sich dadurch nur wenig bessert.

Quelle: Gronau IT Cloud Computing, Urheber: Andreas Muhme, Muhme Photography
"Im Datenschutzrecht gibt es bisher eine Handvoll Verurteilungen in Deutschland." Pierre Gronau.

Quelle: Gronau IT Cloud Computing, Urheber: Andreas Muhme, Muhme Photography

Immobilien Zeitung: Herr Gronau, die BaFin hat mit dem Entwurfsschreiben zu den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT - kurz KAIT - nach den Banken und den Versicherern nun auch die Kapitalverwaltungsgesellschaften (KVGs) datenschutzrechtlich in die Pflicht genommen. Was bedeutet das in der Praxis?

Pierre Gronau: Die KAIT verlangen von KVGs im Kern nur eins: Informationssicherheit. Dies beinhaltet die Sicherheit der IT-Systeme, der eingesetzten Software sowie den Umgang mit personenbezogenen Daten. Alle Maßnahmen müssen dabei mindestens dem Stand der Technik entsprechen und künftig durch regelmäßige Reports belegt werden. Der Unterschied zur bisherigen Regelung ist zudem, dass die Führungskräfte einer KVG die Verantwortung für den Informationsschutz nicht mehr an externe Dienstleister abgeben können. Ein strengeres Berichtswesen und der Ausschluss von Risikoauslagerung - das sind also die wesentlichen Neuerungen. Allerdings forcieren beide Aufgaben nicht den Datenschutz, sie erleichtern im Regulationsprozess die Kontrollmöglichkeit durch die BaFin. Das gebe ich an dieser Stelle zu bedenken. Viele KVGs halten sich schon heute an Recht und Gesetz. Und einige werden es auch künftig nicht tun.

IZ: Das ist eine etwas deprimierende Analyse. Warum glauben Sie, dass die neue Verantwortlichkeit der Manager nichts ändert?

Gronau: Weil ein Verstoß gegen das Datenschutzrecht keine Prinzipalschuld darstellt. Das heißt, der Manager muss selbst bei einem schweren Verstoß keine persönliche Verurteilung fürchten, auch wenn durch sein Handeln die Existenz der gesamten Firma in Gefahr ist. Aktuell tragen Unternehmen die Kosten, nicht jedoch die Risikoerzeuger. Die Rechnung einiger Manager lautet wie folgt: Im Datenschutzrecht gab es bisher eine Handvoll Verurteilungen in Deutschland, die Geldstrafen liegen im Regelfall bei 50.000 Euro und die zahlt die Firma. Eine korrekte Umsetzung der von der BaFin angemahnten, aber schon seit langem bestehenden Anforderungen würde die meisten KVGs für Technik, Schulung und Personal hingegen etwa 400.000 Euro im Jahr kosten. Selbst wenn jemand erwischt wird, spart er also nach dieser Rechnung rund 350.000 Euro im Jahr, indem er sich nicht an die Regeln hält.

IZ: Aber hat die BaFin als Aufsichtsbehörde nicht noch andere Sanktionsmöglichkeiten?

Gronau: Natürlich kann die BaFin im Extremfall einem Unternehmen die Lizenz entziehen, das kann ein gewisser Motivationsfaktor sein. Allerdings würde die BaFin immer nur ex post aktiv werden, also dann, wenn der Schaden schon entstanden ist. Um einen schweren Fehler in der Datensicherheit zu beheben, sind üblicherweise drei Monate ausreichend. Da nehmen viele lieber das Risiko auf sich und hoffen, im Zweifelsfall mit der Nachbesserung davonzukommen.

IZ: Könnten die datenschutzrechtlich schwarzen Schafe in der Branche versuchen, den KAIT auszuweichen? Etwa durch Abschluss einer Managerhaftpflicht oder durch Verlagerung ins Ausland?

Gronau: Eine D&O-Versicherung, umgangssprachlich Managerhaftpflicht genannt, haftet nur bei Fahrlässigkeit, aber nicht bei grober Fahrlässigkeit und schon gar nicht bei Vorsatz. Dadurch kann sich keine Unternehmensführung der Verantwortung entziehen. Und die Verlagerung ins Ausland hilft ebenfalls nichts: Bei einer eigenen Gründung im Ausland hätte die BaFin immer den aufsichtsrechtlichen Durchgriff, solange sich die Holding in Deutschland befindet. Und das Outsourcing an einen Serviceprovider im Ausland schützt ja laut KAIT gerade nicht mehr davor, belangt zu werden. Der Asset-Manager hat nun eine Kontrollpflicht gegenüber all seinen Outsourcing-Partnern. Wenn er der nicht nachkommt, verletzt er kurioserweise eine Prinzipalpflicht - und ist persönlich haftbar. Er stellt sich also schlechter als jemand, der die datenschutzrechtlichen Auflagen im eigenen Haus schleifen lässt.

IZ: Was raten Sie einem Asset-Manager, der sich eines externen IT-Dienstleisters bedient?

Gronau: Er sollte die regelmäßig erforderlichen Reports anfordern und sich einen guten Datenschutzbeauftragten zulegen, der auch für die interne IT-Sicherheit zuständig ist. Das sollte jemand sein, der die Prinzipien hinter der IT versteht, also eine Person, die nicht ausschließlich eine kaufmännische oder juristische Ausbildung durchlaufen hat. Diese Person muss dann ein Kontrollsystem aufbauen, damit sie jeden externen Dienstleister und jeden intern Verantwortlichen mit Versäumnissen konfrontieren kann, also nach dem Motto: Ihr habt hier nach unseren Informationen zehn Probleme. Bis wann werdet ihr die beiden drängendsten gelöst haben?

IZ: Und was müsste geschehen, damit sich am Umgang der KVG-Branche mit dem Datenschutz grundlegend etwas ändert?

Gronau: Wenn wir ein Umdenken bei Menschen erreichen wollen, die rein nach betriebswirtschaftlichen Gesichtspunkten entscheiden, dann müsste zum einen das Strafmaß sehr hoch sein und zum anderen müsste es eine persönliche Haftung der Verantwortlichen geben. Wir kennen das Phänomen aus dem Straßenverkehr: Die Verstöße gegen Lenkzeitüberschreitungen bei Lastwagenfahrern haben erst abgenommen, seit die Fahrer selbst mit empfindlichen Sanktionen bis hin zum Führerscheinentzug rechnen müssen und nicht mehr nur ihre Arbeitgeber eine Geldstrafe aufgebrummt bekommen. Eine solche Verschärfung ist leider im Datenschutzrecht nirgendwo in Deutschland zu beobachten. Datenschutz ist unserer Gesellschaft im Moment nichts wert. Ich sehe aber im Ausland durchaus Bewegung in der Debatte. Das haben die hohen Strafzahlungen gezeigt, die im Juli wegen Datenschutzverstößen in den USA und Großbritannien verhängt wurden, nämlich 5 Mrd. USD gegen Facebook wegen des Cambridge-Analytica-Skandals und 110 Mio. Euro gegen die Hotelkette Marriott wegen geklauter Pass- und Kreditkartendaten.

IZ: Herr Gronau, vielen Dank für das Gespräch!

Die Fragen stellte Ulrich Schüppler.

In Netzwerken weiterempfehlen

Kostenfrei für Abonnenten

Alle Zwangsversteigerungen in Deutschland

Unser Service für IZ-Abonnenten:
Alle Zwangsversteigerungen in Deutschland - täglich aktuell, übersichtlich geordnet und kostenfrei!