900.000€ – Mit diesem Bußgeld wurde ein Hannoveraner Kreditinstitut von der niedersächsischen Landesbeauftragten für Datenschutz im Juli 2022 belegt, nachdem es Zahlungsverkehrsdaten zum Zwecke der gezielten Kundenansprache ausgewertet hatte. Zuletzt wurden alle niedersächsischen Genossenschaftsbanken von der Behörde öffentlich vor der Profilbildung für Werbezwecke gewarnt. Dies zeigt, dass der Einsatz von sog. Smart-Data-Verfahren in der Finanzbranche ein heißes Eisen ist. Denn Kreditinstitute, FinTechs und weitere Unternehmen der Finanzwirtschaft haben angesichts der zunehmenden Inanspruchnahme von Online-Finanzdienstleistungen mittlerweile erkannt, welche Potenziale die datengetriebene Kundenansprache auch für sie bietet. Das Thema beschäftigt Finanzinstitute und Landesdatenschutzbeauftragte gleichermaßen. Welche datenschutzrechtlichen Fragen stellen sich und unter welchen Voraussetzungen ist der Einsatz von Smart-Data Verfahren im Finanzsektor nach derzeitigem Stand möglich? Wir geben im Folgenden einen Überblick.
Was sind Smart-Data-Verfahren?
Smart-Data ist in aller Munde. Doch was genau ist darunter zu verstehen? Zunächst einige Begriffsklärungen: Bei Smart-Data handelt es sich um ein Endprodukt eines Daten-Veredelungsprozesses. Den Rohstoff hierfür bietet Big Data. Das sind große Datenmengen, die manuell nicht einfach ausgewertet werden können. Mithilfe leistungsfähiger Technologien und Prozesse können sie jedoch nutzbar gemacht und so gewissermaßen zu Smart-Data als Qualitätsgarant datengeschützter Entscheidungsprozesse verfeinert werden. Unternehmen können die auf diese Weise strukturierten Datenströme vielfältig zunutze machen. Anhand von Smart-Data-Verfahren lassen sich nicht nur bislang verborgene Zusammenhänge erkennen, sondern auch gewinnbringende Geschäftsmodelle und zielgerichtete Marketingstrategien entwickeln. Zentral hierfür ist, dass von Beginn an die richtige Auswahl der Daten getroffen wird. Sie orientiert sich stets an der jeweilen Zielgruppe. Potenzial bieten Smart-Data-Verfahren allen Unternehmen, die Daten in großem Umfang erheben und weiterverarbeiten.
Welches Potenzial hat Smart Data für den Finanzsektor?
Es liegt nahe, dass auch der Finanzsektor aus dem erheblichen Nutzenpotenzial von Smart Data schöpfen und davon entscheidend profitieren kann, egal ob im Rahmen von Kreditvergabeverfahren oder im Zahlungsverkehr. Denn zum einen erheben Banken, FinTechs und anderen Unternehmen im Finanzwesen eine erhebliche Menge an Kundendaten, die sich mit der Verlagerung vieler Finanzdienstleistungen ins Internet potenziert hat. Zum anderen haben sie ein großes Interesse daran, das Zahlungsverhalten und die Ausgabebereitschaft der Kundinnen und Kunden mithilfe von Datenauswertungen besser zu verstehen. Gerade die häufig kostenfrei angebotenen Kontoinformationsdienste zur Erstellung von Finanzübersichten bieten durch die Aufbereitung von Kontoumsätzen einen reichen Fundus an Transaktionsdaten. Mithilfe solcher Informationen eröffnet sich die Möglichkeit, Kundenbedürfnisse präzise zu ermitteln, entsprechend passgenaue Finanz- und andere Produkte zu entwickeln und individualisierte Werbung zu schalten. Außerdem erlauben so analysierte Kundendaten es auch, vereinfachte Bonitätsprüfungen im Rahmen der Kreditvergabe durchzuführen, da aus den Umsatzdaten valide Aussagen über die persönlichen und wirtschaftlichen Verhältnisse der Kundin bzw. des Kunden möglich sind.
