psd2

PSD2 und XS2A: Kontodaten in Gefahr?

von Maik Klotz / vom 30. November 2018

Vor ziemlich genau einem Jahr ging ein Gespenst durch Deutschland. Die Kontodaten der Menschen seien nicht mehr sicher. Durch die inzwischen in Kraft getretene PSD2, und damit einhergehend der Möglichkeit für Drittanbieter auf Kontoinformationen zugreifen zu können (Access to Account / XS2A), seien die Kontodaten in höchster Gefahr. Die Frage, ob Kontodaten in Gefahr sind, konnte damals schon mit Nein beantwortet werden. Denn die in “höchster Gefahr” schwebenden Daten sind vor allem durch die “letzte Bastion”, dem Nutzer geschützt. Kontoinformationsdaten müssen Drittanbietern explizit freigegeben werden. Für diese Freigabe ist ein Login in Online-Banking erforderlich, was für den Kunden ein sehr bewusster Vorgang ist. Ein Vorgang der bewusster sein dürfte, als das setzen eines Häkchens im Kleingedruckten bei zum Beispiel einer Bonitätsabfragen.

Auch heute, einem Jahr später, wird die Frage wie böse die PSD2 und XS2A (Access to Account), mit den Grundfunktionen „Abfrage von Konteninformationen“ (KID) sowie „Initiierung von Zahlungen“ (ZAD), ist, diskutiert. Wenn man bedenkt, dass die PSD2 eine EU-Initiative mit deutschem Ursprung ist, sollte man kein Schreckensszenario aufbauen, sondern ernsthaft darüber nachdenken, welche positiven Möglichkeiten die PSD2 mit sich bringt. Vor allem vor dem Hintergrund der aktuellen Kritik an Auskunfteien. Auch wenn man bedenkt, wer inzwischen alles Daten sammelt, der Vorgang da nicht sonderlich transparent ist und der Konsument der Datenerfassung nicht mal eben widersprechen kann, muss die Diskussion um die PSD2 / XS2A anders geführt werden: wie kann die PSD2 / XS2A in Zukunft dabei helfen Auskunftsinteressierten alle wichtigen Informationen zu geben, aber für den Kunden trotzdem Transparenz zu schaffen.

Eine Meinung bilden

Fernab der PSD2: wer meine Daten hat

Die gute Nachricht: es liegt kein Haftbefehl bei Interpol von mir vor. Die weniger gute Nachricht ist die Erkenntnis darüber, welche und wie viele Daten von mir in der Weltgeschichte rumgeistern. Und wer nun reflexhaft an Google oder Facebook denkt sei eines Besseren belehrt, denn gesammelt wird eben nicht nur bei Facebook und Co., sondern bei diversen Stellen. Mit dem Unterschied, dass diese Stellen mir keine Dienste wie Google Mail, Google Docs, Facebook oder sonst was Schickes bieten. Stattdessen kommt die Datensammlung mancher Auskunfteien den Konsumenten immer wieder in die Quere. Zum Beispiel dann, wenn Konsumentenkredit verweigert wird, weil ein nicht nachvollziehbarer Algorithmus sagt jemand sei nicht kreditwürdig.

Ich weiß was Du letzten Sommer getan hast

Die Webseite “Datenschmutz” bietet einen Generator zum Generieren von Auskunftsersuchen für die unterschiedlichsten Behörden. Je nach dem was man dort auswählt werden einige Dutzend Briefe erzeugt. Nach einigen Tagen kommt dann Post: vom Landeskriminalamt, Interpol oder dem Verfassungsschutz. Pro Tipp: Familienmitglieder einweihen. Es könnte nämlich zu Irritationen kommen, wenn man zum Beispiel Post vom Verfassungsschutz bekommt.

