Deutsche Verbraucher wollen mehr Datenschutz, nutzen aber kostenlose Digitaldienste, deren eigentliche Ware Kundendaten sind. Dennoch – oder gerade deswegen – sollten Banken die neue EU-Datenschutz-Grundverordnung nicht nur als Pflichtprogramm sehen, sondern als Chance, mit Kunden ein Daten-Übereinkommen zu treffen.
Deutschland ist Datenschutzland. Das zeigen die schon heute vergleichsweise umfangreiche Gesetzgebung, die starke Rolle der Landes- und Bundesdatenschutzbeauftragten und das öffentliche Niveau der Datenschutz-Debatte. Und das bestätigen Umfragen, nach denen über 90 Prozent der Deutschen das Thema „sehr wichtig“ oder „eher wichtig“ finden.
Das „Privacy Paradox“: Datenschutzfans pflegen Datenfreizügigkeit
Wo genau der persönliche Datenschutz anfängt, scheint dabei jeder Bürger individuell zu definieren. Denn immerhin rund 31 Millionen Deutsche sind mindestens einmal im Monat auf Facebook aktiv – obwohl nur 15 Prozent der Deutschen diesen Netzwerken mit Bezug auf ihre Daten trauen. Weitere Millionen nutzen kostenlose Cloud-Speicher wie Dropbox oder kostenlose E-Mail-Angebote von Google, GMX und Co.
Natürlich sind diese Dienste dabei nicht wirklich umsonst: Die kostenlose Nutzung wird erkauft durch das Akzeptieren von Werbung oder das Durchleuchten der eigenen Vorlieben. Und letzteres geschieht oft, um ersteres zielgenauer zu gestalten und die Abschlusszahlen zu erhöhen. Wie janusköpfig das Verhalten ist, offenbaren Umfragen: Einerseits wären laut Studien des Verbraucherzentrale Bundesverbands über fünfzig Prozent der Deutschen bereit, sich absolute Daten-Diskretion und Werbefreiheit durch Zahlung monatlicher Beträge an ihre Dienstleister zu erkaufen. Andererseits wies die Telekom schon vor Jahren auf ein „Privacy Paradox“ hin: Fragt man, ob Datenschutz wichtig ist, kommt ein umfassendes „Ja“, aber für wenige Euro würden viele ihre Daten zur Verfügung stellen.
Dealen mit Daten: Beim Konto hört der Spaß auf
So fließend die Definition der wirklich schützenswerten Daten sein mag: Beim Geld – oder genauer: bei den eigenen Finanzdaten – hört der Spaß für die allermeisten auf. Denn allein aus dem Kontoauszug lässt sich beispielsweise ein detailliertes Profil ableiten: Der Lieblings-Supermarkt, die E-Commerce-Neigung, Besitz und Nutzung eines PKW, Wohn- und Lebensverhältnisse und vieles mehr. Und im Gegensatz zum Social Media-Profil, das sich aktiv schönfärben oder sogar mit Falschangaben manipulieren lässt, spiegelt ein solcher Auszug die tatsächlichen Gegebenheiten sehr wahrheitsgetreu wider.
Der besondere Wunsch der Kunden nach Schutz ihrer finanziellen Daten vor unbefugtem Zugriff ist für Banken nicht nur eine Verpflichtung, sondern auch eine Chance, denn ihnen vertrauen die Kunden diese wertvollen Daten exklusiv an. Beides sollten sie vor Augen haben, wenn sie sich den Anforderungen der neuen, ab 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO) aktuell stellen.
Neue Auflagen: Nicht viele, dafür hoch
Zunächst im Vordergrund steht das klare Pflichtprogramm, das die Banken absolvieren müssen, um überhaupt rechtskonform zu arbeiten. Grundsätzlich neu wird für Banken aus der DSGVO dabei nur wenig, auch wenn der Druck durch die dramatisch erhöhten Bußgelder steigt. Aber bei vielen der Häuser, die wir kennen, gelten bereits heute scharfe Regeln im Umgang mit Daten. Auch Datenschutz-Folgeabschätzungen werden in vielen Banken, wenn nicht dem Namen dann doch dem Sinne nach, bereits vorgenommen. Dennoch müssen Banken natürlich weiter daran arbeiten, die neu zu gewinnenden Kundendaten zu minimieren, die anvertrauten Kundendaten zu sichern und nicht mehr zu führende Daten zu löschen.
Bei dieser Pflicht sehen sich die Banken einer Vielzahl an Herausforderungen gegenüber: Nicht nur, dass kaum noch Zeit bis zum „Scharfschalten“ der DSGVO bleibt und Banken parallel eine Vielzahl regulatorischer Projekte – von AnaCredit über PSD2 bis zu SREP – bewältigen müssen. Banken müssen zudem einen besonders großen – und wie oben geschildert: sensiblen – Datenschatz bewachen. Und das oft mit einer komplexen, über Jahrzehnte gewachsenen IT, in der viele technische und sicherheitsrelevante Altlasten mitgeführt werden. Diese IT erschwert beispielsweise Bemühungen, eine „Privacy by Design“ in sämtlichen Angeboten und Diensten zu implementieren.
Die Kür: Aufräumen, umdenken, proaktiv werden
Daneben gibt es aber durchaus auch Kür-Elemente: Gedanken und Handlungen, die über das rein passive Sicherstellen der Rechtskonformität hinausgehen und die helfen, gewissermaßen einen gemeinsamen „Daten-Pakt“ mit den Kunden zu schließen.
Denn mehr als zuvor zwingen die gesetzlich geforderten Grundsätze der Datensparsamkeit und der strengen Zweckbindung Banken zu gezielter Datenverarbeitung. Das Auftürmen von Datenhaufen in der Hoffnung, darin durch Big Data-Ansätze irgendein vertriebliches Goldnugget zu finden, ist so nicht mehr möglich. Der Schaden dadurch hält sich aber in Grenzen und das nicht nur, weil vorhandene Datenaltlasten und oftmals bereits bis zur Kapazitätsgrenze arbeitende CRM-Abteilungen hier ohnehin die Möglichkeiten mindern. Vor allem lässt sich das, was Kunden von ihrer Bank erwarten – gute Leistungen rund ums Sparen, Anlegen, Leihen, Ausgeben – auch schon mit analytisch einfacheren Mitteln abbilden. Banken müssen sich also zwingen, genau zu fragen, welche Daten sie benötigen. Und nicht, was man mit den Unmengen an hereintrudelnden Daten alles anfangen könnte.
Auf Basis dieser Entscheidung können Banken die Aufmerksamkeit nutzen, die das Thema Datenschutz grundsätzlich und insbesondere durch die DSGVO-Einführung genießt: für Transparenz gegenüber den Kunden. Denn wenn sich die Geldhäuser trauen, ihre Kunden proaktiv über ihre Datenverwendung und die konkreten Mehrwerte, die sich daraus ergeben könnten, zu informieren, werden die Kunden diese faire Offenheit zurückgeben.
Auch wenn Datenschutz allein nicht „sexy“ macht – der gute Leumund, den sich eine Bank durch eine faire und vor allem transparente Datenpolitik erwirbt, macht sie vertrauenswürdig. Und das zählt im Datenschutzland Deutschland allemal.
Dr. Michael Seibold ist Co-Autor des Beitrags. Er ist Manager bei Berg Lund & Company (BLC) und berät Großbanken, Regionalbanken, Börsen und Investmentgesellschaften. Thematisch befasst er sich mit der Beratung im Privatkundengeschäft über CSM, Smart Data und Digitalisierung. Passend dazu wurde er nach Forschung in London, Paris und Wales zum Thema „Economic Intelligence“ promoviert. Bei Berg Lund & Company verantwortet er zudem den BLC Blog.