Doch reicht das Potenzial von Smart-Data im Finanzsektor über die Prüfung der Kreditwürdigkeit und den klassischen Anwendungsfall der vertriebsorientierten Analysen hinaus. Gerade im Finanzwesen sind Unternehmen besonders gefährdet, durch betrügerische Handlungen erhebliche finanzielle Schäden davonzutragen. Big-Data-Analysen ermöglichen es, auffällige Vorgänge in Sekundenschnelle zu erfassen. In der Menge an Daten lassen sich auf diesem Weg erst Unregelmäßigkeiten (sog. Red Flags) und sodann auch betrugsverdächtige Personen leichter identifizieren und Betrugsrisiken so minimieren, und dies äußerst kostensparend. Daher setzen Finanzinstitute mittlerweile auch ganz gezielt auf Smart-Data-Verfahren im Rahmen der Betrugserkennung und -prävention (sog. fraud detection and prevention).
Big Data und Smart Data: Kund:innenprofilierung im Finanzsektor
Führt man sich diese Fälle vor Augen, steht außer Frage, dass der Einsatz von Big-Data-Analysen wie auch die (Weiter-)Entwicklung der digitalen Datenkompetenz im Allgemeinen im Finanzsektor eine große Rolle spielt bzw. spielen wird. Zugleich darf nicht vergessen werden, dass der Einsatz von Smart-Data-Verfahren nur durch den Umgang mit großen Datenmengen möglich ist, die im Bereich des Finanzwesens oftmals auch überaus sensible Kundeninformationen betreffen. Um bestimmte Finanzprodukte wie eine Kreditkarte, einen Wertpapiersparplan oder gar einen Immobilienkredit gezielt zu bewerben, lassen die Finanzinstitute mittels Smart-Data-Verfahren bestimmte Personen aus dem Kundenstamm herausfiltern. Das zentrale Instrument hierbei ist die Bildung von Scorewerten, die Auskunft darüber geben sollen, ob eine Kundin bzw. ein Kunde hohes Interesse an dem entsprechenden Finanzprodukt hat. Hierfür werden Informationen aus verschiedenen Datenfeldern genutzt und Zahlungsverkehrsdaten beispielsweise über die Ausgaben für Haushalt und Lebensmittel, die Höhe des Gehalts- oder Renteneingangs bzw. den Bezug von sozialen Leistungen oder die Höhe der Fahrzeugkosten herangezogen. Diese werden mit von externen Dienstleistern angekauften Daten zum Wohnumfeld der Kunden bzw. des Kunden kombiniert, um so ein möglichst präzises Kund:innenprofil zu erhalten.
Smart Data im Finanzsektor: Datenschutz und rechtliche Anforderungen
Klar ist damit zunächst, dass die Anwendung von Smart-Data im Finanzsektor (wie im Übrigen auch in anderen Bereichen) in der Regel mit einer umfangreichen Erhebung, Verarbeitung und Zusammenführung personenbezogener Daten einhergeht. Deswegen muss sich die Anwendung von Smart-Data-Verfahren an datenschutzrechtlichen Anforderungen, insbesondere den Vorschriften der Datenschutzgrundverordnung, messen lassen. Dies umfasst beispielsweise die Gewährleistung der umfangreichen Betroffenenrechte, Informationspflichten wie auch die Pflicht zur Durchführung von Datenschutz-Folgenabschätzungen.
Big Data und DSGVO: Ein Spannungsverhältnis zwischen Datenschutz und Datenauswertung
Aus datenschutzrechtlicher Perspektive ist die Verwendung bzw. die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender unstrukturierter Daten schon per se eine Herausforderung. Denn die Intention von Big-Data-Anwendungen steht in einem gewissen Spannungsverhältnis zur DSGVO. Zu ihren Grundsätzen gehört es, dass Daten nur für den Zweck verarbeitet werden dürfen, zu dem sie erhoben wurden (vgl. Art. 5 Abs. 1 lit. b DSGVO). Dabei fordert der sog. Zweckbindungsgrundsatz die Festlegung und Angabe des Verarbeitungszwecks schon vor Erhebung der Daten. Zudem müssen personenbezogene Daten auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Grundsatz der Datenminimierung, vgl. Art. 5 Abs. 1 lit.c DSGVO). Dies konfligiert mit vielen Big-Data-Verfahren, bei denen der Zweck der Datenverarbeitung oftmals zu Beginn entweder gar nicht oder allenfalls unspezifisch festgelegt worden ist. Vielmehr handelt es sich in den meisten Fällen um zweckoffene Datenspeicherungen, derer sich die Unternehmen später im Rahmen der Verwendung von Smart-Data bedienen. Ein generelles Vorhalten von Daten nach den Grundsätzen der Zweckveränderung kommt nach den Wertungen der DSGVO damit nicht in Betracht. Können Big Data Analysen, die ohne konkrete oder mit sich verändernder Zweckbestimmung erfolgen, also überhaupt zulässig sein?
