Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums der Finanzen vom 30. Oktober 2018 übermittelt. Die Drucksache enthält zusätzlich – in kleinerer Schrifttype – den Fragetext. Deutscher Bundestag Drucksache 19/5432 19. Wahlperiode 01.11.2018 Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Frank Schäffler, Christian Dürr, Dr. Florian Toncar, weiterer Abgeordneter und der Fraktion der FDP – Drucksache 19/5038 – Folgen für die Finanzbranche durch die EU-Datenschutz-Grundverordnung V o r b e m e r k u n g d e r F r a g e s t e l l e r Am 24. Mai 2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, hiernach DSGVO) in Kraft getreten. Die DSGVO sieht unter anderem vor, dass die Dokumentationspflichten, als Nachweis gegenüber Datenschutzbehörden ausgeweitet werden, so dass gerichtlichen Anordnungsverfahren mehr Beweismaterial zugrunde liegt. Unternehmen müssen somit nun die Einhaltung aller Grundsätze der DSGVO jederzeit nachweisen können und Mechanismen einführen, die den Verlauf und die Nutzung von persönlichen Daten kontrollieren. Hinzu kommt, dass durch die Einführung der europäischen Verordnung der Kreis an Dienstleistern vergrößert wird, mit denen das verantwortliche Unternehmen Vereinbarungen über die weitere Datenverarbeitung abschließen muss. Dadurch, dass Informations- und Datenverarbeitung bei Banken und anderen Finanzdienstleistern von zentraler Bedeutung ist, stellt die DSGVO eine der wichtigsten regulatorischen Neuerungen in den letzten Jahren dar. Laut einer Studie des Digitalverbandes Bitkom haben erst 24 Prozent der Unternehmen in Deutschland die DSGVO vollständig umgesetzt – trotz der Tatsache , dass bei Verstößen Strafen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes drohen. Die große Mehrheit der Unternehmen (78 Prozent) beklagt höhere Aufwände durch die DSGVO im laufenden Betrieb. 1. Hat die Bundesregierung Kenntnisse darüber, wie weit die Umsetzung der DSGVO bei deutschen Banken und anderen Finanzdienstleistern vorangeschritten ist? Die DSGVO ist am 24. Mai 2018 in Kraft getreten. Zuständig für die Aufsicht über den Datenschutz sind die jeweils unabhängigen Datenschutzbehörden des Bundes und der Länder. Die Aufsicht über den Datenschutz bei Banken und Fi- Vorabfassung - w ird durch die lektorierte Version ersetzt. Drucksache 19/5432 – 2 – Deutscher Bundestag – 19. Wahlperiode nanzdienstleistern obliegt den jeweils örtlich zuständigen Landesdatenschutzbehörden . Die Bundesregierung hat daher keine quantifizierbaren Erkenntnisse über den Umsetzungsstand bei deutschen Banken und anderen Finanzdienstleistern. Die BaFin geht auf der Grundlage von Aufsichtsgesprächen davon aus, dass in einigen Instituten die DSGVO bereits vollständig umgesetzt ist. 2. Hat die Bundesregierung Kenntnisse darüber, wie viele DSGVO-Verstöße bereits gemeldet wurden? Wie viele davon sind der Finanzbranche zuzuordnen? Es liegen keine Kenntnisse dazu vor, wie viele Verstöße an die jeweils zuständigen Datenschutzbehörden des Bundes und der Länder gemeldet wurden und wie viele davon der Finanzbranche zuzuordnen sind. Im Hinblick auf Verstöße bei Banken und anderen Finanzdienstleistungsinstituten liegt die Zuständigkeit bei den Landesdatenschutzbehörden. 3. Wie viele Beamte bzw. Angestellte sind nach Kenntnis der Bundesregierung mit der Prüfung von DSGVO-Verstößen betraut (bitte nach Bundesländern aufschlüsseln)? Es liegen hierzu keine Kenntnisse vor. Die Datenschutzbehörden des Bundes und der Länder sind gemäß der EU-rechtlichen Vorgaben unabhängige Behörden. Sie entscheiden in eigener Zuständigkeit über ihren Personaleinsatz. 