„Kreditinstitute sind nicht daran gehindert, neue personalisierte Geschäftsmodelle zu erarbeiten“

In einer Zeit, in der Daten das wohl wichtigste Wirtschaftsgut sind, gilt es diese mehr denn je zu schützen. Diesen Auftrag nehmen Ulrich Kelber und Alexander Roßnagel sehr ernst. Im Interview sprechen die beiden Beauftragten für Datenschutz und Informationsfreiheit über die Bedeutung des Datenmanagements für die Bankbranche.


„Kreditinstitute sind nicht daran gehindert, neue personalisierte Geschäftsmodelle zu erarbeiten“

BANKINGNEWS: Herr Roßnagel, wie schätzen Sie die Einhaltung des Datenschutzes in Banken ein? Inwiefern bestehen hier besondere Herausforderungen?
Alexander Roßnagel: Die Kreditwirtschaft stand und steht mit der Umsetzung der Datenschutzgrundverordnung (DSGVO) und den darin enthaltenen neuen Anforderungen vor höheren Herausforderungen. Allerdings ist die DSGVO nur ein Gesetz von vielen, das von der Kreditwirtschaft umzusetzen ist. Denn der Finanzsektor ist auch durch viele andere Gesetze im Bereich der Kreditvergabe oder des Zahlungsverkehrs außergewöhnlich stark reguliert, sodass die Erfüllung regulatorischer Anforderungen in den Instituten ohnehin einen erheblichen Kostenfaktor darstellt. Das kann kleinere Kreditinstitute durchaus überfordern, was aber nicht an den zusätzlichen Anforderungen der DSGVO liegt. Allerdings ist die Kreditwirtschaft an die Einhaltung regulatorischer Anforderungen gewöhnt und verhält sich daher regelkonform.

Kunden werden inzwischen häufiger über digitale Kanäle beraten. Wie schätzen Sie diesbezügliche Datenschutzbedenken ein?
Roßnagel: Die digitale Beratung von Kunden führt dazu, dass bei der Beratung personenbezogene Daten entstehen, die grundsätzlich auch zu anderen Zwecken genutzt werden können. Die digitale Beratung schafft daher zusätzliche datenschutzrechtliche Herausforderungen, die im Rahmen der Geschäftsmodelle zu berücksichtigen sind.

Gerade kleinere Häuser sehen sich aber vielleicht durch die Einhaltung des Datenschutzes bei gleichzeitigem Fachkräftemangel vor besondere Herausforderungen gestellt.
Roßnagel: Wie bereits erwähnt, sind Kreditinstitute vor allem aufgrund anderer regulatorischer Anforderungen belastet, nicht durch die DSGVO. Kleinere Kreditinstitute können hierbei gegebenenfalls auf die Hilfe ihrer Verbände zurückgreifen, die zu diesem Zweck gegründet wurden.

Biometrische Authentifizierung sollte trotz einiger Vorteile nur eines von vielen Authentifizierungsverfahren sein.

Egal ob groß oder klein, Banken verfügen über massive Datenschätze. Was entgegnen Sie, wenn Banken die Datenschutzgrundverordnung als Hindernis dafür angeben, ihre Datenmengen für neue Geschäftsmodelle besser nutzbar zu machen?
Roßnagel: Ja, Kreditinstitute verfügen besonders aufgrund der Zahlungsverkehrsdaten über umfangreiche Informationen zu ihren Kunden. Sie haben auch Informationen über Mittelherkunft und -verwendung, wodurch Kreditinstitute einen äußerst umfassenden Einblick in die Konsumgewohnheiten haben. Seit langem hindern die Anforderungen an das Bankgeheimnis Kreditinstitute daran, derartige Informationen zu anderen Zwecken als zur Durchführung des Zahlungsverkehrs zu nutzen. Die Gewährleistung des Bankgeheimnisses wiederum begründet das Vertrauen, das Kunden dem Kreditinstitut entgegenbringen. Es mag durchaus sein, dass Datenschutzanforderungen Kreditinstituten bei der Nutzung der gewonnenen Informationen zusätzliche Grenzen setzen. Aber das entspricht auch der Erwartungshaltung der Bankkunden. Sie rechnen nicht damit, dass das Kreditinstitut die aus dem Zahlungsverkehr offengelegten Informationen zu anderen Zwecken verwendet als eben zur Durchführung des Zahlungsverkehrs. Gleichwohl sind Kreditinstitute nicht daran gehindert, personalisierte „Kundenerlebnisse“ durch neue Geschäftsmodelle zu erarbeiten, wenn der Kunde dies wünscht. Im Rahmen der Einwilligung kann jeder Kunde die Verarbeitung seiner Daten zur Umsetzung derartiger Geschäftsmodelle erlauben.