Anonymisierung und Pseudonymisierung: Datenschutzinstrumente im Zeitalter von Big Data
Die EU-Kommission schreibt hierbei folgenden Instrumenten eine besondere Bedeutung zu: Anonymisierung und Pseudonymisierung bzw. Verschlüsselung. Dabei handelt es sich um Maßnahmen bzw. Verfahren des Datenschutzes, die personenbezogene Daten so verändern, dass die Identifizierung einer natürlichen Person verhindert oder zumindest erschwert wird. Damit erhöht sich das Datenschutzniveau und es besteht die Möglichkeit, dass rechtliche Privilegierungen greifen. Die Anonymisierung von Daten führt dazu, dass kein Personenbezug mehr hergestellt, d.h. die konkrete Person, über die die Informationen Aufschluss geben, nicht mehr ermittelt werden kann. Aus diesem Grund finden die Vorschriften der DSGVO und der darin enthaltene Zweckbindungsgrundsatz grds. keine Anwendung, wenn die entsprechenden personenbezogenen Daten vor der Durchführung eines Smart-Data-Verfahren anonymisiert wurden. Weiter kann Art. 6 Abs. 4 DSGVO eine Zweckänderung von Daten, die eigentlich für einen anderen Zweck erhoben wurden, unter bestimmten Voraussetzungen ermöglichen. Mithilfe von Pseudonymisierung hingegen lassen sich Daten so verschlüsseln, dass Identitäts- und Informationsdaten voneinander getrennt werden. Der Personenbezug bleibt allerdings mittelbar erhalten, da die Möglichkeit besteht, die Daten wieder so zusammen zu führen, dass sich der Klarname der jeweils betroffenen Person zuordnen lässt. Aus diesem Grund finden die Regelungen der DSGVO im Rahmen der Pseudonymisierung zwar weiterhin Anwendung, aber die veranlasste Verschlüsselung der Daten kann die Interessenabwägung zwischen Betroffenem und Datenverarbeiter im Sinne der Zulässigkeit der Datenverarbeitung grundsätzlich positiv beeinflussen.
Das könnte Sie auch interessieren:
- Compliance- und Datenschutzberatung im Finanzsektor
- Beratung zu Datenschutz-Folgenabschätzung
- Anonymisierung und Pseudonymisierung in der Praxis
- Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?
Rechtmäßigkeit von Smart-Data-Verfahren im Finanzsektor
In Hinblick auf die Anwendung von Smart-Data-Verfahren in der Finanzbrache geben die bisherigen Verlautbarungen der Landesbeauftragten für Datenschutz (LfD) Niedersachsen Anlass dazu, besonderes Augenmerk auf die Rechtfertigung der Datenverarbeitung zu legen. Allgemein gilt, dass die Verarbeitung personenbezogener Daten stets einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen bedarf. Da Zahlungsverkehrsdaten Informationen über die wirtschaftliche Lage, das Konsumverhalten, ja sogar Beziehungen zu anderen Menschen und persönliche Vorlieben enthalten, ermöglicht dies vielfältige Rückschlüsse auf das Berufs- und Privatleben der betroffenen Person. Aufgrund dieser besonderen Sensibilität von Zahlungsverkehrsdaten, so die LfD Niedersachsen, seien gerade bei der Profilbildung zu Werbezwecken besondere Anforderungen an die Rechtmäßigkeit solcher Datenverarbeitungen zu stellen.
Fallbeispiel: Datenschutzverletzung im Finanzsektor – Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO
In dem Fall des bereits mit einem hohen Bußgeld belegten Kreditinstituts, hatte das Unternehmen anhand zunächst rechtmäßig verarbeiteter Daten das digitale Nutzungsverhalten aktiver und ehemaliger Kundinnen im Vergleich zur Nutzung des Filialangebots ausgewertet, um so Kundinnen bzw. Kunden mit einer erhöhten Neigung für digitale Medien zu identifizieren und diese über diese Kanäle für vertragsrelevante bzw. werbliche Zwecke anzusprechen. Die Daten wurden zusätzlich mit denen einer Wirtschaftsauskunftei verglichen und angereichert. Für die Anwendung des Smart-Data-Verfahrens hatte die Bank keine Einwilligung der Kundinnen bzw. Kunden eingeholt, sondern stattdessen auf den Rechtfertigungsgrund nach Art. 6 Abs. 1 lit. f DSGVO zurückgegriffen. Danach ist eine Datenverarbeitung rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Grundrechte oder Interessen der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Der Verantwortliche kann personenbezogene Daten auf dieser Grundlage verarbeiten, wenn die Interessenabwägung zu seinen Gunsten ausfällt.
