Mietke: Datennutzung im Spannungsfeld von Kundenmehrwert und Datenschutz
Datennutzung im Spannungsfeld von Kundenmehrwert und Datenschutz
Perspektiven für Banken und Kunden
Gastbeitrag in Der Bank Blog vom 13. März 2020
Data Driven Banking ist nicht irgendein Thema, das die Bankenwelt umtreibt, es ist das Thema schlechthin. Damit die Institute die vielen Daten, über die sie verfügen, im Sinne ihrer Kunden nutzen können, müssen noch einige Hürden überwunden werden.
Bereits Anfang letzten Jahres hat der Bankenverband gemeinsam mit seinen Mitgliedern – den privaten Banken und den bei uns assoziierten Fintechs – eine Perspektive für das Thema „Data Driven Banking“ entworfen. Seitdem ist der Zug weiter gerollt, auch der politische. Die Datenschutzgrundverordnung und die zweite Zahlungsdienste-Richtlinie sind in Kraft getreten. Regierung wie Opposition denken laut darüber nach, was zu tun ist, damit Deutschland und Europa bei den Themen Datenwirtschaft und Künstliche Intelligenz nicht den Anschluss verlieren, sondern – im Gegenteil – möglichst vorne mitspielen können.
Chancen der Datenwelt
Führen wir uns noch einmal vor Augen, worum es eigentlich geht. Anders als bei der Industrie 4.0 spielen im Banking personenbezogene Kundendaten eine ganz wesentliche Rolle für die Serviceerbringung. An der Frage, wie das Spannungsverhältnis zwischen Kundenmehrwert und Datenschutz aufgelöst werden kann, wie die Banken also mit Kundendaten umgehen sollen, scheiden sich dabei die Geister:
- Die einen sehen in der intensiven Datennutzung die Zukunft des Bankgeschäfts – nicht zuletzt, um die Kundenschnittstelle angesichts des Vormarsches der Plattformen und globalen Ökosysteme zu verteidigen oder die Bank selbst zur Plattform zu transformieren.
- Andere befürchten die Monetarisierung der bislang weitgehend unangetasteten Daten und damit das Verschwinden der Bank in ihrer Funktion als letzter sicherer Datenhafen und Hüterin des Bankgeheimnisses. Und wiederum andere sehen Chancen für Banken, sich als Makler oder gar Treuhänder der Daten des Kunden zu positionieren und damit eine neues Leistungsversprechen zu schaffen.
Eines steht derweil fest: Mit PSD2 haben die Banken das „Monopol“ auf die Zahlungsdaten ihrer Kunden verloren. Sie stehen nun im Wettbewerb mit anderen Unternehmen, diese Daten auszuwerten. Auf diese Grundlage ist es möglich, das Nutzerverhalten und damit auch die Wünsche und Vorstellungen des Kunden besser zu verstehen und somit maßgeschneiderte Produkte zum richtigen Zeitpunkt anzubieten. Mit den aus dem Datenschatz gewonnenen Erkenntnissen können auch neue Produkte und Dienstleistungen entwickelt oder bestehende verbessert werden. Das sich hier auftuende neue Ertragspotenzial werden die Banken allerdings nur erschließen können, wenn der Nutzer einen echten Mehrwert für sich erkennt und zugleich ein angemessenes Maß an Sicherheit und Vertrauenswürdigkeit spürt.
Mehrwerterwartung der Kunden
Letzteres ist unabdingbar, denn nicht nur das Datenschutzrecht sieht vor, dass der Einzelne bewusst und souverän über die Verwendung seiner Daten bestimmen können soll. Gerade in Deutschland lässt die Bevölkerung hinsichtlich der Nutzung oder Weitergabe von Daten eine gewisse Vorsicht und Skepsis walten, sofern Zusammenhang und Nutzen der Datenerhebung für sie nicht erkennbar sind. Laut einer aktuellen Studie der Postbank geben 80 Prozent der Befragten an, dass sie Daten für Online-Anwendungen nur dann freigeben, wenn diese für die Nutzung einer Dienstleistung zwingend erforderlich sind. Selbst unter den „Digital Natives“ sind es immerhin knapp dreiviertel, die diese Aussage teilen. 7 Prozent dieser Gruppe verzichtet sogar ganz auf Online-Dienste, die persönliche Daten erfordern.
Auf der anderen Seite sind viele Kunden – auch in Deutschland – dann offen für den Datenaustausch mit ihrer Bank, wenn im Gegenzug konkrete Vorteile in Aussicht stehen. Dies können bessere Preise oder Rabatte sein, eine schnellere und einfachere Leistungserbringung zum Beispiel bei der Kreditvergabe oder eine Beratung mit mehr Relevanz für die persönliche Situation. Positiv für die Banken ist in diesem Zusammenhang übrigens, dass sie an vorderster Stelle genannt werden, wenn die Nutzer angeben sollen, bei wem sie ihre Daten besonders sicher und vertrauensvoll wähnen – knapp hinter Ärzten und Krankenkassen.
