Die wichtigsten aufsichtsrechtlichen Anforderungen und Datensicherheitsvorschriften für Banken im Jahr 2021

Michael Magrath, 31. März 2021

Im Laufe des Jahres 2020 sahen die COVID19-Pandemie viele Aufsichtsbehörden und politische Entscheidungsträger in der ganzen Welt dazu veranlasst, in relativ kurzer Zeit neue oder bestehende Gesetze, Leitsätze und aufsichtsrechtliche Anforderungen verabschieden bzw. anzupassen, damit die Branche ihre Geschäftstätigkeit auch unter den Bedingungen des Social-Distancings sicher fortsetzen kann. Die Pandemie hatte natürlich erhebliche Auswirkungen auf das aufsichtsrechtliche Umfeld, sodass viele der neuen Vorschriften für dieses Jahr daraus herrühren, aber es wurden auch gesetzliche Vorschriften verabschiedet, die nicht unmittelbar mit der Pandemie zu tun hatten.

Nachstehend möchten wir Ihnen einige der weltweit wichtigsten aufsichtsrechtlichen Vorschriften, Gesetze und Normen vorstellen, mit denen sich die Finanzinstitute auseinandersetzen müssen.

Inhaltsverzeichnis:

Die wichtigsten Datensicherheitsvorschriften des Jahres 2021 für die Finanzbranche

Aufsichtsrechtliche Vorschriften in Bezug auf die Cybersicherheit

Kolumbien

Im Dezember 2019 erließ die kolumbianische Finanzaufsicht „Superintendencia Financiera de Colombia“ (SFC) ein Rundschreiben zur Verstärkung der Nutzung digitaler Kanäle für die Bereitstellung von Finanzdienstleistungen, in dem gleichzeitig die Einführung von Technologien zur Verbesserung der Erbringung von Finanzdienstleistungen für die Verbraucher befürwortet wurde. Zu diesen Technologien gehören unter anderem die biometrische Authentifizierung, die Blockchain-Technologie, künstliche Intelligenz und die erweiterte Realität (Augmented Reality). Dabei gewährte die SFC für die Compliance eine achtzehnmonatige Übergangsfrist, was bedeutet, dass die Finanzinstitute noch bis zum Juni 2021 Zeit zur Erfüllung der neuen Sicherheitsstandards haben.

Die SFC schreibt die Verwendung einer starken Authentifizierung für über Fernverbindungen, also ohne physischen Kontakt ausgeführte Transaktionen und Zahlungen vor.

Bei der Verwendung von Einmalkennwort (OTP), Biometrie, digitalen Zertifikaten und EMV-Kartenzahlungen sind zwei oder mehr Authentifizierungsfaktoren erforderlich.

Dabei müssen die Finanzinstitute auf der Basis einer Risikoanalyse starke Authentifizierungsmechanismen für Kunden nutzen, bei denen ein möglicherweise erhöhtes Risiko des (Identitäts-)Betrugs erkannt wird. Diese Analyse muss dokumentiert sein und Aspekte des jeweiligen Accounts wie z.B. Kunden-Transaktionsprofil, Zahl der Transaktionen, Betrag in Peso, Produkt- oder Kanaltyp usw. berücksichtigen.
Darüber hinaus wird für die folgenden Fälle eine starke Authentifizierung vorgeschrieben:

  • Aktualisierung von Kundendaten zur Meldung von Geldgeschäften oder zur Generierung von E-Mail- oder Handy-Warnungen.
  • Bei Vornahme von Zu- oder Abbuchungen außerhalb Kolumbiens.

Weiterhin erstreckt sich der Inhalt des Rundschreibens auf:

  • die Typen von verfügbaren Cloud-Diensten, den Typ von zur Verarbeitung erhobenen Daten und die Sicherheitsinstrumente für den Datenschutz in „virtualisierten Umgebungen“ oder Cloud-Anwendungen.
  • die Datenübertragbarkeit: Standards für den Informationsaustausch bei der Ausführung von Geldgeschäften wie z.B. elektronischen Transaktionen.

Indien

Am 18. Februar 2021 hat die indische Zentralbank „Reserve Bank of India“ (RBI) ein Rundschreiben mit dem Titel Sicherheitsinstrumente für den digitalen Zahlungsverkehr veröffentlicht, in dem die aufsichtspflichtigen Unternehmen („Regulated Entities“, RE) zur Einführung einer Governance-Struktur für digitale Zahlungsprodukte und -Dienstleistungen verpflichtet werden, wobei bestimmte Mindeststandards für die IT-Sicherheit eingehalten werden müssen. Zu den aufsichtspflichtigen Unternehmen gehören:

  1. Die unter die Aufsicht der RBI fallenden Geschäftsbanken („Scheduled Commercial Banks“) (mit Ausnahme der regionalen ländlichen Banken)
  2. Kleinere Finanzbanken
  3. Zahlungsbanken
  4. Nichtbanken-Finanzinstitute (NBFCs), die Kreditkartenemittenten sind.

Zu den weiteren Themen gehören die Beherrschung und Lenkung von Sicherheitsrisiken und Sicherheitskontrollinstrumenten, Authentifizierung, Beherrschung des Betrugsrisikos, Kundenschutz, Internet-Banking, Sicherheitskontrollinstrumente für mobile Zahlungsanwendungen sowie Sicherheitsstandards und Abgleich von Kartenzahlungen.

Einen besonders wichtigen Abschnitt bildet der Authentifizierungsrahmen („Authentication Framework“). Dazu weist die indische Zentralbank (RBI) auf Folgendes hin: „In Anbetracht der zahlreichen Cyber-Angriffe und ihrer potenziellen Konsequenzen müssen die aufsichtspflichtigen Unternehmen (außer bei einer ausdrücklichen Zustimmung/Lockerung) die Mehrfaktor-Authentifizierung (MFA) für Zahlungen über elektronische Verfahren und Überweisungen umsetzen, einschließlich Barabhebungen von Geldautomaten/ Mikro-Geldautomaten/ Bankvertretern („Business-Correspondents“) über digitale Zahlungsanwendungen. Dabei muss mindestens eines der Authentifizierungsverfahren generell dynamisch oder nicht replizierbar sein. So könnten z.B. die Verwendung von Einmalkennwörtern, mobilen Geräten (gerät- oder SIM-gebunden), Biometrie-/PKI-/Hardware-Tokens, wobei EMV-Chipkarten (für Transaktionen mit anwesender Kreditkarte) mit serverseitiger Überprüfung entweder unter den dynamischen oder den nicht replizierbaren Verfahren genannt werden.

In Abhängigkeit von Risikoprofil und Benutzerverhalten können die REs nach Vornahme einer Risikobewertung auch die adaptive Authentifizierung einsetzen.

Die Anforderungen für die Sicherheitskontrolle sollen im August in Kraft treten.

Peru

Die Finanzaufsichtsbehörde von Peru, „Superintendencia de Banca, Seguros y AFP“ (SBS Perú), veröffentlichte im Februar den Erlass Resolución SBS Nº 504-2021, in dem die Vorschriften für die Cybersicherheit im Finanzdienstleistungssektor definiert wurden.