Die Ablehnung datengetriebener Profilbildung für Werbezwecke durch die LfD Niedersachsen
Die LfD Niedersachsen hat der von Finanzdienstleistern häufig genutzten Berufung auf diese Rechtsgrundlage zur datengetriebenen Profilbildung für Werbezwecke in ihrer Pressemitteilung vom 28.07.2022 eine pauschale Absage erteilt. Zwar liege die werbliche Ansprache (potenzieller) Kundinnen und Kunden im Interesse der Verantwortlichen bzw. Finanzinstitute. Doch der Gesetzgeber stufe dieses Interesse als weniger gewichtig ein. Dafür spreche vor allem, dass er den betroffenen Personen eine erleichterte Widerspruchsmöglichkeit einräumt und dieser Widerspruch nicht begründet werden muss. Zudem überwiege in der Abwägung das Interesse der Kundinnen bzw. Kunden. Denn hierbei seien auch ihre vernünftigen Erwartungen zu berücksichtigen. Diese gingen in der Regel nicht davon aus, dass Finanzinstitute im großen Stil Datenbestände auswerten, um Neigungen zu bestimmten Finanzprodukten oder Kommunikationswegen zu ermitteln. Erst recht müssten Kundinnen und Kunden nicht damit rechnen, dass zusätzlich externe Stellen einbezogen und Daten aus anderen Lebensbereichen verwertet werden. Aus diesem Grund bewertet die LfD Niedersachsen die datengetriebene Kundenansprache unter Berufung auf die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO als unrechtmäßig.
Sie möchten Smart-Data-Lösungen in Ihr Unternehmen implementieren? Wir begleiten Ihren Prozess von A bis Z und stellen die Datenschutzkonformität auf ganzer Linie sicher.
Datenschutz in der Praxis: Anforderungen an Einwilligungen für Smart-Data-Verfahren im Finanzsektor – Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
Die Verarbeitung großer Datenmengen zur Kundenprofilbildung in der Finanzbranche sei nur dann rechtmäßig, wenn zuvor entsprechende Einwilligungen eingeholt wurden. Doch auch in Hinblick auf diese Einwilligungen ist Sorgfalt gefragt. Zuletzt hatte ein Vorstoß der 89 genossenschaftlichen Banken in Niedersachen, die über eine Pilot-Bank Smart-Data-Verfahren testen lassen, die LfD Niedersachsen im September 2022 erneut auf den Plan gerufen. Die hat sich zu einer Warnung vor der Durchführung solcher Verfahren veranlasst gesehen. Zudem unterstrich sie, dass die hierbei verwendeten Einwilligungsformulare die gesetzlichen Anforderungen nicht erfüllten, weil Kundinnen und Kunden auf Basis der ihnen zur Verfügung gestellten Informationen nicht selbst entscheiden konnten, ob bzw. welche Smart-Data-Verfahren angewendet werden. Wegen der besonderen Sensibilität von Zahlungsverkehrsdaten reiche es nicht aus, dass sie nur allgemein in die Profilbildung für Werbezweck einwilligen ohne Einfluss darauf zu haben, in welchem Umfang dies geschieht.
Smart-Data-Verfahren im Kampf gegen Betrug: Rechtliche Rahmenbedingungen und Ausnahmen
Die Rechtmäßigkeit von Smart-Data Verfahren im Finanzsektor kann sich übrigens anders beurteilen, wenn Smart-Data-Verfahren nicht zu Webezwecken, sondern zur Betrugserkennung und -bekämpfung eingesetzt werden. Hierbei sind mehrere Erlaubnistatbestände denkbar. So kann eine Verarbeitung beispielsweise gem. Art. 6 Abs. 1 lit. b DS-GVO erlaubt sein, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist. Voraussetzung für die Rechtmäßigkeit für die Durchführung von Smart-Data-Verfahren ist dann, dass die Analysen zur Betrugserkennung zur Erfüllung des Versicherungsvertrages oder Zahlungsdienstevertrages erforderlich sind. Dies wäre auch der Fall, wenn es sich um eine vertragliche Nebenpflicht handelte. Es ist anzunehmen, dass der Zahlungsdienstenutzer bzw. die -nutzerin regelmäßig ein Interesse an der Überprüfung und der Verhinderung solcher Vorgänge hat. Der erlaubte Umfang der Big-Data-Anwendung, bemisst sich dabei an den Umständen des Einzelfalls. Gleichermaßen kann der Erlaubnistatbestand aus Art. 6 Abs. 1 lit. c DSGVO in Betracht gezogen werden, der eine Verarbeitung erlaubt, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der der Verantwortliche unterliegt. Zuletzt ist es denkbar, Big Data Analysen zur Betrugsbekämpfung auch im Rahmen der bereits angesprochenen Interessenabwägung nach Art. Abs. 1 lit. f DSGVO zu rechtfertigen. Den Wertungen von Erwägungsgrund 47 S. 6 DSGVO folgend ist die Verhinderung von Betrug als ein solches berechtigtes Interesse einzuordnen.
