Gästeblog

Wie Banken zum Datenschutz-Beauftragten ihrer Kunden werden

20. September 2018

Von Sebastian Fritz-Morgenthal*

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung in Kraft. Manche bezeichnen sie als weltweiten „Goldstandard des Datenschutzes“. Tatsächlich ist sie eine zukunftsweisende Gesetzgebung, denn Daten sind für zahlreiche Unternehmen zu einer Ersatzwährung geworden. Kunden bezahlen nicht für Informationen, aber sie teilen diese. Nach Belieben geben sie weiter, was sie tun, was sie erleben, wo sie sind oder was sie essen – in Blogs, über Twitter oder via Instagram. Viele Apps können kostenlos auf Smartphones und Tablets geladen werden. Vom Kunden gibt es dafür die persönlichen Daten, die bei der Nutzung der App gesammelt werden. Davon leben ganze Branchen.

Anzeige

Auch dem datenbasierten Marketing eröffnen personalisierte Daten aus solchen Apps völlig neue Möglichkeiten. Unternehmen brauchen sich nicht mehr auf soziodemografische Daten zu verlassen oder aufwendige Marktforschung zu betreiben. Sie müssen lediglich eine coole App entwickeln, die jeder haben möchte und gerne auf seinem Smartphone installiert – natürlich mit freiwilligem Zugriff auf die Nutzerdaten.

Nicht alle für Marketingzwecke relevanten Daten müssen geschützt werden. Beispielsweise liefert das, was Kunden bei Amazon ansehen und kaufen, Hinweise auf ihre Interessen und ihren Lebensstil. Somit beeinflussen individuelle Empfehlungen auf Basis der Surf- und Einkaufshistorie den E-Commerce-Umsatz einer Website. Zugleich wirken sie sich positiv auf das Einkaufserlebnis des Kunden aus. Er bekommt, was er will, ohne danach suchen zu müssen. Das ist eine Win-win-Situation, zumindest solange die Einkaufshistorie nicht für andere Zwecke missbraucht wird.

Es gibt jedoch Daten, die wesentlich sensibler sind als eine Einkaufsliste. Deshalb gilt es sie unter allen Umständen zu schützen. Dazu zählen:

  1. Persönliche Daten: Adresse, Geburtsort und -datum, Familienstand, E-Mail-Adresse, SMS-Nachrichten und Inhalte in anderen Messaging-Diensten sowie in sozialen Medien
  2. Persönliche Finanzdaten: Angaben zur finanziellen Situation, Art und Umfang von Transaktionen
  3. Persönliche Gesundheitsdaten: Krankenakten, medizinische Diagnosen oder Informationen, die von Fitness-Trackern aufgezeichnet werden

Der Schutz dieser Daten obliegt jedem selbst und hängt davon ab, wie der Einzelne mit Software, E-Mails oder Apps umgeht. So gibt es in der Regel keinen triftigen Grund, warum bestimmte Anwendungen vollen Zugriff auf das elektronische Adressbuch haben sollten. So praktisch es ist, wenn soziale Netzwerke automatisch mit dem Adressbuch verschmelzen: Dass die Kontakte mit Unternehmen geteilt werden, deren Geschäftsmodell auf dem Sammeln, Teilen und Monetarisieren persönlicher Daten basiert, ist so manchem User nicht bewusst.

Auch Fitness-Tracker, die alle körperlichen Bewegungen aufzeichnen und diese regelmäßig mit Puls, Blutdruck und Gewicht vergleichen, liegen voll im Trend und begeistern ihre Nutzer. Diese Informationen sind auch sehr interessant für Krankenkassen und Arbeitgeber, da sie Rückschlüsse auf Lebensstil, Work-Life-Balance oder Freizeitgestaltung erlauben. Daraus ließen sich Wahrscheinlichkeiten für Krankheiten und berufliche Fehlzeiten ableiten, mit entsprechenden Konsequenzen für Versicherungstarife und Karriereentwicklung.

