Die ePrivacy-Verordnung im Finanzaufsichtsrecht

Teil 1: Nach der DSGVO ist vor ePrivacy!

Die Verordnung über Privatsphäre und elektronische Kommunikation (sog. ePrivacy-Verordnung)  sollte eigentlich zusammen mit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 in Kraft treten. Momentan befindet sie sich aber noch im europäischen Gesetzgebungsverfahren, die Zustimmung des EU-Parlaments steht noch aus. Die Verordnung wird frühestens 2020 in Kraft treten und enthält darüber hinaus voraussichtlich eine Übergangsfrist bis 2022.

Da die ePrivacy-Verordnung aber einen größeren Einschnitt im Datenschutz bringen wird als die DSGVO, die den Markt relativ überraschend traf, wollen wir schon mal einen Blick auf das werfen, was die ePrivacy-Verordnung bringen wird.

Die ePrivacy-Verordnung soll die bisherige e-Datenschutz-Richtlinie ersetzen, die in Deutschland vor allem im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) umgesetzt wurde. Als Verordnung ist die neue Datenschutzregelung unmittelbar geltendes Recht in allen EU-Mitgliedstaaten und gewährleistet dadurch einen einheitlichen Regelungsrahmen. Inhaltlich schützt die ePrivacy-Verordnung vor allem Daten, die bei der Nutzung neuerer Kommunikationsdienste wie z.B. Instant-Messaging-Dienste, webgestützte E-Mail Dienste, Internettelefonie und Personal-Messaging entstehen, während die bisherige e-Datenschutz-Richtlinie nur herkömmliche Telekommunikationsanbieter wie z.B. SMS erfasst. Da immer mehr Zahlungs-und Finanzdienstleistungen auf neuen, digitalen Wegen angeboten werden, wird sich auch die Finanzdienstleistungsbranche mit den Regelungen der ePrivacy-Verordnung auseinander setzen müssen. Da sich die EU-Mitgliedstaaten bis heute nicht auf eine gemeinsame Position hinsichtlich des finalen Vorschlags des Europäischen Parlaments und des Rates vom 10. Januar 2017 (abrufbar hier) geeinigt haben, können die Trilog-Verhandlungen zwischen der Europäischen Kommission, dem Rat und dem Parlament nicht beginnen und das Vorhaben verzögert sich weiter.

Diese Zeit wollen wir nutzen und in einer mehrteiligen Beitragsreihe die ePrivacy-Verordnung und ihre Auswirkungen im Finanzaufsichtsrecht vorstellen. Dieser Beitrag ist der Auftakt und beleuchtet die rechtlichen und gesellschaftlichen Hintergründe der ePrivacy-Verordnung sowie ihr Verhältnis zur DSGVO.

Rechtlicher Hintergrund der ePrivacy-Verordnung

Um den digitalen Binnenmarkt zu stärken, will die EU das Vertrauen von Bürgern und Unternehmen in digitale Dienste und deren Sicherheit erhöhen. Dafür sind umfassende Datenschutzregelungen – wie z.B. die ePrivacy-Verordnung – unerlässlich. Ihren rechtlichen Ursprung hat diese in Artikel 7 der Charta der Grundrechte der Europäischen Union, der das Grundrecht auf Achtung des Privat- und Familienlebens, der Wohnung und der Kommunikation enthält. Die Achtung der Privatsphäre in der Kommunikation ist ein wesentlicher Aspekt dieses Grundrechts. Denn vor allem die elektronische Kommunikation kann hochsensible Daten über die daran beteiligten Personen offenlegen, von persönlichen Erlebnissen, Gefühlen und Erkrankungen bis hin zu politischen Überzeugungen oder Zahlungsgewohnheiten.