Die Finanzinstitute müssen ein Cybersicherheitsprogramm umsetzen, in dem bestimmte Verfahren und Abläufe geregelt werden. Der besondere Schwerpunkt liegt dabei auf der Verstärkung der Authentifizierung über verschiedene digitale Kanäle, einschließlich derjenigen Kanäle, die sich auf „Zahlungen oder Überweisungen an Dritte, die Registrierung von vertrauenswürdigen Empfängern, Änderungen von vertraglich abgeschlossenen Spar-/Investment-Versicherungsprodukten, Vertragsabschlüsse für ein bestimmtes Produkt oder eine bestimmte Dienstleistung sowie die Änderung von Grenzen und Bedingungen“ beziehen.

Ähnlich wie in anderen Ländern verlangt auch die SBS von den Finanzinstituten, die Sicherheitspraktiken von Drittdienstleistern zu verstärken. Die Bestimmungen werden am 1. Juli 2021 in Kraft treten, mit Ausnahme der Authentifizierungsanforderungen, für die eine Übergangsfrist bis zum 1. Juli 2022 gilt. Die Unternehmen müssen innerhalb von 60 Kalendertagen nach dem 19. April 2021 einen Umstellungsplan vorlegen.

Vereinigte Staaten

Am 12. Januar 2021 wurde von der US-amerikanischen Behörde für die Überwachung des Kreditwesens („Office the Comptroller of the Currency“ - OCC), dem Leitungsgremium (Board of Governors) des Zentralbank-Systems („Federal Reserve System“) und des nationalen Einlagensicherungsfonds („Federal Deposit Insurance Corporation“ - FDIC) ein Gesetzesvorschlag („Notice of Proposed Rulemaking“ - NPR) vorgelegt. Dieser Entwurf trägt den Titel Computer-Security Incident Notification Requirements for Banking Organizations and Their Bank Service Providers - Anforderungen für die Meldung von Computersicherheitsvorfällen durch Bankorganisationen und ihre Bankdienstleister.

Der Entwurf sieht vor,  dass Banken so bald wie möglich, aber höchstens 36 Stunden die OCC davon verständigen muss, wenn die Bank angemessenerweise vom Eintreten eines meldepflichtigen Cybersicherheitsvorfalls ausgehen muss.

Die Banken können diese Meldung bei der OCC in jeder gewünschten Form, schriftlich oder mündlich sowie auch über technologische Mittel an eine angewiesene OCC-Kontaktstelle abgeben.

Sollte die Bank von einem Sicherheitsvorfall betroffen sein, der nach angemessenen Erwartungen die Dienstleistungen für vier oder mehr Stunden unterbrechen, beeinträchtigen oder stören könnte, so sieht diese Änderung vor, dass ein drittseitiger Bankdienstleister bei jeder betroffenen Bank mindestens zwei natürliche Personen benachrichtigen muss. Diese Regelung unterliegt jetzt noch dem Gesetz über die Bank-Dienstleistungsunternehmen („Bank Service Company Act“).

Zurzeit befindet sich dieser Regelungsvorschlag noch im öffentlichen Anhörungsverfahren. Der Schlusstermin für Kommentare ist der 12. April 2021.

Vorschriften zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung

In Anbetracht der Tatsache, dass der Wert der Bitcoins weltweit die Marke von 60.000 US-$ überschritten hat, haben die Aufsichtsbehörden die aufsichtsrechtlichen Regelungen für die Kryptowährungen verschärft. Auf ihrer im Februar 2021 abgehaltenen Vollversammlung kündigte die  Financial Action Task Force (FATF) an, dass sie  eine Aktualisierung der FATF-Leitsätze für virtuelle Vermögenswerte („Virtual Assets“) sowie für Dienstleister für virtuelle Vermögenswerte (VASP-Dienstleister) zur öffentlichen Anhörung freigeben wird.

Die FATF-Taskforce definiert einen VASP-Dienstleister als ein Unternehmen, das im Namen seiner Kunden eine oder mehrere der folgenden Dienstleistungen ausführt:

  • Austausch zwischen virtuellen Werten und Papiergeld;
  • Austausch zwischen einer oder mehreren Formen von virtuellen Vermögenswerten;
  • Transfer von virtuellen Werten;
  • Verwahrung und/oder Verwaltung von virtuellen Vermögenswerten oder von Instrumenten, die die Kontrolle über virtuelle Vermögenswerte ermöglichen; und
  • die Beteiligung an Finanzdienstleistungen bzw. Bereitstellung von Finanzdienstleistungen in Bezug auf das Angebot und/oder den Verkauf eines virtuellen Vermögenswerts durch einen Emittenten.

Zu den Beispielen für VASP-Dienstleister gehören Kryptowährungsbörsen, Verwahrer von elektronischen Geldbörsen (Wallets), Hedge-Fonds und bestimmte ATM-Betreiber.

Die FATF-Taskforce veröffentlichte ihr erstes Leitpapier im Jahr 2019, in dem empfohlen wurde, dass VASP-Dienstleister im Hinblick auf die Bekämpfung von Geldwäsche und Terrorismusfinanzierung dieselben Anforderungen wie traditionelle Finanzinstitute erfüllen sollten, d.h. dass eine Regulierung, Lizenzierung und Registrierung vorgesehen werden soll und effektive Systeme für die Überwachung und Beaufsichtigung eingeführt werden sollen.

Nach Angaben der FATF-Taskforce soll die Vorlage für die öffentliche Anhörung im März veröffentlicht werden. Den Erwartungen der FATF zufolge soll das Leitpapier dann im Juni 2021 genehmigt werden, wobei die Reaktionen auf die Anhörungsphase in das schlussendlich genehmigte Leitpapier einfließen werden. Diesem Entwurf wird auch zu entnehmen sein, wie die FATF-Leitsätze auf die sogenannten Stablecoins, die Inangriffnahme von Risiken der sog. Peer-to-Peer-Transaktionen sowie die Umsetzung von Datenaustauschanforderungen (auch als „Travel-Rule“ bekannt) anzuwenden sind.

Im Anschluss auf die Veröffentlichung der endgültigen Fassung dieser Leitsätze wird erwartet, dass bis Ende 2021 mehrere globale Aufsichtsbehörden ihre eigenen Regelungen auf die FATF-Leitsätze abstimmen werden..

Europäische Union - 6. EU-Geldwäscherichtlinie (6AMLD)

Wie auch die vorigen EU-Geldwäscherichtlinien dient die 6. Geldwäscherichtlinie dem Zweck der Bekämpfung von Geldwäsche und Terrorismusfinanzierung bei gleichzeitiger Schaffung eines einheitlichen regulatorischen Umfelds in der ganzen EU.

Vom Europaparlament wurde die 6AMLD-Richtlinie im Oktober 2018 verabschiedet, wobei die EU-Mitgliedsstaaten diese Richtlinie bis zum 3. Dezember 2020 in das einzelstaatliche Landesrecht umsetzen müssen. Die Finanzinstitute müssen die neuen Vorschriften bis zum 3. Juni 2021 umsetzen.
Zu den zahlreichen neuen Regelungen der 6. Geldwäscherichtlinie (6AMLD) gehört die Entwicklung einer harmonisierten Definition von 22 Geldwäsche-Vortaten, die einheitlich in allen Mitgliedsländern gelten sollen. Außerdem erweitert sie die strafrechtliche Haftung über die die strafbaren Handlungen faktisch ausführenden Personen hinaus auf den Personenkreis, der Versuche einer solchen Handlung, Beihilfe, Anstiftung oder Beratung zur Ausführung einer solchen Handlung oder Erleichterung ihrer Ausführung unternimmt. Weiterhin erweitert sie die strafrechtliche Haftung auf juristische Personen, also über die natürlichen Personen hinaus auch auf (Personen-)Gesellschaften und Unternehmen.

