​Von Ralf Keu­per, Bank­stil und Micha­el Ochs, Fraun­ho­fer IESE

Eine Ko-Ver­öf­fent­li­chung des Blogs Bank­stil und des Blogs des Fraun­ho­fer IESE . Lese­zeit: 4:30 min (5:00 min)

In die­sem Jahr wer­den die bei­den genann­ten Richt­li­ni­en in Kraft tre­ten. In bei­den Richt­li­ni­en sind per­so­nen­be­zo­ge­ne Daten ein The­ma bzw. Kern­the­ma. Der Umgang mit per­so­nen­be­zo­ge­nen Daten (Daten­schutz) in den betrof­fe­nen Wirt­schafts­seg­men­ten wird nach aktu­el­ler Wahr­neh­mung ein­zel­ner Markt­teil­neh­mer jedoch unter­schied­lich gehand­habt. Wir brin­gen etwas Licht in den Dschun­gel der Ver­ord­nun­gen und zei­gen Inno­va­ti­ons­po­ten­zia­le und Mög­lich­kei­ten für Daten­schutz auf.

Zwei Richt­li­ni­en – ein Gedan­ke bei per­so­nen­be­zo­ge­nen Daten?

Mit der Umset­zung der PSD2 sind Ban­ken unter ande­rem dazu ver­pflich­tet, auch Drit­ten, soge­nann­ten Third Par­ty Pro­vi­dern, den Zugang zu den Kun­den­kon­ten zu gewäh­ren, sofern die Kun­den dem zuvor zuge­stimmt haben. Von beson­de­rem Inter­es­se sind dabei die Kon­to­in­for­ma­tio­nen, die zu ver­schie­de­nen Zwe­cken ver­wen­det wer­den kön­nen. Da wäre zum einen die Mög­lich­keit, die Daten zu kate­go­ri­sie­ren, z.B. nach Aus­ga­ben, womit der Kun­de eine bes­se­re Über­sicht sei­ner finan­zi­el­len Situa­ti­on bekommt, und zum ande­ren die Vari­an­te, die Trans­ak­ti­ons­his­to­rie für die Bewer­tung der Kre­dit­wür­dig­keit her­an­zu­zie­hen, so dass die Bear­bei­tung von Kre­dit­an­trä­gen in weni­gen Minu­ten mög­lich ist. Aber auch vie­le ande­re neue und inno­va­ti­ve Diens­te auf Grund von PSD2 sind denk­bar und mach­bar, von der Opti­mie­rung bestimm­ter Kos­ten­ka­te­go­rien wie z.B. Tele­kom­mu­ni­ka­ti­ons­kos­ten über Abo-Alar­me bis hin zur Füh­rung von Haus­halts­bü­chern ist alles mög­lich. Als Pro­fi­teu­re von PSD2 betrach­ten sich die zahl­rei­chen Fin­tech-Start­ups, die hier die Chan­ce sehen, wei­te­re Erlös­quel­len zu erschlie­ßen; ent­we­der indem sie ihre Diens­te, wie im Bereich Cre­dit Scoring, den Ban­ken anbie­ten, oder aber in Form zusätz­li­cher Ser­vices, wie die Ein­ho­lung von Ver­gleichs­an­ge­bo­ten bei Ver­si­che­run­gen. Die Ban­ken reagie­ren unter­schied­lich. Eini­ge, wie die Deut­sche Bank mit ihrer dAPI, wol­len mit eige­nen Ser­vices in einem digi­ta­len Öko­sys­tem zwi­schen Bank und Dienst­an­bie­tern (Plat­form Eco­no­my) zusätz­li­ches Geschäft gene­rie­ren, ande­re war­ten erst ein­mal die wei­te­re Ent­wick­lung ab.