Gleiches gilt auch für die Metadaten der elektronischen Kommunikation wie beispielsweise angerufene Nummern, besuchte Websites, geographischer Standort, Uhrzeit, Datum oder Dauer eines getätigten Anrufs. All diese Daten lassen präzise Schlussfolgerungen über das Privatleben der an der elektronischen Kommunikation beteiligten Personen, z.B. in Bezug auf ihre sozialen Beziehungen, Gewohnheiten, ihren Lebensalltag, ihre Interessen und ihren Geschmack zu. Elektronische Kommunikation kann zudem auch Informationen über juristische Personen wie Geschäftsgeheimnisse oder andere sensible Informationen offenlegen, die einen wirtschaftlichen Wert haben.

Unterschiedliche Resonanz bei Verbrauchern und Unternehmen

Angesichts der Sensibilität persönlicher elektronischer Daten und jüngster Datenskandale wie dem Facebook-Cambridge Analytica Skandal, mit dem bekannt wurde, dass personenbezogene Daten von Millionen Facebook-Profilen ohne Zustimmung der betroffenen Personen gesammelt und für politische Zwecke verwendet wurden, ist es nicht verwunderlich, dass sich gerade Verbraucher einen stärkeren Schutz ihrer persönlichen elektronischen Daten wünschen.

In der Begründung des finalen Entwurfs der ePrivacy-Verordnung sind Ergebnisse einer öffentlichen Konsultationen der Europäischen Kommission vom 12. April bis 05. Juli 2016 veröffentlicht.1 Darin sehen 83,4% der teilnehmenden Bürger, Verbraucherschutzverbände und Organisationen der Zivilgesellschaft die Notwendigkeit besonderer Vorschriften für die Vertraulichkeit elektronischer Kommunikationsdaten, während 63,4% der teilnehmenden Unternehmen dem nicht zustimmten. Auch die Ausweitung des Datenschutzes auf neue Kommunikationsdienste wie Instant-Messaging oder VoIP-Telefonie stimmten 76% der Bürger zu, während nur 36,2% der Unternehmen eine solche Ausweitung befürworteten. 

Dass EU-Bürger ein erhöhtes Bedürfnis nach dem Schutz ihrer elektronischen Daten haben, ergibt sich auch aus einer EU-weiten Eurobarometer-Umfrage, die zum Thema Privatsphäre durchgeführt wurde.2 Darin erklärten 78% der Befragten, dass sie es für sehr wichtig halten, dass auf persönliche Daten auf ihrem Computer, Smartphone oder Tablet nur mit ihrer Einwilligung zugegriffen werden kann. 72% halten es für sehr wichtig, dass die Vertraulichkeit ihrer E-Mails und Online-Sofortnachrichten gewährleistet ist und 89% stimmten der Option zu, dass die Standardeinstellungen ihres Browsers eine Weitergabe ihrer Informationen verhindern sollte.

Verhältnis zur DSGVO

Um dem erhöhten Bedürfnis nach dem Schutz von Daten, die bei der Nutzung moderner Kommunikationsmittel und –dienste entstehen, zu entsprechen, ergänzt und präzisiert die ePrivacy-Verordnung  die Regelungen der DSGVO als lex specialis im Hinblick auf elektronische Kommunikationsdaten. Während die DSGVO sich auf den Schutz personenbezogener Daten beschränkt, schütz die ePrivacy-Verordnung umfassend elektronische Daten, unabhängig davon, ob sie personenbezogen sind oder nicht. Alle Fragen der Verarbeitung personenbezogener Daten, die in dem Vorschlag zur ePrivacy-Verordnung nicht spezifisch geregelt sind, werden weiterhin von der DSGVO erfasst. Anders formuliert bedeutet das, dass die DSGVO für Daten relevant ist, wenn sie als solche dem Daten-Endnutzer vorliegen, während sich die ePrivacy-Verordnung um den Weg der Daten zu dem Daten-Endnutzer kümmert.

Ausblick

Allein an dem Regelungsumfang der ePrivacy-Verordnung wird deutlich, dass diese große Auswirkungen auf das digitale Finanzdienstleistungsangebot haben wird. Mehr dazu gibt es demnächst hier auf dem Blog. 