4. Hat die Bundesregierung Kenntnisse darüber, wie viele Strafgelder im Zuge der DSGVO bereits verhängt wurden? Wie viele davon sind der Finanzbranche zuzuordnen? Es liegen keine Kenntnisse vor, wie viele Geldbußen insgesamt von den jeweils zuständigen Datenschutzbehörden bereits verhängt worden sind und welcher Teil auf die Finanzbranche entfällt. Die Befugnis zur Verhängung von Geldbußen nach Artikel 83 DSGVO obliegt nach Artikel 58 Absatz 2 Buchstabe i DSGVO den unabhängigen Datenschutzbehörden. 5. Welche Umstellungskosten wurden nach Kenntnis der Bundesregierung durch die Umsetzung der DSGVO für die einzelnen Bereiche der deutschen Finanzwirtschaft durch welche konkreten Regelungen verursacht? Es liegen hierzu keine quantifizierbaren Erkenntnisse vor. 6. Welche laufenden Kosten werden nach Kenntnis der Bundesregierung durch die Umsetzung der DSGVO für die einzelnen Bereiche der deutschen Finanzwirtschaft durch welche konkreten Regelungen verursacht? Eine diesbezügliche behördliche Datenerhebung durch die BaFin findet derzeit nicht statt. Sie wäre in Anbetracht der Tatsache, dass die DSGVO erst seit dem 25. Mai 2018 anwendbar ist, auch verfrüht. 7. Wie hoch ist nach Kenntnis der Bundesregierung der Erfüllungsaufwand der DSGVO? Welcher Anteil entfällt auf die Finanzbranche? Es wird auf die Antwort zu Frage 5 verwiesen. Vorabfassung - w ird durch die lektorierte Version ersetzt. Deutscher Bundestag – 19. Wahlperiode – 3 – Drucksache 19/5432 8. Hat die Bundesregierung Kenntnisse darüber, dass deutsche Banken und andere Finanzdienstleister aufgrund der höheren bürokratischen Belastungen durch die DSGVO ihr Geschäft (in Teilen) einstellen müssen? Bislang liegen keine diesbezüglichen Erkenntnisse vor. 9. Hat die Bundesregierung Kenntnisse darüber, dass sich ausländische Banken aus Deutschland bzw. der Europäischen Union in Folge der DSGVO zurückziehen ? Es liegen keine diesbezüglichen Erkenntnisse vor. 10. Hat die Bundesregierung Kenntnisse darüber, ob die Kosten für die Einhaltung der DSGVO von den Finanzdienstleistern selbst getragen oder an ihre Kunden weitergegeben werden? Die Bundesregierung geht von einem einmaligen Umstellungs- und Einrichtungsaufwand aus und keiner signifikanten Erhöhung laufender Kosten. Inwiefern diese Kosten weitergegeben werden, obliegt der geschäftspolitischen Entscheidung des jeweiligen Finanzdienstleistungsunternehmens und ist abhängig von der gegebenen Wettbewerbssituation. 11. Welche konkreten Vorteile werden nach Ansicht der Bundesregierung durch die DSGVO für die Kunden von Finanzdienstleistungsprodukten erzielt? Wesentlich ist zunächst die Vereinheitlichung des europäischen Datenschutzrechts , die ein level playing field für den EU-Binnenmarkt schafft und so den Wettbewerb stärkt. Darüber hinaus werden die Rechte der Kunden durch die konkrete Ausgestaltung der Betroffenenrechte gestärkt und die Unternehmen beispielweise über die Verhängung von Geldbußen zur Einhaltung datenschutzrechtlicher Vorgaben angehalten. 12. Inwieweit sieht die Bundesregierung Nachbesserungsbedarf bei der DSGVO auf nationaler oder europäischer Ebene (speziell mit Blick auf die Finanzbranche )? Bis zum 25. Mai 2020 wird eine erste Evaluierung der DSGVO durch die Europäische Kommission stattfinden (Artikel 97 DSGVO). Die Bundesregierung wird diesen Prozess aktiv begleiten. Zunächst gilt es, die Erfahrungen mit dem neuen Recht abzuwarten. Vorabfassung - w ird durch die lektorierte Version ersetzt. Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de Vertrieb: Bundesanzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de ISSN 0722-8333