Tracking: Notwendiges Übel oder übler Datenschutzverstoß?
Zahlreiche Datenschutzbeauftragte der Länder und des Bundes haben vor einigen Tagen Unternehmen und auch öffentliche Stellen aufgefordert, „Google...
Smartphone-Banken sind vor allem praktisch: Man kann meist bei allen Banken Geld abheben, Transaktionen problemlos von unterwegs aus erledigen, bekommt sofort Push-Nachrichten bei jeder Abbuchung und häufig zahlt man auch weniger Kontoführungsgebühren als bei klassischen Banken. Andererseits mag man sich auch fragen: Sind mein Geld und meine Daten hier sicher? Oder bezahle ich statt mit Geld mal wieder mit meinen Daten?
Viele Fin-Techs verwalten erst wenige Tausend Geschäftskonten. Denn viele Unternehmer haben Vorbehalte gegenüber den Smartphone-Banken: 25 Prozent der Firmenchefs lehnen Fintechs laut einer Studie von 2018 kategorisch ab; 6 von 10 trauen ihnen nicht und fast genauso viele sehen einfach keinen Mehrwert in ihren Diensten, die den Aufwand für einen Kontowechsel rechtfertigen würden.
Dabei liegt zumindest letzteres eigentlich auf der Hand: Viele bieten nicht nur Kontoführung, sondern auch ausgereifte Buchhaltungstools: Einfach Beleg einscannen bzw. abfotografieren und in der App dem Kontoposten elektronisch zuordnen. Die App merkt sich ähnliche Vorgänge und füllt Felder künftig bereits im Voraus aus. Außerdem kann man die Ausgabe mittels Tags verschlagworten, sodass eine Kategorisierung einfach erfolgen kann. Das Programm sortiert so am Monats- oder Quartalsende die Einnahmen und Ausgaben, erstellt Rechnungen, errechnet Steuervorauszahlungen und legt auf Wunsch auch Beträge beiseite. Diese niedrigschwellige Lösung erleichtert vielen kleinen und mittelständischen Unternehmen die Ablage erheblich und entlastet sie deutlich.
Das automatische Kategorisieren und Durchforsten der Bankdaten lässt aber – gerade in Deutschland – natürlich auch Datenschutzbedenken aufkommen: Wenn das Fintech meine Daten für mich vorsortieren kann, kann es diese Daten ja auch gleich behalten und ein Zahlungsprofil von mir bzw. meiner Firma damit erstellen… Transparent gehen nämlich die wenigsten Fintechs mit ihrer Datennutzung um.
Die Berliner Smartphone-Bank N26 ist wohl das beste Beispiel für ein erfolgreiches Fintech: Weit über 3 Millionen Kunden hat die Smartphone-Bank heute – erst fünf Jahre nach ihrer Gründung. In fast allen EU-Staaten ist N26 aktiv, die US-Expansion läuft gerade an. Die Firma gilt inzwischen als wertvollstes deutsches Start-Up, und ist mit einer Unternehmensbewertung von 3,5 Milliarden US-Dollar inzwischen auch weltweit in die Top Ten der Fintechs aufgestiegen.
Scheinbar ist es eine ungeschriebene Regel, dass neue, aufstrebende Unternehmen es mit dem Datenschutz nicht so ernst nehmen. Aber auch diverse Datenschutz-Skandale in der jüngsten Vergangenheit können dem steilen Aufstieg von N26 nichts anhaben. So hat die Berliner Datenschutzbeauftragte erst kürzlich ein DSGVO-Bußgeld in Höhe von 50.000 Euro gegen N26 verhängt, weil die Daten einiger ehemaliger Kunden auf einer Art „schwarzen Liste“ gespeichert wurden. Die Betroffenen konnten dadurch keine neuen Konten eröffnen; dies ist jedoch nur für Kunden zulässig, die unter Geldwäscheverdacht stehen. Inzwischen ist diese Praxis geändert und N26 wehrt sich gegen das Bußgeld.
