Bitte melden Sie sich an

Registrieren Sie Sich als Premium-Mitglied, um Vorträge herunterzuladen.

  • 100% Rabatt auf alle Club-Events und Kongresse
  • Download der Vortragsunterlagen aller Veranstaltungen
  • Zugriff auf Fotogalerie aller Veranstaltungen
Sie sind noch kein Mitglied?

Dann registrieren Sie sich jetzt:

Jetzt Mitglied werden
Sie sind bereits Mitglied oder waren Teilnehmer?

Bitte loggen Sie sich ein:

Jetzt einloggen
Jetzt Mitglied werden

„DSGVO-Konformität ist die Basis für rechtssichere Auslagerung von IT-Sicherheit“

Outsourcing ist in vielen Instituten Teil der Geschäftsstrategie und gerade im IT-Bereich weit verbreitet. Jan-Niklas Wilde, Senior Business Development Executive & Teamlead bei Myra Security, spricht über die Anforderungen für DSGVO-konforme Auslagerungen von IT-Services und das, was Finanzunternehmen hier bei der Dienstleisterwahl zu beachten haben.

Von Dennis Witzmann - 27. Oktober 2022
IT

Foto: Gettyimages / piranka

ADVERTORIAL

Das IT-Outsourcing ist in der Finanzindustrie an die regulatorischen Anforderungen des Gesetzgebers und der Bankenaufsicht gebunden. Besonders für wesentliche Auslagerungen gelten durch die BAIT, MaRisk und künftig auch DORA strikte Vorgaben an Prozesse und Technik, die deren Integrität, Vertraulichkeit und Verfügbarkeit sicherstellen sollen.  

Neben branchenbezogener Regulatorik müssen bei der Dienstleisterwahl aber auch universelle Vorgaben an Datenschutz und Datensicherheit beachtet werden – allen voran das Regelwerk der Europäischen Datenschutz-Grundverordnung (DSGVO), dessen Berücksichtigung seit dem EuGH-Urteil zu Schrems II nochmals an Dringlichkeit gewonnen hat. Vor allem auf dem verzweigten Cloud-Markt mit vielen Anbietern und Subdienstleistern warten hier regulatorische Stolpersteine.   

BANKINGNEWS: Herr Wilde, die DSGVO-Vorgaben für die Verarbeitung personenbezogener Daten sind für viele Unternehmen eine Herausforderung. Können Sie Beispiele nennen, worauf Banken bei der Zusammenarbeit mit IT-Dienstleistern konkret achten sollten?
Jan-Niklas Wilde: Pauschale Aussagen zur Rechtssicherheit von IT-Dienstleistern und deren Services lassen sich nicht treffen. Meist muss der Einzelfall hinsichtlich eingesetzter Technologie und involvierter Unternehmen betrachtet werden. Allerdings kann ich ausführen, wo mögliche Problemfelder liegen. Generell gilt durch die DSGVO für alle Unternehmen: Immer, wenn personenbezogene Daten an einen Dienstleister zur Weiterverarbeitung übertragen werden, muss dieser als Auftragsverarbeiter geeignete Maßnahmen zum Schutz der Daten treffen. Dies umfasst etwa Passwortvorgaben, Identifikationsprozesse, IT-Nutzungsrichtlinien oder physische Sicherheitsvorgaben.  

