DSGVO gilt ab Mai

15.11.17 08:30

Datenschutzverordnung trifft auch den Zahlungsverkehr

Von Desiree Backhaus

Im kommenden Mai tritt die neue EU-Datenschutzgrundverordnung in Kraft. Die neuen Vorgaben betreffen nicht nur das Marketing und den Vertrieb. Auch Zahlungsverkehrsverantwortliche sollten genau hinschauen.

littlehenrabi/iStock/Thinkstock/Getty Images

Händler und andere Unternehmen im B2C-Geschäft sind besonders von der DSGVO betroffen.

Treasurer sollten im Zuge der neuen EU-Datenschutzgrundverordnung (DSGVO) den Umgang mit personenbezogenen Daten im Zahlungsverkehr prüfen. Das raten Experten mit Blick auf die ab Mai 2018 geltenden strengeren Datenschutzregeln. Die Strafen sind drakonisch: Falls ein Unternehmen die neuen Vorgaben nicht einhält, können die Behörden Strafen über bis zu 4 Prozent des weltweiten Umsatzes oder 20 Millionen Euro verhängen.

„Insbesondere Auskunftspflichten und Löschfristen werden verschärft“, erklärt Nils Purwin, Zahlungsverkehrsexperte bei der Beratung PPI. Unternehmen müssen gewährleisten, dass sie Behörden und Endkunden bei einer Datenpanne innerhalb von 72 Stunden informieren können. Außerdem müssen sie Daten in einem „gängigen elektronischen Format“ auf Kundenwunsch auch Dritten zur Verfügung stellen. Diese sogenannte Portabilitätsverpflichtung, die den Anbieterwechsel erleichtern soll, stellt gerade Banken vor Herausforderungen.

Das Treasury muss gemeinsam mit der IT- und der Rechtsabteilung interne Prozesse und Systeme im Zahlungsverkehr prüfen und Abläufe sauber dokumentieren. Das betrifft die Speicherung, Verarbeitung und Übertragung von Kunden- sowie Mitarbeiterdaten im Zahlungsverkehr. Unternehmen mit Endkundengeschäft sind dabei exponierter als Firmen, die B2B-Geschäft betreiben: „Erstere benötigen für die Abwicklung ihrer Geschäftsbeziehung personenbezogene Daten ihrer Geschäftspartner“, sagt Purwin.

Cloud-Lösungen im Zahlungsverkehr gut prüfen

Schon heute gibt es etwa bei Gehaltszahlungen besondere Vorkehrungen wie Verschlüsselung. „Das Bewusstsein für die Sensibilität der Zahlungsverkehrsdaten ist in den meisten Unternehmen vorhanden“, beobachtet Christian Koch, Senior Manager bei dem IT-Sicherheitsdienstleister NTT Security. Jedoch belegen aktuelle Fälle, dass Betrüger durch Beeinflussung von Mitarbeitern („Social Engineering“) Daten manipulieren können. Auch Dienstleister wie TMS-Anbieter und Zahlungsverkehrs-Provider rücken mit der DSGVO in den Fokus.

Gerade bei Cloud-Lösungen verschärft die Verordnung die Vorgaben: „Personenbezogene Daten, die auf Servern außerhalb der EU gespeichert sind, müssen künftig verschlüsselt werden“, sagt Koch. Das gelte auch, falls die Daten zwar hierzulande gespeichert, aber der Betrieb etwa nach Indien ausgelagert sei. „Aus Haftungsgründen sollte die Rechtsabteilung die Verträge mit Dienstleistern daher genau prüfen“, rät Koch. Zahlungsdienste, die gegen die DSGVO verstoßen, kann der Regulator lahm legen.

Backhaus[at]derTreasurer.de

Bleiben Sie über Trends im Cash Management, Updates bei der Treasury-Software, Treasurer-Wechsel und alle anderen News im Treasury-Bereich auf dem Laufenden und folgen Sie uns auf Twitter.