FinTech & Blockchain

KYC in FinTech-Unternehmen – Anleitung zur datenschutzkonformen Implementierung 

Last Updated 27/10/2023

Innovative FinTech-Startups bewegen sich in einem hoch regulierten Umfeld. Von ihnen wird verlangt, dass sie ihre Kunden kennen und eindeutig identifizieren. Dabei trifft man immer wieder auf das Schlagwort „KYC“. KYC bedeutet „Know Your Customer“ und bezieht sich auf die Identifizierung und Überprüfung von Kunden eines Unternehmens. KYC ist ein wesentlicher Bestandteil der Bekämpfung der Geldwäscherei durch Fintech Unternehmen und die Einhaltung ist für viele Teilnehmer am Finanzsektor obligatorisch. 

KYC besteht aus mehreren Schritten – diese umfassen Identifizierung der Kundendaten, Prüfung der Angaben des Kunden über seine Identität sowie Durchführung von Hintergrundprüfungen auf Basis von Identitätsnachweisen und anderen relevanten Informationen. Einerseits sind viele dieser Prüfungen gesetzlich vorgeschrieben, gleichzeitig sind diese Verfahren aber oft besonders datenintensiv und betreffen Datenkategorien, die tief in die Privatsphäre der Kunden reichen.  

Hier bewegen sich FinTech-Unternehmen regelmäßig in einem Spannungsfeld, das nicht leicht aufzulösen ist. Einerseits sollen eine große Anzahl an Daten über Kunden zur Verifizierung und Risikominimierung gesammelt werden, andererseits verlangt das Datenschutzrecht im Sinne der Datenminimierung so wenig wie möglich personenbezogene Daten zu verarbeiten. Um hier sowohl finanzregulatorischen Anforderungen als auch denen des Datenschutzrechts gerecht zu werden, ist es wichtig, die Vorgaben des Datenschutzes von Anfang an mitzudenken. So lassen sich im Nachhinein hohe Kosten durch aufwändige Änderung von Prozessen und Softwaresystemen vermeiden. 

In dieser Blogpost-Reihe stellen wir die wichtigsten datenschutzrechtlichen Punkte vor, die Startups im FinTech Bereich bei ihren KYC Verfahren beachten müssen. Dabei legen wir den Schwerpunkt auf drei Hauptaspekte: 

  • Kenne deine Daten: Welche Daten dürfen überhaupt verarbeitet werden? Wie gehe ich mit Identifizierungsdokumente um? Wie vermeide ich die Erhebung nicht zulässiger Datenkategorien? 
  • Folge deinen Daten: Was sind die Anforderungen an die Verarbeitungssoftware und weitere Tools in Bezug auf die Datenintegrität? Was muss ich bei der Auswahl von Dienstleistern beachten? Wie werden die Daten weitergegeben und rechtskonform an Dritte oder ins Ausland übermittelt? 
  • Manage deine Daten: Wie informiere ich die betroffenen Personen richtig? Welche technischen und organisatorischen Maßnahmen sind zu treffen? Wie und wo bewahre ich die Daten sicher auf und wann muss ich sie löschen? Welche Rechte haben meine Kunden in KYC Prozessen? 

Kenne deine Daten 

Definition des Zwecks der einzelnen KYC-Datenpunkte 

Der erste Schritt ist es festzulegen, welche Daten für welchen Zweck benötigt werden. Den Zweck gibt dabei häufig das einschlägige Regulierungsgesetz vor. Von der DSGVO und dem neuen Schweizer Datenschutzgesetz sind nur personenbezogene Daten umfasst. Für Daten von juristischen Personen gelten die Regelungen daher nicht. Allerdings ist der Begriff der personenbezogenen Daten relativ weit gefasst, so dass etwa schon ein Geschäftsbrief einer GmbH, in der sich aus der E-Mailadresse des Ansprechpartners der Name ableiten lässt, auch personenbezogene Daten enthält. 

Dem Grundsatz der Datensparsamkeit und Erforderlichkeit folgend dürfen nicht mehr Daten verarbeitet werden, als für diesen Zweck notwendig ist. Wenn also eine Verpflichtung zur Identifizierung bzw. Verifizierung besteht, dann können erforderliche personenbezogene Daten etwa Namen, Geburtsdatum, Geburtsort und Staatsangehörigkeit sein. Notwendige Dokumente zur Verifizierung sind etwa Ausweise, eID oder Videoident-Verfahren. Weiters können manchmal zusätzliche Dokumente wie Handelsregisterauszüge oder Vollmachten zur Überprüfung von Berechtigungen notwendig sein. Genauere Details ergeben sich aus den einschlägigen Gesetzen, etwa dem Geldwäschegesetz, und können von Unternehme zu Unternehmen im Detail variieren. 

Minimierung von KYC-Begleitdaten und, falls unvermeidbar, Planung des Umgangs mit diesen Daten 

Solche Daten dürfen und müssen für den Zweck der Identifizierung regelmäßig verarbeitet werden. Eine datenschutzrechtliche Herausforderung ist jedoch, wie mit personenbezogenen Daten umgegangen wird, die sozusagen als „Beifang“ miterhoben werden. So lässt sich aus dem Geburtsnamen manchmal der Familienstand ablesen oder aus Foto- und Videoaufnahmen gesundheitliche Merkmal (zB Brille, Hörgerät), Ethnie und möglicherweise die Religion (zB bei religiösen Kopfbedeckungen). Laut jüngstem Urteil des EuGH können solche Daten sogar besonders schützenswerte „besondere Kategorien von personenbezogenen Daten“ darstellen, deren Verarbeitung streng limitiert ist. 

