In diesem dritten und letzten Artikel unserer Serie werden wir uns mit den Anforderungen befassen, die FinTech-Unternehmen beim Management ihrer KYC-Daten beachten müssen. Wir wollen uns auf zwei spezifische Bereiche konzentrieren, die beachtet werden müssen: Die Aufbewahrung und Löschung der Daten sowie die Rechte der betroffenen Personen, auf welche sich die Daten beziehen.
Datenaufbewahrung und Löschung von KYC-Daten
Zuerst muss festgelegt werden, wie lange KYC-Daten gespeichert und wann sie schliesslich gelöscht werden. Gemäss den europäischen Datenschutzgesetzen sollen personenbezogene Daten, die nicht mehr für die Zwecke benötigt werden, für welche sie verwendet wurden, gelöscht und somit nicht mehr verarbeitet werden. Dies bedeutet, dass FinTech-Unternehmen sicherstellen müssen, dass sie nur KYC-Daten speichern, die sie für ihre Geschäftstätigkeit benötigen, und zwar nur für den unbedingt erforderlichen Zeitraum. Dieser Zeitraum hängt zwar vom Zweck der Datenverarbeitung ab, ist aber in einigen Fällen auch gesetzlich festgelegt. In Deutschland und in der Schweiz gibt es beispielsweise gesetzliche Aufbewahrungsfristen von bis zu zehn Jahren für Buchhaltungs- und Steuerunterlagen und die europäische Geldwäschereirichtlinie verpflichtet Unternehmen, eine Kopie ihrer KYC-Prozesse für einen Zeitraum von fünf Jahren nach Beendigung der Geschäftsbeziehung oder nach dem Datum einer gelegentlichen Transaktion aufzubewahren.
Nachdem die Aufbewahrungsfristen festgelegt worden sind, muss ein Prozess definiert werden, durch welchen die Daten nach dem festgelegten Zeitrahmen gelöscht werden. Es gibt verschiedene Methoden des Löschens, vom Überschreiben über das Degaussing bis hin zur physischen Vernichtung. Insbesondere wenn grosse Datenmengen über mehrere Systeme hinweg bearbeitet werden, ist die Automatisierung von Löschroutinen eine der besten Möglichkeiten, um das Risiko der Nichteinhaltung von Datenschutzgesetzen zu verringern und die Möglichkeit menschlicher Fehler zu vermeiden. Aus diesem Grund sollte von Anfang an ein Löschungsprozess in das eigene System implementiert und jeder Datensatz automatisch mit einem zukünftigen Löschdatum versehen werden.
Eine weitere Möglichkeit besteht darin, die Daten zu anonymisieren, da die Datenschutzgesetze für vollständig anonymisierte Daten nicht gelten. Manchmal kann dies anstelle einer Löschung sinnvoll sein, da aggregierte anonymisierte Daten noch für statistische Zwecke benötigt werden können. Dies ist oft jedoch leichter gesagt als getan, denn damit Daten als wirklich anonymisiert gelten, darf es keine Möglichkeit geben, Einzelpersonen durch herkömmliche technische oder organisatorische Mittel wieder identifizierbar machen zu können.
Vor diesem Hintergrund ist es ratsam, ein Löschkonzept für KYC-Daten zu erstellen, welches festlegt, wie lange die Daten aufbewahrt werden und auf welche Weise sie gelöscht werden sollen. Dabei sind der Zeitraum, in dem die Daten für die entsprechenden Vorgänge benötigt werden und die gesetzlich vorgeschriebenen Aufbewahrungsfristen zu berücksichtigen.
Rechte der betroffenen Personen
Der zweite wichtige Aspekt betrifft die Rechte der betroffenen Personen, wenn es um ihre KYC-Daten geht. Gemäss der DSGVO und dem Schweizerischen Bundesgesetz über den Datenschutz (DSG) haben Personen, deren Daten bearbeitet werden, eine Reihe von Rechten, von denen eines der wichtigsten das Recht ist, über die Datenbearbeitung informiert zu werden (z.B. durch eine Datenschutzerklärung).