Datenschutzanforderungen bei internationalen Datenübermittlungen: Der Fall von Cloud-Diensten in der Finanzbranche
Längst reicht auch die Erbringung von Finanzdienstleistungen über Ländergrenzen hinweg, nicht nur innerhalb der EU, sondern auch in Staaten jenseits der EU-Grenzen. Man denke nur an die Auslagerung von Daten an Cloud-Anbieter wie Snowflake, AWS und Co., die nicht nur im Finanzsektor in den vergangenen Jahren stetig an Relevanz gewonnen hat. Neben branchen- bzw. bereichsspezifischen Regelungen beispielsweise aus dem Kreditwesengesetz (KWG), dem IT-Sicherheitsgesetz und den Mindestanforderungen an das Risikomanagement (MaRisk) sind in Hinblick auf den Schutz personenbezogener Daten die besonderen datenschutzrechtlichen Anforderungen an den Datentransfer in Staaten außerhalb der EU zu beachten. Gemäß Art. 45 DSGVO bedarf es für die Datenübermittlung in ein Drittland eines Angemessenheitsbeschlusses (mit dem die EU-Kommission feststellen kann, dass ein Drittstaat ein der EU vergleichbares Datenschutzniveau bietet) bzw. der Einhaltung der in Art. 46 DSGVO festgelegten Garantien. Mit Blick auf Datenübermittlungen in die USA ist zu beachten, dass die Europäische Kommission erst kürzlich einen neuen Angemessenheitsbeschluss (sog. EU-US Data Privacy Shield) erlassen und damit festgestellt hat, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können. Allerdings gilt dies nur für den Fall, dass sich das jeweilige US-Unternehmen, an das Daten übermittelt werden sollen, auch dem Data Privacy Framework abgeschlossen hat.
Vorsichtige Anwendung von Smart-Data-Verfahren in der Finanzbranche: Potenziale, Risiken und Compliance
Der Umgang mit Big Data bietet Unternehmen im Finanzsektor enorme Potenziale. Zugleich mahnen die Entscheidungen des LfD Niedersachsen und anderer Behörden zur Vorsicht. Ihre Wertungen lassen sich auf die gesamte Finanzbranche übertragen. Vor diesem Hintergrund sollten Banken, FinTechs und weitere Finanzunternehmen beim Einsatz von Smart-Data-Verfahren insbesondere zur Kundenprofilbildung mit Bedacht vorgehen. Wollen sie groß angelegte Big-Data-Analysen anwenden, sind hinreichend transparente und konkretisierte Einwilligungen der Kundinnen und Kunden erforderlich. Sie müssen hierbei darüber entscheiden können, ob ihre Daten überhaupt für Smart-Data-Verfahren genutzt werden und wenn ja, welches Verfahren genutzt wird. Datengetriebene Kundenansprache auf der Grundlage von Interessenabwägungen sollten nur nach sorgfältiger Prüfung, genauestens dokumentiert und unter Durchführung einer gesonderten Datenschutz-Folgeabschätzung Anwendung finden. Vernachlässigen Unternehmen der Finanzbranche diese Vorgaben, drohen unter Umständen hohe Bußgelder sowie aufsichtsrechtliche Konsequenzen. Gegebenenfalls müssen erfolgreiche und aufwändig implementierte Geschäftsmodelle auf Geheiß der Datenschutzbehörden eingestellt werden, wenn die datenschutzrechtlichen Anforderungen nicht hinreichend berücksichtigt sind. Unsere Expert:innen unterstützen Sie gerne dabei, Smart-Data-Verfahren rechtskonform und erfolgreich einzusetzen. Sprechen Sie uns an.
-
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
-
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
-
Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2
Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.