Obwohl die Strafen noch als viel zu milde gesehen werden, erhöht die 6AMLD-Richtlinie das Höchststrafmaß von einem Jahr auf vier Jahre Freiheitsentzug.

Russland

Am 30. Juli 2020 wurde ein Gesetz über „digitale finanzielle Vermögenswerte“ verabschiedet, das dann am 1. Januar 2021 in Kraft getreten ist. In diesem Gesetz wird eine rechtliche Definition für digitale Währungen (wie u.a. Kryptowährungen) ausformuliert, außerdem werden Verfahren für die Emission, das Inverkehrbringen und die Aufzeichnung von Transfers vorgeschrieben. Diese Änderungen in Bezug auf die digitalen finanziellen Vermögenswerte folgen auf die Novellierung des Gesetzes „über das nationale Zahlungssystem“. Wenn russische Kunden Finanzmittel bei einem E-Geld-Operator hinterlegen wollen, müssen sie eine Identifikation (oder vereinfache Identifikation) bereitstellen, in der der gesamte Name einer Person enthalten ist, was nur übrigens nur über ein Bankkonto möglich ist.

Vereinigte Staaten

Das Genehmigungsgesetz zur nationalen Verteidigung („US National Defense Authorization Act“ - NDAA) für das Haushaltsjahr 2021 trat am 1. Januar 2021 in Kraft. Obwohl das NDDA-Gesetz in erster Linie dazu dient, eine Gehaltserhöhung für die Mitglieder der Streitkräfte und die Bereitstellung von Mitteln für die militärische Infrastruktur zu genehmigen, waren in diesem Gesetz auch das US-Gesetz zur Bekämpfung der Geldwäsche 2020 („Anti-Money Laundering Act“) und das US-Gesetz zur Transparenz im Unternehmensbereich („Corporate Transparency Act“ - CTA) enthalten. Durch diese beiden Gesetze werden weitreichende Änderungen der Gesetze zur Bekämpfung der Geldwäsche auf US-Bundesniveau eingeführt.

Das US-Transparenzgesetz bezweckt die Bekämpfung der Verwendung von Briefkastengesellschaften, die für illegale Aktivitäten (oft Geldwäsche, Steuerumgehung oder Steuerhinterziehung) gegründet wurden, während die tatsächlichen Eigentümer anonym bleiben.

In den USA ansässige Finanzinstitute werden zur Erhebung von Informationen über die wirtschaftlich Nutzungsberechtigten von juristischen Personen (normalerweise Geschäftskunden) verpflichtet. Außerdem führt das Gesetz neue Anforderungen für die Berichtspflichten von Finanzinstituten über die wirtschaftlich Nutzungsberechtigten in einer breiten Palette von Kategorien von Unternehmenskategorien ein, wie z.B. Konzernen und LLCs (Limited Liability Companies). Als wirtschaftlich Nutzungsberechtigter wird eine natürliche Person definiert, die 25 % oder mehr einer Körperschaft besitzt oder beherrscht oder eine wesentliche Beherrschung über eine Körperschaft ausübt. Was genau unter wesentlicher Beherrschung zu verstehen ist, soll voraussichtlich in den in Kürze erscheinenden Vorschriften definiert werden.

Außerdem führt das Gesetz neue Instrumente und Ressourcen für die Durchsetzung ein und verpflichtet die für die Verfolgung von Finanzstraftaten zuständige FinCEN-Behörde („Financial Crimes Enforcement Network“) dazu, innerhalb eines Jahres ab Inkrafttreten Vorschriften über die Offenlegung der wirtschaftlich Nutzungsberechtigung zu veröffentlichen.

Die FinCEN-Behörde wurde außerdem damit beauftragt, ein nichtöffentliches Register aufzubauen, in dem die wirtschaftlich Nutzungsberechtigten der berichtspflichtigen Unternehmen zu entnehmen sind. Dieses Register soll dann unter bestimmten Bedingungen von Strafverfolgungsbehörden und Finanzinstituten im Rahmen von Due-Diligence-Untersuchungen eingesehen werden können.

Zahlungssysteme

In vielen Ländern werden die Instant-Payment-Systeme (Echtzeitüberweisungen) modernisiert. In Brasilien wurde im Oktober 2020 das PIX-System eingeführt, in den USA ist für 2023 die Einführung des Echtzeit-Zahlungsdiensts FedNow Service geplant.

Kanada

In ihrem am 28. Mai 2020 veröffentlichten Jahresbericht über 2019 kündigte die kanadische Zentralbank (Bank of Canada) das Vorhaben an, ihre beiden Instant Payment-Systeme - das System für die Überweisung großer Geldsummen („Large Value Transfer System“ - LVTS) und das automatisierte Clearing- und Abrechnungssystem („Automated Clearing and Settlement System“ - ACSS)  - zu ersetzen. Das LVTS-System soll im zweiten Quartal 2021 von einem neuen Zahlungssystem für große Beträge mit dem Namen Lynx ersetzt werden, während im Jahr 2022 ein neues Echtzeitüberweisungssystem mit dem Namen „Real-Time Rail“ (RTR) eingeführt werden soll.

Der Instant-Payments-Betreiber Payments Canada beschreibt in seinem Unternehmensplan für den Zeitraum 2020 - 2024 die Pläne für alle drei Systeme. An die Stelle des ACSS-Systems soll dann eine neue Instant- Payments-Infrastruktur für den Zahlungsverkehr zwischen Privatpersonen und Unternehmen treten, wobei man aber voraussichtlich erst im Laufe dieses Jahres mit Systemplanung und Systementwurf beginnen wird.

United Kingdom

Die britische Finanzaufsicht („Financial Conduct Authority“ - FCA) verlängerte die Frist für die Umsetzung der Anforderungen an die starke Kundenauthentifizierung („Strong Customer Authentication - SCA), die in der zweiten Zahlungsdiensterichtlinie (PSD2), die ursprünglich im September 2019 in Kraft treten sollte, enthalten sind, um den Händlern mehr Vorbereitungszeit zu gewähren. Die FCA wird am 14. September 2021 mit der Durchsetzung der SCA-Anforderungen beginnen.

Aufsichtsrechtliche Vorschriften für die elektronische Signatur

Australien

Im Mai 2020 erlaubte die australische Regierung die Verwendung von elektronischen Dokumenten und e-Signaturen zur Unterzeichnung von Unternehmensverträgen. Inzwischen wurde diese Regelung bis zum 21. März 2021 verlängert. Außerdem kündigte Australien Pläne zur Novellierung des australischen Unternehmensgesetzes „Corporations Act“ von 2001 sowie von anderen damit zusammenhängenden Gesetzen und Vorschriften an, die die zulässigen Verwendungen von e-Signaturen erweitern sollen. Das novellierte Gesetz soll die Verwendung der elektronischen Signatur bei der Unterzeichnung rechtlicher Schriftstücke erlauben und die Beglaubigung von offiziellen Dokumenten über Videokonferenzen oder andere sichere technologische Verfahren ermöglichen.

