Studie: Fintechs setzen DSGVO nicht kundenfreundlich um

Über das Smartphone bezahlen, ein Projekt über Crowdfunding unterstützen oder die automatisierte Geldanlage durch sogenannte Robo-Advisor (aus engl. Robot und Advisor, nutzen einen systematischen, größtenteils automatisierten Prozess, um mehr Menschen Zugang zu einer professionellen Vermögensverwaltung zu geben; häufig übernimmt ein Algorithmus die Erstellung und die laufende Überwachung und Anpassung der Portfolios) gehören inzwischen für viele Menschen zum Alltag. Finanzdienstleistungen, deren Nutzung ausschließlich über Internet-Technologien erfolgt, machen der traditionellen Finanzindustrie immer stärker Konkurrenz. Die boomende und breit gefächerte FinTech-Branche weist jedoch hinsichtlich Regulierung und Datenschutz im Vergleich zu klassischen Finanzanbietern sehr unterschiedliche Standards auf.

Für Nutzerinnen und Nutzer dieser Angebote ist oft unklar, was genau mit ihren persönlichen Daten passiert. Wirtschaftswissenschaftler Professor Lars Hornuf von der Universität Bremen hat gemeinsam mit Professor Gregor Dorfleitner von der Universität Regensburg   in einer kürzlich erschienenen Studie untersucht, wie Fin-Tech-Unternehmen nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) Nutzerdaten verarbeiten. Diese wurde im Auftrag des Projektes ABIDA (assessing big data) erstellt und durch das Bundesministerium für Bildung und Forschung   gefördert.

Nutzerdaten in vielen Fällen schlechter geschützt

Die Wirtschaftswissenschaftler schließen mit dem Gutachten an ihre Untersuchung zu digitalen Finanzakteuren aus dem Frühjahr 2018 an. Hierzu haben sie bei allen bereits 2017 untersuchten 505 FinTechs nun erneut die aktuelle Version der jeweiligen Datenschutzerklärung erhoben und auf inhaltliche Veränderung untersucht. Die Ergebnisse zeigen, dass sich die Datenschutzregelungen seit Einführung der DSGVO in vielen Fällen für Nutzerinnen und Nutzer der FinTech-Angebote eher verschlechtert haben.

Eine Stunde zum Lesen der Datenschutzerklärung

Bei den erfolgten Anpassungen konnten die Forscher zwei allgemeine Trends feststellen: Erstens sind die Datenschutzerklärungen mittlerweile mehr als doppelt so umfangreich und zweitens bestehen diese inzwischen deutlich häufiger aus standardisierten Textbausteinen. Letzteres bedeutet, dass in vielen Bereichen deutlich weniger häufig abschließend angegeben wird, welche personenbezogenen Daten verarbeitet und welche an Dritte weitergegeben werden. User müssen auf den Internetseiten der jeweiligen Dritten die Informationen zur Verarbeitung ihrer Daten selbst erneut ausfindig machen.

"Im Extremfall brauchten die Nutzerinnen und Nutzer über eine Stunde, um die Datenschutzerklärung vollständig zu lesen", erläutert Hornuf. Ein weiterer Befund ist aus Sicht der Wissenschaftler ebenfalls besonders kritisch zu beurteilen: Das Sammeln von personenbezogenen Daten muss von den Konsumentinnen und Konsumenten durch eine Einwilligung wie schon im Jahr 2017 alternativlos akzeptiert werden. Außerdem geben weniger FinTechs als zuvor an, wie lange Daten tatsächlich gespeichert werden und verweisen lediglich auf die gesetzlichen Aufbewahrungsfristen.

Laut Hornuf habe sich damit die Hoffnung, dass die DSGVO für mehr Transparenz sorgt, im Bereich der untersuchten FinTechs überwiegend nicht bestätigt. Von den FinTechs werde häufig gefordert, dass sie ihre Nutzerinnen und Nutzer einerseits vollständig aufklären, andererseits sollen sie User aber nur kurz und knapp informieren. Dies könnten in der Regel eher die größeren FinTechs, die entsprechende Mittel für eine individuelle Aufbereitung einsetzen können.