Banking App und Datenschutz, IMV Newsletter August 2019

…richtig, die beiden Begriffe (App & Datenschutz) und das, was dahinter steckt, schließen einander aus.

Liebe Interessierte,

ob Sie es selbst schon bemerkt haben, bemerken werden oder informiert wurden: es ist Großes im (Um)Schwange. Viele Banken gehen dazu über, ihr Online-Banking (primär) als App-Funktion anzubieten, d.h. dass sowohl Dienstleistungen und Services wie auch die Authentifizierung einer Person im so genannten TAN-Verfahren über eine Smartphone-App für iPhone oder Androids mit Google-Einbindung laufen sollen anstelle von TANs via SMS oder gedruckten Transaktionsnummern. Es bleibt mit dem ChipTAN-Verfahren nicht bei allen Banken eine Möglichkeit erhalten, das Online-Banking mittels Computer durchzuführen. Der Trend geht eindeutig hin zur Banking-App – auch die persönliche Beratung. Die Vorteile werden darin gesehen, dass Funktionen vereinfacht und Sicherheit erhöht werden – denn SMS sind in der Theorie reichlich einfacher abzufangen als verschlüsselte Kommunikation innerhalb von geschlossenen Plattformsystemen. Dennoch bleibt das Ganze nicht ganz ohne:

Zunächst einmal erfordert die Umstellung den Besitz eines Smartphones – eines iPhones oder eines Androids (offenes Betriebssystem) mit Google-Konto. Das schließt einerseits Menschen aus, die kein Smartphone haben oder auf ihrem Smartphone aus Sicherheitsgründen quelloffene Software benutzen – als Alternative zum Google-Android. Dazu gehören Menschen, die kein Smartphone benutzen können, ebenso wie User, die Google und Co. nicht ihre gesamten Daten preisgeben, sondern ihre Souveränität im Online-Leben erhalten wollen (https://netzpolitik.org/2019/warum-post-bank-und-co-ihre-kunden-nicht-zwingen-sollten-apps-zu-benutzen/).

Eine solche Souveränität kann nur dann gegeben sein, wenn man gut informiert ist – und bereits da beginnnen die Probleme sehr früh: die Umstellung der Verfahren funktioniert im Moment sehr unübersichtlich, es gibt nicht nur große Unterschiede zwischen den Banken, sondern auch zwischen den deutschen Bundesländern (https://www.chip.de/news/Sparkasse-laeutet-Ende-der-smsTAN-ein-Kunden-muessen-umsteigen-diese-Alternativen-gibt-es_166850145.html).

Unklar bleibt auch, welche der Daten aus dem Online-Banking direkt an den Smartphone-Betreiber gehen. Wenn etwa Fotos von Rechnungen in der Banking-App verarbeitet werden, dann hat nicht nur die Bank Zugang zu den Daten, sondern eben auch Apple oder Google. Zwar bewerten einschlägige Institute die Banking-Apps als sicher, aber beschreiben gleichzeitig zahlreiche Sicherheitslücken – wie etwa das erfolgreiche Aufbrechen der Transportverschlüsselung beim Datenverkehr oder das Übersenden von für die Transaktion völlig unnötigen Daten. Auch offen ist, welche Daten beim so genannten Multibanking an wen übersandt werden – also wenn eine App für die Nutzung verschiedener Bankinstitute genutzt wird – und welche Daten in öffentlichen WLANs abfließen (https://www.chip.de/news/Bank-Apps-im-Test-Wie-unsicher-ist-das-mobile-Banking-per-Handy_149075488.html).

Zu allem Überfluss kommt: Viele Nutzende wissen im Moment nicht, wie persönliche Übersicht und Nachvollziehbarkeit gesichert werden, etwa Ausdrucke für das Finanzamt.

Es erscheint also alles in allem eine unausgereifte Angelegenheit, die weniger an den Bedürfnissen der Kunden nach sicherem Zahlungsverkehr orientiert ist als an einer diffusen Technologieentwicklung: Überall wird vor IT-Sicherheitslücken gewarnt – also etwa dem Ausspähen von Daten, dem Eindringen in fremde IT-Systeme oder auch der Manipulation (https://www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_node.html). Nun arbeitet gerade der Bankensektor seit Jahrzehnten an sehr sicheren internen IT-Systemen, aber baut zahlreiche Schwachstellen in die Schnittstelle zum Kunden ein.

Die Entwicklung Künstlicher Intelligenz und algorithmischer Entscheidungssysteme werfen zentrale Probleme der Nachvollziehbarkeit, Kontrolle und Diskriminierung auf – und dennoch werden weiter Technologien eingeführt, die das Scoring von Personen (Zuweisung von Positionen und Lebenschancen in Abhängigkeit von persönlichen Ressourcen) sowie die Personalisierung (Gestaltung des informationellen Umfeldes einer Person in Abhängigkeit von persönlichen Eigenschaften und Interessen) unüberschaubar verstärken (http://www.svr-verbraucherfragen.de/dokumente/verbrauchergerechtes-scoring/). Theoretisch besteht die Möglichkeit, dass bei fehlenden Schutzeinstellungen (die vielleicht nicht alle Nutzenden beherrschen) die Banken dann Standortdaten ihrer Kunden ermitteln können – also wissen, wann Sie zuletzt wo gewesen sind, z.B. in einem Krankenhaus oder Casino. Ob und wie sich das auf die Bereitstellung von Krediten auswirkt? Oder auf ein Scoring, was bei der Vergabe von Wohnungen heran gezogen wird?

Besonders kritisch ist das vor allem dann, wenn eine Bank nur noch ein solches Angebot zur Verfügung stellt und den Kunden keine Wahl lässt zwischen verschiedenen Möglichkeiten. Hier muss man sich fragen: Welcher Art von Kunden wird die Wahl entzogen? Was bedeutet es, wenn eine Bank ihren Kunden nur noch ein Angebot zur Verfügung stellt (eine App), eine andere zwei (eine App und eine Desktop-Variante) oder viele Möglichkeiten? Und wie lange wird es diese Wahlmöglichkeit noch geben?

Zu guter Letzt ist aber auch völlig offen, wie das mit dem vermeintlich smarten Banking überhaupt gehen soll in einem Land, das von Funklöchern ebenso geprägt ist wie ein Schweizer Käse.

Was kann man tun?

– sich bei seiner Bank erkundigen, was genau geplant ist, wie das genau funktioniert und ob Computer und freie Betriebssysteme mit erfasst sind – man kann sich einen Überblick verschaffen, welche Produkte und Dienstleistungen andere Banken hier anbieten

– man kann versuchen, die Online-Angebote den eigenen Bedürfnissen anzupassen – etwa die PC-Nutzung zu erfragen, die Bereitstellung von Apps für quelloffene Betriebssysteme – oder auch den Wechsel der Bank

– man kann die übergeordneten Fragen an Politik und Öffentlichkeit richten – sei es in Bürgerbriefen an Politiker, der fallbezogenen Berichterstattung in lokalen Medien/ Internet oder der allgemeinen Thematisierung in der Bundespresse

mindestens mal. Wir bleiben dran!