Vereinigte Staaten

Eine Neuerung, die sich nicht nur für die Finanzdienstleister, sondern für alle Branchen positiv auswirken wird: Die US-amerikanische Börsenaufsicht („Securities and Exchange Commission“ - SEC) hat im Dezember 2020 die Regulation S-T sowie das Handbuch für die Einreichung von Unterlagen (Filer-Manual) für das EGDAR-Datenverarbeitungssystem („Electronic Data Gathering, Analysis, and Retrieval System“) angepasst. Diese Anpassung gestattet die Verwendung von elektronischen Signaturen für unterzeichnungspflichtige, in das EDGAR-System einzureichende Unterlagen und hat auch entsprechende Anpassungen in verschiedenen Regeln und Formularen im Rahmen verschiedener Aktien- und Börsengesetze („Securities Act“ von 1933, „Securities Exchange Act“ von 1934 und „Investment Company Act“ von 1940) umgesetzt.

Vor dieser Anpassung war in Artikel 17, Absatz 232.302(b) der Regulation S-T, Rule 302(b)) vorgeschrieben, dass jeder Unterzeichner einer elektronisch eingereichten Unterlage vor oder bei der elektronischen Einreichung eigenhändig eine Unterschriftsseite oder ein anderes Dokument unterzeichnet, um die Signatur, die im Rahmen der elektronischen Eingabe in getippter Form erscheint, zu authentifizieren, zu bekräftigen oder auf andere Weise anzunehmen.

Nach der Neufassung muss in den Unterzeichnungsprozess ein Sicherheitsverfahren integriert werden, das die Authentifizierung der persönlichen Identität eines Unterzeichners durch einen physischen, logischen oder digitalen Identitätsnachweis vorschreibt, wobei der Unterzeichnungsprozess mit einer angemessenen Regelung für die Nichtabstreitbarkeit der elektronischen Signatur ausgestattet sein muss.

Lesen Sie auch den Leitfaden zur rechtlichen Grundlage der elektronischen Signatur von OneSpan, wenn Sie sich detailliert über die Gesetzes- und Vorschriftslage sowie bestimmte Ausnahmen für eine Reihe von Ländern informieren wollen.

Aufsichtsrechtliche Vorschriften für Datenschutz und Datensicherheit

Kanada

Im Jahr 2020 wurde in Kanada ein Gesetzesentwurf zur Umsetzung der digitalen Charta („Digital Charter Implementation Act“) (Gesetzesentwurf C-11) vorgelegt. Mit diesem Gesetz sollen die kanadischen Datenschutz-Gesetze modernisiert werden. Die zahlreichen Neuerungen dieses Entwurfs erstrecken sich auf zwei Bereiche:

  • Teil 1 bildet eine Anpassung des früheren kanadischen Gesetzes über den Schutz personenbezogener Informationen und elektronischer Dokumente („Personal Information Protection and Electronic Documents Act“ - PIPEDA), das jetzt als Gesetz zum Schutz der personenbezogenen Daten von Verbrauchern („Consumer Privacy Protection Act“ - CCPA) bezeichnet wird.
  • Teil 2 bezweckt die Einrichtung eines spezialisierten Datenschutz- und Datensicherheitsgerichts durch den Personal Information and Data Protection Tribunal Act. Dieses Gericht soll dann für Empfehlungen und Berufungen gegen Entscheidungen der kanadischen Datenschutzbehörde zuständig sein.

Obwohl die Behandlung des Entwurfs von der kanadischen Regierung am 17. November 2020 vertagt wurde, lohnt es sich unbedingt, diese Gesetzgebung weiterzuverfolgen. Sollte das Gesetz in Kürze verabschiedet werden, ist es zwar eher unwahrscheinlich, dass die Bestimmungen noch 2021 in Kraft treten, aber es ist sicherlich ratsam, dass alle Organisationen in Kanada mit den Vorbereitungen beginnen.

Neuseeland

Im Juni 2020 wurde die Novelle des Datenschutzgesetzes von 1993 („Privacy Act 1993“) verabschiedet, die dann am 1. Dezember 2020 in Kraft trat. Im Vergleich zu den in anderen Rechtsgebieten erlassenen Gesetzen, die sich an der EU-DSGVO orientierten, erscheint dieses neue Gesetz viel weniger streng. Die Novelle gilt für alle Unternehmen, die in Neuseeland geschäftstätig sind, also unabhängig vom Land ihrer Niederlassung.

Weiterhin enthält das Gesetz neue Anforderungen für die Meldung von Datenschutzverletzungen, Anforderungen für den grenzüberschreitenden Datenverkehr sowie einen Bußgeldkatalog. Außerdem werden die aufsichtsrechtlichen Befugnisse und die Durchsetzungsbefugnisse der neuseeländischen Datenschutzbehörde („Privacy Office“) erweitert.

Als meldepflichtige Datenschutzverletzungen gelten alle Verstöße, bei denen ein wahrscheinliches Schadensrisiko besteht, wie z.B. die Offenlegung von sensiblen personenbezogenen Daten. Außerdem beeinflusst es den grenzüberschreitenden Datenverkehr, da ein Unternehmen, das Daten in das Ausland auslagern will, außer wenn die betroffene natürliche Person ihre ausdrückliche Zustimmung zu einer Offenlegung in das Ausland erteilt hat, erst den Schutz der personenbezogenen Daten dieser Person sicherstellen muss.

Singapur

Die Novelle zum Datenschutzgesetz von Singapur („Personal Data Protection Amendments“ - PDPA) wurde im November 2020 vom Parlament verabschiedet und tritt ab dem 1. Februar 2021 in mehreren Phasen gestaffelt in Kraft. Diese Novelle verbessert den Verbraucherschutz und verschärft die Rechenschaftspflichten von Organisationen.

Einige der wichtigsten Änderungen sind:

  • Neue zwingende Meldungspflicht für Datenschutz-Verletzungen
  • Bußgelder für neue Verstöße bei Verletzungen des Schutzes personenbezogener Daten
  • Heraufsetzung der Höchstgrenzen für Bußgelder bei Datenschutz-Verletzungen
  • Zusätzliche Regelungen für das Telemarketing und zur Kontrolle von unerwünschter Massenwerbung (Spam)

Am 1. Februar 2021 traten u.a. die folgenden Anpassungen in Kraft:

  • Zwingende Meldepflicht für Datenschutz-Verletzungen, die einen erheblichen Schaden verursachen könnten oder von denen mindestens 500 Menschen betroffen sein könnten;
  • unerwünschte Nachrichten und Massenwerbung (Spam) - dies gilt für Telefonanrufe, SMS-Mitteilungen und Instant-Messaging (Nachrichten-Sofortversand);
  • für von öffentlichen Stellen beauftragte Drittdienstleister gilt keine Ausnahme mehr bei Datenpannen bei der Erhebung, Verwendung und Offenlegung von personenbezogenen Daten;
  • neue Vorschriften für die Verwendung von Daten und Innovation
  • Rechenschaftspflichten – die Organisationen müssen für die in ihrem Besitz oder unter ihrer Beherrschung befindlichen personenbezogenen Daten Rechenschaft ablegen.

In den nächsten Phasen sollen dann Anpassungen in Kraft treten, die sich auf die Datenübertragbarkeit sowie die Erhöhung der Bußgelder (derzeitige Höchstgrenze 1 Mio. S$, d.h. ca. 742.500 US-Dollar) beziehen. Für Organisationen, deren jährlichen Einnahmen in Singapur 10 Mio. S$ überschreiten, soll die neue Höchststrafe dann auf 10 % der Jahreseinnahmen (mit einen Minimum von 1 Mio. S$) angehoben. Außerdem wurde der Strafrahmen für Organisationen mit Einnahmen von weniger als 10 Mio. S$ angepasst, die neue Höchststrafe wird sich dann auf 1 Mio. S$ belaufen.