Kon­flikt­zo­ne Daten­schutz und Daten­sou­ve­rä­ni­tät bei PSD2 

Bis­lang wer­den die The­men PSD2 und DSGVO über­wie­gend getrennt behan­delt, obwohl in bei­den Rege­lun­gen der Umgang mit den per­so­nen­be­zo­ge­nen Daten der Ver­brau­cher eine gro­ße Rol­le spielt. Es bestehen den­noch eini­ge Unter­schie­de, die für Ban­ken wie für Fin­tech-Start­ups, und natür­lich auch für ande­re Third Par­ty Pro­vi­der, eini­ge Her­aus­for­de­run­gen mit sich brin­gen dürf­ten. Und zwar sind die Anfor­de­run­gen der DSGVO in eini­gen zen­tra­len Punk­ten deut­lich restrik­ti­ver als die der PSD2, was auch dar­auf zurück­zu­füh­ren ist, dass die PSD2 noch an der aus dem Jahr 1995 stam­men­den Richt­li­nie 95/​46/​EG (Daten­schutz­richt­li­nie) aus­ge­rich­tet ist. Exem­pla­risch für die­sen Kon­flikt ist die Wei­ter­ga­be der Kon­to­be­we­gun­gen auf Basis von Arti­kel 67 (2) f PSD2. Dem­nach wäre es nach aktu­el­ler Les­art der Fin­tech-Start­ups aus­rei­chend, wenn die Bank bei Anfra­ge eines TPP alle Kon­to­be­we­gun­gen des Kun­den­kon­tos im rele­van­ten Zeit­raum kom­plett über­ge­ben wür­de. Das könn­te jedoch dazu füh­ren, dass sen­si­ble Infor­ma­tio­nen , wie Par­tei­zu­ge­hö­rig­kei­ten, Medi­ka­men­ten­rech­nun­gen und damit Gesund­heits­da­ten und Vie­les mehr in die Daten­ver­ar­bei­tung ein­flie­ßen und einem Pro­fil­ing zuge­führt wer­den. Das könn­te für die Ver­brau­cher nega­ti­ve Kon­se­quen­zen haben, wenn die­se Infor­ma­tio­nen bei einem TPP ohne tat­säch­li­chen Zweck­be­zug und Zustim­mung des Ver­brau­chers gespei­chert, ver­ar­bei­tet und mög­li­cher­wei­se sogar wei­ter­ge­ge­ben werden.

Um den beschrie­be­nen Kon­flikt zu umge­hen, bie­ten sich meh­re­re Ver­fah­ren an. So könn­te die Bank z.B. Tei­le der Daten anony­mi­sie­ren, d.h. es wer­den nur die Beträ­ge oder nur Beträ­ge und ggfs. gro­be Kate­go­rien mit­ge­teilt. Ein ande­rer Ansatz wäre, die inter­nen Com­pli­ance-Daten, die den Daten­schutz­be­stim­mun­gen wei­test­ge­hend ent­spre­chen, für die Wei­ter­ga­be zur ver­wen­den. Wei­ter­hin kann die Bank, ähn­lich wie bei YES, die Digi­ta­le Iden­ti­tät zum zen­tra­len Ele­ment machen. Die­se Digi­ta­le Iden­ti­tät (Iden­ti­ty API) unter­liegt der Kon­trol­le des Ver­brau­chers, der selbst bestim­men kann, wel­che Daten Drit­ten zur Ver­fü­gung gestellt wer­den dür­fen. Dane­ben kann die Bank die Daten so anony­mi­sie­ren, dass nur die rele­van­ten Daten bzw. Merk­ma­le her­aus­ge­ge­ben wer­den, die kei­nen Rück­schluss auf die wah­re Iden­ti­tät des Ver­brau­chers bzw. Kun­den zulas­sen, wie bei Anga­ben zu Ein­kom­men oder zum Alter. Die Bank wür­de damit zu einem Iden­ti­ty Ser­vice Provider.