1 Der vollständige Bericht ist abrufbar unter https://ec.europa.eu/digital-single-market/news-redirect/37204.

2 Eurobarometer-Umfrage 443 zum Thema „ePrivacy“ (SMART 2016/079), abrufbar unter https://ec.europa.eu/digital-single-market/en/news/eurobarometer-eprivacy.

Welche regulatorischen Herausforderungen bringen Big Data und künstliche Intelligenz?

Big Data und künstliche Intelligenz (artificial intelligence), gerne gemeinsam auch als BDAI bezeichnet, sind derzeit ein Thema, das im Finanzmarkt viel Beachtung bekommt. Nicht zuletzt, weil es prominent auf der Agenda der BaFin steht, die – wie wir gerade in unserem letzten Beitrag berichtet haben – derzeit eine Marktumfrage zu diesem Thema gestartet hat.

Big Data steht für sehr große und komplexe Datenmengen, die aus einer Vielzahl von Quellen gewonnen werden können, und mit Hilfe manueller und herkömmlicher Methoden der Datenverarbeitung schwer zu analysieren sind. Analyseverfahren, die auf künstlicher Intelligenz basieren, können solche Massendaten sinnvoll auswerten und Zusammenhänge und Verbindungen aufzeigen, die bestehende Geschäftsmodelle erweitern oder ergänzen können. Selbstlernende Systeme können Prozesse optimieren und automatisiert Entscheidungen treffen. Ein Beispiel für eine Einsatzmöglichkeit von BDAI ist etwa die maschinelle Optimierung von Geldwäscheprüfungen.

Sobald künstliche Intelligenz in Form von Algorithmen ins Spiel kommt, stellt sich stets die Frage: geht etwas schief, wer ist verantwortlich? Der Programmierer des Algorithmus, das Institut, das den Algorithmus nutzt, um neue Geschäftsfelder zu generieren, oder gar niemand? Hier ist – wie bisher etwa beim Algotrading oder bei RoboAdvice, wo diese Diskussion auch geführt wurde – die klare Aussage der BaFin, dass das anbietende Institut verantwortlich ist für die Prozesse, die dort intern genutzt und extern gegenüber Kunden angeboten werden.

In der ersten Ausgabe der BaFin Perspektiven zur Digitalisierung wirft BaFin-Präsident Hufeld die Frage auf, ob wir künftig Mindestanforderungen an Algorithmen benötigen und konsequenterweise dann auch Mindestanforderungen an Daten, die im Rahmen von BDAI verwendet werden. Die internen Prozesse der Institute müssen auch beim Einsatz von BDAI kontrollierbar und nachvollziehbar sein. Insbesondere muss klar sein, welche Daten wofür und wie verwendet werden. Solange das gewährleistet ist, reichen die Vorgaben der MaRisk vielleicht aus. Dass das Thema künstliche Intelligenz und selbstlernende Systeme nicht trivial ist und AI-Forscher selbst äußerst skeptisch sind, ob die Methoden und Techniken des machine learning derzeit schon hinreichend verstanden sind (siehe etwa hier), zeigt, dass BDAI derzeit ein Trend ist, der noch in der Entwicklung steckt. So wird sich auch der Regulierungsansatz dazu mitentwickeln.