Nach dutzenden Antworten unterschiedlichster Behörden wächst das Gefühl, das nicht Google, Facebook und Co ein großes Interesse an meinen Daten haben. Im Gegenteil. Ob nun staatliche Behörde oder private Auskunftei: man kennt mich gut. Für mich als Konsument ist es zwar schön zu wissen, wenn der Verfassungsschutz mich nicht beobachtet (wobei es schon im umgekehrten Fall irgendwie komisch ist, einer zu beobachtenden Person das dann auch mitzuteilen), aber “nicht beobachten” heißt nicht, dass keine Daten vorliegen.

Private und behördlichen Datenbanken

Bei den privaten Datenbanken, den klassischen Scoring-Datenbanken wie SCHUFA, Infoscore oder CRIF, sieht das noch einmal anders aus.

Zur Erinnerung: Ziel dieser Datenbanken ist im Grunde das Erstellen eines (Kredit)Scores um eine Aussage darüber treffen zu können wie wahrscheinlich es ist, dass eine Person seiner Zahlungsverpflichtung nachkommt. Diese Informationen sind für Unternehmen natürlich essentiell, denn so können diese sich wirksam gegen Zahlungsausfälle schützen. Im Grunde ist dagegen nichts einzuwenden, wäre da nicht die Frage nach der Datenhoheit und Transparenz. Denn Konsumenten können zwar eine Selbstauskunft anfordern und die Löschung von bestimmten Datensätzen “beantragen”, aber es gibt nicht die Möglichkeit eines Self-Service. Weder die Selbstauskunft ist sonderlich einfach gestaltet, noch gibt es die einfache Möglichkeit online sich seine Datensätze anzuschauen oder gar die Option bzw. Hinweis darauf einen Score in irgendeiner Art und Weise zu verbessern. Der Algorithmus der Scoring-Anbieter ist am Ende eine Blackbox und hilft nicht dabei die Kreditwürdigkeit (oder Zahlungswilligkeit) zu verbessern.

Ein Beispiel: Wenn man sich mit Fintechs und dieser Branche beschäftigt, probiert man viel aus. So habe ich inzwischen einige Girokonten, Debit Karten, etc. In der Nutzung sind aber nur zwei Konten, eine Kreditkarte und eine Debit Karte. Trotzdem wird mein Score mit jedem neuen Girokonto schlechter – obwohl es keinen Dispositionskredit gibt oder in der Vergangenheit irgendwelche Verbindlichkeiten offenblieben (mit Ausnahme des Knöllchens in der Schweiz, sorry!). Kurzum: irgendein Algorithmus macht mich für einen, sagen wir, B-Kunden. Welche Faktoren da eine Rolle spielen sagt mir natürlich keiner und so kann es passieren, das mir beispielsweise ein Rechnungskauf immer wieder mal verweigert wird oder mir meine Sparkasse sagt wir sollten mal über meine Bonität reden. Natürlich kann ich mir denken, welcher Missbrauch möglich wäre, aber ich bin ja mehr als die Anzahl der Girokonten.

Durch die fehlende Transparenz, der Möglichkeit seinen Score selbst zu beeinflussen kann es passieren, dass es zu einem verzerrten Bild einer Person kommt. Zu dem alle Datenbanken ein Problem haben: sie bilden niemals die Realität ab, sondern im Grunde handelt es sich um eine Leichenschau.

Ich weiß was Du nächsten Sommer tun wirst

In einer ganz anderen Liga spielen Tech-Giants wie Facebook oder Google, deren Business-Modell und DNA darauf ausgelegt ist, Daten zu sammeln um so zielgerichtet Werbung zu schalten. Hier geht es darum eine Aussage darüber treffen zu können, wie sich ein Kunde in Zukunft verhalten wird um so zielgerichtet Werbung zu schalten.