Mit Blick auf die Kon­to­trans­ak­tio­nen, die auch sen­si­ble Infor­ma­tio­nen ent­hal­ten, wäre ein Ansatz, dass die Bank dem Kun­den die Mög­lich­keit gibt mit­zu­be­stim­men, wel­che spe­zi­fi­schen Kate­go­rien von Kon­to­trans­ak­tio­nen beim Zugriff wel­ches TPP oder AISP vor eine Über­mitt­lung bei­spiels­wei­se teil­an­ony­mi­siert, anony­mi­siert oder ganz aus den Daten ent­fernt wer­den. Zu die­sem grund­sätz­lich auf Pri­vat­sphä­re aus­ge­rich­te­ten Ansatz herrscht der­zeit eine erhitz­te Dis­kus­si­on zwi­schen ver­schie­de­nen Fintechs und Ban­ken. Dabei beru­fen sich Fintechs dar­auf, dass die PSD2 eine lex spe­cia­lis zur DSGVO ist und somit ein von der Bank für den Kun­den ange­bo­te­ne Lösung zum Schutz sen­si­bler Kon­to­da­ten nicht zuläs­sig, min­des­tens jedoch nicht erfor­der­lich, sei. Doch ist die­se Aus­sa­ge so als kor­rekt zu bewer­ten? Immer­hin wür­den durch solch eine lex spe­cia­lis unter­schied­li­che Niveaus beim Daten­schutz in bei­den Richt­li­ni­en zemen­tiert. Schau­en wir ein­mal genau­er auf Inhal­te und Zeit­li­nie von DSGVO (1995/​46/​EC sowie 2016/​679/​EU) und PSD2 (2015/​2366/​EU). PSD2 wur­de zu einem Zeit­punkt von EU Rat und Kom­mis­si­on beschlos­sen als die „neue“ DSGVO noch nicht beschlos­sen war. PSD2 refe­ren­ziert aktiv die „alte“ DSGVO. Unter die­sem Gesichts­punkt darf PSD2 als lex spe­cia­lis zu „alten“ DSGVO gese­hen wer­den, da die­se kei­nen Arti­kel zum „Recht auf Daten­über­trag­bar­keit“ ent­hielt, wie wir ihn mit Arti­kel 20 der „neu­en“ DSGVO vor­fin­den. Somit wäre, auch mit Zustim­mung des Ver­brau­chers, ohne die Rege­lun­gen in Arti­kel 67 PSD2, die Her­aus­ga­be der Daten von der Bank an den TPP recht­lich bedenk­lich. Ab Mai ändert sich die Situa­ti­on: die „neue“ DSGVO ist dann voll in Kraft. Durch das dann in Arti­kel 20 ver­brief­te „Recht auf Daten­über­trag­bar­keit“ wür­den Tei­le von Arti­kel 67 PSD2 gege­be­nen­falls obso­let wer­den. Auch die ande­ren Aspek­te der DSGVO wie enge Zweck­bin­dung der Ver­ar­bei­tung, Daten­spar­sam­keit und „Pri­va­cy by Design und by Default“ wür­den grei­fen. Eine selek­ti­ve und vom Kun­den mit­be­stimm­te Über­mitt­lung von Kate­go­rien von Kon­to­trans­ak­tio­nen durch die Bank an einen AISP wäre zuläs­sig. Es bedarf einer Mög­lich­keit, dass nur bezo­gen auf den Zweck des Kon­to­in­for­ma­ti­ons­diens­tes Daten von der Bank an einen AISP zur Ver­ar­bei­tung wei­ter­ge­ge­ben werden.

Tech­ni­sche Kon­zep­te zur Durch­set­zung von Daten­sou­ve­rä­ni­tät und Datenschutz

Dies kann mit­tels eines Pri­va­cy Cock­pits sei­tens der Bank als tech­ni­sche Maß­nah­me im Bereich „Pri­va­cy by Design und by Default“ umge­setzt wer­den. Hier wird der Kun­de in die Lage ver­setzt für sei­ne von ihm beauf­trag­ten TPPs und AISPs fest­zu­le­gen, wie mit den an den jewei­li­gen Dienst­leis­ter zu über­mit­teln­den Daten hin­sicht­lich Schutz sei­ner Pri­vat­sphä­re umzu­ge­hen ist – dabei kann dem Zweck­be­zug bei der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten voll Rech­nung getra­gen werden.