Die Klassifizierung der Geldbewegungen auf ihren Bankkonten innerhalb einer einzigen App empfinden viele User als sehr komfortabel. Allerdings schafft solch eine Anwendung eine Transparenz über Daten, die besser nicht in einer App oder einer offenen Cloud gespeichert werden sollten. Es empfiehlt sich, beim Herunterladen einer App das Kleingedruckte der Allgemeinen Geschäftsbedingungen zu lesen.

Die Beziehung zwischen dem persönlichen Wert und dem Vermarktungswert persönlicher Daten lässt sich anhand dieser vereinfachenden Grafik verdeutlichen:

Denkbar sind Schwellenwerte, ab denen die Verwendung personenbezogener Daten geregelt, eingeschränkt oder sogar verboten werden sollte. Da Finanz- und Gesundheitsdaten am sensibelsten sind, aber gleichzeitig den höchsten Wert für jede Art von zielgerichtetem Marketing und Verkauf haben, sind diese Daten in besonderem Maße schützenswert.

Vor diesem Hintergrund haben Finanzinstitute die einmalige Chance, sich als Datenschutzbeauftragte ihrer Kunden zu positionieren. Dabei gilt es jedoch Folgendes zu beachten:

  1. Kundendaten sollten niemals zweckentfremdet oder gat an Dritte verkauft werden. Manche Dienstleister tun dies – und haben dafür nicht immer die Einwilligung ihrer Kunden eingeholt.
  2. Datenschutz hat auf technologisch höchstem Niveau zu erfolgen.

Für eine typische Advanced-Analytics-Anwendung steht die absolute Datenqualität in der Regel nicht im Vordergrund. Doch für Banken ist die Datengenauigkeit sowohl eine regulatorische Anforderung als auch ein implizites Versprechen an die Kunden. Bei Transaktionsdaten haben Kreditinstitute typischerweise eine Six-Sigma-Genauigkeit von weniger als einem Fehler pro einer Million Transaktionen erreicht. Viel schwieriger ist jedoch die eindeutige Identifizierung aller Kundenbeziehungen und die Abbildung dieser Transaktionen.

Der Abgleich von Privatkunden mit eindeutigen IDs erscheint noch möglich – vorausgesetzt, die Bank betreibt Buchungssysteme, die in Echtzeit synchronisieren. Weitaus schwieriger ist dies bei weltweit operierenden Firmenkunden. Nicht jede Tochtergesellschaft oder Mehrheitsbeteiligung eines Konzerns kann immer eindeutig zugeordnet werden. Bei vielen Unternehmen kommt es laufend zu Akquisitionen, Ausgliederungen und anderen strukturellen Veränderungen. All dies muss in den Systemen der Bank reflektiert und abgebildet werden, und das idealerweise in Echtzeit.

Tatsache ist, dass die eindeutige Identifizierung eines Kunden zu den wichtigsten Anforderungen gehört, die eine Bank erfüllen muss. Erinnert sei an Fälle von Geldwäsche, Verstöße gegen Wirtschaftssanktionen und Steuerhinterziehung, die teilweise zu Geldstrafen in Milliardenhöhe geführt haben. Die Strafen können indes noch drastischer sein. Selbst ein Verlust der Banklizenz ist möglich.

Die Integrität der persönlichen Finanzdaten ihrer Kunden zu wahren ist für Banken ein absolutes Muss. Zugleich können sie sich dadurch als Datenschützer für ihre Kunden positionieren. Voraussetzung ist, dass sie die Kundendaten sichern und darauf achten, dass diese nicht unbeabsichtigt für kommerzielle Zwecke oder gar kriminelle Handlungen wie Identitätsbetrug oder Veruntreuung missbraucht werden.

*Sebastian Fritz-Morgenthal ist Expert Principal bei Bain & Company

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing