Unter „Know Your Customer“ (KYC) versteht man das Prinzip, Kunden vor dem Abschluss eines Geschäfts erst einmal kennenzulernen, sowohl mit Blick auf die Erfüllung der Sorgfaltspflicht als auch zur Bekämpfung der Geldwäsche. Finanzeinrichtungen, die zur Einhaltung der KYC-Vorschriften verpflichtet sind, müssen oft viele personenbezogene Daten erfragen, bevor sie einen Kunden akzeptieren dürfen. Zugleich stellt die Datenschutz-Grundverordnung (DSGVO) strenge Anforderungen hinsichtlich der Speicherung von Kundendaten und des Umgangs damit. Dies wirft oft rechtliche und ethische Fragen auf. Vor allem dann, wenn zeitraubende Kundenprüfungsprozesse automatisiert werden und Techniken wie Künstliche Intelligenz (KI) und Maschinelles Lernen (ML) ins Spiel kommen. In diesem Artikel beleuchten wir die rechtlichen Fragen im Schnittfeld der DSGVO und der Sorgfaltspflicht.
Möchten Sie mehr über den Einsatz von Algorithmen bei Kundenprüfung und Monitoring wissen? Dann empfehlen wir Ihnen das Whitepaper „Wie können Sie sich Algorithmen in KYC-Prozessen zunutze machen?“, in dem die wichtigsten Aspekte von KI und ML beleuchtet werden.
Datenüberprüfung zur Erfüllung der Sorgfaltspflicht
Die allgemeine Sorgfaltspflicht ist im Geldwäschegesetz (GwG) verankert. Das Gesetz schreibt vor, dass Finanzdienstleister den berechtigten Interessen ihrer Kunden auf sorgfältige Weise Rechnung tragen müssen. Die Beratung muss immer im Interesse des Kunden erfolgen. Dies setzt eine gründliche Kundenprüfung voraus. Welche KYC-Daten überprüft werden müssen, damit die Sorgfaltspflicht erfüllt ist, hängt vom Gegenstand des Vertrags zwischen dem Finanzinstitut und dem Kunden ab. Im B2B-Markt spielt die Sorgfaltspflicht insbesondere bei Dienstleistungen im Bereich Finanzanlagen und Versicherungen eine wichtige Rolle, aber auch bei der Gewährung von Krediten an Kleinunternehmen kommt sie zunehmend zum Tragen.
“Bei den Finanzinstituten herrscht oft Unsicherheit über die Reichweite der Sorgfaltspflicht. Wenn ein Kunde beispielsweise einen Kredit für die Gründung eines Unternehmens und den Ankauf von Materialien für die Herstellung eines neuen Produkttyps beantragt, stellt sich die Frage nach dem voraussichtlichen Erfolg des neuen Unternehmens und Produkts. Kann der Kunde den Kredit in absehbarer Zeit zurückzahlen, auch wenn der Erfolg geringer ausfällt als erwartet? Muss/will eine Bank diese Fragen für sich selbst beantworten?”
DSGVO enthält viele unklare Normen
Die Einhaltung der Sorgfaltspflicht ist nicht immer ganz einfach, denn die DSGVO enthält viele unklare Normen, das heißt, dass die betroffenen Branchen und Organisationen mehr oder weniger selbst bestimmen dürfen, welche Datenschutzstrategie sie anwenden und wie sie die Maßnahmen ausgestalten. Diese Grauzone wird aber dank der Leitlinien der Datenschutzbehörde glücklicherweise zunehmend kleiner. Dennoch kann die Anwendung der Rechtsvorschriften in der täglichen Arbeitspraxis immer noch eine so schwierige Angelegenheit sein, dass Experten hinzugezogen werden müssen.
Sind die Datenschutzvorschriften verhältnismäßig?
Eine andere Bestimmung, die bei den Finanzinstituten oft für Kopfzerbrechen sorgt, lautet, dass die Maßnahmen, die zum Schutz der Privatsphäre der Kunden getroffen werden, verhältnismäßig sein müssen. Aber was gilt als (noch) verhältnismäßig? Eine klare Begriffsbestimmung fehlt. Hochsensible Daten müssen besonders gut geschützt werden.
Daten wie Name und Anschrift in Kombination mit Informationen über Bankguthaben oder der vollständigen Transaktionshistorie müssen nach hohen Standards geschützt werden, unter anderem durch Pseudonymisierung und Verschlüsselung. Bei weniger sensiblen Daten, etwa der Kombination eines Namens mit einem einzigen individuellen Zahlungsvorgang, reichen weniger strenge Sicherheitsmaßnahmen aus; was aber „weniger streng“ bedeutet, wird in der DSGVO nicht definiert. Je mehr Entscheidungen die Datenschutzbehörde in derartigen Fragen trifft, desto kleiner wird die rechtliche Grauzone. Es bestehen also noch viele Unklarheiten, auch bei Juristen. Fest steht, dass eine (Finanz-)Organisation gut nachweisen können muss, welche Maßnahmen aus welchem Grund ergriffen oder unterlassen wurden. Stellen Sie also sicher, dass Sie genau wissen, wer mit welchen Daten was getan hat. Das Thema ist im Übrigen so komplex, dass allgemeine juristische Kenntnisse in der Regel nicht ausreichen; es empfiehlt sich also, Experten hinzuzuziehen.
Rechtliche und ethische Fragen bei der Automatisierung von KYC-Prozessen
Bei der Automatisierung von KYC-Prozessen ist es wichtig, sich der rechtlichen und ethischen Fragen bewusst zu sein und diese bei der Einführung neuer Techniken wie Künstliche Intelligenz und Maschinelles Lernen bei KYC-Prozessen zu berücksichtigen. Möchten Sie mehr darüber wissen? Dann empfehlen wir Ihnen das Whitepaper „Wie können Sie Algorithmen in KYC-Prozessen trotzdem zu Ihre nutzen machen?“. Dieses Whitepaper wurde in Zusammenarbeit mit HVG Law erstellt und bietet einen Einblick in die Auswirkungen des Einsatzes von KI-Techniken auf KYC-Prozesse.