Südafrika

Das südafrikanische Gesetz über den Schutz personenbezogener Daten („Protection of Personal Information Act“ - POPIA) von 2013 trat im Juli 2020 in Kraft. Schon im Vorfeld hatte die Zentralbank von Südafrika („South African Reserve Bank“ - SARB) die Finanzinstitute dazu aufgerufen, die POPIA-Bestimmungen proaktiv zu erfüllen. Die SARB wird ab dem 30. Juni 2021 die Artikel 110 und 114(4) im uneingeschränkten Umfang durchsetzen. Diese Artikel befassen sich mit der Anpassung von Gesetzen und der Übertragung von Funktionen von der Menschenrechtskommission von Südafrika an die Datenschutz-Aufsichtsbehörde im Rahmen des Informationszugangsgesetzes („Promotion of Access to Information Act“ - PAIA).

Vereinigte Staaten

Nach dem Vorbild der EU-DSGVO hat Kalifornien zwei Gesetze, das Gesetz zum Schutz von Verbraucherdaten („California Consumer Privacy Act“ - CCPA) und dessen Nachfolgeregelung, das Datenschutzgesetz („California Privacy Rights Act“ - CPRA), das am 1. Januar 2023 in Kraft treten und ab dem 1. Juli 2023 vollständig durchgesetzt werden wird.

Das CPRA-Gesetz wird am 1. Januar 2023 durchsetzbar, kennt aber eine rückwirkende Frist von 12 Monaten für Auskunftsanträge. Konkret heißt das, dass die Unternehmen unbedingt im Laufe von 2021 die Aufbewahrungsprotokolle definieren und implementieren sollten, damit sie ab dem 1. Januar 2022 Auskunftsanträge CPRA-konform erfüllen können.

Als zweiter US-Bundesstaat erließ Virginia umfassende Datenschutzbestimmungen durch Verabschiedung des Gesetzes über den Schutz von Verbraucherdaten („Consumer Data Protection Act“ - CDPA) am 2. März 2021. Das CDPA-Gesetz, das am 1. Januar 2023 in Kraft treten soll, richtet einen rechtlichen Rahmen für die Erhebung, Beherrschung und Verarbeitung von personenbezogenen Daten ein. Ein Vorteil für Finanzinstitute: Finanzinstitute, die unter das Gramm-Leach-Bliley-Gesetz (GLBA) fallen, sind freigestellt.

Open-Banking

Australien

Im Jahr 2020 startete die australische Wettbewerbs- und Verbraucherkommission („Competition and Consumer Commission“ - ACCC) die gestaffelte Einführung der Vorschriften im Rahmen einer nationalen Open-Banking-Initiative.

Die Vorschriften traten am 5. August 2020 in Kraft, die Datenstandards im Rahmen dieses Gesetzes dann im November 2020. Bis zum Juli 2021 müssen dann alle Banken in Australien die Verpflichtungen für den Datenaustausch mit den Verbrauchern im Rahmen der neuen Vorschriften erfüllen.

Brasilien

Im Mai 2020 hat die brasilianische Zentralbank (BCB) Vorschriften für die Realisierung des Open-Bankings in Brasilien veröffentlicht, durch die der Austausch von personenbezogenen Daten zwischen Finanzinstituten gestattet wird und die bestehenden API-Systeme der Finanzinstitute integriert werden. Brasilien durchläuft zurzeit einen in vier Phasen gestaffelten Prozess der Einführung des Open-Bankings, damit der übergreifende Zugriff über Kanäle, Produkte und Dienstleistungen ermöglicht wird.

  • November 2020: Ermöglichung Zugriff Kanäle, Produkte und Dienstleistungen
  • Mai 2021: Kunden-Datenaustausch
  • August 2021: Austausch der Auslösung von Zahlungsgeschäften
  • Oktober 2021: Austausch aller sonstigen Dienstleistungen und Informationen

Kanada

  • Der vom kanadischen Finanzminister im Jahr 2018 eingerichtete Beratungsausschuss für das Open-Banking wurde mit der Erstellung eines Berichts zur „Abschätzung der potenziellen Vorteile des Open-Bankings für Kanada unter besonderer Berücksichtigung des Schutzes der personenbezogenen Daten der Verbraucher, der Datensicherheit und der Finanzstabilität” beauftragt.
  • Ein Ergebnis des im Jahr 2020 vorgelegten Berichts bestand darin, statt des Begriffs „Open-Banking“ künftig die Bezeichnung „Consumer-Directed Finance” - CDF (verbrauchergelenkte Finanzdienste) zu verwenden. Im letzten Jahr führte Kanada die zweite Konsultierungsphase in Bezug auf die verbrauchergelenkten Finanzdienste ein, mit besonderem Schwerpunkt auf der Datensicherheit. Im letzten Herbst gab der Beratungsausschuss durch die Veranstaltung einer Serie von virtuellen Stakeholder-Versammlungen den Anstoß für Phase 2. Phase 2 ist darauf fokussiert, wie die kanadischen Finanzaufsichtsbehörden und Finanzinstitute den Datenschutz verbessern und die Risiken von Datenpannen eindämmen können. Zwar ist es unwahrscheinlich, dass das CDF-Konzept noch im Jahr 2021 eingeführt werden wird, aber die entsprechenden Entwicklungen werden von den Finanzinstituten genau verfolgt.

Mexiko

Im März 2020 veröffentlichte die Zentralbank von Mexiko die ersten Regelungen für das Open-Banking im Einklang mit dem mexikanischen Fintech-Gesetz. In den anfänglichen Regeln wurden Kreditauskunftsbüros und Clearing-Stellen in den Open-Banking-Rahmen integriert. Im Juni 2020 veröffentlichte die Zentralbank dann Regeln über Open-Data-APIs, im ersten Quartal 2021 sollen dann sekundäre Regeln über Transaktionsdaten folgen.

Nigeria

Im Februar veröffentlichte die nigerianische Zentralbank („Central Bank of Nigeria“) den aufsichtsrechtlichen Rahmen für das Open-Banking („Regulatory Framework for Open Banking“). Dieser Rahmen gilt sowohl für Bank- als auch für andere verwandte Dienstleistungen. Zu diesen Dienstleistungen gehören:

  • Zahlungs- und Überweisungsdienstleistungen
  • Inkasso- und Auszahlungsdienstleistungen
  • Einlagengeschäft
  • Kreditgeschäft
  • Persönliche finanzielle Beratung und Verwaltung
  • Kredit-Ratings/Kredit-Scores
  • Leasing/Mietkauf
  • Hypotheken

Vereinigte Staaten

Die US-Behörde für den Verbraucherschutz in Finanzangelegenheiten („US Consumer Financial Protection Bureau“) will im Laufe von 2021 eine Voranzeige für einen beabsichtigten Verordnungserlass („Advance Notice of Proposed Rulemaking“ - ANPR) im Hinblick auf den vom Verbraucher autorisierten Zugriff auf Finanzdaten vorlegen. Von diesen neuen Bestimmungen werden voraussichtlich sowohl die FinTechs als auch traditionelle Finanzdienste-Anbieter betroffen sein. Darüber hinaus sollen diese Bestimmungen auf das Konzept des Open-Bankings abgestimmt sein. Die ANPR wird dabei ein Bandbreite von Informationen abstecken, einschließlich des Umfangs der Daten, die möglicherweise einem einen geschützten Zugriff unterliegen werden. Darüber hinaus könnten darin Informationen enthalten sein, die sich auf andere Zugriffsbedingungen auswirken können, wie z.B. Angaben in Bezug auf Datensicherheit und Datenschutz, die effektive Kontrolle der Verbraucher über den Zugriff sowie über die Daten, auf die der Zugriff erfolgt, und die Rechenschaftspflichten im Fall von Datenfehler oder unbefugtem Zugriff.