Wenn doch die Kundenzustimmung vorliegt, besteht dann noch ein Hindernisgrund, was die Verarbeitung der Daten für ein maximal personalisiertes Kundenerlebnis angeht?
Roßnagel: Nein, der Kreditwirtschaft und dem Kunden steht es jederzeit frei, andere Geschäftsmodelle zu entwickeln und durchzuführen, wenn der Kunde der Verarbeitung seiner Daten hierzu zugestimmt hat. Wurde die Einwilligung erteilt, ist auch sichergestellt, dass der Kunde über den Umfang der Datenverarbeitung ausreichend informiert wurde.

Besonders für Fintechs und Neobanken spielt Data Protection by Design eine tragende Rolle. Stellen Sie fest, dass sich durch eine von vornherein saubere Gesamtkonzeption tatsächlich weniger Datenschutzrisiken ergeben als bei klassischen Banken?
Roßnagel: Nein, eher ist das Gegenteil der Fall. Fintechs und Neobanken sind in der Regel nicht nur mit der Erfüllung regulatorischer Anforderungen, sondern zusätzlich mit der Entwicklung neuer Geschäftsmodelle, dem Aufbau ihrer organisatorischen und technischen Infrastruktur und ihrer Finanzierung belastet. Für sie ist die Erfüllung datenschutzrechtlicher Anforderungen deshalb häufig eine größere Herausforderung als für etablierte Kreditinstitute. Darüber hinaus ergeben sich häufig gerade durch die fehlende Beachtung datenschutzrechtlicher Anforderungen neue Verdienstmöglichkeiten, sodass die Versuchung sehr groß ist, sich über datenschutzrechtliche Anforderungen hinwegzusetzen. Eine Verlagerung von kreditwirtschaftlichen Aktivitäten in Fintechs oder Neobanken führt daher nicht automatisch zu einer zuverlässigeren Einhaltung datenschutzrechtlicher Anforderungen.

Open Banking ist zu einem viel diskutierten Thema geworden. Wie bewerten Sie dieses hinsichtlich des Datenschutzes?
Roßnagel: Open Banking und PSD2 ermöglichen neue und kundenfreundliche Geschäftsmodelle, verursachen zugleich jedoch auch neue datenschutzrechtliche Herausforderungen. Kritisch sehe ich daran, dass kleinere Unternehmen ohne Konzernanbindung mit den gesamten Anforderungen an die Entwicklung neuer Geschäftsmodelle leicht an ihre Grenzen geraten können. Zusätzlich sind diese Unternehmen einem verschärften Wettbewerb ausgesetzt. Gerade kleinere Unternehmen mit geringen personellen Ressourcen können daher zusätzliche Risiken für den Datenschutz hervorrufen.

Herr Kelber, auch über biometrische Authentifizierungsverfahren wird aktuell viel gesprochen. Für manche Verbraucher stellen sie aber einen zu großen Eingriff in die Privatsphäre dar. Wie schätzen Sie diese Bedenken ein und was entgegnen Sie?
Ulrich Kelber: Biometrische Verfahren zur Authentifizierung sind an vielen Stellen schon Bestandteil unseres Lebens, etwa wenn wir das Smartphone durch Gesichtserkennung entsperren. Das ist benutzerfreundlich und intuitiv. Jeder hat seine „eigene“ Biometrie immer dabei. Genau da liegt aber ein besonderes Risiko für Betroffene, denn biometrische Daten sind unveränderlich und hochindividuell. Bei Missbrauch oder Datenpannen kann man die Daten nicht einfach ändern wie ein Passwort. Mögliche Risiken müssen deshalb durch eine geeignete Systemgestaltung minimiert werden. Um einen Missbrauch von Rohdaten zu vermeiden, sollten sie zum Beispiel direkt wieder gelöscht werden, sobald Referenzdaten aus ihnen erstellt wurden. Idealerweise sollten biometrische Informationen auch nicht zentral gespeichert werden. Und auf jeden Fall muss verhindert werden, dass biometrische Erkennungssysteme missbraucht werden, um einer allgegenwärtigen Überwachung nicht Tür und Tor zu öffnen.

