Datenschutz bei Bankdaten und Zahlungsverkehr

Datenmissbrauch: Nicht nur durch Internetkriminelle

Es ist allerdings nicht so, dass nur Onlinekriminelle ein hohes Interesse an den Daten des Zahlungsverkehrs haben, auch Banken und andere Finanzinstitute haben dies. Dabei geht das Interesse an den Finanzdaten der Bankkundinnen und Bankkunden mitunter weiter, als es der Datenschutz zulässt.

Ein Beispiel: Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hatte eine genossenschaftliche Bank überprüft, die als Pilotbank sogenannte Smart-Data-Verfahren testet.

Smart-Data-Verfahren dienen dazu, aus dem Kundenbestand gezielt Personen für bestimmte Werbemaßnahmen herauszufiltern. Hierfür werden Scorewerte gebildet, die eine Aussage darüber treffen sollen, ob eine Kundin oder ein Kunde mit hoher Wahrscheinlichkeit Interesse an einem bestimmten Produkt hat.

Das kann zum Beispiel ein Immobilienkredit, eine Kreditkarte oder ein Wertpapiersparplan sein. Anschließend erhält die Kundin oder der Kunde Werbung für das entsprechende Produkt. Zur Bildung der Scorewerte werden unter anderem Zahlungsverkehrsdaten analysiert und bei einigen Verfahren auch Daten über das Wohnumfeld der Kundinnen und Kunden von externen Dienstleistern hinzugezogen.

Weitreichende Analysen von Zahlungsdaten

Zur Berechnung, ob jemand Interesse an einem Konsumentenkredit hat, werden beispielsweise 162 Datenfelder genutzt, darunter folgende Informationen aus den Zahlungsverkehrsdaten: Bezug von sozialen Leistungen, Ausgaben für Haushalt und Lebensmittel, Höhe der Fahrzeugkosten, Höhe der „Grundkosten“, unter anderem für Energieversorger, Höhe des Gehalts- oder Renteneingangs, Höhe der Auszahlungen an Geldautomaten,  Umsätze in der Kategorie E-Payment, zum Beispiel Paypal und Amazon, um nur einige Beispiele zu nennen.

Die Datenschutzaufsicht macht deutlich: Diese Verarbeitungen können weder über eine Abwägung der Interessen von Bank und betroffener Person noch über die verwendeten Einwilligungsformulare gerechtfertigt werden. Sie sind deshalb rechtswidrig.

Die Durchführung von Verhaltensprognosen auf Grundlage von Zahlungsverkehrsdaten entspricht nicht den vernünftigen Erwartungen der Kundinnen und Kunden. Das müsste aber unter anderem der Fall sein, damit eine Interessenabwägung als Rechtsgrundlage herangezogen werden könnte. Bereits in einem anderen Fall hatte die LfD Niedersachsen im Juli 2022 ein Bußgeld von 900.000 Euro verhängt, weil eine Bank die Grenzen der Interessenabwägung bei der Verarbeitung personenbezogener Daten für Werbezwecke überschritten hatte.

„Zahlungsverkehrsdaten sind sehr sensibel, weil sie Informationen über das Konsumverhalten, Beziehungen zu anderen Menschen, die wirtschaftliche Lage und persönliche Vorlieben enthalten. Sie ermöglichen so eine Vielzahl von Rückschlüssen auf das berufliche und private Leben der Betroffenen“, sagte die Landesdatenschutzbeauftragte von Niedersachsen Barbara Thiel. „Es muss deshalb sichergestellt sein, dass die betroffenen Personen die Kontrolle über die Verarbeitung dieser Daten ausüben können. Ich habe mich dazu entschieden, Warnungen auszusprechen, um die Banken davon abzuhalten, schwerwiegende Verstöße gegen das Datenschutzrecht zu begehen. Ich werde auch Vor-Ort-Kontrollen durchführen, um zu überprüfen, ob die Banken die Verfahren trotz der Warnung einführen.“

Auch der Europäische Datenschutzbeauftragte (EDPS) hat sich nun des Themas Zahlungsverkehrsdaten angenommen. Wojciech Wiewiórowski, EDPS, sagte: „Viele Einzelpersonen leisten mehrmals täglich Zahlungen im Internet. Sie müssen sich darauf verlassen können, dass ihre Zahlungsdaten und andere damit zusammenhängende personenbezogene Daten bei Transaktionen wie Überweisungen sicher geschützt sind.“

Datenschutz bei Instant Credit Transfers

Ein weiteres Beispiel, welchen Stellenwert der Datenschutz im Zahlungsverkehr haben muss, aber auch dafür, dass der Datenschutz modernen Zahlungsverkehr nicht behindert, sondern erst ermöglicht:

Die Europäische Kommission hat am 26. Oktober 2022 einen Vorschlag für eine Verordnung in Bezug auf Sofortüberweisungen in Euro vorgelegt. Ziel des Vorschlags ist es, die geringe Akzeptanz von Euro-Sofortüberweisungen zu verbessern, damit ihre Vorteile realisiert werden können, darunter Effizienzgewinne für Verbraucher, Händler, gewerbliche Nutzer, Zahlungsdienstleister und Finanztechnologieunternehmen sowie öffentliche Verwaltungen.

Die SEPA-Verordnung würde nun Zahlungsdienstleister verpflichten, zu prüfen, ob die Zahlungskontokennung und der vom Zahler angegebene Name des Zahlungsempfängers übereinstimmen. Stimmen sie nicht überein, teilt dieser Zahlungsdienstleister dem Zahler festgestellte Abweichungen und deren Ausmaß mit.

Hier hat der Datenschutz aber keine Einwände: Der EDPS erinnert daran, dass Banken vom Zahlenden verlangen, den Namen des Zahlungsempfängers für andere Zwecke anzugeben. Die erhobenen Daten sind daher die gleichen. Die Zahlungsdienstleister, die Sofortüberweisungen anbieten, müssen nun aber gemeinsam automatisiert die Angaben des Zahlenden zum Zahlungsempfänger prüfen und dem Zahler Unstimmigkeiten mitteilen.

Der EDPS erklärt, dass dies eine zusätzliche Verarbeitung der personenbezogenen Daten des Zahlungsempfängers ist, er ist jedoch der Ansicht, dass dies durch den Zweck gerechtfertigt ist, sicherzustellen, dass eine Sofortüberweisung die Person erreicht, für die sie bestimmt ist.

Es zeigt sich: Der Datenschutz beschränkt durchaus die Verarbeitung von Zahlungsverkehrsdaten, aber solche missbräuchlicher Natur, wie eine umfangreiche Analyse zu Werbezwecken. Kein Problem für den Datenschutz ist es aber, bestimmte Datenverarbeitungen im Zahlungsbereich durchzuführen, wenn sie dem definierten Zweck der Zahlungssicherheit dienen, wie im Fall der geplanten Instant Credit Transfers in der EU.