Datenschutz

DSGVO für Banken und Fintechs in Deutschland

DSGVO Banken Fintech 2026: BaFin, MaRisk, BAIT, Bankgeheimnis, KWG, Auslagerung — sektorale Datenschutzpflichten für deutsche Kreditinstitute.

TD
Dr. Thiébaut Devergranne
3. Juni 20264 min read

In einem Satz. Banken und Fintechs in Deutschland operieren in einem dreifach geschichteten Datenschutzregime — DSGVO, BDSG (insbesondere §22) und sektorspezifisches Aufsichtsrecht (KWG, MaRisk, BAIT, ZAG) — mit BaFin und BfDI als kumulativen Aufsichten und besonders strengen Anforderungen an Auslagerung, IT-Sicherheit und Bankgeheimnis.

Die Doppelaufsicht BaFin/BfDI ist sektoral einzigartig: Eine fehlerhafte Auslagerung kann gleichzeitig MaRisk-Verstoß und DSGVO-Verstoß sein. Konkrete Fälle: 1&1 Telecom (€9,55M durch BfDI), aber auch BaFin-Sanktionen für IT-Mängel im sechs- bis siebenstelligen Bereich. Siehe BfDI, DSGVO Bußgelder.

Wichtige Punkte

  • Doppelaufsicht: BfDI für Datenschutz, BaFin für Aufsichtsrecht.
  • Bankgeheimnis (§ 4 KWG analog, AGB-Banken Nr. 2) ergänzt DSGVO-Pflichten.
  • BAIT und MaRisk AT 9: konkrete Auslagerungs- und IT-Sicherheitspflichten.
  • Schufa-Eintrag: BGH 2023 zur Speicherdauer bestätigt 3 Jahre Restschuldbefreiung.
  • Auftragsverarbeitung von Bankdaten erfordert C5-Testat-Niveau.

1. Rechtlicher Rahmen

Norm Bereich
DSGVO Verarbeitung personenbezogener Daten
BDSG nationale Konkretisierung
KWG Kreditwesengesetz, Bankaufsicht
MaRisk Mindestanforderungen Risikomanagement
BAIT Bankaufsichtliche Anforderungen IT
ZAG Zahlungsdiensteaufsicht
GwG Geldwäschegesetz

Konflikte werden meist auflösend zugunsten Aufsichtsrecht (BaFin) gelöst, soweit DSGVO Spielräume gibt (z.B. Rechtsgrundlage Art. 6 Abs. 1 lit. c).

2. Rechtsgrundlagen für Bankgeschäfte

Verarbeitung Rechtsgrundlage
Kontoeröffnung Art. 6 Abs. 1 lit. b (Vertrag)
KYC/AML-Prüfung Art. 6 Abs. 1 lit. c (GwG-Pflicht)
Bonitätsprüfung Art. 6 Abs. 1 lit. b und f
Marketing Art. 6 Abs. 1 lit. a (Einwilligung)
Schufa-Meldung Art. 6 Abs. 1 lit. f + § 31 BDSG

Siehe DSGVO Artikel 6.

3. Bankgeheimnis und DSGVO

Das deutsche Bankgeheimnis ist nicht gesetzlich, sondern vertraglich (AGB-Banken Nr. 2). DSGVO-Auskunftsrecht (Art. 15) geht grundsätzlich vor, jedoch kann § 29 BDSG das Auskunftsrecht bei rechtlichen Auseinandersetzungen einschränken.

4. Schufa und Scoring

Wichtigste Rechtsprechung: EuGH 2023 (C-634/21, Schufa Scoring) — Scoring ist automatisierte Einzelentscheidung iSv Art. 22 DSGVO, wenn Banken den Score “maßgeblich” zugrunde legen. BGH 2023 zur Speicherdauer der Restschuldbefreiung: maximal 3 Jahre nach Erteilung. Siehe DSGVO Artikel 22.

