Im letzten Blogartikel dieser Reihe haben wir die datenschutzrechtlichen Anforderungen an die Datenerhebung im Rahmen von KYC-Verfahren untersucht. In diesem Artikel konzentrieren wir uns auf die Standards für die Verarbeitung und Übermittlung personenbezogener Daten und was FinTech-Unternehmen dabei beachten müssen.
Den Daten folgen
Sobald man weiss, welche Daten man aus welcher Quelle und zu welchem Zweck erhebt, sollte man sich im nächsten Schritt auf die Datenverarbeitung selbst und die eingesetzten Tools konzentrieren. Nach der DSGVO und dem neuen Schweizer Datenschutzgesetz sind FinTech-Unternehmen dafür verantwortlich, die Integrität der von ihnen verarbeiteten Daten zu wahren und den Datenschutz durch Gestaltung (privacy by design) und Voreinstellungen (privacy by default) zu gewährleisten. Dazu gehören insbesondere technische und organisatorische Massnahmen, die geeignet sind, die Datensicherheit und Compliance bei der Auswahl von Dienstleistern zu gewährleisten. Darüber hinaus sind Unternehmen verpflichtet, ihre Kunden über die Datenverarbeitung zu informieren, ein Thema, das im nächsten Artikel behandelt wird.
Schutzmassnahmen bei der Verarbeitung – die Grundsätze
Unternehmen müssen ihre internen Datenverarbeitungsaktivitäten schützen und sicherstellen, dass sie die erforderlichen Massnahmen zum Schutz der KYC-Daten ergreifen. Aus technischer Sicht tendieren FinTech-Unternehmen dazu, ihre KYC-Prozesse zu automatisieren, um auf der Grundlage zuverlässiger Datenquellen Risikoprofile für jeden Kunden zu erstellen. Durch die Automatisierung der Erhebung, Speicherung, Überwachung und Verwaltung personenbezogener Daten können die Risiken für die Datensicherheit, insbesondere durch menschliches Versagen, minimiert und gleichzeitig die Ausübung der Rechte der betroffenen Personen (z. B. Datenübertragbarkeit) erleichtert werden. Dieser Prozess bietet auch die Möglichkeit, Workflow- und Risikoanalyse-Tools zu integrieren, um Datenflüsse zu überwachen und potenzielle Datenschutzrisiken im Voraus zu erkennen. Darüber hinaus können Instrumente wie Datenerkennungs- und Klassifizierungstechnologien sowie Systeme zur Verhinderung von Datenverlusten dazu beitragen, personenbezogene Daten besser vor unbefugtem Zugriff und Missbrauch zu schützen. Schliesslich spielen auch die Verschlüsselung und Sicherung von Daten eine wichtige Rolle. Im Sinne von “Data Protection by Design” lohnt es sich, bei der Implementierung des automatisierten KYC-Prozesses im Unternehmen technische Schutzmassnahmen zu integrieren, um nicht nur die Daten sicher aufzubewahren, sondern auch den datenschutzrechtlichen Verpflichtungen nachzukommen.
Aus organisatorischer Sicht ist eine klare und dokumentierte Verteilung von Rollen und Verantwortlichkeiten innerhalb des mit dem KYC-Prozess betrauten Teams notwendig. Dies stärkt das Vertrauen und gewährleistet die Nachvollziehbarkeit von Zugriffen und die Schadensbegrenzung im Falle eines Datenschutzvorfalles. Darüber hinaus muss der Zugriff auf Kundendaten generell eingeschränkt sein, insbesondere wenn es sich um sensible Daten handelt. Schliesslich tragen Geheimhaltungsvereinbarungen (NDAs) und regelmässige Schulungen deiner Mitarbeiter/innen dazu bei, potenzielle Risikoquellen während der gesamten Verarbeitung einzudämmen.
Datenweitergabe an Dritte
Bei der Abwicklung von KYC-Verfahren kommt es häufig vor, dass FinTech-Unternehmen Daten an Dienstleister weitergeben, um einen reibungslosen Ablauf zu gewährleisten (z.B. an spezialisierte externe Softwareanbieter). In den meisten Fällen handeln diese Dritten auf Weisung deines Unternehmens und verarbeiten die Daten zu den von dir festgelegten Zwecken und Mitteln. In diesem Fall muss die Übermittlung vertraglich abgesichert sein, etwa gemäß der DSGVO durch einen Auftragsverarbeitungsvertrag (AVV), in dem die Einzelheiten der Datenübermittlung festgelegt sind. Die meisten Dienstleister bieten ihre eigenen AVV an, wenn du den Hauptdienstleistungsvertrag unterschreibst. Du solltest diesen jedoch regelmässig überprüfen, um sicherzustellen, dass er den Datenschutzbestimmungen entspricht und mit den internen Verfahren und Bedürfnissen deines Unternehmens vereinbar ist.