Gelten für Anbieter aus dem Ausland besondere Regeln?
Das kommt auf den spezifischen Unternehmenssitz an. Im europäischen Geltungsbereich der DSGVO sowie in den von der EU-Kommission definierten sicheren Drittstaaten sind keine zusätzlichen Maßnahmen zu treffen. Außerhalb dieses Gebietes aber sehr wohl. Seit dem Ende von Privacy Shield im Jahr 2020 betrifft dies auch die USA, was noch heute branchenübergreifend für große Unsicherheit bei der IT-Beschaffung sorgt. Aktuell ist zwar mit dem „EU-U.S. Data Privacy Framework“ ein Nachfolgeabkommen auf dem Weg. Bis allerdings ein rechtskräftiger Angemessenheitsbeschluss der EU-Kommission vorliegt, durch den die USA wieder zu den sicheren Drittstaaten zählen würden, dürften noch einige Monate vergehen. Und wie lange dieser dann Bestand hat, ist ebenfalls fraglich. Bereits die beiden Vorgänger Safe Harbour und Privacy Shield wurden initiiert durch die Klagen des Datenschützers Max Schrems vom EuGH kassiert. Und auch das neue Abkommen wird vor Gericht penibel geprüft werden.  

Und welche zusätzlichen Anforderungen müssen Banken beim Einsatz von US-Anbietern und Providern aus unsicheren Drittstaaten nun konkret beachten?
Konkret sprechen wir hier von vertraglichen Maßnahmen wie Binding Corporate Rules (BCRs) oder Standardvertragsklauseln (SCCs). Sie gelten als Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus. Zudem ist ergänzend eine Risikoanalyse des Datentransfers (Transfer Impact Assessment – TIA) erforderlich, die eine Prüfung datenschutzrechtlicher Besonderheiten des Drittlandes umfasst. Je nach Ausgang des TIA sind dann nochmals ergänzende Schutzmaßnahmen zu treffen – vertraglich, organisatorisch und/oder technisch. Und selbst dann gibt es noch Szenarien, in denen die Rechtssicherheit anzuzweifeln ist. 

Welche Szenarien sind das zum Beispiel?
Das wäre beispielsweise immer dann, wenn der IT-Dienstleister für die Leistungserbringung mit unverschlüsselten personenbezogenen Daten arbeiten muss. Dieses Szenario ergibt sich etwa im Bereich der cloudbasierten IT-Sicherheit. In solchen Fällen sind laut Einschätzung des Europäischen Datenschutzausschuss (EDSA) keine DSGVO-konformen Übertragungen möglich, da die technologische Basis zum Schutz der Daten fehlt. Denn gerade in unsicheren Drittländern mit weitreichenden Zugriffsrechten von Behörden sind technische Absicherungsmethoden unbedingt erforderlich, rein vertragliche oder prozessuale Maßnahmen reichen laut EDSA hier nicht aus. Und Umwege über Transportverschlüsselung und/oder Data-at-Rest-Verschlüsselung bieten aus Sicht der Datenschutzexperten selbst in Kombination keine ausreichende Sicherheit. 

Gibt es weitere Aspekte, die hinsichtlich DSGVO-konformer IT-Providerwahl beachtet werden müssen?
Ja, der verdeckte Datentransfer kann beim Einsatz von IT-Dienstleistern ebenfalls zum Problem werden. Die geschilderten Anforderungen gelten natürlich auch für angeschlossene Subdienstleister, insofern an diese ein Datentransfer stattfindet. Oft ist aber nicht ohne Weiteres ersichtlich, welche Unternehmen entlang der gesamten digitalen Wertschöpfungskette tätig sind – von der konkreten Service-Leistung über den Support- bis hin zu Wartungsdiensten. Das kann Verantwortlichen bei der Auslagerung von IT auf die Füße fallen. Mit europäischen Anbietern, die keine Dritten für die Leistungserbringung einsetzen, ist man hier rechtlich auf der sicheren Seite ohne Trade-offs. Was viele oft nicht bedenken, ist, dass Europa in der IT und auch der Cloud schon lange auf eigenen Beinen steht und bei Know-how und Technologie ganz vorne mitspielt. Es empfiehlt sich daher, auf lokale Expertise zu setzen und sich unnötigen Ärger mit Aufsichtsbehörden zu ersparen.

