Finanz- und Forderungs-IT

Vorfahrt im elektronischen Datenverkehr

Von Karl-Heinz Möller · 2018

Eine Person bestellt mit ihrem Handy online Waren. Eine sichere Finanz- und Forderungs-IT wird zukünftig noch wichtiger
Persönliche Daten müssen beim Kauf geschützt bleiben

Geo-Targeting auf der Basis von Big Data und Data-Mining sowie die Personalisierung der Daten haben in der jüngsten Vergangenheit zu vielen Vorteilen aber auch erheblicher Kritik geführt. Mittlerweile setzt ein Umdenken ein. Es wird angestrebt, den Umfang der erhobenen Daten auf ein Minimum zu reduzieren. Besonders im Finanz-, Versicherungs- und Forderungsbereich sollen bis auf die wirklich relevanten Datensätze keine weiteren Informationen gesammelt, verarbeitet und gespeichert werden. Sicherheit und Schutz der Daten gehen vor.

Die neuen regulativen Anforderungen und strengen Regeln für den Schutz personenbezogener Daten sorgen im digitalisierten Finanz- und Versicherungsgeschäft für Handlungsdruck. Sichere Authentifizierungsmethoden spielen dabei eine entscheidende Rolle. Das klassische Pärchen Benutzername und Passwort hat damit weitgehend ausgedient. Es ist vor allem für Transaktionen und Tätigkeiten mit der sensiblen Ware Geld ein Auslaufmodell und wird von Mehrfaktoren-Authentizität abgelöst.  

Nicht nur die wachsende Zahl an Cyberangriffen, sondern auch der hingenommene „Missbrauch“ von persönlichen Daten hat zu Initiativen und konkreten Schritten zum Schutz personenbezogener Daten und zur Anpassung des gesetzlichen Rahmens an die zunehmenden kriminellen Aktivitäten geführt.

Elektronisches Bezahlen soll nicht nur sicherer, sondern auch bequemer werden

Als übergeordnete Regelung enthält die EU-Datenschutzgrundverordnung detaillierte Weisungen im Umgang mit personenbezogenen Daten durch Unternehmen und öffentliche Stellen. Zusätzlich wird im Rahmen der Zahlungsrichtlinie (PSD2) der Europäischen Kommission die Sicherheit im elektronischen Zahlungsverkehr erhöht. Eine weitreichende Konsequenz dieser Maßnahme ist das Ende des Monopols der Bankinstitute auf die Kontoinformationen der Kunden.

Insgesamt ist beabsichtigt, das elektronische Bezahlen bequemer und günstiger zu gestalten. Der Prozess eines florierenden digitalen Binnenmarktes soll dabei eher gefördert als gebremst werden. Dabei konzentriert sich die EU-DSGVO ganz besonders auf den Schutz der Intimsphäre und nicht nur auf den Datenschutz im Allgemeinen. Um Compliance-Richtlinien zu genügen und den Datenschutz in diesem Sinne umzusetzen, werden etliche Unternehmen ihren Anstrengungen auf eine höhere und weitreichendere Ebene heben. Sonst dürfte es kaum möglich sein, persönliche Daten im erforderlichen Maß zu kontrollieren und zu verarbeiten.

Auch künstliche Intelligenz könnte dem Schutz der persönlichen Daten dienen

Ob es Chancen gibt, dass der Gesetzgeber noch Spielräume zu eigener Ausgestaltung des Schutzes personensensible Daten gibt, ist nicht endgültig entschieden. Immerhin stecken in diesen Informationen enorme ökonomische Pfründe. Für viele Verlage beispielsweise gehören die Auswertung und Weitergabe zum Geschäftsmodell. So hoffen deren Marketing-Vorstände immer noch, dass es Auswege gibt, um weiterführende Erkenntnisse aus der Verknüpfung von internen und externen Daten zu schöpfen. 

Eine Lösung wäre ein verstärkter technischer Datenschutz, um den Zielkonflikt zwischen Persönlichkeitsschutz und digitalen Innovationen einerseits und Nutzerfreundlichkeit und Intimsphäre zu entspannen. Andere Möglichkeiten stecken in einer geschickt programmierten Verschleierung der Daten, die nur wenig Rückschlüsse auf die sich dahinter verbergenden Personen zuließen.