Während man an dieser Stelle also das Thema Geldwäsche womöglich zu sensibel anging, so mahnte die Finanzaufsicht Bafin an anderer Stelle genau Maßnahmen gegen Geldwäsche und Terrorfinanzierung an. In der Folge musste N26 nun einige Bestandskunden neu identifizieren sowie mehr Arbeitsabläufe schriftlich festhalten und Rückstände bei der Kontrolle verdächtiger Transaktionen aufarbeiten, um verdächtige Transaktionen zu unterbinden. Kritiker werfen N26 zudem vor, dass der Kundenservice und die Prozesse der Bank nicht mit dem schnellen Wachstum mithalten kann. N26 gelobte umgehend Besserung und die Einstellung neuer Mitarbeiter. Denn N26 will weiter wachsen und „in den kommenden Jahren mehr als 50 Millionen Kunden erreichen“, so Gründer Valentin Stalf.
Viele Nutzer greifen auf Smartphone-Konten von Fintechs zur Zeit wohl als Zeitkonten zurück. Leider veröffentlichen nur wenige Institute Zahlen, wie viele Kunden ihr Fintech-Konto wirklich als Gehaltskonto nutzen. Als Zweitkonto ist es sicherlich gut zum „Experimentieren“, wie die Zukunft des Banking aussieht. In einigen Jahren wird sich die Szene auch stabilisieren und etablieren. Bis dahin sollte man einfach ein wachsames Auge auf sein Fintech-Konto haben – oder mit der Eröffnung noch etwas warten.
Immerhin: Bei den Fintechs war die Zwei-Faktor-Authentifizierung von vorn herein Standard. Nun wird sie es auch bei den klassischen Geldhäusern. Grund ist die EU-Zahlungsdiensterichtlinie PSD2 (Payment Services Directive 2), die ab 14. September 2019 greift. Sie macht das Online-Banking sicherer, da man neben üblichen Merkmalen wie Benutzername und Passwort oder Kreditkartennummer, Ablaufdatum und Prüfziffer („Faktor 1“) ein zweiter Faktor abgefragt werden muss, um denjenigen, der online eine Zahlung in Auftrag gibt, auch sicher zu authentifizieren und so Betrug zu verhindern. Dafür müssen zwei von drei Elementen aus diesen drei Kategorien in den Bezahlvorgang eingebunden sein:
Um die korrekte Authentifizierung müssen sich die Zahlungsdienstleister kümmern, nicht die Online-Händler. Sie können erstmal nur abwarten, bis sich die Zahlungsdienstleister melden; bei einigen werden auch die Systeme angepasst werden müssen.
Immerhin sind aber nicht alle Zahlungsarten von der PSD2 betroffen:
Ein Passwort lässt sich leicht erbeuten, ein Gerät auch. Zwei Geräte werden schon schwieriger, und Wissens- und Inhärenz-Merkmale sind mitunter unmöglich zu erbeuten. Gerade angesichts einer wachsenden Anzahl von Mobilgeräten, die verloren gehen oder gestohlen werden, bedeutet die Zwei-Faktor-Authentifizierung eine entscheidende Verbesserung der Sicherheit. Dabei müssen sich auch, wie bereits erwähnt, eigentlich nur die Bankkunden umstellen, die noch TAN-Listen fürs Banking benutzen. Diese sind besonders unsicher, weil sie mittels eines Algorithmus erzeugt wurden. Gewiefte Hacker können so von einer TAN ggf. auch auf alle anderen TANs schließen. Vielleicht haben auch Sie schon Post von Ihrer Bank bekommen. Wie sehen also die Alternativen zur TAN-Liste aus?
Die Zwei-Faktor-Authentifizierung macht Online-Banking definitiv sicherer, aber dennoch sollte man mit offenen Augen durch die Welt gehen: 100 Prozent Sicherheit gibt es nie, ein Restrisiko besteht immer.
Zahlreiche Datenschutzbeauftragte der Länder und des Bundes haben vor einigen Tagen Unternehmen und auch öffentliche Stellen aufgefordert, „Google...
Auf dieses Thema hat mich die jüngste Regierungskrise in Österreich gebracht. Deren Auslöser war ein heimlich auf Ibiza aufgenommenes Video des...
Seit Einführung der DSGVO sind inzwischen fast sechs Jahre vergangen. Hier und da wird noch über sie geklagt, aber die meisten haben sich wohl mit...