Was meinen Sie, welche Rolle biometrische Authentifizierungsverfahren künftig im Datenmanagement und Datenschutz spielen werden?
Kelber: Wegen ihrer einfachen Einsatzmöglichkeiten wird die Bedeutung biometrischer Authentifizierungsverfahren weiter steigen, so viel ist klar. Die Chancen der Technologie sollten wir nutzen, ihre Risiken aber durch eine datenschutzkonforme Gestaltung bestmöglich reduzieren. Dann können sichere biometrische Authentifizierungsverfahren einen Mehrwert bei der Erhöhung der Datensicherheit liefern. Dabei sollten wir nicht vergessen, dass biometrische Authentifizierung trotz einiger Vorteile nur eines von vielen Authentifizierungsverfahren ist. Und es ebenso spezifische Nachteile hat. Aus diesem Grund sollte die biometrische Authentifizierung immer durch ein weiteres Verfahren ergänzt werden. Das kann zum Beispiel eine Zwei-Faktor-Authentifizierung sein.

Die Übermittlung personenbezogener Daten von EU-Bürgern an Drittländer ist laut DSGVO nur rechtens, sollten diese einem EU-ähnlichen Schutz unterliegen. Wie schätzen Sie hier die Anpassung an den EU-Standard in Zukunft ein?
Kelber: Die DSGVO ist mittlerweile weltweit Vorbild für Datenschutzgesetze, zum Beispiel in Japan, Mexiko, Korea, Brasilien sowie in den US-Bundesstaaten Kalifornien, Illinois und New York. Die Anpassung an unseren europäischen Standard hat schon längst begonnen. Der Transfer von Daten in Drittstaaten bleibt trotzdem schwierig, weil die Sicherheitsbehörden dieser Staaten teilweise sehr weitreichende Eingriffsbefugnisse haben. Deshalb wäre es wichtig, wenn wir in Europa endlich Entscheidungen in den grundlegenden Fällen bekommen. Das würde vermutlich zu mehr Druck auf die Unternehmen führen, sich datenschutzkonform zu verhalten und weniger Daten zu sammeln. Denn auf den europäischen Markt will kein Unternehmen vollständig verzichten.

Halten Sie es beim Datenschutz in der Europäischen Union für sinnvoll, nationale Eigenständigkeiten beizubehalten oder gedenken Sie, diese Spielräume in Zukunft zu minimieren?
Kelber: Alle Kollegen im europäischen Datenschutzausschuss arbeiten gemeinsam daran, das Datenschutzrecht in Europa immer weiter zu harmonisieren. Gewisse nationale Eigenständigkeiten wird es immer geben. Aber bei den grundlegenden Themen müssen wir eine Rechtsgrundlage haben, mit einer Stimme sprechen und für eine einheitliche Durchsetzung sorgen.

2022 beendet die DSGVO ihr sechstes Wirkungsjahr. 2020 wurde erstmalig reflektiert und die Umsetzungslage bewertet: Haben Sie bereits eine Vorstellung davon, was bei der nächsten Evaluierung zur Sprache kommen könnte?
Kelber: Im vergangenen Jahr hat sich bereits abgezeichnet, wo Verbesserungsbedarf besteht. Die nächste planmäßige Evaluierung der DSGVO steht aber erst 2024 an. Deshalb lässt sich noch nicht klar sagen, welche Themen dann aufgegriffen werden. Die Datenschutzkonferenz von Bund und Ländern hat schon zur Evaluierung 2020 ein paar Ideen gehabt, beispielsweise die Regulierung von Profilbildungen oder die Entbürokratisierung von Informationspflichten. Daran werden wir sicher anknüpfen.

Interview: Fiona Gleim

Tipps: Sie möchten mehr zum Thema Datensicherheit erfahren? Dann lesen Sie hier unseren Nachbericht zum Cybercrime Day 2021 oder melden Sie sich hier für den Cybercrime Day in diesem Jahr an, wenn Sie erfahren möchten mit welchen Fragestellungen und Herausforderungen sich die Finanzbranche in diesem Jahr beim Thema Daten- und Cybersicherheit befasst.