Europäische Rahmenbedingungen für Datenschutz
Mit der europäischen Datenschutzgrundverordnung wurden die Rahmenbedingungen für die Nutzung von Kundendaten weiter vereinheitlicht, was im Hinblick auf ein europäisches bzw. globales Level Playing Field ausdrücklich zu begrüßen ist. Allerdings drängt sich die Frage auf, ob Teile der Regelungen heute noch zeitgemäß sind und den Anforderungen einer zunehmend digitalisierten Wirtschaft und Gesellschaft tatsächlich gerecht werden.
Ein Beispiel sind die umfangreichen Informationspflichten, die für die meisten Kunden keinen Mehrwert bieten. Wegen der hohen Sanktionsrisiken für Datenverarbeiter kann man obendrein beobachten, dass Kundeninformationen noch weiter „verrechtlicht“ werden, was am Ende die Transparenz für den Nutzer schmälert und nicht erhöht. Ferner muss kritisch hinterfragt werden, ob der enge Zweckbindungsgrundsatz im Datenschutzrecht uns nicht des Erkenntnispotenzials von Big Data beraubt und dazu führt, dass – auch im internationalen Vergleich – Chancen für Kunden und Anbieter verschenkt werden.
Drei zentrale Anforderungen zur Nutzung von Kundendaten
Damit neuen Geschäftsmodellen in einer globalen Datenwirtschaft keine zu großen Hindernisse in den Weg gelegt werden, muss eine ausgewogene Balance zwischen gesamtwirtschaftlichem Interesse und individuellen Schutzbedürfnissen neu gesucht und gefunden werden. Gemeinsam mit unseren Mitgliedern – Banken und Fintechs – haben wir als Bankenverband drei Anforderungen identifiziert, die aus unserer Sicht elementar sind, um den Kunden für eine Nutzung seiner Daten zu gewinnen und entsprechendes Vertrauen zu schaffen:
- Die erste betrifft den Mehrwert, der dem Kunden durch Nutzung seiner Daten geboten werden kann.
- Die zweite dreht sich um die Transparenz für den Kunden über die Nutzung seiner Daten.
- Und bei der dritten Anforderung geht es um die Steuerbarkeit der Datennutzung durch den Kunden.
Welche Kundenmehrwerte könnten das sein? Ein Beispiel: Durch die Analyse der Transaktionsdaten im Zahlungsverkehr kann automatisch solchen Kunden Hilfe angeboten werden, deren finanzielle Situation sich in einschneidender Weise – etwa durch den Verlust der Arbeit oder durch eine Änderung des familiären Umfelds – verschlechtert hat oder zu verschlechtern droht. Eine Möglichkeit wäre in einem solchen Fall, dass der Kunde proaktiv eine aktualisierte Budget- und Liquiditätsplanung von seiner Bank erhält. Auf diese Weise würde er zum frühestmöglichen Zeitpunkt auf bestmöglicher Datengrundlage beraten – was auch den Zielen des Verbraucher- und Anlegerschutzes entspricht.
Ein solcher Service scheitert heute allerdings noch häufig daran, dass die Nutzung der Daten nur mit ausdrücklicher Zustimmung der Kunden erlaubt ist und diese eine aktive Einwilligung mangels Transparenz häufig scheuen.
Datenschutzrecht nachsteuern
Damit Mehrwert, Transparenz und Steuerbarkeit tatsächlich in die Praxis umgesetzt werden können, sind alle Beteiligten – Politik, Regulatoren wie auch Anbieter – gefordert. Stichwort Datenschutzrecht: Die Prinzipien der Datensparsamkeit und der Zweckbindung sind mit modernen Services, die Nutzer umfassend betrachten und bedienen wollen, nur schwer vereinbar. Zudem werden Kunden mit ausführlichen Datenschutzerklärungen überflutet, was Intransparenz bzw. Unkenntnis über die Datennutzung zur Folge hat. Auch der eigentlich richtige Grundsatz „Privacy by default“ führt in der Praxis dazu, dass Anbieter ihre Nutzer in der digitalen Welt – anders als in der analogen – nicht wiedererkennen und ihren Service nicht proaktiv personalisieren können.
Als Lösungsansatz haben wir drei Vorschläge entwickelt, wie der Gesetzgeber bzw. Regulator nachsteuern sollte:
- Die Nutzung öffentlich verfügbarer Daten sollte prinzipiell erlaubt sein. Da diese Daten ohnehin für jedermann zugänglich sind, können Kunden davon ausgehen, dass sie ohnehin genutzt werden.
- Der Zweckbindungsgrundsatz muss aus seinem zu engem Korsett befreit werden. Kunden sollten die Möglichkeit haben, vielfältige Verarbeitungszwecke „in einem Schritt“ zu akzeptieren – also nicht jedem Verarbeitungszweck einzeln zustimmen zu müssen. Dies könnte zum Beispiel in Grundeinstellungen verankert werden, mit Nachsteuerungsmöglichkeiten je nach Wunsch. Denn gerade bei Online-Prozessen führen Auswahlmöglichkeiten mit einer Vielzahl von Optionen nachweislich zu hohen Abbruchraten, da sie für den Kunden nicht nur zeitraubend sind, sondern zum Teil Entscheidungen verlangen, die den Kunden in der jeweiligen Situation leicht überfordern können.