5. Auslagerung nach MaRisk AT 9 und BAIT

Banken unterliegen strengen Auslagerungspflichten:

  • Auslagerungsregister (zentral, vollständig)
  • Risikoanalyse pro Auslagerung
  • Vertragliche Mindestinhalte (Audit, Exit, Subdienstleister)
  • Notfallkonzept
  • Meldung wesentlicher Auslagerungen an BaFin

DSGVO Art. 28 AVV greift parallel. Praxis: ein “MaRisk-konformer AVV” mit zusätzlichen BaFin-Klauseln. Siehe AVV-Muster.

6. Cloud-Nutzung in Banken

BaFin und BfDI verlangen für Cloud-Auslagerungen:

  • BSI C5 Typ-2 Testat als Mindestvoraussetzung
  • Datenstandort in EU oder gleichwertiges Land
  • Exit-Strategie (Re-Insourcing oder Anbieterwechsel)
  • Pentest-Berichte
  • DPIA bei sensiblen Verarbeitungen

Siehe BSI C5 und DSGVO US-Unternehmen.

7. Datenpannen im Bankenbereich

Erhöhte Anforderungen: BaFin-Meldungen (BAIT) parallel zur 72-Stunden-Meldung an BfDI. Beispiel: Kontoauszug-Fehlversendung → BfDI binnen 72h, BaFin als IT-Sicherheitsvorfall. Siehe Datenpanne melden.

8. Aufbewahrungsfristen

Datenart Frist Grundlage
Geschäftsunterlagen 10 Jahre § 257 HGB
Steuerunterlagen 10 Jahre § 147 AO
GwG-Identifizierung 5 Jahre § 8 GwG
Korrespondenz 6 Jahre § 257 HGB
Werbeeinwilligung bis Widerruf DSGVO

Spannung zu Art. 17 (Löschung): handelsrechtliche Pflicht geht vor.

9. Fintech-spezifische Themen

  • Open Banking / PSD2 — Kontozugriff durch TPP, Einwilligung als RG
  • Robo-Advisor — Profiling iSv Art. 22, hohe Transparenzanforderungen
  • Krypto-Custody — MiCAR + DSGVO + BSI-Sicherheit
  • Blockchain — Pseudonymisierung vs. Löschungsrecht

10. Sanktionsrisiko

Fall Sanktion Behörde
1&1 Telecom (analog Auth-Schwächen) €9,55M BfDI
Volkswagen Bank (mangelnde TOMs) €1,1M LDI NRW
Lufthansa-Tochter Miles & More €1,2M HmbBfDI

BaFin-Sanktionen für IT-Mängel kommen zusätzlich.

11. Tool-Unterstützung

Legiscope deckt Auslagerungsregister (BaFin + DSGVO), Verarbeitungstätigkeiten, AVV-Management und C5-Testat-Tracking — speziell für regulierte Finanzbranche.

Fazit

Im Bankenbereich ist DSGVO nur ein Drittel der Pflichten. Wer BaFin-Auslagerungsrecht und IT-Sicherheit (BAIT) nicht integriert, scheitert spätestens beim ersten Sonderprüfungs-Bescheid.

FAQ

Welche Behörde ist für Banken zuständig?

Doppelt: BaFin für Aufsichtsrecht (KWG, MaRisk, BAIT), BfDI/LDA für DSGVO. Bei Konflikten Abstimmung beider.

Darf ich als Bank Cloud nutzen?

Ja, mit BSI C5 Typ-2 Testat, EU-Datenstandort, Exit-Strategie und MaRisk-konformem Auslagerungsvertrag.

Wie lange darf Schufa Daten speichern?

Restschuldbefreiung 3 Jahre (BGH 2023). Erledigte Forderungen 3 Jahre nach Tilgung. Bonitätsanfragen 12 Monate.

Ist Scoring automatisierte Entscheidung?

Nach EuGH 2023 (Schufa) ja, wenn der Score maßgeblich für die Bankentscheidung ist. Folge: Art. 22 DSGVO mit menschlicher Überprüfung.

Was tun bei IT-Datenpanne?

Doppelmeldung: BfDI/LDA binnen 72h (Art. 33 DSGVO), BaFin als IT-Sicherheitsvorfall nach BAIT. Beide Meldungen koordinieren.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →