Fotoüberweisung: Was mit den persönlichen Daten passiert

Fotoüberweisungen lösen ein echtes Alltagsproblem. Was genau mit den sensiblen Daten passiert, sieht der Kunde aber nicht auf den ersten Blick.

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 117 Beiträge
, Bild: Gini

(Bild: Bild: Gini)

Von
  • Jan Mahn

Die Fotoüberweisung ist ein Anwendungsfall für Künstliche Intelligenz, der Nutzern ganz ohne IT-Hintergrundwissen das Leben erleichtert. Viele Banken haben daher eine solche Funktion mittlerweile in ihre Apps eingebaut: Rechnung aus dem Briefkasten holen, Foto mit dem Handy machen, dann erscheint in der Banking-App ein fertig ausgefüllter Überweisungsträger. Im Hintergrund, so die Werbetexte der Banken, arbeitet Künstliche Intelligenz, die die wichtigen Daten aus dem Brief extrahiert.

Für datenschutzinteressierte Nutzer drängt sich die nächste Frage aber förmlich auf: Geschieht die Datenanalyse auf dem Handy selbst, auf dem Server der Bank oder irgendwo anders? Um einen Eindruck zu bekommen, wie sensibel Fotos von Rechnungen sind, reicht ein Blick auf ein solches Dokument: Darauf zu finden sind Liefer- und Rechnungsadresse sowie alle Rechnungsposten, die schlimmstenfalls Rückschlüsse etwa auf Hobbys, Medikamente von Online-Apotheken, Kleidergrößen oder Literaturvorlieben zulassen. Insgesamt enthält eine Rechnung also viel mehr Informationen, als zum Ausfüllen eines Überweisungsträgers nötig sind.

Um den Weg der fotografierten Rechnungen nachzuvollziehen, nahmen wir uns die Apps verschiedener deutscher Banken vor und probierten die Fotoüberweisung aus. Die App der Sparkassen blendet bei der ersten Nutzung der Funktion den Hinweis ein, dass die Fotos an "einen Dienstleister" übertragen werden. Am Ende des Dialogs folgt ein Verweis auf die Datenschutzerklärungen der Firma Star Finanz.

Diese Firma hat die App für die Sparkasse entwickelt – und die in die App eingebaute Datenschutzerklärung nennt im Punkt 3.8 schließlich auch den Dienstleister für die Fotoüberweisung genauer: die Firma Gini GmbH aus München. Mit der habe man einen Auftragsdatenverarbeitungsvertrag nach Artikel 28 DSGVO geschlossen. Außerdem erklärt die Star Finanz, was mit dem Foto passiert: Aus der App geht das Foto an die Server der Gini GmbH, dort wird es ausgelesen.

Die für die Überweisung relevanten Daten werden "anonymisiert" zurückübertragen. Dann kann man als Kunde die Überweisung korrigieren und per TAN freigeben. Die freigegebenen Daten gehen dann noch einmal zu Gini, um die Qualität der Auswertung zu verbessern. Für vier Wochen sollen Foto und Daten "zum Zwecke der Nachprüfbarkeit und Dokumentation" bei Gini liegen, bevor sie gelöscht werden. In diese Spielregeln muss man einwilligen, um die Funktion zu nutzen.

Offen bleiben aber entscheidende Fragen: Wo stehen die Server der Gini GmbH, wer betreibt diese und sind möglicherweise US-Cloudprovider im Spiel? Weil die Homepage gini.net zwar von deutschen Rechenzentren spricht, aber keine eigene Datenschutzerklärung für die Dienstleistung bereithält, kontaktierten wir Ginis Presseagentur und fragten nach Details.

Die Sparkassen-App weist mit einem Dialog darauf hin, dass die Fotos bei der Fotoüberweisung bei „einem Dienstleister“ verarbeitet werden.

Unterdessen schauten wir uns auf der Homepage des Unternehmens an, was Gini noch zu bieten hat. Ausgerichtet ist das Angebot auf Banken, Versicherungen und Entwickler von Banking- und Dienstleistungs-Apps. Die Fotoüberweisung ist nur der einfachste Anwendungsfall für das, was Ginis KI zu leisten imstande ist. Die Funktion "Gini Smart" können zum Beispiel Apps für Versicherungsoptimierung nutzen – der Kunde scannt seine Versicherungsdokumente und bekommt Vorschläge für die Optimierung seiner Verträge. Geworben wird mit den Slogans "Für Dich eine Rechnung. Für unsere KI ein offenes Buch." und "Know your customer".

Nach der App der Sparkasse sahen wir uns weitere Apps von Banken an, die mit Fotoüberweisung werben – und überall begegnete uns Gini als Auftragsdatenverarbeiter. Aus der Masse der Banking-Apps stach nur die ING heraus. In deren Datenschutzerklärung für die Fotoüberweisung, die auf der Homepage veröffentlicht war, fanden wir im Abschnitt 3.2 e) den vielversprechenden Text: "Diese Verarbeitung der Daten erfolgt ausschließlich auf Ihrem jeweiligen mobilen Endgerät selbst."

