Die Zahl der Fintechs in Deutschland steigt und ihre Innovationen verändern die Finanzbranche. Warum die Jungunternehmen in den Datenschutz investieren müssen, erläutern die Springer-Autoren Gregor Dorfleitner und Lars Hornuf im Interview.
springerprofessional.de: Die Schwerpunkte, mit denen junge Tech-Unternehmen heute an den Markt gehen, verschieben sich zunehmend. Laut einer aktuellen Comdirect-Studie legen die Zahlen sogenannter Proptechs, Finanzierungs-Start-ups und Blockchain-Unternehmen in Deutschland zu. Noch vor Jahren hatten vor allem Fintechs im Bereich Zahlungsverkehr die Nase vorn. Hat das Segment einen wesentlichen Einfluss auf den Datenschutz, den die jungen Firmen leisten müssen?
Gregor Dorfleitner: Grundsätzlich gilt für alle Fintech-Segmente die DSGVO. Aufgrund der verschiedenen Geschäftsmodelle haben die Fintechs aber unterschiedliche Aspekte zu berücksichtigen. Beispielsweise haben Fintechs im Bereich Versicherungen andere Datenanforderungen als eine Social-Trading-Plattform. Die einen sammeln unter Umständen Gesundheitsdaten, also besondere Kategorien personenbezogener Daten, während die anderen zum Beispiel Muster beim Kauf und Verkauf von Wertpapieren aufzeichnen.
Lars Hornuf: Der Datenschutz im Bereich Zahlungsverkehr ist deshalb speziell, weil die verwendeten Daten die tatsächlichen Präferenzen der Nutzerinnen und Nutzer wiederspiegeln. In den Wirtschaftswissenschaften spricht man auch von Revealed Preferences, die sich etwa von den bloßen Lippenbekenntnissen einer Umfrage unterscheiden, die auch Stated Preferences genannt werden. Natürlich werden auch bei anderen Fintechs sensible Daten verarbeitet. Vor allem bei Insurtechs werden ohne Zweifel hoch sensible Daten verarbeitet.
Welche Hürden müssen Fintechs bei der Umsetzung der datenschutzrechtlichen Vorgaben überwinden? Wirkt sich das auf ihre Geschäftsmodelle aus?
Gregor Dorfleitner: Zunächst einmal sind keine anderen Hürden zu überwinden als bei jedem anderen Unternehmen, das plattformbasierte Dienstleistungen anbietet, das heißt, es muss in der Datenschutzerklärung genau und explizit gesagt werden, welche Daten verarbeitet werden und was mit den Daten geschieht. Des Weiteren müssen die verschiedenen Rechte, zum Beispiel das auf Löschung oder Auskunft, auch IT-technisch implementiert werden. Das ist für ein Start-up-Unternehmen durchaus ein nicht zu vernachlässigender Aufwand und somit eine Hürde.
Lars Hornuf: Eine Hürde stellt für Fintechs vor allem ihre Größe dar. Denn vor allem kleine Unternehmen müssen sehr viele Probleme parallel lösen. Wichtig ist aber auch, dass auf Künstlicher Intelligenz basierende Geschäftsmodell zunächst einmal große Datenmengen benötigen, damit die Gründer damit experimentieren und neue Produkte und Dienstleistungen entwickeln können. Das steht aber dem Prinzip der Datensparsamkeit der DSGVO entgegen. Dabei kann das Experimentieren mit großen Datenmengen auch zu besseren Produkten für die Nutzer und damit zu mehr Verbraucherschutz führen.
Immer häufiger arbeiten Fintechs Hand in Hand mit Banken oder Versicherern – zum Teil auf neu entwickelten Plattformen. Wie ist es hier um die Datensicherheit bestellt, wenn mehrere Akteure gleichzeitig aktiv sind?
Lars Hornuf: Je mehr Akteure involviert sind, desto mehr potentielle Zugangspunkte gibt es für mögliche Datendiebe. Gleichzeitig arbeiten Banken schon immer mit Drittanbietern zusammen und eine 100-prozentige Sicherheit gibt es auch in der physischen Welt nicht. Die Frage ist deshalb viel mehr, wie Banken und Fintechs mit einer Datenpanne umgehen werden. Denn dass diese kommt, steht außer Frage.
Was müssen Unternehmen, die nicht aus der Finanzbranche kommen, beachten, wenn Sie mit einem Fintech dauerhaft kooperieren wollen? Haben Sie dazu ein paar praktische Tipps, etwa im Hinblick auf deren Kunden oder die Kommunikation?
Gregor Dorfleitner: Als erstes würde ich sagen: Legen Sie alles offen, was irgendwie mit den Daten des Kunden zu tun hat. Legen Sie auch offen, mit welchen Fintechs Sie kooperieren und warum. Zweitens: Unter Umständen sollten Sie auch einen Auftragsdatenverarbeitungsvertrag schließen. In jedem Falle lohnt sich ein genaues Studium der DSGVO, insbesondere Artikel 28.
Lars Hornuf: Dass die Kunden eine Datenschutzerklärung lesen, ist eine Wunschvorstellung. Viel wichtiger ist, dass die Datenschutzerklärungen vollständig und abschließend angeben, welche Daten verarbeitet und mit welchen Akteuren diese geteilt werden. Am Ende müssen professionelle Experten wie die Datenschutzbeauftragten ein Urteil über die Qualität der Datenverarbeiten eines Unternehmens abgeben und dieses Information in möglichst einfacher Form mit den Nutzern teilen.
Schauen wir in die Zukunft. Wo geht die Reise in Sachen Datenschutz in fünf oder zehn Jahren hin? Zeichnen sich aus Ihrer Sicht Trends ab, auf die sich Fintechs heute schon vorbereiten sollten?
Gregor Dorfleitner: Es gibt aus meiner Sicht zwei Szenarien: Zum einen wird die Generation Z immer mehr als Kunde in den Fokus rücken. Diese Generation ist, was Datenschutz betrifft, schon etwas leichtfertiger als die Generationen vorher. Dies würde also bedeuten, dass der Datenschutz eher unwichtiger wird. Zum anderen rechne ich aber damit, dass früher oder später aufsehenerregende Datenschutz-verletzende Vorfälle passieren. Diese gab es ja teilweise schon, etwa bei Facebook. Also sollte man deswegen davon ausgehen, dass der Datenschutz für alle immer mehr ins Rampenlicht rücken wird. Als Fintech-Unternehmen kann man sich auf jeden Fall dafür heute schon wappnen, indem man sich bei seinem Datenschutz-Konzept richtig Mühe gibt und etwa die von Dritten verarbeiteten Daten abschließend für die Nutzer auflistet. Dem entgegen muss heute häufig jeder Nutzer für sich selbst herausfinden, welche Dienste Dritter verwendet werden und welche Daten diese wiederum verarbeiten. Das ist für die Nutzer mühsam und führt zu Datenschutzerklärungen, die zwar – bestenfalls - juristisch korrekt sind, aber wenig zur Erhellung der tatsächlichen Strukturen beitragen.
Lars Hornuf: Eines steht fest: Die Wissenschaft wird sich die nächsten 30 Jahre auf jeden Fall mit dem Thema Datenschutz beschäftigen. Wissenschaftler werden sehr dicke Bretter bohren müssen. Wir haben noch nicht einmal die fundamentalen Fragen beantwortet: Was ist eigentlich das Produkt? Wie kommen die Preise für das Produkt zustande und wer beeinflusst diese? Was sollte eigentlich das Ziel gesetzgeberischen Handelns sein? Dass Verbraucher eine Datenschutzerklärung lesen, ist per se nicht das Ziel.