Neben Mindestanforderungen für Algorithmen, Daten und das Risikomanagement sind weitere Aufsichtsthemen im Zusammenhang mit BDAI etwa Auslagerung, Datensicherheit und IT-Sicherheit. BDAI-basierte Analysen können von Instituten von hierauf spezialisierten Unternehmen im Rahmen einer Auslagerungsvereinbarung eingekauft werden. Hierfür haben wir bereits einen regulatorischen Rahmen, der derzeit europaweit vereinheitlicht werden soll (siehe dazu diesen Blogbeitrag). Der Umgang mit Kundendaten ist aus Sicht des Verbraucherschutzes durch die DSGVO inzwischen strikt geregelt. Die IT-Sicherheit ist ebenfalls bereits ein Thema, das bei der BaFin im Fokus ist. Gerade vor wenigen Tagen veröffentlichte die BaFin eine Ankündigung, dass künftig in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber kritischer IT-Infrastrukturen auch unter die Aufsicht der BaFin fallen sollen, selbst wenn sie keine Finanzdienstleistungen anbieten. Entsprechend sollen die Bankaufsichtlichen Anforderungen an die IT (BAIT) ergänzt werden. Hier zeigt sich ein weiterer Trend, der auch auf die Nutzung von Massendaten durch selbstlernende Algorithmen überspringen kann, wenn sich externe Anbieter entwickeln, auf deren Analyse der Finanzmarkt vertraut und daraus neue Geschäftsmodelle generiert.

Auslöser neuer Regulierung sind häufig neue Themen, auf die die bestehenden Vorgaben nicht passen, weil sie zu restriktiv oder zu lax und unzureichend sind. In der BDAI-Debatte wird abzuwarten bleiben, wo die Reise hingeht. Es würde nicht verwundern, wenn hierfür eigene Regulierung geschaffen wird – entweder auf gesetzlicher Ebene oder durch die Verwaltungspraxis der Aufsichtsbehörden. Wünschenswert wäre jedenfalls ein einheitlicher europäischer Aufsichtsansatz und kein regulatorischer Flickenteppich, wie wir ihn für FinTech und Blockchain-Regulierung derzeit sehen.

BaFin veröffentlicht Studie zu Big Data sowie künstlicher Intelligenz und stellt den Bericht zur Konsultation

Die BaFin hat am 15.06.2018 eine Studie mit dem Titel „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ veröffentlicht. In der Studie wurde untersucht, wie Big Data (BD) und Artificial Intelligence (AI) zusammenhängen, welche Auswirkungen BDAI auf die Finanzbranche haben kann und welche Konsequenzen daraus für die Aufsicht und eine künftige Regulierung resultieren können.

Mit der Studie wurde der Zweck verfolgt, eine breitangelegte Analyse zu erstellen, um der Aufsicht zu ermöglichen, Trends, Entwicklungen Chancen sowie Risiken im frühen Stadium erkennen und darauf entsprechend reagieren zu können. Dabei wird nicht nur die Perspektive von Banken, Versicherungsunternehmen und des Kapitalmarktes, sondern auch die des Verbrauchers, deren Daten letztlich die Quelle von Big Data bilden, beleuchtet. Der Verbraucher soll über den Wert der Daten, die er zugänglich macht, und über den jeweiligen Umgang mit den Daten sensibilisiert werden. In diesem Zusammenhang ist entscheidend, entsprechende Rahmenbedingungen zu schaffen, um Datensouveränität umfassend zu stärken. Zudem wird abschließend die Sicht der Regulatoren dargestellt.

BDAI bringt sowohl Chancen auch als Risiken mit sich. Aus der Studie wird deutlich, dass mithilfe von BDAI bestehende Prozesse und Strukturen verbessert werden können. Daneben eröffnet BDAI allerdings auch die Möglichkeit, neue Geschäftsmodelle, Anwendungen oder Produkte zu entwickeln, die wiederum mit Chancen und Risiken behaftet sind.

An der BaFin-Studie haben sich Experten aus der Partnerschaft Deutschland ,der Boston Consulting Group (BCG) und des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme (IAIS) beteiligt.

Zum Zwecke eines Austausches zu dem Themen Big Data und künstliche Intelligenz hat die BaFin am 16.07.2018 Unternehmen aus der Branche, Verbände sowie nationale und internationale Aufsichtsbehörden zur Konsultation des Berichts eingeladen. Die Basis für den Austausch bildet der BDAI-Bericht sowie die darin enthaltenen Leitfragen, welche in Form eines Fragebogens heruntergeladen werden können. Die Konsultation findet noch bis zum 30. September 2018 statt.