TIPP: Sie möchten mehr zum Thema Cybercrime lesen? Dann lesen Sie hier, wie sich Cyberrisiken mit bankinternen ganzheitlichen Lösungen eindämmen lassen oder erfahren Sie hier, wieso es eine absolute Sicherheit im Bereich Cyberkriminalität nicht gibt.

Jan-Niklas Wilde

Myra Security GmbH

Jan-Niklas Wilde ist Senior Business Development Executive & Teamlead bei der Myra Security GmbH.

Lesen Sie auch

Cybersicherheit, Maßnahmen zur Erhöhung der Cybersicherheit in Banken, Schutz gegen Cybercrime

Cybersicherheit: Auch kleine Schutzmaßnahmen leisten einen großen Beitrag

„Sie wurden gehackt!“ Cybersicherheit gehört besonders in Finanzunternehmen[…]

Dennis Witzmann

Für eine einfache und sichere vernetzte Welt

5 Wege für eine sichere Cloud-Migration Cloud-Sicherheit für[…]

Redaktion
Cyberrsisiken in einer Bank minimieren, Cybersicherheit, Cybersecurity, verbesserte Risikoanalyse in Banken

Risikoanalyse und die Politik der Schadensbehebung

Zur Risikominimierung greifen Kreditinstitute auf eine Vielzahl an[…]

Olf Jännsch

Cyberrisiken mit bankinternen ganzheitlichen Lösungen eindämmen

Bei Cybersicherheit gehen Banken oft Partnerschaften mit externen[…]

Dennis Witzmann
tiber

„Eine absolute Sicherheit gibt es im Bereich der Cyberkriminalität nicht“

Auf einen Cyberangriff ist man nie wirklich vorbereitet.[…]

Fiona Gleim
Wie hoch ist die Sicherheit der Kundendaten in deutschen Banken?

Sicherheitsrisiko Kundendaten

Kundendaten sind der Schatz einer jeden Bank, den[…]

Redaktion
Log4Shell, Exploits

Every day is a zero day – wie Banken sich effektiv vor Log4Shell und Co. schützen

Cyberkriminelle und Betrüger machen sich Exploits in der[…]

Jan Wilde
Cybercrime

„Die Arten der Betrugsfälle haben sich geändert“

Wie in der Wirtschaft geht auch in der[…]

Dennis Witzmann
DDoS Angriffe Myra

Banken im Visier von DDoS-Erpressern

Cyberkriminalität ist das Problem unserer Zeit. Im Finanzsektor[…]

Jan Wilde
Datenschutz VPN

Ist ein VPN ein Muss?

Das Fürchten um das eigene Hab und Gut:[…]

Redaktion
Zusammenarbeit, gemeinsam gegen Betrug, Betrüger, Kriminelle, Geschäftliche Partnerschaft

Betrug: Auto- und Hausbanken können sich gemeinsam schützen

Betrüger haben es auf Banken abgesehen, das gilt[…]

Redaktion
Identitätsbetrug Erik Manke

Identitätsbetrug: Wie kann man sich schützen?

Identitätsbetrug soll während der Pandemie zugenommen haben. War[…]

Redaktion
Senioren

Wie Banken Senioren vor Betrug schützen können

Bei FRAUDMANAGEMENTforBANKS zeigte uns Kriminaldirektor Ralf Kluxen, welche[…]

Redaktion
Betrug im Online Banking, Risikofaktoren, Mensch als Risiko, Fraudmanagement, Banken

Risikofaktoren im Online-Banking: „Ohne Mensch kein Betrug“

Der Mensch ist einer der größten Risikofaktoren beim[…]

Dennis Witzmann
Cybersecurity

„Wir haben das Thema Digital- und Cybersecurity etwas schleifen lassen“

Die Bedrohung durch Cyberkriminelle ist omnipräsent. COVID-19 hat[…]

Dennis Witzmann
Beitragsbild_Daily_NRW versteigert Bitcoin aus Darknet

NRW versteigert Bitcoin aus Darknet

Bitcoin fasziniert. Wann auch immer die „Kryptomutter“ zur[…]

Fiona Gleim
Cybercrime Day 2021- IT-Sicherheit- Kongress

Cybercrime Day 2021 – IT-Security in der Finanzwelt

Der Cybercrime Day feierte am 28. September 2021[…]

Fiona Gleim
Ransomware-Angriff, Daten verschlüsselt, Computer gefährdet, Cybersicherheit

„You got hacked“ – Was tun nach einem Ransomware-Angriff?