Die Erhebung solch indirekter Daten als „Beifang“ lässt sich nicht immer vermeiden, da oft eine gesetzliche Verpflichtung zur Speicherung etwa einer Ausweiskopie besteht. Deshalb ist es wichtig einen Prozess zu etablieren, bei dem zum einen ausgeschlossen wird, dass solche Daten aktiv abgefragt bzw. als eigene Datenkategorie gespeichert werden. Zum anderen sollte auch so gut wie möglich verhindert werden, dass solche Daten nebenbei aus anderen Quellen (Registern, Dienstleistern, öffentlichen Quellen) gesammelt werden. An dieser Stelle besteht großes Potential in der Automatisierung der KYC-Prozesse, da bereits bei Erhebung gewisse Merkmale, die nicht für die Identifizierung notwendig sind, automatisiert und maschinell anonymisiert werden können. 

Dokumentiert den Prozess der Datenerhebung für euer Unternehmen und mögliche Überprüfungen durch die Behörden 

Auch kann es sein, dass gesetzliche Vorgaben weitere Datenerhebungen verlangen, wie etwa Verwandtschaftsgrade und personenbezogene Daten von Dritten (Familienangehörigen) bei politisch exponierten Personen im Sinne der Geldwäschegesetze. In diesem Fall muss klar dokumentiert und eingeschränkt werden, bei welchen Personen solche Daten zu erheben sind und auf welcher gesetzlichen Grundlage dies geschieht. Wenn diese Daten aus Datenbanken gezogen werden, sollte auch hier ein Prozess standardisiert werden, der ein „zu viel“ an Informationen (zB nicht notwendige historische Informationen) sowie false positive Auszüge (etwa bei Namensgleichheit) vermeidet. Viele Datenbanken ermöglichen es dabei, durch intelligentes Report Building solchen „Datenbeifang“ zu minimieren. Dies ist nicht nur aus Gründen des Datenschutzes notwendig sondern auch im Rahmen der Qualitätssicherung der eigenen Datenbestände von Vorteil. Selbiges gilt etwa bei der gesetzlichen Verpflichtung, die Vermögensherkunft und wirtschaftlich Berechtigte zu ermitteln. 

Bei erstmaliger Definierung des KYC-Prozesses sollte daher nachvollziehbar dokumentiert werden, welche Daten zu welchem Zweck und aus welcher Überlegung abgefragt und gespeichert werden. Dies ermöglicht es auch Aufsichtsbehörden im Nachhinein festzustellen, warum gewisse Daten verarbeitet werden. Bei Auswahl der Quellen zur Identifizierung einer Person ist jedenfalls öffentlich zugänglichen Daten oder Selbstauskünften soweit wie möglich der Vorzug zu geben. 

Privacy by Design für KYC-Prozesse 

Im Rahmen der Erstellung eines KYC-Prozesses sollten datenschutzrechtliche Aspekte von Beginn an eine Rolle spielen, um komplizierte und teure nachträgliche Änderungen an Datenbanken und Strukturen zu vermeiden. Auch erfüllt man damit die Vorgaben der DSGVO und des neuen Schweizer Datenschutzrechts zum Gedanken des „privacy by design“. In Bezug auf die Festlegung, welche Daten wie erhoben werden, sind folgende Punkte zu berücksichtigen: 

  • Definiert genau, welche personenbezogenen Datenkategorien benötigten werden, auf welcher gesetzlichen Vorgabe dies beruht und wie diese Kategorien einem eindeutigen Zweck zugeordnet werden können („Welche Daten benötige ich unbedingt?“); 
  • Definiert dafür geeigneten Dokumenten zum Nachweis der jeweiligen benötigten Datenkategorien („Welche Dokumente benötige ich unbedingt zur Verifizierung der Daten?“); 
  • Berücksichtigt den Grundsatz der Datenminimierung bei euren Überlegungen, etwa durch Einsichtnahme statt Aufzeichnung und durch automatisierte Verfahren, bei denen nicht notwendige Daten bereits von Beginn an anonymisiert werden; 
  • Beschränkt durch klare Prozesse falsche Daten sowie unzulässigen, sensiblen „Beifang“, etwa mit Hilfe von intelligentem Report Building. 

Im nächsten Blogartikel dieser Serie betrachten wir den KYC-Prozess aus datenschutzrechtlicher Sicht weiter und widmen uns dem Thema „Folge deinen Daten“. Wir analysieren dabei etwa die Verarbeitungsmittel (Softwaretools und Datenbanken von Drittanbietern) und die Weitergabe von Daten (need-to-know Prinzip, Übermittlung und Speicherung in Drittstaaten). 

By Sebastian Schneider

Head of Privacy & Digital Regulation, Legal Expert

Verwandt

Let’s Go!

Jetzt unverbindliches und kostenloses Erstgespräch buchen und erfahren, wie wir am besten bei der Erreichung eurer Unternehmensziele unterstützen können.

Oder alternativ eine E-mail an uns schreiben unter [email protected].

Kostenloses Gespräch buchen