Was Facebook sammelt

Dazu sammelt Facebook ca. 29.000 sogenannte Social Indicators. 98 Prozent davon basieren auf dem Nutzerverhalten auf Facebook. Die Menge der Daten die gesammelt werden betragen täglich 600 Terabyte. Das entspricht 75.000 Kopien des Films „Krieg und Frieden“ und der ist mit über 6 Stunden Laufzeit recht lang. Diese Fülle an Daten sammelt Facebook jeden Tag. Immer wenn der Nutzer Daten in das Frontend (App, Webseite) schreibt, werden im Hintergrund Daten ins Backend geschrieben. Es werden nicht nur Daten gesammelt, sondern auch sogenannte Shadow Profiles angelegt: Profile die Daten enthalten, die ein Nutzer Facebook nie selbst an Facebook gab, wie etwa alternative E-Mail-Adressen. Facebook kennt Dank des „digital biometric template“ die Gesichter der Nutzer – auch die von Personen die gar nicht bei Facebook sind. Facebook sammelt auch gelöschte Beiträge, gelöschte Bilder oder gelöschte Kommentare. Auch Tastatureingaben und Mausbewegungen werden erfasst. Kurzum: alles was man erfassen kann, wird auch erfasst. Datenskandal hin oder her, so sind die Spielregeln dort.

Was Google sammelt

Google ist da nicht anders. Dazu muss man sich nur das eigene Suchverhalten anschauen. Google weiß auf welchen Seiten eine Person war, welche Geräte sie nutzt, wer sie ist und wo sie war. Und das völlig transparent. Das kann man sogar selbst nachschauen:

Der Unterschied zwischen den jeweiligen Datenbanken ist einfach:

  • Datenbanken von Google, Facebook und Co: Diese dienen dazu den Kunden zu kennen und Werbung zu schalten. Der Kunde hat davon bessere Werbung und darf im Gegenzug die ganzen Dienste kostenlos nutzen
  • Auskunfteien, Scoring-Datenbanken: dienen dazu im weitesten Sinne Unternehmen vor ihren Kunden zu schützen. In erster Linie vor schwarzen Schafen die einer Zahlung nicht nachkommen werden. 
  • Behördliche Datenbanken: Dienen im Zweifel dem Wohle aller. Im Grunde geht es darum die Gesellschaft zu schützen und zu verwalten. 

Chance PSD2: Die Bank als Daten-Dashboard?

Wir brauchen Daten. Velleicht sogar Datenkraken. Vor allem aber brauchen wir Transparenz und eine Kundenfokussierung. Am Ende geht es um die Identität der Kunden. Soziale Netzwerke sind freiwillig. Behördliche Datenbanken sind einfach da. Aber gerade bei den Scoring-Datenbanken muss die Frage gestellt werden, wie zeitgemäß diese unterwegs sind. 

PSD2 als Chance

PSD2 sei Dank, könnten sich Banken am Ende als weißer Ritter positionieren. Die Frage ist nur wie sie das Thema XS2A gestalten und wie transparent es für den Nutzer umgesetzt wird. Ein Traum wäre es, wenn im Online-Banking zugelassene Drittanbieter mit einem Klick auch wieder deaktivieren werden könnten. Dann würde die Hausbank zum Dreh und Angelpunkt von Daten – mit dem Unterschied, dass diese Daten leben, da jeden Tag neue Umsätze dazu kommen und der Kunde die Hoheit darüber behält welche Datenobjekte welchem Drittanbieter zugänglich gemacht werden. Wenn dann die Bank noch einen Finanz-Score ausgeben würde, dann müsste sich die ein oder andere Scoring-Datenbank überlegen wie tragfähig eigentlich das Business-Modell ist.

Dann würde die Hausbank zum Dreh und Angelpunkt von Daten – mit dem Unterschied, dass diese Daten leben

Facebook & Co werden weiter fleißig Daten sammeln. Und auch Behörden werden und können damit nicht aufhören. Aber es wird Bereiche geben, wo XS2A Drittanbietern das Bedürfnis stillt zu wissen mit was für einem Nutzer bzw. Kunde es man zu tun hat, während gleichzeitig selbiger die Hoheit über seine Daten behält. 


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Hallo Fremde(r)!

Mit dem Newsletter von Payment & Banking bist Du immer auf dem neusten Stand! Interessiert? Dann hier schnell anmelden. Kein Spam. Versprochen.