Die wichtigsten Datensicherheitsvorschriften des Jahres 2020 für die Finanzbranche

Aufsichtsrechtliche Vorschriften in Bezug auf die Cybersicherheit

PSD2: Zahlungsdiensterichtlinie 2

Obwohl die Open-Banking-Anforderungen am 14. September 2019 in Kraft getreten sind, veröffentlichte die Europäische Bankenaufsichtsbehörde EBA ein angepasstes Fristende für die Erfüllung der technischen Regulierungsstandards („Regulatory Technical Standards“ - RTS) zur starken Kundenauthentifizierung und sicheren Kommunikation im Rahmen der PSD2. Neues Fristende ist jetzt der 31. Dezember 2020. Während die meisten Behörden der Mitgliedsländer dem Beispiel der EBA gefolgt sind, wird die britische Finanzaufsicht („Financial Conduct Authority“ - FCA) die starke Kundenauthentifizierung erst ab dem 14. März 2021 durchsetzen. Die französische Zentralbank schloss sich zwar dem EBA-Fristende zum 31. Dezember an, schuf aber auf der Basis einer Einzelfallprüfung die Möglichkeit einer dreimonatigen Kulanzfrist.

Auflistung der PSD2-Kriterien:

  • Starke Kundenauthentifizierung: Die Authentifizierung muss auf der Basis von zwei oder mehr Faktoren erfolgen, darunter Kennwörter oder PIN, Tokens oder Smartphones oder Anwendungen der Biometrie.
  • Transaktionsrisikoanalyse: Die PSD2 enthält eine zwingende Verpflichtung zur Umsetzung der Transaktionsrisikoanalyse als Schutz vor betrügerischen Zahlungen.
  • Dynamische Verlinkung („Dynamic Linking“): Der Authentifizierungscode muss sowohl mit dem Zahlungsempfänger als auch dem Zahlungsbetrag dynamisch verlinkt sein.
  • Replikationssschutz: Die Zahlungsdiensteanbieter müssen Maßnahmen zur Beherrschung der Risiken infolge von gefährdeten Mobilgeräten einführen. PSD2 schreibt außerdem die Verwendung von dedizierten Maßnahmen zum Schutz vor dem Klonen von mobilen Apps in Anwendungen (Replikationsschutz) vor.

Kanada – Aktualisierte FINTRAC-KYC-Leitsätze ermöglichen digitales Onboarding

Das digitale Onboarding hat in Ländern in der ganzen Welt (u.a. Hongkong, Singapur und Vereinigte Staaten) rasch an Akzeptanz gewonnen. Sowohl von Finanzinstituten als auch von den Kunden wurde das digitale Onboarding bereitwillig angenommen, da es Sicherheit mit Benutzerkomfort in Einklang bringt und außerdem die aufsichtsrechtlichen Anforderungen erfüllt.

Kanada setzt den nächsten Schritt zur digitalen Identität durch die Weiterentwicklung eines nationalen Rahmenwerks („Pan-Canadian Trust Framework“ - PCTF) unter Leitung der kanadischen Regierung und des kanadischen Rates für die digitale Identität und Authentifizierung („Digital Identity and Authentication Council of Canada“ - DIACC).

Am 14. November 2019 veröffentlichte die kanadische FIU FINTRAC („Financial Transactions and Reports Analysis Centre“) ein Update mit Leitsätzen zu den Know-Your-Customer- (KYC-) Anforderungen mit dem Titel „Methoden zur Überprüfung der Identität von natürlichen Personen und zur Bestätigung der Existenz von Gesellschaften oder anderen Körperschaften“.

In diesem Papier befürwortet FINTRAC verschiedene Technologien, darunter ein Live-Video-Gespräch sowie ein zurzeit bevorzugtes Verfahren, bei dem eine natürliche Person dazu aufgefordert wird, mit der Kamera ihres Smartphones oder anderen elektronischen Geräts ein Selfie zu machen, woraufhin eine App mit Hilfe der Gesichtserkennungstechnologie die Merkmale dieses Selfies mit dem Foto des authentischen, amtlich ausgestellten Lichtbildausweises vergleicht.

Dabei betont FINTRAC besonders, dass es „nicht ausreicht, eine Person und ihren amtlich ausgestellten Lichtbildausweis über eine Videokonferenz oder andersartige virtuelle Anwendungen einfach nur online zu betrachten, sondern das Finanzinstitut muss eine Software oder andersartige Technologie einsetzen, die zur Authentifizierung des amtlich ausgestellte Lichtbildausweises in der Lage ist. Außerdem müssen die Finanzinstitute die Übereinstimmung von Namen und Bild mit dem Namen und Bild der Person auf dem authentischen amtlich ausgestellten Lichtbildausweis überprüfen.“

Kanada – Änderungen des kanadischen Gesetzes zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung („Proceeds of Crime (Money Laundering) and Terrorist Financing Act“ - PCMLTFA)

Die im Juli 2019 von der FINTRAC veröffentlichten Anpassungenwirken sich unmittelbar auf Kryptobörsen aus, die bisher viele Vorschriften vermeiden konnten.

Ab dem 1. Juni 2020 müssen sich alle Kryptobörsen in Kanada bei der FINTRAC anmelden. Sie werden dann als Gelddienstleister („Money Services Businesses“ - MSBs) eingestuft, worunter traditionell Devisenwechsel- und Scheckeinlösungsdienste sowie der Vertrieb von Zahlungsanweisungen verstanden wurden.

Genau wie die Finanzinstitute müssen dann auch die Kryptobörsen einen Compliance-Beauftragen haben, die KYC-Richtlinien (Know Your Customer) erfüllen und verdächtige Transaktionen bei der FINTRAC melden. Die Kryptobörsen können dann auch die oben beschriebenen Bestimmungen für das digitale Onboarding nutzen.

Vereinigte Staaten - Änderungen der Schutzklauseln und Datenschutz-Vorschriften im Rahmen des Gesetzes zur Modernisierung des Finanzwesens (Gramm Leach Bliley Act)

Im Jahr 2020 wird die US-Wettbewerbs- und Verbraucherschutzbehörde „Federal Trade Commission“ erwartungsgemäß Änderungen der Schutzklausel und der Datenschutz Vorschriften im Rahmen des Gramm Leach Bliley Acts ankündigen. Danach müssen die Finanzinstitute ihren Kunden die Richtlinien und Praktiken ihrer Organisation in Bezug auf den Informationsaustausch erläutern und den Schutz sensibler Daten gewährleisten.

In die überarbeiteten Vorschriften werden wahrscheinlich die Reaktionen auf die von der FTC 2019 angekündigten Änderungsvorschläge integriert sein.
Im Rahmen der Datensicherheitsklausel („Safeguards Rule“) müssen die US-amerikanischen Banken und Finanzinstitute Maßnahmen zum Schutz von Kundendaten umsetzen. Darüber hinaus müssen sie weiterhin Maßnahmen ergreifen, durch die auch der Schutz von Kundeninformationen gewährleistet ist, die sich in der Obhut ihrer verbundenen Unternehmen und der von ihnen beauftragten Diensteanbieter befinden. Die Datenschutz-Vorschrift („Privacy Rule“) verpflichtet die Finanzinstitute dazu, ihren Kunden die Möglichkeit zu bieten, die Weitergabe ihrer Daten an bestimmte Dritte abzulehnen, nachdem dem Kunden die Datenaustausch-Praktiken der Organisation erläutert wurde. Diesem Vorschlag zufolge müssten die Finanzinstitute alle Kundendaten verschlüsseln, für den Zugriff auf diese Daten die Multifaktor-Authentifizierung anwenden und weitere Zugriffskontrollen umsetzen, damit keine unbefugten Benutzer auf Kundendaten zugreifen können.

