Arten personenbezogener Daten, die für Bankdienstleistungen verarbeitet werden
Bank- und Finanzdienstleistungen nehmen innerhalb der modernen Wirtschaftsstruktur im Hinblick auf die Verarbeitung personenbezogener Daten eine besonders sensible und strategische Stellung ein. Angesichts des täglichen Volumens von Millionen von Transaktionen, der kontinuierlichen Kundeninteraktion und des ständigen Datenflusses erheben und verarbeiten diese Branchen nicht nur Finanzdaten, sondern auch eine Vielzahl personenbezogener Daten, wie Identitätsinformationen, Kontaktdaten, Transaktionshistorien, Risikoprofile, Kreditinformationen und Standortdaten. Dies macht den Schutz personenbezogener Daten zu einer strategischen Priorität, nicht nur zur Einhaltung regulatorischer Vorgaben, sondern auch zur Aufrechterhaltung des Kundenvertrauens, zum Schutz der Unternehmensreputation und zur Gewährleistung einer nachhaltigen Cybersicherheit.
Heutzutage haben sich Bankdienstleistungen weit über das traditionelle Filialbanking hinaus entwickelt, wobei Leistungen überwiegend über digitale Kanäle erbracht werden. Diese Transformation hat die Datenverarbeitungstätigkeiten komplexer und vielfältiger gemacht. Daten, die über verschiedene Kontaktpunkte wie Mobile-Banking-Anwendungen, Internet-Banking-Plattformen, Geldautomaten, POS-Terminals und Callcenter erhoben werden, bilden den Kern der operativen Prozesse der Banken. Jeder Kontaktpunkt erhebt unterschiedliche Datentypen, um die Kundenerfahrung zu verbessern und die Servicequalität zu steigern, und diese Daten werden zu unterschiedlichen Zwecken verarbeitet.
Banken klassifizieren die von ihnen verarbeiteten personenbezogenen Daten in der Regel als Daten besonderer Kategorien oder als hochsensible Finanzdaten. Zentrale Identitätsdaten wie die Identifikationsnummer der Republik Türkiye (TCKN), Passnummern, Angaben zum Führerschein und Daten aus dem Adressregister; Finanzinformationen wie Kontobewegungen, Kredit-Scores, Einkommensdaten, Verschuldungsstatus und Vermögensportfolios; Verhaltensdaten wie Nutzungsmuster des digitalen Bankings, Transaktionshäufigkeit, bevorzugte Kanäle und Standortdaten; biometrische Daten wie Fingerabdrücke, Gesichtserkennung, Iris-Scans und Sprachaufzeichnungen; sowie Risiko- und Intelligence-Daten, die im Rahmen der Verpflichtungen gegenüber dem Ausschuss für die Untersuchung von Finanzkriminalität (MASAK) erhoben werden, stellen die Hauptkategorien der verarbeiteten Daten dar. Der überwiegende Teil dieser Daten weist ein Sensibilitätsniveau auf, das dem von Daten besonderer Kategorien nach dem Gesetz zum Schutz personenbezogener Daten (KVKK) nahekommt, und gilt zugleich als Hochrisikodaten im Sinne der Datenschutz-Grundverordnung der Europäischen Union (DSGVO).
Die Notwendigkeit und der rechtliche Rahmen der Datenverarbeitung bei Bankdienstleistungen
Bei Banktätigkeiten ist die Verarbeitung personenbezogener Daten häufig eine gesetzliche Verpflichtung und ein wesentlicher Bestandteil der Funktionsweise des Sektors. Regelungen wie das Gesetz zur Bekämpfung der Geldwäsche und das Bankengesetz verpflichten Banken dazu, ihre Kunden zu kennen, deren Identität zu überprüfen und verdächtige Transaktionen zu erkennen. Die Know-Your-Customer-Pflichten (KYC) spielen daher eine zentrale Rolle. Banken müssen vor der Begründung einer Geschäftsbeziehung mit einem Kunden eine umfassende Identitätsprüfung und Risikobewertung durchführen. Dieser Prozess dient nicht nur der Verifizierung der Identität des Kunden, sondern auch der Bewertung seines finanziellen Profils, seiner Transaktionshistorie und potenzieller Risiken.
Die Durchführung finanzieller Transaktionen ist ein weiterer Bereich, in dem personenbezogene Daten in erheblichem Umfang verarbeitet werden. Jede tägliche Transaktion, wie etwa Überweisungen, EFT-Transaktionen, Zahlungsvorgänge, Kreditkartentransaktionen, Anlagegeschäfte und Devisentransaktionen, erfordert die Erhebung und Verarbeitung unterschiedlicher Arten personenbezogener Daten. Im Rahmen der Kreditwürdigkeitsprüfung und der Kreditvergabe analysieren Banken detaillierte Finanzdaten, wie das Einkommen des Kunden, seine Ausgabengewohnheiten, die bestehende Schuldenlast, die Zahlungshistorie sowie Angaben zu Sicherheiten. Als Teil des Risikomanagements und der Sicherheitskontrollen zielen Banken zudem darauf ab, Transaktionsanomalien, verdächtige Bewegungen und potenzielle Betrugsversuche zu erkennen.
