Von Ralf Keuper, Bankstil und Michael Ochs, Fraunhofer IESE.
Eine Ko-Veröffentlichung des Blogs Bankstil und des Blogs des Fraunhofer IESE.
Lesezeit: 5:00 min
In diesem Jahr werden die beiden genannten Richtlinien in Kraft treten. In beiden Richtlinien sind personenbezogene Daten ein Thema bzw. Kernthema. Der Umgang mit personenbezogenen Daten (Datenschutz) in den betroffenen Wirtschaftssegmenten wird nach aktueller Wahrnehmung einzelner Marktteilnehmer jedoch unterschiedlich gehandhabt. Wir bringen etwas Licht in den Dschungel der Verordnungen und zeigen Innovationspotenziale und Möglichkeiten für Datenschutz auf.
Zwei Richtlinien – ein Gedanke bei personenbezogenen Daten?
Mit der Umsetzung der PSD2 sind Banken unter anderem dazu verpflichtet, auch Dritten, sogenannten Third Party Providern, den Zugang zu den Kundenkonten zu gewähren, sofern die Kunden dem zuvor zugestimmt haben. Von besonderem Interesse sind dabei die Kontoinformationen, die zu verschiedenen Zwecken verwendet werden können. Da wäre zum einen die Möglichkeit, die Daten zu kategorisieren, z.B. nach Ausgaben, womit der Kunde eine bessere Übersicht seiner finanziellen Situation bekommt, und zum anderen die Variante, die Transaktionshistorie für die Bewertung der Kreditwürdigkeit heranzuziehen, so dass die Bearbeitung von Kreditanträgen in wenigen Minuten möglich ist. Aber auch viele andere neue und innovative Dienste auf Grund von PSD2 sind denkbar und machbar, von der Optimierung bestimmter Kostenkategorien wie z.B. Telekommunikationskosten über Abo-Alarme bis hin zur Führung von Haushaltsbüchern ist alles möglich. Als Profiteure von PSD2 betrachten sich die zahlreichen Fintech-Startups, die hier die Chance sehen, weitere Erlösquellen zu erschließen; entweder indem sie ihre Dienste, wie im Bereich Credit Scoring, den Banken anbieten, oder aber in Form zusätzlicher Services, wie die Einholung von Vergleichsangeboten bei Versicherungen. Die Banken reagieren unterschiedlich. Einige, wie die Deutsche Bank mit ihrer dAPI, wollen mit eigenen Services in einem digitalen Ökosystem zwischen Bank und Dienstanbietern (Platform Economy) zusätzliches Geschäft generieren, andere warten erst einmal die weitere Entwicklung ab.
Konfliktzone Datenschutz und Datensouveränität bei PSD2
Bislang werden die Themen PSD2 und DSGVO überwiegend getrennt behandelt, obwohl in beiden Regelungen der Umgang mit den personenbezogenen Daten der Verbraucher eine große Rolle spielt. Es bestehen dennoch einige Unterschiede, die für Banken wie für Fintech-Startups, und natürlich auch für andere Third Party Provider, einige Herausforderungen mit sich bringen dürften. Und zwar sind die Anforderungen der DSGVO in einigen zentralen Punkten deutlich restriktiver als die der PSD2, was auch darauf zurückzuführen ist, dass die PSD2 noch an der aus dem Jahr 1995 stammenden Richtlinie 95/46/EG (Datenschutzrichtlinie) ausgerichtet ist. Exemplarisch für diesen Konflikt ist die Weitergabe der Kontobewegungen auf Basis von Artikel 67 (2) f PSD2. Demnach wäre es nach aktueller Lesart der Fintech-Startups ausreichend, wenn die Bank bei Anfrage eines TPP alle Kontobewegungen des Kundenkontos im relevanten Zeitraum komplett übergeben würde. Das könnte jedoch dazu führen, dass sensible Informationen, wie Parteizugehörigkeiten, Medikamentenrechnungen und damit Gesundheitsdaten und Vieles mehr in die Datenverarbeitung einfließen und einem Profiling zugeführt werden. Das könnte für die Verbraucher negative Konsequenzen haben, wenn diese Informationen bei einem TPP ohne tatsächlichen Zweckbezug und Zustimmung des Verbrauchers gespeichert, verarbeitet und möglicherweise sogar weitergegeben werden.
