Immer mehr Banken bieten den Service der sogenannten Fotoüberweisung an. Hierbei kann der Kontoinhaber mit dem Smartphone ein Foto von einer Rechnung machen, die er bezahlen möchte. Über die entsprechende Banking-App wird diese Rechnung dann sofort beglichen.
Schnell stellt sich die Frage, welche Daten bei der Fotoüberweisung wo verarbeitet werden und wie dies datenschutzrechtlich zu beurteilen ist. Die Antworten erfahren Sie hier.
Wie funktioniert eine Fotoüberweisung?
Wenn die entsprechende Bank den Service der Fotoüberweisung anbietet, kann der Kunde ganz bequem über die entsprechende App auf dem Smartphone ein Foto der zu bezahlenden Rechnung machen. Aus diesem Foto entnimmt eine Künstliche Intelligenz die relevanten Daten. Diese werden dann an der passenden Stelle auf dem Überweisungsträger eingefügt. Der Kunde bekommt von diesem Vorgang nicht viel mit, sondern sieht nur ein paar Sekunden nach dem Foto die fertige Überweisung. Diese kann er kurz kontrollieren und dann wie jede manuelle Überweisung mit dem entsprechenden TAN-Verfahren freigeben.
Wo findet die Verarbeitung der Fotoüberweisung statt?
Sieht man sich eine typische Rechnung an, fällt schnell auf, dass sich hier viele sensible und personenbezogene Daten finden lassen: Liefer- und Rechnungsadresse, andere Kontaktdaten wie Telefonnummer oder Email und bestellte Produkte, die gegebenenfalls auch Rückschlüsse auf Vorlieben zulassen. Fraglich ist, wo die Verarbeitung dieser Daten stattfindet. In Frage käme eine Verarbeitung auf dem eigenen Endgerät, auf den Servern der Bank oder auf den Servern eines Dritten.
In der Datenschutzerklärung oder den AGB der Banken, die die Fotoüberweisung anbieten, findet sich meist der Hinweis, dass die Verarbeitung über einen Dritten als Auftragsverarbeiter (Art. 28 DSGVO) stattfindet und die Daten aus den Fotos auch auf deren Servern verarbeitet und auch zeitweise gespeichert werden. In dieses Vorgehen muss der Kunde einwilligen, bevor er den Service der Fotoüberweisung nutzen kann.
Damit ist in den meisten Fällen aber noch nicht geklärt, wo der Server des Auftragsverarbeiters, der die Künstliche Intelligenz bereitstellt, steht. Die überwiegende Anzahl aller Banken nutzen einen Anbieter, der Server in München als Verarbeitungsort angibt. Die Speicherdauer variiert zwischen den Banken, liegt aber meist bei 28 Tagen. Unter anderem soll mit diesen Daten in der Zeit der Speicherdauer auch ein Training der Künstlichen Intelligenz stattfinden.
Datenschutzrechtliche Kritik
Die Verarbeitung der Rechnungsfotos durch den Drittanbieter geht angesichts der Speicherdauer und der Tatsache, dass die Daten zu Trainingszwecken genutzt werden, weit über das bloße Auslesen der relevanten Daten hinaus. Kunden sollten sich dessen bewusst sein und abgleichen, welche Server die eigene Bank dafür benutzt.
Festzuhalten ist aber auch, dass die Banken in ihren Datenschutzerklärungen regelmäßig nur vage Aussagen darüber machen, dass die Verarbeitung „bei einem Dienstleister“ erfolge. Hier besteht hoher Nachbesserungsbedarf. Schließlich begründen die meisten Banken die Rechtmäßigkeit der Verarbeitung letztlich mit der Einwilligung des Kunden in diese vagen Angaben.
Letztlich bleibt die Fotoüberweisung ein datenintensives Unterfangen. Es bleibt die Frage offen, warum die Banken nicht schon im großen Stil datensparsamere Alternativen wie EPC-QR-Codes verwenden, bei denen der Kunde sich durch das Einscannen eines QR-Codes eine fertige Überweisung in der jeweiligen App anzeigen lassen kann.
Sie wünschen Beratung zu datenschutzrechtlichen Vorgängen in Ihrem Unternehmen? Unser Team an Experten hilft gerne weiter!