Die Ausweitung digitaler Bankdienstleistungen und die Entwicklung mobiler Technologien haben die Verarbeitung personenbezogener Daten grundlegend verändert. Authentifizierungsverfahren im Mobile Banking, Mehrfaktor-Authentifizierungssysteme, biometrische Sicherheitsmaßnahmen und Algorithmen zur Betrugserkennung in Echtzeit sind zu unverzichtbaren Bestandteilen des modernen Bankwesens geworden. Kunden können Bankgeschäfte nun jederzeit und von jedem Ort aus durchführen, und dieser Komfort erhöht die Anforderungen an die Sicherheit. Banken analysieren kontinuierlich Transaktionsmuster, versuchen ungewöhnliches Verhalten zu erkennen und wenden in verdächtigen Situationen zusätzliche Verifizierungsschritte an, um die Kontosicherheit zu gewährleisten.
Verpflichtungen nach der KVKK und Datensicherheit
Marketing- und Kundenbeziehungsmanagement stellen ebenfalls einen wesentlichen Bestandteil der Verarbeitung personenbezogener Daten durch Banken dar. Banken analysieren das Kundenverhalten detailliert, um Produktangebote zu personalisieren, Kundensegmentierungen vorzunehmen, Kampagnen zu steuern und Cross-Selling-Strategien umzusetzen. Für derartige Verarbeitungstätigkeiten ist jedoch nach der KVKK die Einholung einer ausdrücklichen Einwilligung zwingend erforderlich, wobei Kunden das Recht haben, Marketingkommunikation abzulehnen oder ihre Einwilligung später zu widerrufen. Bei Marketingaktivitäten müssen Banken den Grundsatz der Datenminimierung beachten und ausschließlich die für den jeweiligen Zweck erforderlichen Daten verarbeiten.
Die Datenverarbeitungstätigkeiten im Bankensektor unterliegen strengen nationalen und internationalen Regelungen, deren Einhaltung von entscheidender Bedeutung ist. Der Grundsatz der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben verlangt, dass Datenverarbeitungsvorgänge klar, transparent und verhältnismäßig ausgestaltet sind. Banken müssen bei der Konzeption und Umsetzung ihrer Datenverarbeitungsprozesse den geltenden rechtlichen Rahmen vollständig einhalten und die Rechte der Kunden sowie ethische Werte wahren. Der Grundsatz der Datenminimierung betont, dass Daten nicht über den Zweck der Verarbeitung hinaus erhoben werden dürfen und dass vorhandene Daten ausschließlich für klar festgelegte Zwecke verwendet werden sollen. Dieser Grundsatz ist für den Finanzsektor besonders bedeutsam, da die Natur des Sektors zu einer umfangreichen Datenerhebung neigt, was zu unnötiger Datenanhäufung und erhöhten potenziellen Risiken führen kann.
Transparenz und die Informationspflicht gehören zu den tragenden Säulen moderner Datenschutzregelungen. Banken müssen Kunden umfassend und klar über die Arten der verarbeiteten personenbezogenen Daten, die Zwecke ihrer Erhebung und Nutzung, die Empfänger von Datenübermittlungen an Dritte, die geltenden Aufbewahrungsfristen sowie die den Kunden zustehenden Rechte informieren.
Zur Gewährleistung der Datensicherheit müssen Banken Maßnahmen der Cybersicherheit auf höchstem Niveau aufrechterhalten. Verschlüsselungstechnologien, Tokenisierung, Zugriffskontrollen, Datenmaskierung sowie regelmäßige Penetrationstests bilden die Grundlage der Sicherheitsinfrastruktur von Banken. Cyberangriffe können zu schwerwiegenden Folgen wie Datenlecks, Identitätsdiebstahl, Kontoübernahmen, Betrug und erheblichen Reputationsschäden führen.
Datenübermittlung und Auswirkungen digitaler Technologien
Banken haben im Anwendungsbereich der KVKK die Stellung eines Verantwortlichen für die Datenverarbeitung inne, was mit erheblichen Verantwortlichkeiten verbunden ist. Daten können an öffentliche Stellen wie den MASAK, die Bankenaufsichts- und Regulierungsbehörde (BDDK) sowie an Steuerbehörden übermittelt werden, ebenso wie an Kreditauskunfteien wie KKB und Findeks. Darüber hinaus können Daten an Dienstleister und Technologieunternehmen weitergegeben werden.
Im Rahmen dieser Übermittlungen ist die Umsetzung von Vertraulichkeitsvereinbarungen, Verpflichtungen von Auftragsverarbeitern sowie sicherer Übertragungsprotokolle zwingend erforderlich. Bei internationalen Datenübermittlungen finden die strengen in der KVKK vorgesehenen Regelungen Anwendung, die unter Umständen die ausdrückliche Einwilligung der betroffenen Personen oder die Genehmigung durch den Ausschuss erfordern können.
Mit der Beschleunigung der digitalen Transformation haben künstliche Intelligenz, maschinelles Lernen und Open-Banking-Modelle die Datenverarbeitungspraktiken im Finanzsektor weiter vertieft. Algorithmen werden bei Kreditbewertungen eingesetzt, und Kundendaten werden mit Einwilligung der Kunden über API-basierte Open-Banking-Systeme an Dritte offengelegt.
Öykü Gülsen, Leitender Rechtsanwalt