Um den beschriebenen Konflikt zu umgehen, bieten sich mehrere Verfahren an. So könnte die Bank z.B. Teile der Daten anonymisieren, d.h. es werden nur die Beträge oder nur Beträge und ggfs. grobe Kategorien mitgeteilt. Ein anderer Ansatz wäre, die internen Compliance-Daten, die den Datenschutzbestimmungen weitestgehend entsprechen, für die Weitergabe zur verwenden. Weiterhin kann die Bank, ähnlich wie bei YES, die Digitale Identität zum zentralen Element machen. Diese Digitale Identität (Identity API) unterliegt der Kontrolle des Verbrauchers, der selbst bestimmen kann, welche Daten Dritten zur Verfügung gestellt werden dürfen. Daneben kann die Bank die Daten so anonymisieren, dass nur die relevanten Daten bzw. Merkmale herausgegeben werden, die keinen Rückschluss auf die wahre Identität des Verbrauchers bzw. Kunden zulassen, wie bei Angaben zu Einkommen oder zum Alter. Die Bank würde damit zu einem Identity Service Provider.
Mit Blick auf die Kontotransaktionen, die auch sensible Informationen enthalten, wäre ein Ansatz, dass die Bank dem Kunden die Möglichkeit gibt mitzubestimmen, welche spezifischen Kategorien von Kontotransaktionen beim Zugriff welches TPP oder AISP vor eine Übermittlung beispielsweise teilanonymisiert, anonymisiert oder ganz aus den Daten entfernt werden. Zu diesem grundsätzlich auf Privatsphäre ausgerichteten Ansatz herrscht derzeit eine erhitzte Diskussion zwischen verschiedenen Fintechs und Banken. Dabei berufen sich Fintechs darauf, dass die PSD2 eine lex specialis zur DSGVO ist und somit ein von der Bank für den Kunden angebotene Lösung zum Schutz sensibler Kontodaten nicht zulässig, mindestens jedoch nicht erforderlich, sei. Doch ist diese Aussage so als korrekt zu bewerten? Immerhin würden durch solch eine lex specialis unterschiedliche Niveaus beim Datenschutz in beiden Richtlinien zementiert. Schauen wir einmal genauer auf Inhalte und Zeitlinie von DSGVO (1995/46/EC sowie 2016/679/EU) und PSD2 (2015/2366/EU). PSD2 wurde zu einem Zeitpunkt von EU Rat und Kommission beschlossen als die „neue“ DSGVO noch nicht beschlossen war. PSD2 referenziert aktiv die „alte“ DSGVO. Unter diesem Gesichtspunkt darf PSD2 als lex specialis zu „alten“ DSGVO gesehen werden, da diese keinen Artikel zum „Recht auf Datenübertragbarkeit“ enthielt, wie wir ihn mit Artikel 20 der „neuen“ DSGVO vorfinden. Somit wäre, auch mit Zustimmung des Verbrauchers, ohne die Regelungen in Artikel 67 PSD2, die Herausgabe der Daten von der Bank an den TPP rechtlich bedenklich. Ab Mai ändert sich die Situation: die „neue“ DSGVO ist dann voll in Kraft. Durch das dann in Artikel 20 verbriefte „Recht auf Datenübertragbarkeit“ würden Teile von Artikel 67 PSD2 gegebenenfalls obsolet werden. Auch die anderen Aspekte der DSGVO wie enge Zweckbindung der Verarbeitung, Datensparsamkeit und „Privacy by Design und by Default“ würden greifen. Eine selektive und vom Kunden mitbestimmte Übermittlung von Kategorien von Kontotransaktionen durch die Bank an einen AISP wäre zulässig. Es bedarf einer Möglichkeit, dass nur bezogen auf den Zweck des Kontoinformationsdienstes Daten von der Bank an einen AISP zur Verarbeitung weitergegeben werden.