- Wir brauchen praxisgerechte Transparenzkonzepte, die nicht primär der juristischen Genauigkeit dienen, sondern in erster Linie auf die Verständlichkeit für den Kunden abzielen.
Modifiziertes Transparenzkonzept zur Datennutzung
Ein solches Transparenzkonzept sollte dem Kunden folgende Kernfragen kurz, bündig und verständlich beantworten:
- Wer nutzt die Daten – nur der Anbieter oder auch Dritte?
- Welche Daten werden genutzt? (Hierzu bedarf es nachvollziehbare Kategorien von Daten, z. B. Daten zur Person, Transaktionsdaten, Geodaten)
- Für welche Zwecke werden die Daten genutzt?
- Werden die Daten weiterveräußert?
- Wo werden die Daten gespeichert und verarbeitet?
Denkbar wäre eine Kennzeichnung der Datenverarbeitung nach dem Vorbild der Lebensmittelampel: Damit könnten Nutzer eine grobe Orientierung erhalten, wie datenschonend oder -intensiv die Datennutzung bei einem konkreten Produkt oder einer Dienstleistung ist.
Hierzu schlagen wir ein modifiziertes Transparenzkonzept vor, das aus zwei Stufen besteht:
- In der ersten Stufe sollte der Gedanke der Verständlichkeit im Vordergrund stehen und die Verbraucherinformation zur Datennutzung zum Beispiel in Form von Symbolen oder Icons erfolgen.
- Erst in der zweiten Stufe würde eine detaillierte Information bzw. Erläuterung der Symbole oder Icons mit rechtsverbindlicher Wirkung erfolgen. Diese Informationen sollten auf Nachfrage bzw. an zentraler Stelle eines Dienstes oder einer Website zur Verfügung stehen. Damit ein solcher Ansatz in die Praxis überführt werden kann, muss er vom Gesetzgeber bzw. von der Datenschutzaufsicht akzeptiert – oder besser noch – gefördert werden.
Nutzerfreundliches digitales Datenschutz-Cockpit
Das datenschutzrechtliche Leitbild sieht vor, dass der Betroffene – im Rahmen der Einwilligung oder Vertragsvereinbarung – selbst entscheiden können soll, wer seine Daten wofür und in welchem Umfang verarbeiten darf. In der Praxis allerdings ist es für den Einzelnen kaum möglich, die Übersicht zu behalten und effektiv die Kontrolle über seine Daten auszuüben – auch angesichts der Vielzahl seiner Vertragspartner und der unterschiedlichen Vertragsverhältnisse.
Ein nutzerfreundliches digitales Datenschutz-Cockpit könnte das skizzierte Transparenzkonzept wirksam flankieren und zu einer echten Steuerbarkeit beitragen. Mit einem Cockpit sollte der Nutzer im Idealfall auf einen Blick erkennen können, welche Daten von welchen Anbietern und in welchem Ausmaß genutzt werden, und er sollte – soweit möglich – Nachsteuerungsmöglichkeiten haben. Eine Cockpitlösung könnte von datenverarbeitenden Unternehmen innerhalb des Nutzerprofils bereitgestellt, andererseits. aber auch von vertrauensvollen Drittanbietern (Trusted Parties), die das Daten- und Identitätsmanagement an einer zentralen Stelle zusammenführen.
Ein solcher Ansatz ist allerdings nicht trivial und bedeutet hohe Komplexität und Aufwand in der Konzeptionierung und Implementierung. Zudem erschweren Unklarheiten hinsichtlich der Auslegung des Datenschutzrechts – und drohende Konsequenzen im Falle eines Verstoßes – eine Umsetzung in der Praxis. Dies dürfte gerade für anbieterübergreifende Plattformlösungen gelten, da die Nachweispflicht für die erforderliche Rechtsgrundlage im Zweifelsfall beim Anbieter liegt. Insofern bedarf es auch hier der Akzeptanz der Datenschutzaufsicht und gegebenenfalls der Wettbewerbsbehörden, wenn dieser Ansatz einer strukturierten Informations- und Steuerungsplattform in die Tat umgesetzt werden soll.
Maßnahmen der Finanzwirtschaft
Aber auch über eine mögliche Cockpitlösung hinaus können die Anbieter – in unserem Falle Banken und FinTechs – Maßnahmen ergreifen. Durch stärkere Kommunikation etwa könnten sie die spürbaren Vorteile und konkreten Use Cases einer erweiterten und aggregierten Nutzung von Daten deutlich machen. Auch Standardisierung kann ein wirksames Mittel sein, um das Kundenvertrauen zu stärken und den Kunden Sorgen hinsichtlich der Datennutzung zu nehmen. Hier wären gemeinsame Leitlinien, ein Code of Conduct oder ein „Bankgeheimnis 2.0“ für die digitale Welt denkbare Ansätze. Jeder Rahmen, der dazu dient, mehr Daten im Sinne des Kunden zu nutzen, muss dabei gewährleisten, dass die Souveränität des Einzelnen über seine Daten und der Schutz der Privatsphäre gewahrt bleiben.