Die vorgeschlagenen Änderungen sind den Vorschriften für die Cybersicherheit des Finanzministeriums des Bundesstaats New York (NYDFS) nachempfunden, die bereits 2019 in Kraft getreten sind. Natürlich sind in der Realität leider nicht alle Finanzinstitute in den Vereinigten Staaten an die NYDFS-Vorschriften gebunden, sodass es nach wie vor Lücken im Hinblick auf den Schutz der Privatsphäre der Kunden und die Datensicherheit gibt. Dahingegen fallen sämtliche Finanzinstitute in den Vereinigten Staaten unter die FTC-Aufsicht, sodass die FTC-Änderungsvorschläge alle oben beschriebenen Lücken schließen werden.

Europäische Union - 5. EU-Geldwäscherichtlinie (AMLD5)

Im Juli 2018 trat die fünfte Fassung von EU-Richtlinie 2018/843, der EU-Geldwäscherichtlinie (AMLD5) in Kraft, die von den EU-Mitgliedsstaaten bis zum 10. Januar 2020 in nationales Recht umgesetzt werden musste.

Wie die vorigen Fassungen gilt auch die AMLD5 für Finanzinstitute, (u.a. Banken und Gelddienstleister - MSBs), jedoch mit dem wesentlichen Unterschied, dass die AMLD5 auch für Kryptobörsen („Virtual Crytocurrency Exchanges“, VCEP) und Anbieter elektronischer Geldbörsen („Custodian Wallet Providers“ - CWPs) als „Verpflichtete“ gelten, die damit jetzt unter die EU-Vorschriftenfallen.

Das bedeutet, dass die VCEPs und CWPs, die bisher nicht unter die Richtlinie fielen, sich künftig an dieselben Vorschriften wie alle anderen Finanzdienstleistungsorganisationen halten müssen, darunter verpflichtende Identitätskontrollen für Neukunden.

Hinsichtlich der Identitätsprüfung, werden in der AMLD5 digitale Identitätstechnologien anerkannt.

In Ziffer 22 ist dies wie folgt formuliert: „Die genaue Identifizierung und Überprüfung von Daten natürlicher und juristischer Personen ist von wesentlicher Bedeutung für die Bekämpfung von Geldwäsche oder Terrorismusfinanzierung. Dank der neuesten technischen Entwicklungen auf dem Gebiet der Digitalisierung von Transaktionen und Zahlungen ist es inzwischen möglich, eine sichere Identifizierung aus der Ferne oder auf elektronischem Wege vorzunehmen. Diese Identifizierungsmittel ...... sollten berücksichtigt werden, insbesondere notifizierte elektronische Identifizierungssysteme und -mittel, die eine grenzüberschreitende rechtliche Anerkennung sicherstellen, welche hochgradig sichere IT-Instrumente bieten und einen Maßstab für die Bewertung der auf nationaler Ebene eingeführten Identifizierungsmethoden liefern. Außerdem können weitere sichere Verfahren zur Identifizierung aus der Ferne oder auf elektronischem Weg, die von der zuständigen nationalen Behörde reguliert, anerkannt, gebilligt oder akzeptiert werden, berücksichtigt werden.“

Für die Nichteinhaltung können hohe Bußgelder von bis zu 5 Mio. Euro oder 10 % des Jahresumsatzes verhängt werden. Was die Unternehmensführung betrifft, so kann einzelnen Personen die Ausübung einer regulierten Geschäftstätigkeit verboten werden, während die ganze Organisation aufgrund von Compliance-Verstößen vom Handel ausgeschlossen werden kann.

Aufsichtsrechtliche Vorschriften für Datenschutz und Datensicherheit

In der ganzen Welt erwägen Regierungsstellen neue Datenschutzbestimmungen. Viele dieser Regelungswerke orientieren sich an der EU-DSGVO und bringen damit ein erhöhtes Bewusstsein für Datenschutz und Datensicherheit zum Ausdruck.

Vereinigte Staaten – Kalifornisches Gesetz zum Schutz von Verbraucherdaten („California Consumer Privacy Act“ - CCPA)

In Kalifornien führt das CCPA-Gesetz neue Datenschutzrechte für Verbraucher ein und verpflichtet damit alle im Bundesstaat Kalifornien geschäftstätigen Unternehmen dazu, strukturelle Änderungen ihrer Datenschutz-Strategien vorzunehmen. Das an der EU-DSGVO orientierte CCPA-Gesetz trat am 1. Januar 2020 in Kraft, die Durchsetzung begann am 1. Juli 2020.

Das CCPA-Gesetz gilt für Unternehmen, die wie folgt definiert werden: „eine gewinnorientierte Körperschaft, die personenbezogene Daten von ‚Verbrauchern‘ (in diesem Fall Einwohnern von Kalifornien) erhebt und mindestens eine der folgenden Kriterien erfüllt:

  • Das Unternehmen kauft, erhält, verkauft oder übermittelt auf Jahresbasis personenbezogene Daten von mindestens 50.000 Verbrauchern, Haushalten oder Geräten.
  • Das Unternehmen erzielt einen Bruttojahresumsatz von mindestens 25 Millionen US-$.
  • Das Unternehmen erzielt mindestens 50 % seines Jahresumsatzes mit dem Verkauf von personenbezogenen Daten von Verbrauchern.“

Einige der wichtigsten Bestimmungen erstrecken sich auf die Rechte von Verbrauchern auf Auskunft, Löschung und Übertragbarkeit von personenbezogenen Daten. Nach diesem Gesetz haben Verbraucher das Recht, innerhalb eines Zeitraums von 12 Monaten bis zu zweimal die Auskunfterteilung, Löschung oder Übertragung ihrer personenbezogene Daten zu beantragen.

Überlegt man sich nur einmal, wie viele digitale Interaktionen Verbraucher mit Unternehmen haben, erkennt man schnell, welche riesigen Mengen von personenbezogene Daten betroffen sind. Dabei geht es nämlich nicht nur um die üblichen Informationen, wie Name, Postanschrift, Telefonnummer, E-Mail-Adresse, Familienstand, Religion oder ethnische Zugehörigkeit, sondern auch digitale Informationen, wie IP-Adresse, Benutzernamen, Passwörter, Browserdaten, Einkaufsverlauf und Authentifikatoren. Die Liste der Authentifikatoren erstreckt sich weiterhin auf biometrische Daten wie Gesichtserkennungsdaten, Sprachprofile und Fingerabdrücke.

Zum Schutz der Privatsphäre der Verbraucher und der Datensicherheit das Gesetz die Unternehmen zur Einrichtung von Verfahren zur Überprüfung der Identität und Autorisierung der Verbraucher.