Es ist wichtig, diese Datenschutzerklärung so früh wie möglich in der Kundenbeziehung zugänglich zu machen, da die Person in demjenigen Zeitpunkt informiert werden muss, in welchem ihre Daten erstmalig erhoben werden. Das bedeutet, dass die Datenschutzerklärung sowohl auf der eigenen Website und in der eigenen App als auch während des Kundenregistrierungsprozesses sichtbar und zugänglich sein sollte. Es ist ausserdem wichtig für Kunden, dass diese jederzeit auch im Nachhinein auf die Datenschutzerklärung zugreifen können.
Ausserdem haben die betroffenen Personen in den meisten Fällen das Recht auf Übertragbarkeit der Daten, d.h. sie können verlangen, dass ihre personenbezogenen Daten an sie selbst oder an ein anderes Unternehmen in einem Standardformat wie Excel übertragen werden. Aus diesem Grund ist es für FinTech-Unternehmen wichtig, die notwendigen technischen Werkzeuge zu implementieren, um die Extraktion der relevanten Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format (z.B. CSV-, XML- und JSON-Formate) zu bewerkstelligen und ihre Übermittlung an den jeweiligen Datenverarbeiter oder an die betroffene Person zu ermöglichen. Es gibt verschiedene Möglichkeiten, um dies zu erreichen, nämlich etwa durch die direkte Übermittlung der angeforderten Daten oder durch die Zurverfügungstellung des Zugangs zu einem Downloadbereich, der es der betroffenen Person ermöglicht, die angeforderten Daten selbst zu extrahieren.
Neben dem Recht auf Information und dem Recht auf Datenübertragbarkeit, haben die betroffenen Personen diverse weitere Rechte im KYC-Prozess. So zum Beispiel das Recht auf Auskunft und Berichtigung von Daten, welche über sie gespeichert wurden, sowie das Recht auf Löschung der Daten, wenn sie für die Zwecke, für die sie erhoben worden sind, nicht mehr erforderlich sind.
Wichtigste Schlussfolgerungen
Wie die Erhebung und die Verfolgung von KYC-Daten erfordert auch das Management dieser Daten besondere Aufmerksamkeit von FinTech-Unternehmen, insbesondere wenn es um ihre Speicherung und die von Anfragen der betroffenen Personen geht. Vor diesem Hintergrund ist es wichtig, auf Folgendes zu achten:
- Aufbewahrungsfristen: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für die Zwecke, für die sie erhoben wurden, benötigt werden oder so lange, wie es die gesetzlichen Aufbewahrungsfristen vorsehen (z.B. gibt es in den Gesetzen zur Buchhaltung, zur Besteuerung und zur Geldwäschereibekämpfung verschiedene Aufbewahrungsfristen, die zwischen fünf und zehn Jahren liegen). Nach Ablauf dieser Fristen sollte die Datenverarbeitung entweder durch Löschung oder Anonymisierung eingestellt werden;
- Datenlöschung: Die Löschung von Daten sollte so erfolgen, dass sie unbrauchbar werden, entweder durch Vernichtung der physischen Archive oder durch den Einsatz automatisierter Hilfsmittel zur Löschung grosser Datensätze;
- Löschkonzept: Die Aufbewahrungsfrist für jede Kategorie von KYC-Daten sollte festgelegt werden und der jeweilige Löschprozess definiert und automatisch in die eigenen Systeme implementiert werden;
- Rechte der betroffenen Personen: Die Rechte, welche den betroffenen Personen durch die Datenschutzgesetze eingeräumt werden, müssen beachtet werden. Insbesondere müssen die betroffenen Personen über die Bearbeitung ihrer Daten informiert werden (z.B. im Rahmen einer Datenschutzerklärung). Diese Information sollte in einer zugänglichen und leicht verständlichen Form und in der frühestmöglichen Phase des KYC-Prozesses bereitgestellt werden. Bei der Einrichtung der eigenen Verfahren und Systeme sollten auch die notwendigen technischen Massnahmen ergriffen werden, um auch anderen Rechten – wie etwa dem Recht auf Datenübertragbarkeit – nachkommen zu können.