Ein weiterer wichtiger Punkt, auf den du bei der Beauftragung von Dienstleistern achten solltest, ist die Datenübermittlung in Drittländer. Daten, die auf Servern in der EU/im EWR oder in der Schweiz gespeichert sind, können meistens problemlos ausgetauscht werden, ohne dass zusätzliche datenschutzrechtliche Übermittlungspflichten bestehen. In der Regel speichern Diensteanbieter jedoch entweder (einige) Daten in Ländern ausserhalb dieser Gebiete oder beauftragen Auftragsverarbeiter mit Sitz in Drittländern wie den USA oder Indien. In diesen Fällen ist eine Datenübermittlung nur unter bestimmten Voraussetzungen möglich. Erstens, wenn die Europäische Kommission oder der Schweizer Bundesrat einen Angemessenheitsbeschluss erlassen hat, der besagt, dass das Datenschutzniveau des Drittlandes den Standards der EU/Schweiz entspricht (z.B. derzeit etwa Israel, Kanada, Südkorea oder das Vereinigte Königreich). Ist dies nicht der Fall, muss sichergestellt werden, dass der Dienstleister ausreichende Garantien für die Integrität der Daten bietet, z.B. durch ein Transfer Impact Assessment (d. h. eine Analyse der Auswirkungen und Sicherheitsaspekte der Übermittlung im Hinblick auf die Rechtsordnung des Drittlandes), die Verwendung der Standardvertragsklauseln der Europäischen Kommission (SCC) und andere als angemessen erachtete technische Mittel (z. B. Verschlüsselung). Vor diesem Hintergrund ist es für FinTech-Unternehmen wichtig, bei Datenübermittlungen in Drittstaaten eine Liste aller eingesetzten Dienstleister zu erstellen und Dienstleister ausserhalb der EU/Schweiz auf die Einhaltung der Datenschutzbestimmungen zu überprüfen.
Den Daten folgen – die wichtigsten Erkenntnisse
Die Umsetzung technischer und organisatorischer Massnahmen in der KYC-Datenverarbeitung ist nicht nur aus datenschutzrechtlicher Sicht notwendig, sondern hilft auch, die Datenflüsse im Unternehmen zu steuern und das Risiko von Datenschutzverletzungen zu reduzieren. Dazu gehören
- Automatisierte Datenmanagementprozesse mit integrierten Workflows und Risikoanalysetools
- Systeme zur Aufdeckung von Datenlecks und zur Vermeidung von Datenverlusten
- Verschlüsselung und Datensicherung
- Klare Zuweisung von Rollen und Verantwortlichkeiten sowie eingeschränkte Zugriffsrechte
- Geheimhaltungsvereinbarungen und regelmässige Mitarbeiterschulungen
Wer mit Dienstleistern zusammenarbeitet und personenbezogene Daten an KYC-Lösungsanbieter weitergibt, muss auch seine Kooperationspartner aus datenschutzrechtlicher Sicht überprüfen. Dazu gehört, dass ihr über entsprechende Datenverarbeitungsverträge verfügt und einen Überblick über Datenflüsse in Länder ausserhalb der EU/EWR und der Schweiz habt. Werden personenbezogene Daten in so genannte Drittstaaten wie die USA oder Indien übermittelt, müssen vertragliche und technische Schutzvorkehrungen getroffen werden. Mit Blick auf die Zukunft setzen Dienstleister bereits heute häufig KI ein, um Identitäten zu überprüfen und Daten zu analysieren. Da die EU derzeit plant, KI zu regulieren, ist es ratsam, bei der Auswahl von KYC-Dienstleistern auch die zukünftige Regulierung in diesem Bereich im Auge zu behalten.
Im nächsten Blogbeitrag dieser Reihe werden wir den KYC-Prozess aus der Perspektive des “Datenmanagements” beleuchten. Dabei wird untersucht, wie eine sichere Datenspeicherung gewährleistet werden kann, wie lange Daten gespeichert werden sollten und welche Rechte Kunden im KYC-Prozess haben.