Verstöße gegen das CCPA-Gesetz werden mit erheblichen Bußgeldern geahndet. Für unabsichtliche Verstöße gilt eine Höchststrafe von 2.500 US-$, für vorsätzliche Verstöße eine Höchststrafe von 7.500 US-$. Nun dürften Beträge in dieser Größenordnung Unternehmen mit mehrstelligen Milliarden-Umsätzen wohl kaum schmerzen, das CCPA-Gesetz bietet aber noch eine andere, weit wirksamere Waffe, nämlich das Recht der Verbraucher, das Unternehmen zu verklagen. Im Rahmen des CCPA-Gesetzes können Verbraucher pro Verstoß eine Entschädigung in Höhe von 100 bis 750 US-$ verlangen. Da wir es heute oft mit größeren Datenpannen zu tun haben, kann der Verbraucher bei einer Schadenshöhe über 750 US-$ Verbraucher sogar noch mehr erhalten. Derartige Situationen können besonders in Fällen vorkommen, in denen von der Datenpanne die unverschlüsselten oder unbearbeiteten personenbezogenen Daten von Verbrauchern betroffen wurden.

Brasilien –Allgemeines Datenschutz-Gesetz (LGPD)

Im Juli 2019 wurde das brasilianische Allgemeine Datenschutz-Gesetz („Lei Geral de Proteção de Dados Pessoais“ - LGPD, Gesetz-Nr. 13.709/2018) unterzeichnet, das anschließend am 15. August 2020 in Kraft getreten ist.

Das LGPD-Gesetz, das sich ebenfalls an der EU-DSGVO orientiert, gilt für alle natürlichen oder juristischen Personen (unabhängig davon, wo diese ansässig sind), die Produkte oder Dienstleistungen in Brasilien anbieten oder nach Brasilien liefern, Daten in Brasilien verarbeiten oder in Brasilien erhobene Daten oder Daten von brasilianischen Staatsbürgern verarbeiten.

Das LGPD-Gesetz verpflichtet die Datenverantwortlichen und Auftragsverarbeiter zur Umsetzung verwaltungsmäßiger, technischer und sicherheitsrelevanter Maßnahmen zum Schutz von personenbezogenen Daten vor dem unbefugten Zugriff, sowie vor der versehentlichen oder rechtswidrigen Löschung, Zerstörung, Änderung und Übermittlung.

Die brasilianische Datenschutzbehörde („Autoridade Nacional de Proteção de Dados“ - ANPD) ist für die Überwachung und Durchsetzung der Datenschutzbestimmungen zuständig. Erwartungsgemäß wird die ANPD im Laufe von 2020 technische Mindeststandards veröffentlichen.
Obwohl noch abzuwarten ist, wie diese technischen Mindeststandards im Einzelnen aussehen werden, sollten alle betroffenen Banken und sonstigen Unternehmen, die ihre Kundendaten zurzeit mit statischen Benutzernamen und Kennwörtern schützen, damit rechnen, dass sie ihre Identitätsmanagement- und Authentifizierungstechnologie um die Multifaktor-Authentifizierung erweitern müssen.

Thailand – Gesetz zum Schutz personenbezogener Daten (PDPA)

Im Mai 2019 wurde im thailändischen Amtsblatt das Gesetz zum Schutz personenbezogener Daten BE 2562 (2019) veröffentlicht. In diesem Gesetz ist eine einjährige Karenzfrist vorgesehen, d.h. die Compliance muss seit dem 27. Mai 2020 gegeben sein.

Das PDPA-Gesetz enthält eine Bestimmung für die Einrichtung eines Ausschusses für den Schutz von personenbezogenen Daten, der mit der Durchsetzung und der Veröffentlichung von Leitlinien beauftragt ist.

Das PDPA-Gesetz zeigt zwar einerseits den Einfluss verschiedener EU-DSGVO-Begrifflichkeiten, stützt sich aber auch auf Konzepte, die aus thailändischer Sicht entwickelt wurden. Darum darf man nicht ohne weiteres davon ausgehen, dass bei einer erfüllten EU-DSGVO-Compliance auch die PDPA-Compliance gegeben ist. Für alle internationalen Bankenorganisationen, die in beiden Regionen tätig sind, wird dringend zu einer gründlichen und sorgfältigen Prüfung der Unterschiede zwischen den beiden Regelungswerken geraten.

Genau wie bei der EU-DSGVO muss die Zustimmung der Verbraucher in leicht verständlicher, unkomplizierter Weise eingeholt werden.
Da das PDPA-Gesetz die Kundendaten in drei Kategorien (Erhebung, Benutzung und Offenlegung von personenbezogenen Daten) gliedert, müssen die Unternehmen ihre Richtlinien und Praktiken im Bereich des Kundendaten-Managements entsprechend umstrukturieren. Dabei müssen die Unternehmen für jeden Einzelzweck die Zustimmung des Kunden einholen.

Der Geltungsbereich des PDPA-Gesetzes erstreckt sich über die Grenzen Thailands hinaus, d.h. dass Datenverantwortliche und Auftragsverarbeiter sowohl innerhalb als auch außerhalb Thailands davon betroffen sein können. Darum muss es von vielen globalen und regionalen Banken und anderen Finanzinstituten berücksichtigt werden.

Genau wie in der EU-DSGVO und anderen Datenschutz-Gesetzen sind auch im PDPA-Gesetz strenge Strafen für Datenschutzverletzungen vorgesehen. So gelten Bußgelder von bis zu 5 Mio. THB für verwaltungsmäßige Verstöße, Freiheitsstrafen von bis zu einem Jahr und/oder Bußgelder von bis 1 Mio. THB sowie eine Schadenersatzverpflichtung bis zur doppelten Höhe des tatsächlichen Schadens. Darüber hinaus bietet Thailand betroffenen Personen jetzt die Möglichkeit, Sammelklagen einzureichen, wodurch sich die Höhe der zivilrechtlichen Schadenersatzleistungen vervielfachen kann. Außerdem kann auch der Direktor des Unternehmens bestraft werden.

Aufsichtsrechtlicher Rahmen für Banken und neue Chancen

Im Laufe von 2021 werden in der ganzen Welt umfassende aufsichtsrechtliche Änderungen umgesetzt. Darum führt wirklich kein Weg daran vorbei, sich fortlaufend über die aktuellen aufsichtsrechtlichen Änderungen sowie die in den Ländern, in denen Sie operieren, diskutierten neuen Vorschläge zu informieren, da diese weitreichende Auswirkungen auf Ihre Initiativen im Bereich der digitalen Transformation haben können.

Informieren Sie sich ausführlicher über Datensicherheitslösungen und die aufsichtsrechtliche Compliance auf unserer Seite über die Compliance-Herausforderung.

OneSpan Global Financial Regulations Report
Bericht

OneSpan Global Financial Regulations Report

Laden Sie diesen Bericht für 2020 herunter, um über die neuesten regulatorischen und rechtlichen Änderungen auf der ganzen Welt auf dem Laufenden zu bleiben - in Bezug auf elektronische Signatur, digitale Identität, Cybersicherheit und mehr.

Jetzt herunterladen

Michael Magrath ist dafür verantwortlich, die Roadmap für die OneSpan-Lösung weltweit an Standards und behördlichen Anforderungen auszurichten. Er ist Co-Vorsitzender der Arbeitsgruppe Government Deployment der FIDO Alliance und Mitglied des Board of Directors der Electronic Signature and Records Association (ESRA).

Einhaltung der Vorschriften

Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen. Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen. Erfahren Sie, warum die weltweit führenden Banken OneSpan vertrauen, um komplexe Compliance-Anforderungen zu erfüllen.

Mehr erfahren