Auch der Einsatz künstlicher Intelligenz oder mit Kontroll-Algorithmen aufgebaute Programme sind denkbar. Die Phantasie der Juristen war in diesem Punkt wohl nicht ausschweifend. IT-Experten denken auch an eine mit Datenschutzregeln gefütterte und von Datenschützern kontrollierte Software, die über die Einhaltung von Persönlichkeitsrechten wacht. Ganz zu schweigen von den Chancen, die eine Blockchain-Technologie böte. Speicherereignisse könnten in Verzeichnissen vermerkt und auf verschiedene Beteiligte, Rechner und Unternehmen verteilt sein.

Finanz- und Forderungs-IT: Verantwortung im sensiblen Umgang mit Forderungen und Abtretungen wird aufgeteilt 

Ein großes Thema im Zahlungsverkehr ist der Umgang mit Forderungen. Werden ausstehende Forderungen übertragen, gelten besondere Regelungen zum Schutz dieser Informationen, je nach Vertragsgestaltung. Tritt ein Gläubiger seine Forderung in Form eines Verkaufs an ein Inkassounternehmen ab, handelt es sich datenschutzrechtlich um den Fall einer Funktionsübertragung. Ein Inkassobüro macht die Forderung im eigenen Namen geltend und handelt nicht weisungsgebunden. Bei diesem Verfahren wählt das Inkassounternehmen die Maßnahmen zur Beitreibung der Forderung eigenverantwortlich.  

Die Erhebung und Verarbeitung der Daten durch ein Inkassounternehmen erfolgt in diesem Fall für eigene Geschäftszwecke und unterliegt somit den Vorschriften des Bundesdatenschutzgesetzes (BDSG). Der Gläubiger kann sich bezüglich der Übermittlung der Daten an das Inkassounternehmen ebenfalls auf diese Regelung berufen. Die Begleichung der Forderung kann als berechtigtes Interesse des übermittelnden Unternehmens angesehen werden.

Die Vorschrift greift so lange, wie kein schutzwürdiges Interesse des Schuldners überwiegt. Vorsicht sei nach Ansicht von Rechtsexperten beispielsweise dann geboten, wenn das beauftragte Inkassounternehmen gleichzeitig als Auskunftei tätig ist. Das Inkassounternehmen darf die ihm zum Zwecke des Forderungseinzugs übermittelten Daten ausschließlich dafür verwenden. Die Informationen dürfen keinesfalls in die Tätigkeit als Auskunftei mit einfließen.

Bei Forderungseinzug liegt eine Datenverarbeitung im Auftrag vor. Zu den lediglich unterstützenden Tätigkeiten können die Erstellung von Mahnungen, Feststellung der aktuellen Anschrift oder Überwachung des Zahlungseingangs gehören.

Eine wichtige Neuerung für Kunden ist das Recht auf Löschung gemäß EU-DSGVO. Die betroffene Person kann von dem Verantwortlichen verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, vor allem, wenn die Daten für den vorgesehenen Zweck nicht mehr notwendig sind. Das klingt nach echtem Verbraucherschutz.

Missbrauch im Datenschutz

In der Praxis häufig verletzte Normen und Verstöße:

  • Es wurde kein Datenschutzbeauftragter in der vorgeschriebenen Form bestellt.

  • Bußgelder, wenn ein Auftrag im Rahmen der Auftragsdatenverarbeitung nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt wurde.

  • Unterlassen der Unterrichtung des Betroffenen bei der Nutzung von Daten für Werbezwecke und für den Adresshandel.

  • Verstöße bei der Erteilung einer Auskunft an den Betroffenen. Auskunft wird nicht richtig, vollständig oder rechtzeitig erteilt.

Array
(
    [micrositeID] => 25
    [micro_portalID] => 25
    [micro_name] => IT-Sicherheit
    [micro_image] => 4600
    [micro_user] => 1
    [micro_created] => 1462280263
    [micro_last_edit_user] => 1
    [micro_last_edit_date] => 1567518648
    [micro_cID] => 823
    [micro_status] => 1
    [micro_cache] => 0
    [deleted] => 0
)