Mehr von c't Magazin Mehr von c't Magazin

Das las sich wie eine datenschutzfreundliche Alternative zur Verarbeitung auf Gini-Servern. Weil die ING aber auf Ginis Website als Referenz aufgeführt wurde, fragten wir bei der Bank nach, wie sie die Fotoüberweisung umgesetzt habe. Wenige Tage später kam die ernüchternde Antwort der Pressestelle: Die ING nutzt, wie die anderen Banken, die Dienste von Gini: "Dieser Sachverhalt war bislang in der Datenschutzerklärung für die Banking to go App leider nicht richtig dargestellt." Den Fehler korrigierte die Bank als Reaktion auf unseren Hinweis – anders als bei anderen Banken fehlte aber auch in der korrigierten Fassung die Information, ob und wie lange die Fotos bei Gini gespeichert werden.

Die Antwort von Ginis Presseagentur folgte wenige Tage später: Die Datenverarbeitung, so die Agentur, finde auf "eigenen dedizierten Servern der Gini GmbH in München statt, welche in einem Rechenzentrum der Mivitec GmbH betrieben werden". Das Rechenzentrum wurde vom TÜV Rheinland nach ISO 27001:2013 (Informationssicherheits-Managementsystem) zertifiziert, TÜV Süd stellte ebenfalls ein Zertifikat nach ISO 27001:2017 für die Gini GmbH aus.

Auf die Frage, wie lange die Daten verarbeitet werden, gibt es keine einheitliche Antwort. Die Details werden mit dem Kunden (also mit der jeweiligen Bank) in einer Auftragsdatenverarbeitungsvereinbarung festgehalten; diese basiert auf einer Vorlage, Bei den meisten Kunden, so die Presseagentur, werden die Daten "zur Nachvollziehbarkeit der Transaktionen und zu Trainingszwecken 28 Tage gespeichert" und danach gelöscht.

Bei der Fotoüberweisungs-Funktion gibt es trotz der Vielzahl an deutschen Banken mit unterschiedlichen IT-Dienstleistern ein klares Monopol: Die hochgeladenen Rechnungen landen auf Ginis Servern und die vom Unternehmen angebotenen Funktionen gehen deutlich über das Auslesen von IBAN und Rechnungssteller hinaus. Als Nutzer der App muss man sich bewusst sein, dass man mit jeder hochgeladenen Rechnung seine Daten für einen festgelegten Zeitraum auch zum Trainieren der Künstlichen Intelligenz bereitstellt.

Die Fotos von Rechnungen enthalten sensible Informationen – daher kann man als Bankkunde volle Transparenz darüber erwarten, was mit den hochgeladenen Fotos passiert. Das Unternehmen Gini GmbH hat bei der Umsetzung des Dienstes vergleichsweise gründlich gearbeitet, kommt eigenen Angaben nach ohne US-Cloudprovider aus. Nicht ganz so sorgfältig gingen einige Banken vor: Mit der Formulierung, dass Daten "an einen Dienstleister" übertragen werden, machen es sich die Entwickler der Sparkassen-App etwas zu leicht und die ING patzte gründlich mit der falschen Behauptung, die Daten würden nur lokal verarbeitet. Dass die Datenschutzerklärung auf unseren Hinweis stillschweigend geändert wurde, dürfte aus juristischer Sicht nicht ausreichen – über eine so weitreichende Änderung der Spielregeln müsste die Bank ihre Nutzer noch einmal explizit informieren.

Die meisten Banken greifen auf die Rechtsgrundlage der Einwilligung nach der DSGVO zurück, was grundsätzlich möglich ist. Um das Vertrauen in den Dienst zu erhöhen, wären sie jedoch gut beraten, auf die Datenverarbeitung in deutschen Rechenzentren explizit hinzuweisen. Nur die ING setzt auf die Rechtsgrundlage der Erforderlichkeit für die Vertragsdurchführung. Angesichts der teils sensiblen Informationen kann das rechtlich problematisch sein.

Aber selbst mit sauber formulierten Datenschutzerklärungen und Auftragsdatenverarbeitungsvereinbarungen bleibt die KI-basierte Fotoüberweisung prinzipbedingt ein datenintensives Geschäft. Dabei gibt es bereits eine datensparsame Alternative: Mit dem Standard EPC-QR-Code können Rechnungssteller den Zahlungspflichtigen das Abtippen von Rechnungen mit einem QR-Code ganz ohne KI erleichtern.

c't Ausgabe 14/2022

(Bild: 

c't 14/22

)

In c’t 14/2022 führen wir Sie durch die Gefahren und Reize des Darknet und erläutern, wie man den Zugang über einen Tor-Browser richtig nutzt. Außerdem zeigen wir Ihnen, wie Sie sich Ihre eigene, ganz private Mediathek aufbauen können, ganz ohne Netflix, Amazon und Co. Im großen Vergleichstest haben wir 15 besonders schnelle SSDs ab 1 TByte unter die Lupe genommen.

(jam)