Technische Konzepte zur Durchsetzung von Datensouveränität und Datenschutz
Dies kann mittels eines Privacy Cockpits seitens der Bank als technische Maßnahme im Bereich „Privacy by Design und by Default“ umgesetzt werden. Hier wird der Kunde in die Lage versetzt für seine von ihm beauftragten TPPs und AISPs festzulegen, wie mit den an den jeweiligen Dienstleister zu übermittelnden Daten hinsichtlich Schutz seiner Privatsphäre umzugehen ist – dabei kann dem Zweckbezug bei der Verarbeitung von personenbezogenen Daten voll Rechnung getragen werden. Die Abbildung stellt konzeptionell die Wirkweise eines Privacy Cockpits für Kunden Ende-zu-Ende zum Privacy Enforcement an der PSD2-Schnittstelle dar.
Eine Technologie, die die Möglichkeit zur Umsetzung von Privacy Cockpits und der Durchsetzung von kundenkonformer Datennutzung in verteilten Szenarien bietet, ist IND²UCE (Integrated Distributed Data Usage Control Enforcement) – eine Technologie zur Datennutzungskontrolle, die seit 2008 vom Fraunhofer-Institut für Experimentelles Software Engineering weiterentwickelt wird. Kern der Technologie sind Steuerungs- und Kontrollmechanismen für die Verarbeitung und Nutzung von Daten nach dem ein berechtigter Zugriff auf Daten stattgefunden hat. Die Nutzung der Daten lässt sich aktiv durch Richtlinien in Abhängigkeit von der jeweiligen Situation (z.B. Ort, Zeit, Umgebung, Kategorie und Zweck einer Verarbeitung) gestalten und festlegen. Dabei kann im Kontext PSD2 definiert werden, ob Daten bei einer Übertragung anonymisiert, ausgeschlossen oder andersartig mit dem Ziel des Datenschutzes verändert werden. IND²UCE ist für eine Integration in PSD2-konforme Banking-APIs auf Bankenseite ideal geeignet. Privacy Cockpits für Kunden steuern dabei Ende-zu-Ende direkt in der Banking-API den Umgang mit den Kundendaten beim AISP-Zugriff. Nach einer Integration auf der API-Seite sind die Integrationspunkte im Code durch die innovative Technologie praktisch wartungsfrei.
Daten als neue Währung – vom Open Banking zum Personal Data Banking
Wenn Daten, wie häufig zu lesen ist, tatsächlich neue Währung und Rohstoff sind, dann ist das Banking davon in besonderer Weise betroffen. Der Bedarf an Institutionen oder Lösungen, welche die personenbezogener Daten sowie die digitalen Identitäten der Verbraucher in sichere Verwahrung nehmen, wird steigen. Mit PSD2 und DSGVO werden hierfür einige wichtige rechtliche Voraussetzungen geschaffen. Bislang ist die Datenökonomie von einem großen Ungleichgewicht, einer Informationsasymmetrie geprägt, deren Profiteure Internetkonzerne wie Google und facebook sind. Das Geschäftsmodell beruht auf der Verwertung der Nutzerdaten. Bislang werden die Verbraucher an den Erträgen aus ihren Daten nicht beteiligt – die Rendite fällt anderen zu, die mit vermeintlich kostenlosen Angeboten werben. Die Kunden zahlen für die Nutzung kostenloser Services bereits – und zwar mit ihren Daten.
Es ist daher nur eine Frage der Zeit, bis die ersten Personal Data Banks, Banken für Digitale Identitäten oder Identity Banks erscheinen. Vorreiter auf diesem Gebiet ist Japan, wo derzeit die weltweit erste Personal Data Bank entsteht. In Deutschland und Europa sind wir davon derzeit noch weit entfernt. Gleichwohl fehlt es nicht an Initiativen, wie IND²UCE oder Idento.one. Gemeinsames Merkmal der Initiativen, ist, dass sie Datenhoheit der Nutzer erhalten und zentrale Datenhaltung vermeiden. Dritte bekommen, wie von der DSGVO vorgesehen, nur nach expliziter Zustimmung durch den Nutzer den Zugriff auf bzw. Nutzungsrechte für personenbezogene Daten. Der Nutzer bestimmt dabei die Regeln, nach denen der Zugriff erfolgt, wie Gültigkeitsdauer und Zweck. Ferner erhält die Nutzer die Möglichkeit, mit seinen Daten zu handeln. Open Banking wäre demnach nur eine Vorstufe zum Personal Data Banking
Ralf Keuper, Ko-Autor des Beitrags, Betreiber des Fachblogs Bankstil und Mit-Initiator Indento.one: „IND²UCE und Idento.one sind Technologien, die einen Austausch von personenbezogenen Daten sicher und gezielt ermöglichen und dabei die Datensouveränität der Konsumenten technisch voll unterstützen. Im Ergebnis wäre so ein New Deal on Data möglich.“
Fazit: Dezentralisierung versus Plattformökonomie
Obwohl das Internet vom Prinzip her dezentral organisiert ist, haben Konzerne wie Google, Amazon, Facebook, Apple und Alibaba (GAFAA) in den letzten Jahren eine dominante Stellung erlangt. Diese neue Form von Machtkonzentration wird häufig als Plattformökonomie bezeichnet. Wer sich heute im Netz bewegt, kommt an diesen zentralen Instanzen und an deren digitalen Ökosystemen und sozialen Netzwerken, nicht vorbei. Bei jedem freiwilligen oder unfreiwilligen Besuch hinterlässt der Nutzer Datenspuren, die zu Profilen zusammengesetzt und verkauft werden.
Wenn, wie mit der DSGVO, die Nutzer einen großen Teil an Datensouveränität zurückgewinnen, wird die Macht der Internetkonzerne dadurch beschnitten. Technologien mit einem betont dezentralen Ansatz, wie die Blockchain-Technologie oder generell Distributed Ledger Technologies, bieten zum ersten Mal seit Entstehung des Internet die Möglichkeit, der Zentralisierung und Machtkonzentration entgegen zu wirken und die Frage der gerechten Verteilung der Erträge in der Datenökonomie auf die Tagesordnung zu setzen. Dezentrale Datenhaltung, intelligente Verträge (Smart Contracts) und Verschlüsselung, kombiniert mit einem Höchstmaß an Datensouveränität können ein wirksames Gegenwicht zu den großen Internetkonzernen bilden. Das gilt nur nicht nur für den Endverbraucher, sondern auch für Unternehmen. Die neuen Richtlinien wirken weit über einen reinen Regulierungscharakter (nicht selten als Gängelung wahrgenommen) hinaus: Sie bieten Raum für Innovationen in Form von Produkten und Dienstleistungen auf Basis von personenbezogenen Daten, beispielsweise durch das „Recht auf Datenübertragbarkeit“, also die wunschgemäße Nutzung und Verwendung von Daten, die bei einem Dienstleister liegen, durch weitere Dienstleister. Dabei, und das ist die regulierende Seite, dürfen der Schutz und sorgsame Umgang mit personenbezogenen Daten jedoch nicht zu kurz kommen. Neben den Innovationen in den jeweiligen Marktsegmenten sind daher auch Innovationen beim technischen Datenschutz notwendig. Dienstleistungen werden zunehmend in Ökosystemen (Platform Economy und vernetzte Dienste) stattfindenden, so dass auch ein Austausch von Daten immer mehr im Vordergrund stehen wird. IND²UCE und Idento.one sind Technologien, die diesen Austausch sicher ermöglichen und dabei die Datensouveränität der Konsumenten technisch umsetzbar machen. Ergebnis wäre ein New Deal on Data.
Wie die Wirtschaftsgeschichte zeigt, ist der Erfolg Europas in besonderer Weise auf seine dezentrale Struktur in Wirtschaft und Gesellschaft zurückzuführen. Ständiger Wettbewerb sowie geringe Machtkonzentrationen schafften den nötigen Raum für Innovationen – sowohl technischer wie auch sozialer Art. Das gilt auch in der Datenökonomie. In der Datenökonomie ist Datenschutz ist ein Standort- bzw. Wettbewerbsvorteil für Europa.