"Wiener Zeitung": Sie sind seit 2014 Group Data Protection Officer in der Erste Group, zuvor waren Sie in der Datenschutzkommission tätig. Wie können Sie Ihre Erfahrungen in der Erste Group einsetzen?

Gregor König: Ich weiß, wie die Verfahren in der Datenschutzbehörde ablaufen und worauf sie in bestimmten Fällen besonders achtet. Jemand, der mit der Behörde wenig Erfahrung hat, der wartet vielleicht erst einmal ab, bevor er einen Antrag stellt. Ich bin da aber gleich für volle Transparenz, das spielt auch mit den Unternehmenszielen gut zusammen.

Apropos Unternehmensziele, wann hat man in der Erste Group die Notwendigkeit erkannt, sich mit dem Thema Datenschutz intensiver auseinanderzusetzen?

Ich habe gewusst, dass sich die Bank schon stark mit dem Thema beschäftigt und das Thema auch stark forciert - das war mit ein Grund dafür, dass ich hergekommen bin. Wenn vom Vorstand abwärts nicht alle hinter dem Thema stehen, ist man als Datenschutzbeauftragter aufgeschmissen. Es wäre auch fast nicht vorstellbar, dass sich eine Bank nicht mit Datenschutz auseinandersetzt. Mit mir gibt es jetzt aber einen speziellen Datenschutzjuristen. Bisher war das ein Teil in der Rechtsabteilung, jetzt hat man den Datenschutzbeauftragten in der Informationssicherheit und in der Nähe der Compliance eingebettet.

Was tut die Erste Group, um einem Data Breach vorzubeugen?

Für eine Bank sind die Daten das Hauptasset. Abgesehen davon, dass der Aktienkurs ins Bodenlose fällt, ist das Schlimmste, was uns passieren kann, dass Daten beziehungsweise Informationen verloren gehen. Dagegen gibt es drei Säulen: einerseits die technische Absicherung der Systeme etwa durch ein Data Leak Prevention Tool, andererseits die rechtlichen Vorgaben, also das Datenschutzgesetz oder Richtlinien, zum Beispiel von der Europäischen Bankenaufsicht. Der dritte Bereich ist das Organisatorische. Für die Mitarbeiter gibt es Arbeitsanweisungen, aber der Hauptknackpunkt sind die Kunden, die Opfer von Social Engineering und Phishing Mails werden könnten. Wenn die Systeme technisch gut abgesichert sind, dann ist der Mensch die größte Schwachstelle. Man muss daher immer wieder Schulungsmaßnahmen durchführen und Bewusstsein schaffen.