Vorsicht ist besser als Nachsicht. Das gilt besonders[…]

Kevin Schwarz
schlechte arbeit bei it und Cybercrime Vahrenhorst

Warum machen Unternehmen bei der Cyberabwehr schlechte Arbeit?

Unternehmen machen beim Thema Cybercrime schlechte Arbeit. Unter[…]

Peter Vahrenhorst
Cyberattakcen, Angreifer, Cyberangriff, Cyber Security, Banken, Incident response

Incident Response – weil Cyberattacken Realität sind

Nephilim, Ryuk, Trickbot, Emotet und seit neustem Conti[…]

Mathias Fuchs
Unternehmen Tripwire Cybercrime

Man muss die eigene Umgebung kennen und Transparenz schaffen

Die durchschnittlichen Kosten von Cybervorfällen sind in den[…]

Dennis Witzmann
Schutz vor Cybercrime

Bonnie und Clyde wären heute Hacker

Ingo Lalla, Vice President Sales bei Myra Security,[…]

Ingo Lalla

Von Bonnie und Clyde zu Cyberscams: So kämpft die Finanzbranche gegen Cyberkriminelle

Beim BANKINGCLUB-Live: Cybercrime-Special drehte sich alles um das[…]

Redaktion

Ausweich- und Verschleierungstaktiken moderner Schadsoftware

Gekommen, um zu bleiben: Moderne Malware tut alles,[…]

Jörg Herrmann
Evasive Malware Meister der Tarnung

Evasive Malware: Meister der Tarnung

Evasive Malware ist darauf ausgelegt, den Security-Systemen eines[…]

Redaktion

Bei BANKINGCLUB-Live wird es speziell

An 24. März 2021 haben wir unser Erfolgsformat[…]

Dennis Witzmann
XM Cyber Assume Breach

Erfahren Sie von XM Cyber, wie Sie die kritischsten Assets Ihres Unternehmens schützen können

Termin: 5. Mai, 10:00 -11:00 Uhr Session: Assume Breach – Angenommen, es kommt zu einem Angriff[…]

Redaktion
Cybercrime

Cyber-Resilienz für den Finanzsektor

Hände hoch – das war einmal. Heute kommen[…]

Jörg Herrmann
Online Banking Cybersecurity mobile Daten

Ist es sicher, mobile Daten für Online-Banking zu verwenden?

Online-Banking ermöglicht den Zugriff auf das eigene Konto[…]

Redaktion
Betrugsprävention, IT-Security, Banken

Banken brauchen jetzt eine ganzheitliche Betrugsprävention

Peter Vahrenhorst vom Landeskriminalamt (LKA) Düsseldorf über die[…]

Peter Vahrenhorst
Rahmenwerk TIBER-EU Ethisches Hacking Bundesbank

Ethisches Hacking schützt vor Angriffen

Dr. Ronny Merkel beschreibt, wie Banken und Versicherer[…]

Ronny Merkel

Infografik: Betrug ohne Grenzen

Banken verzeichnen seit Jahren Rekordschäden durch Betrug und[…]

Redaktion
Wie kann ein Unternehmen sich effektiv gegen DDoS-Attacken schützen? Grafik zum Beitrag

Wenn Anwendungen in IT-Systemen regelrecht „bombardiert“ werden

Lars Meinecke beschreibt, wie man mit Cloud-Lösungen von[…]

Lars Meinecke