Der Bankkunde von heute erwartet Entlastung, nicht Belastung. Er begehrt in einer immer komplexer werdenden Welt die Entwirrung und Vereinfachung seines Alltags. KI soll helfen. Doch der künstlich intelligenten Erfüllung der Kundenwünsche soll die Datenschutzgrundverordnung (DSGVO) entgegenstehen.
Banken und Sparkassen müssen Kundenbedarf und Datenschutz in Einklang bringen.
Partner des Bank Blogs
Die Kunden von morgen sind die Smartphone-Nutzer von gestern und heute. Überall, jederzeit, schnell und kostengünstig sind Informationen verfügbar, die mit einem Fingerstrich herbeigezaubert werden – oder direkt an das Gerät gesendet werden können. Apps befreien von langem Nachdenken sowie lästigen Sorgen und verschaffen mehr Kontrolle dank individuell zusammenstellbarer Dashboards. Sonderangebote auf dem Smartphone können daneben für den Nutzer nützlich und sehr erwünscht sein, betritt er etwa ein Geschäft seines Interesses. Es gibt keinen Grund, warum nicht auch Banken neue Technologien für sich nutzen sollten, etwa um ihren Kunden Finanzierungsangebote in Echtzeit bereitzustellen. Ich glaube an die 3Fs-Strategie. Die drei Fs stehen für:
- Freiheit bieten,
- Fürsorglichkeit zeigen und
- Flexibilität leben sowie leben lassen.
Der Kunde erwartet Entlastung, nicht Belastung. Er begehrt in einer immer komplexer werdenden Welt die Entwirrung und Vereinfachung seines Alltags. KI soll helfen. Doch der künstlich intelligenten Erfüllung der Kundenwünsche soll die Datenschutzgrundverordnung (DSGVO) entgegenstehen.
Ist das so? Wie setzt man das Datenschutzrecht menschlich und künstlich intelligent um?
In a nutshell: Was ist KI?
Künstliche Intelligenz ist ein Begriff, der vielmehr von Science-Fiction-Romanen und Bewegtbildern als von Fakten geprägt ist. Den Ursprung in 1955, in der Ankündigung des sog. Darthmouth Summer Research Project on Artificial Intelligence 1956, kennen nur wenige. Die Anlehnung der Vorstellung von künstlicher Intelligenz an die ebenso wenig definierte menschliche Intelligenz hält sich jedoch bis heute – sogar ethische Grundfragen werden hierauf aufgebaut. Mit bedenklichen Folgen für die Wirtschaft.
Im Allgemeinen bezeichnet Künstliche Intelligenz sowohl Technologien im Sinne von Rechenverfahren als auch verschiedene Forschungsgebiete als Teilgebiete der Informatik (z.B. Machine Learning, das sog. Deep Learning wiederum als dessen Teilgebiet; aber auch Robotics). Es ist anhand des Begriffs nicht erkennbar, welcher Grad der technologischen Entwicklung erreicht wurde, weshalb hiermit leider mehr Verwirrung als Sinn gestiftet wird.
Die einfachste Form der Unterscheidung von Technologien künstlicher Intelligenz ist die in „schwache“ und „starke KI“. „Schwache KI“ folgt im Grunde menschenvorgegebenen Regeln der Problemfindung und/oder Problemlösung – sie simuliert intelligentes Verhalten. „Starke KI“ stellt hingegen eigene Regeln auf, sucht also selbständig zu lösende Probleme und hierzu passende Lösungsverfahren – sie entwickelt sich aus eigenem Antrieb fort. Nur diese „starke KI“, die Manifestation der Idee eines lebendigen, selbständig denkenden Etwas, gibt es (noch) nicht. Datenverarbeitung mithilfe von Algorithmen oder auch künstlichen neuronalen Netzen, die der effizienteren Lösungsfindung und damit Kosteneinsparung dienen soll, fällt unter „schwache KI“ – genauso wie manche Funktionen der für jedermann verfügbaren Programme Microsoft Word und Excel.
Welcher Use Case ist sinnvoll?
Das Ziel muss im auf Kundenvertrauen basierenden Geschäft eine sinnvolle Verwendung sein. Sie muss sinnvoll für den Kunden und gleichzeitig sinnvoll für die Bank sein. Sinnvoll meint dabei insbesondere, dass die Kundendaten auch stets zu seinem Vorteil verarbeitet werden. Eine Technologie, die zum Nachteil der Kunden eingesetzt wird, ist nicht sinnvoll.
Das soll nicht bedeuten, dass die Bank Verfahren zur Vereinfachung und Beschleunigung der aufwändigen Erkennung von Geldwäsche, Betrug und Terrorismusfinanzierung nicht als sinnvoll ansehen darf, wenn der Kunde hierin selbst nicht involviert oder eben Gegenstand der für ihn nachteiligen Feststellung ist. Eine Bank, die ihren gesetzlichen, gemeinwohlorientierten Pflichten nicht nachkommt, schadet auch ihren redlichen Kunden.
Nichts geht ohne personenbezogene Daten
Banken benötigen für künstlich intelligente Kundenangebote Daten, vor allem Kundendaten und damit personenbezogene Daten. Kundenvertrauen setzt die Einhaltung der Vorgaben der Datenschutzgrundverordnung (DSGVO) voraus.
Was sind personenbezogene Daten?
„Personenbezogene Daten“ sind gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche (betroffene) Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Sollen personenbezogene Daten die Grundlage für (teil-)automatisierte Bank-Services sein, ist Vorsicht geboten: Diese Daten zu verarbeiten, insbesondere mit anderen personenbezogenen Daten zwecks eigener Produkt(weiter)entwicklung und Vermarktung zu vermengen, ist zunächst verboten. Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage und ist nur rechtmäßig, wenn mindestens eine der in Art. 6 Abs. 1 S. 1 DSGVO genannten Bedingungen erfüllt ist.
Mögliche Lockerung des Pflichtenkorsetts der DSGVO durch Pseudonymisierung
Es sollte vorher überlegt werden, ob die wertvollen personenbezogenen Daten pseudonymisiert werden können. Das bedeutet, dass die Daten von der betroffenen Person losgelöst werden, ohne ihren wertvollen Gehalt zu verlieren:
„Pseudonymisierung“ meint nach Art. 4 Nr. 5 DSGVO die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
Da die Personenverbindung wieder hergestellt werden kann, entfallen die Pflichten nach der DSGVO nicht, sondern werden ggf. abgeschwächt über Art. 11 DSGVO.
Entpflichtung durch Anonymisierung
Soll die Anwendung der DSGVO ausgeschlossen werden, müssen die personenbezogenen Daten anonymisiert werden. Erwägungsgrund 26 DSGVO definiert anonyme Informationen als solche Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Was bedeutet das für die Praxis?
Bevor mit personenbezogenen Daten gearbeitet wird, sollte zunächst umfassend geprüft werden, ob die anonymisierte Form genügt, um das gewünschte Ziel zu erreichen. Ist diese Frage zu verneinen, wird sodann auf der nächsten Stufe geprüft, ob pseudonymisierte Daten dem Ziel dienlich sind. Diese Vorgehensweise kann vorausschauend um zahlreiche, kostenträchtige Pflichten und Risiken entlasten, die sich aus der DSGVO ergeben.
Ergibt diese gestufte Prüfung, dass auf personenbezogene Daten in ihrer Reinform nicht verzichtet werden kann, muss sichergestellt werden, dass die Anforderungen der DSGVO erfüllt werden können und erfüllt werden. Fachkundige Beratung ist hier unverzichtbar und der beste Schutz vor hohen Geldbußen. Bei Verstößen können gemäß Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 20 Millionen EUR oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Je nachdem, welcher Betrag höher ist.
Können öffentlich zugängliche personenbezogene Daten genutzt werden?
Praktisch möglich ist es natürlich, die von der betroffenen Person selbst veröffentlichten personenbezogenen Daten u.a. auf Plattformen wie Google, Facebook, Instagram und LinkedIn zu erheben, diese zusammenzuführen und zu nutzen. Hier gelten die Informationspflichten des Art. 14 DSGVO gegenüber der betroffenen Person, insbesondere auch dahingehend, welcher öffentlich zugänglichen Quelle (Art. 14 Abs. 2 lit. f DSGVO) ihre personenbezogenen Daten entnommen wurden. Die Direkterhebung beim (potentiellen) Kunden ist also nicht erforderlich, um in den Anwendungsbereich der DSGVO zu gelangen.
Viele Fragen sind hier jedoch noch ungeklärt, insbesondere im Hinblick auf die Rechtsgrundlage für die Verarbeitung. Soll sich auf ein berechtigtes Interesse gestützt werden, ist dieses dem Betroffenen jedenfalls dezidiert mitzuteilen, vgl. Art. 14 Abs. 2 lit. b DSGVO. Nicht vergessen werden sollte allerdings, dass Anbietern wie Google und Facebook Täuschung der Nutzer vorgeworfen wird. Dieses ebenfalls öffentlich verfügbare Wissen könnte ein berechtigtes Interesse der Bank ausschließen. Ein berechtigtes Interesse kann, nach hiesiger Ansicht, nicht an der Verarbeitung von Dritten rechtswidrig und damit unberechtigt erlangten Daten bestehen. Eine solche Schutzlücke würde spätestens durch die Gerichte geschlossen.
Die Autorin ist Referentin bei der Konferenz Big Data & Künstliche Intelligenz. Informationen zu der Tagung finden Sie hier.
Der vorliegende Beitrag erscheint in einer Langfassung in Rethinking Finance 2/2019