Die Abbil­dung stellt kon­zep­tio­nell die Wirk­wei­se eines Pri­va­cy Cock­pits für Kun­den Ende-zu-Endez­um Pri­va­cy Enforce­ment an der PSD2-Schnitt­stel­le dar.

Daten als neue Wäh­rung – vom Open Ban­king zum Per­so­nal Data Banking

Wenn Daten, wie häu­fig zu lesen ist, tat­säch­lich neue Wäh­rung und Roh­stoff sind, dann ist das Ban­king davon in beson­de­rer Wei­se betrof­fen. Der Bedarf an Insti­tu­tio­nen oder Lösun­gen, wel­che die per­so­nen­be­zo­ge­ner Daten sowie die digi­ta­len Iden­ti­tä­ten der Ver­brau­cher in siche­re Ver­wah­rung neh­men, wird stei­gen. Mit PSD2 und DSGVO wer­den hier­für eini­ge wich­ti­ge recht­li­che Vor­aus­set­zun­gen geschaf­fen. Bis­lang ist die Daten­öko­no­mie von einem gro­ßen Ungleich­ge­wicht, einer Infor­ma­ti­ons­asym­me­trie geprägt, deren Pro­fi­teu­re Inter­net­kon­zer­ne wie Goog­le und face­book sind.

Das Geschäfts­mo­dell beruht auf der Ver­wer­tung der Nut­zer­da­ten. Bis­lang wer­den die Ver­brau­cher an den Erträ­gen aus ihren Daten nicht betei­ligt – die Ren­di­te fällt ande­ren zu, die mit ver­meint­lich kos­ten­lo­sen Ange­bo­ten wer­ben. Die Kun­den zah­len für die Nut­zung kos­ten­lo­ser Ser­vices bereits – und zwar mit ihren Daten.

Es ist daher nur eine Fra­ge der Zeit, bis die ers­ten Per­so­nal Data Banks, Ban­ken für Digi­ta­le Iden­ti­tä­ten oder Iden­ti­ty Banks erschei­nen. Vor­rei­ter auf die­sem Gebiet ist Japan, wo der­zeit die welt­weit ers­te Per­so­nal Data Bank ent­steht. In Deutsch­land und Euro­pa sind wir davon der­zeit noch weit ent­fernt. Gleich­wohl fehlt es nicht an Initia­ti­ven, wie IND²UCE oder Idento.one

Die Abbil­dung stellt kon­zep­tio­nell die Wirk­wei­se des nut­zer­ba­sier­ten Ein­wil­li­gungs­ma­nage­ments von Idento.one dar.

Gemein­sa­mes Merk­mal der Initia­ti­ven, ist, dass sie Daten­ho­heit der Nut­zer erhal­ten und zen­tra­le Daten­hal­tung ver­mei­den. Drit­te bekom­men, wie von der DSGVO vor­ge­se­hen, nur nach expli­zi­ter Zustimmung

durch den Nut­zer den Zugriff auf bzw. Nut­zungs­rech­te für per­so­nen­be­zo­ge­ne Daten. Der Nut­zer bestimmt dabei die Regeln, nach denen der Zugriff erfolgt, wie Gül­tig­keits­dau­er und Zweck. Fer­ner erhält die Nut­zer die Mög­lich­keit, mit sei­nen Daten zu han­deln. Open Ban­king wäre dem­nach nur eine Vor­stu­fe zum Per­so­nal Data Banking.

Fazit: Dezen­tra­li­sie­rung ver­sus Plattformökonomie

Obwohl das Inter­net vom Prin­zip her dezen­tral orga­ni­siert ist, haben Kon­zer­ne wie Goog­le, Ama­zon, Face­book, Apple und Ali­baba (GAFAA) in den letz­ten Jah­ren eine domi­nan­te Stel­lung erlangt. Die­se neue Form von Macht­kon­zen­tra­ti­on wird häu­fig als Platt­form­öko­no­mie bezeich­net. Wer sich heu­te im Netz bewegt, kommt an die­sen zen­tra­len Instan­zen und an deren digi­ta­len Öko­sys­te­men und sozia­len Netz­wer­ken, nicht vor­bei. Bei jedem frei­wil­li­gen oder unfrei­wil­li­gen Besuch hin­ter­lässt der Nut­zer Daten­spu­ren, die zu Pro­fi­len zusam­men­ge­setzt und ver­kauft werden.

Wenn, wie mit der DSGVO, die Nut­zer einen gro­ßen Teil an Daten­sou­ve­rä­ni­tät zurück­ge­win­nen, wird die Macht der Inter­net­kon­zer­ne dadurch beschnit­ten. Tech­no­lo­gien mit einem betont dezen­tra­len Ansatz, wie die Block­chain-Tech­no­lo­gie oder gene­rell Dis­tri­bu­ted Led­ger Tech­no­lo­gies, bie­ten zum ers­ten Mal seit Ent­ste­hung des Inter­net die Mög­lich­keit, der Zen­tra­li­sie­rung und Macht­kon­zen­tra­ti­on ent­ge­gen zu wir­ken und die Fra­ge der gerech­ten Ver­tei­lung der Erträ­ge in der Daten­öko­no­mie auf die Tages­ord­nung zu set­zen. Dezen­tra­le Daten­hal­tung, intel­li­gen­te Ver­trä­ge (Smart Con­tracts) und

Ver­schlüs­se­lung, kom­bi­niert mit einem Höchst­maß an Daten­sou­ve­rä­ni­tät kön­nen ein wirk­sa­mes Gegen­wicht zu den gro­ßen Inter­net­kon­zer­nen bil­den. Das gilt nur nicht nur für den End­ver­brau­cher, son­dern auch für Unter­neh­men. Die neu­en Richt­li­ni­en wir­ken weit über einen rei­nen Regu­lie­rungs­cha­rak­ter (nicht sel­ten als Gän­ge­lung wahr­ge­nom­men) hin­aus: Sie bie­ten Raum für Inno­va­tio­nen in Form von Pro­duk­ten und Dienst­leis­tun­gen auf Basis von per­so­nen­be­zo­ge­nen Daten, bei­spiels­wei­se durch das „Recht auf Daten­über­trag­bar­keit“, also die wunsch­ge­mä­ße Nut­zung und Ver­wen­dung von Daten, die bei einem Dienst­leis­ter lie­gen, durch wei­te­re Dienst­leis­ter. Dabei, und das ist die regu­lie­ren­de Sei­te, dür­fen der Schutz und sorg­sa­me Umgang mit per­so­nen­be­zo­ge­nen Daten jedoch nicht zu kurz kom­men. Neben den Inno­va­tio­nen in den jewei­li­gen Markt­seg­men­ten sind daher auch Inno­va­tio­nen beim tech­ni­schen Daten­schutz not­wen­dig. Dienst­leis­tun­gen wer­den zuneh­mend in Öko­sys­te­men (Plat­form Eco­no­my und ver­netz­te Diens­te) statt­fin­den­den, so dass auch ein Aus­tausch von Daten immer mehr im Vor­der­grund ste­hen wird. IND²UCE und Idento.one sind Tech­no­lo­gien, die einen Aus­tausch von per­so­nen­be­zo­ge­nen Daten sicher und gezielt ermög­li­chen und dabei die Daten­sou­ve­rä­ni­tät der Kon­su­men­ten tech­nisch umsetz­bar machen. Im Ergeb­nis wäre ein New Deal on Data möglich.

Wie die Wirt­schafts­ge­schich­te zeigt, ist der Erfolg Euro­pas in beson­de­rer Wei­se auf sei­ne dezen­tra­le Struk­tur in Wirt­schaft und Gesell­schaft zurück­zu­füh­ren. Stän­di­ger Wett­be­werb sowie gerin­ge Macht­kon­zen­tra­tio­nen schaff­ten den nöti­gen Raum für Inno­va­tio­nen – sowohl tech­ni­scher wie auch sozia­ler Art. Das gilt auch in der Daten­öko­no­mie. In der Daten­öko­no­mie ist Daten­schutz ist ein Stand­ort- bzw. Wett­be­werbs­vor­teil für Europa.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert