Datensicherung und Archivierung für Finanzdienstleister

PSD3: Zah­lungs­ver­kehr unter ver­schärf­ter Auf­zeich­nungs­pflicht #

Die über­ar­bei­te­te Zah­lungs­diens­te-Richt­li­nie (PSD3, der­zeit im EU-Gesetz­ge­bungs­ver­fah­ren) und die par­al­lel ver­ab­schie­de­te Pay­ment Ser­vices Regu­la­ti­on (PSR) ver­schär­fen die Anfor­de­run­gen an Zah­lungs­dienst­leis­ter in meh­re­ren Dimensionen:

Streit­fall­ma­nage­ment und Beweis­last. PSD3 stärkt die Rech­te von Zah­lern bei nicht auto­ri­sier­ten Trans­ak­tio­nen und ver­schiebt in bestimm­ten Fäl­len die Beweis­last auf den Zah­lungs­dienst­leis­ter. Wer bei einer Kun­den­be­schwer­de nicht lücken­los nach­wei­sen kann, dass eine Trans­ak­ti­on auto­ri­siert wur­de — mit voll­stän­di­gen Logs, unver­än­der­tem Zeit­stem­pel und Authen­ti­fi­zie­rungs­nach­weis — steht in der Haf­tung. Die­se Nach­wei­se müs­sen über den gesam­ten gesetz­li­chen Auf­be­wah­rungs­zeit­raum unver­än­der­bar vorliegen.

Fraud-Daten und Mel­de­pflich­ten. PSR Art. 83 ver­pflich­tet Zah­lungs­dienst­leis­ter zur Über­mitt­lung von Betrugs­da­ten an die zustän­di­gen Behör­den. Die dafür erfor­der­li­chen Trans­ak­ti­ons­da­ten und Authen­ti­fi­zie­rungs­pro­to­kol­le müs­sen nach­weis­lich inte­ger sein — eine soft­ware­ba­sier­te Archi­vie­rung, die im Nach­hin­ein modi­fi­zier­bar ist, genügt den Anfor­de­run­gen an Beweis­mit­tel­qua­li­tät nicht.

Star­ke Kun­den­au­then­ti­fi­zie­rung (SCA). Authen­ti­fi­zie­rungs­pro­to­kol­le nach PSD3/PSR müs­sen so archi­viert wer­den, dass im Streit­fall der voll­stän­di­ge SCA-Nach­weis repro­du­zier­bar ist. Feh­len­de oder nach­träg­lich ver­än­der­te Authen­ti­fi­zie­rungs­logs sind in Auf­sichts- und Gerichts­ver­fah­ren nicht verwertbar.

Silent Cubes archi­vie­ren Trans­ak­ti­ons­da­ten, Authen­ti­fi­zie­rungs­logs und Streit­fall­do­ku­men­ta­ti­on auf Hard­ware-WORM — ohne Mög­lich­keit nach­träg­li­cher Ver­än­de­rung durch inter­ne oder exter­ne Akteu­re. Jeder Daten­satz trägt einen unver­än­der­li­chen Zeit­stem­pel und ist voll­stän­dig auditierbar.

⚠️ Hin­weis: PSD3/PSR befin­den sich zum Zeit­punkt die­ser Ver­öf­fent­li­chung im fina­len Gesetz­ge­bungs­ver­fah­ren. Die genau­en Umset­zungs­fris­ten für natio­na­le Gesetz­ge­ber ste­hen noch nicht end­gül­tig fest. Die hier beschrie­be­nen Anfor­de­run­gen basie­ren auf dem aktu­el­len Ver­hand­lungs­stand. Eine Rechts­be­ra­tung ist für insti­tuts­spe­zi­fi­sche Fra­gen empfohlen.

GwG / AML: Geld­wä­sche-Com­pli­ance erfor­dert unver­än­der­ba­re Auf­zeich­nun­gen #

Das Geld­wä­sche­ge­setz (GwG) in sei­ner aktu­el­len Fas­sung sowie die EU Anti-Money-Laun­de­ring-Ver­ord­nung (AMLA-Ver­ord­nung, in Kraft seit 2024, schritt­wei­se Anwen­dung ab 2027) stel­len Finanz­dienst­leis­ter vor spe­zi­fi­sche Datenarchivierungs-Anforderungen:

Auf­be­wah­rungs­pflicht nach § 8 GwG. Ver­pflich­te­te nach GwG — dar­un­ter Kre­dit­in­sti­tu­te, Ver­si­che­run­gen, Finanz­dienst­leis­ter, Fac­to­ring-Unter­neh­men und Lea­sing­ge­sell­schaf­ten — müs­sen Unter­la­gen über Sorg­falts­pflich­ten und Trans­ak­tio­nen min­des­tens 5 Jah­re auf­be­wah­ren. Die Frist beginnt mit dem Ende der Geschäfts­be­zie­hung oder dem Datum der Trans­ak­ti­on. Die Auf­zeich­nun­gen müs­sen voll­stän­dig, les­bar und gegen­über Straf­ver­fol­gungs­be­hör­den und der FIU (Finan­cial Intel­li­gence Unit) unver­züg­lich abruf­bar sein.

Unver­än­der­lich­keit als Beweis­mit­tel­vor­aus­set­zung. GwG-Unter­la­gen die­nen im Ernst­fall als Beweis­mit­tel in Straf­ver­fah­ren. Unter­la­gen, bei denen eine nach­träg­li­che Mani­pu­la­ti­on tech­nisch mög­lich ist, wer­den von Staats­an­walt­schaf­ten und Gerich­ten in Fra­ge gestellt. Hard­ware-WORM ist der ein­zi­ge Spei­cher­me­cha­nis­mus, der eine tech­ni­sche Unma­ni­pu­lier­bar­keit auf phy­si­ka­li­scher Ebe­ne garan­tiert — unab­hän­gig von Zugriffs­rech­ten, Soft­ware­ver­sio­nen oder admi­nis­tra­ti­ven Eingriffen.

Know Your Cus­to­mer (KYC) und Cus­to­mer Due Dili­gence (CDD). Iden­ti­fi­ka­ti­ons­da­ten, Legi­ti­ma­ti­ons­prü­fun­gen, wirt­schaft­lich Berech­tig­te — all die­se KYC-Unter­la­gen unter­lie­gen der GwG-Auf­be­wah­rungs­pflicht. Da die­se Daten in der Regel per­so­nen­be­zo­ge­ne Infor­ma­tio­nen ent­hal­ten, müs­sen sie gleich­zei­tig DSGVO-kon­form ver­ar­bei­tet und gesi­chert wer­den: On-Pre­mi­se-Betrieb ohne Cloud-Trans­fer schließt die regu­la­to­ri­sche Grau­zo­ne zwi­schen GwG-Auf­be­wah­rungs­pflicht und DSGVO-Datensparsamkeitsprinzip.

EU AMLA-Ver­ord­nung (ab 2027). Die neue EU-Geld­wä­sche­be­hör­de (AMLA) erhält direk­te Auf­sichts­be­fug­nis­se über bestimm­te Hoch­ri­si­ko-Insti­tu­te und wird eige­ne Doku­men­ta­ti­ons­an­for­de­run­gen stel­len. Insti­tu­tio­nen, die heu­te auf unver­än­der­li­che, prüf­ba­re Archiv­struk­tu­ren set­zen, redu­zie­ren den Anpas­sungs­auf­wand bei AMLA-Prü­fun­gen erheblich.

Silent Cubes erfül­len die GwG-Auf­be­wah­rungs­pflicht tech­nisch: 5‑Jah­res-Reten­ti­on beim Ein­schrei­ben kon­fi­gu­riert, Hard­ware-WORM ohne Admi­nis­tra­tor­zu­griff, voll­stän­di­ges Audit-Log über jeden Lese­zu­griff. Kein Cloud-Trans­fer — KYC-Daten ver­las­sen die eige­ne Infra­struk­tur nicht.

Daten­re­ten­ti­on & Gover­nan­ce: Wenn Auf­be­wah­rung selbst zum Risi­ko wird #

Finanz­dienst­leis­ter ste­hen vor einer regu­la­to­ri­schen Zwick­müh­le: Zu kur­ze Auf­be­wah­rung ver­letzt Com­pli­ance-Pflich­ten. Zu lan­ge Auf­be­wah­rung ver­stößt gegen DSGVO-Daten­spar­sam­keit. Feh­len­de Gover­nan­ce macht bei­de Risi­ken unkontrollierbar.

Das Reten­ti­on-Gover­nan­ce-Pro­blem in der Praxis:

Typi­sche Finanz­in­sti­tu­tio­nen ver­wal­ten Dut­zen­de ver­schie­de­ner Daten­ka­te­go­rien mit unter­schied­li­chen Auf­be­wah­rungs­fris­ten: GwG-Unter­la­gen (5 Jah­re), WpHG-Trans­ak­ti­ons­da­ten (5 Jah­re nach § 83 WpHG), GoBD-rele­van­te Buch­hal­tungs­un­ter­la­gen (10 Jah­re nach AO § 147), Han­dels­un­ter­la­gen (6 – 10 Jah­re nach HGB § 257), Kre­dit­ak­ten (varia­ble Fris­ten nach MaRisk), Ver­si­che­rungs­po­li­cen und Scha­dens­ak­ten (je nach Pro­dukt). Jede Kate­go­rie hat eige­ne Start­zeit­punk­te, Lösch­pflich­ten und Zugriffsbeschränkungen.

Tech­ni­sche Kon­se­quenz: Ein Archi­vie­rungs­sys­tem, das die­se Anfor­de­run­gen erfüllt, muss Reten­ti­on-Fris­ten pro Daten­satz kon­fi­gu­rier­bar und erzwing­bar machen — nicht als Poli­cy-Ein­stel­lung, son­dern als phy­si­ka­li­sche Eigen­schaft. Silent Cubes erlau­ben es, für jeden ein­ge­schrie­be­nen Daten­satz eine indi­vi­du­el­le Reten­ti­on-Peri­ode zu set­zen, die weder durch Admi­nis­tra­to­ren noch durch Soft­ware­feh­ler über­schrie­ben wer­den kann. Nach Ablauf der Frist ist eine geord­ne­te Löschung mög­lich — ein wesent­li­ches Ele­ment der DSGVO-Compliance.

Audit Trail als Gover­nan­ce-Werk­zeug. Jeder Zugriff auf archi­vier­te Daten wird lücken­los pro­to­kol­liert: wer hat wel­che Datei wann auf­ge­ru­fen, wel­che Expor­te wur­den durch­ge­führt, wel­che Sys­te­me haben auf wel­che Daten­sät­ze zuge­grif­fen. Die­ser Audit Trail ist für Daten­schutz­fol­ge­ab­schät­zun­gen (DPIA nach DSGVO Art. 35), für inter­ne Com­pli­ance-Reviews und für behörd­li­che Prü­fun­gen unverzichtbar.

Betrug & Streit­fäl­le: Archi­vie­rung als recht­li­che Ver­tei­di­gungs­li­nie #

Im Streit­fall zwi­schen Finanz­in­sti­tut und Kun­de — oder zwi­schen Finanz­in­sti­tut und Regu­lie­rungs­be­hör­de — ent­schei­det die Qua­li­tät der Doku­men­ta­ti­on. Digi­ta­le Auf­zeich­nun­gen, bei denen eine Mani­pu­la­ti­on tech­nisch mög­lich ist, sind vor Gericht angreifbar.

Trans­ak­ti­ons­ar­chi­vie­rung für Fraud-Fäl­le. Wenn ein Kun­de eine Trans­ak­ti­on bestrei­tet, muss das Insti­tut bewei­sen, dass die Trans­ak­ti­on auto­ri­siert wur­de. Dazu gehö­ren: Trans­ak­ti­ons­da­ten mit unver­än­der­li­chem Zeit­stem­pel, Authen­ti­fi­zie­rungs­pro­to­kol­le (SCA, OTP, Bio­me­trie-Logs), IP-Adres­sen und Ses­si­on-Daten, ggf. Call-Cen­ter-Recor­dings und Chat-Pro­to­kol­le. All die­se Daten müs­sen in beweis­mit­tel­taug­li­cher Qua­li­tät vor­lie­gen — mani­pu­la­ti­ons­si­cher und mit lücken­lo­sem Chain-of-Custody-Nachweis.

Char­ge­back- und Dis­pu­te-Ver­fah­ren. Zah­lungs­netz­wer­ke (Visa, Mas­ter­card) und Acqui­rer ver­lan­gen im Dis­pu­te-Ver­fah­ren inner­halb enger Fris­ten voll­stän­di­ge Trans­ak­ti­ons­nach­wei­se. Sind die­se nicht sofort abruf­bar oder fehlt der Unver­än­der­lich­keits­nach­weis, ver­liert das Insti­tut auto­ma­tisch den Streit­fall — unab­hän­gig von der sach­li­chen Berechtigung.

Regu­la­to­ri­sche Sank­ti­ons­ver­fah­ren. BaFin-Ver­fah­ren, EBA-Prü­fun­gen und natio­na­le Straf­ver­fol­gung set­zen vor­aus, dass vor­ge­leg­te Unter­la­gen nicht nach­träg­lich ver­än­dert wur­den. Ein Hard­ware-WORM-Archiv lie­fert die­sen Nach­weis auf phy­si­ka­li­scher Ebe­ne — nicht als Erklä­rung, son­dern als tech­ni­sche Eigen­schaft des Speichermediums.

Silent Cubes und das Silent Brick Sys­tem spei­chern alle rele­van­ten Daten­sät­ze mit unver­än­der­li­chem Zeit­stem­pel, Hard­ware-WORM-Schutz und voll­stän­di­gem Audit-Log. Der Nach­weis der Unver­än­dert­heit ist für jeden Daten­satz ein­zeln abruf­bar — ein ent­schei­den­der Vor­teil gegen­über soft­ware­ba­sier­ten Archiv­lö­sun­gen, bei denen Unver­än­der­lich­keit ledig­lich kon­fi­gu­riert, nicht aber phy­si­ka­lisch garan­tiert ist.

Ver­si­che­run­gen: Eige­ne Regu­lie­rung, die­sel­be Infra­struk­tur #

Ver­si­che­rungs­un­ter­neh­men unter­lie­gen einem eigen­stän­di­gen Regu­lie­rungs­rah­men — mit spe­zi­fi­schen Anfor­de­run­gen, die über DORA und GoBD hinausgehen.

Sol­ven­cy II (EU-Richt­li­nie 2009/138/EG, lau­fend aktua­li­siert). Das Säu­len­mo­dell von Sol­ven­cy II schreibt in Säu­le II (Gover­nan­ce) und Säu­le III (Berichts­pflich­ten) umfang­rei­che Doku­men­ta­ti­ons- und Auf­be­wah­rungs­pflich­ten vor. ORSA-Berich­te (Own Risk and Sol­ven­cy Assess­ment), Risi­ko­ma­nage­ment­do­ku­men­te, Kapi­tal­mo­del­le und Gover­nan­ce-Pro­to­kol­le müs­sen revi­si­ons­si­cher archi­viert und für BaFin-Prü­fun­gen jeder­zeit ver­füg­bar sein.

VAG (Ver­si­che­rungs­auf­sichts­ge­setz). § 23 ff. VAG ver­pflich­tet Ver­si­che­rungs­un­ter­neh­men zur ord­nungs­ge­mä­ßen Geschäfts­or­ga­ni­sa­ti­on, ein­schließ­lich des Risi­ko­ma­nage­ments und der inter­nen Kon­trol­le. Unter­la­gen, die die Ein­hal­tung die­ser Anfor­de­run­gen bele­gen — inter­ne Audits, Com­pli­ance-Berich­te, Vor­stands- und Auf­sichts­rats­pro­to­kol­le — müs­sen so archi­viert sein, dass ihre Authen­ti­zi­tät im Prü­fungs­fall belegt wer­den kann.

IDD (Insu­rance Dis­tri­bu­ti­on Direc­ti­ve, EU ²⁰¹⁶⁄₉₇ / VVG § 61 ff.). Die Ver­si­che­rungs­ver­triebs­richt­li­nie schreibt vor, dass Bera­tungs­pro­to­kol­le, Geeig­ne­t­heits­do­ku­men­ta­tio­nen und Ver­trags­do­ku­men­te nach­weis­bar voll­stän­dig und unver­än­der­bar auf­be­wahrt wer­den. Im Streit­fall über eine Falsch­be­ra­tung ist das Insti­tut beweis­pflich­tig — mit nach­weis­bar unver­än­der­ten Ori­gi­nal­do­ku­men­ten aus dem Beratungsgespräch.

Scha­dens­ak­ten und Rück­ver­si­che­rung. Scha­dens­ak­ten bei Lebens- und Unfall­ver­si­che­run­gen kön­nen Auf­be­wah­rungs­fris­ten von 30 Jah­ren und mehr erfor­dern (ins­be­son­de­re bei Berufs­un­fä­hig­keit, Haft­pflicht und Unfall­pro­duk­ten). Rück­ver­si­che­rungs­ver­trä­ge und ‑abrech­nun­gen unter­lie­gen ihrer­seits han­dels- und steu­er­recht­li­chen Fris­ten. Silent Cubes sind für genau die­se Anfor­de­rung aus­ge­legt: Long-Term-Reten­ti­on mit kon­fi­gu­rier­ba­ren Fris­ten pro Daten­satz, ohne Degra­da­ti­on der Spei­cher­me­di­en über Jahrzehnte.

Kfz-Haft­pflicht und Scha­dens­prü­fung. Gro­ße Ver­si­che­rer ver­wal­ten Mil­lio­nen von Scha­den­mel­dun­gen, Gut­ach­ten, Fotos und Kor­re­spon­denz. Die­se Daten müs­sen für Regress-Ver­fah­ren, gericht­li­che Aus­ein­an­der­set­zun­gen und inter­ne Prü­fun­gen über vie­le Jah­re ver­füg­bar und nach­weis­lich unver­än­dert blei­ben. Zugleich ent­hal­ten sie in der Regel sen­si­ti­ve per­so­nen­be­zo­ge­ne Daten — DSGVO-kon­for­me On-Pre­mi­se-Archi­vie­rung ohne Cloud-Trans­fer ist hier kei­ne Prä­fe­renz, son­dern Pflicht.

Com­pli­ance auf einen Blick #