Online-Banking kann sehr praktisch sein - unter anderem, weil man Zahlungsempfänger abspeichern kann und nicht bei jeder neuen Überweisung lange Zahlenfolgen abschreiben muss. Der Fotoüberweisungs-Service, den mittlerweile viele Banken anbieten, übernimmt für Kunden im Online-Banking beim Bezahlen von Rechnungen jegliches Abschreiben von Daten: Der Kunde muss lediglich mit seinem Handy ein Foto von einer Rechnung machen, eine Künstliche Intelligenz (KI) füllt dann automatisch das digitale Überweisungsformular aus.

Warum sind Fotoüberweisungen problematischer als normale Überweisungen?

Die Problematik: Trägt der Kunde seine Daten händisch in das Überweisungsformular ein, werden an das Zahlungsinstitut nur die für die Überweisung notwendigen Daten übermittelt - die IBAN des Empfängers, der Name des Empfängers, der Überweisungsbetrag und ein Überweisungszweck (bei Rechnungen meist eine Zahlungsnummer). So kann die Bank die Überweisung abwickeln, weiß aber nicht genau, was der Kunde gekauft hat oder wie seine Rechnungs- bzw. Lieferadresse lautet. Fotografiert der Kunde hingegen die gesamte Rechnung, um die nötigen Daten von der mit der App verbundenen KI auswerten zu lassen, analysiert die KI alle Daten aus der Rechnung. Damit hat der Kunde eine Menge Daten weitergegeben, die für den Überweisungsprozess selbst keine Bedeutung haben. Was passiert mit diesen Daten? Wo werden sie überhaupt ausgewertet - ist ein Drittanbieter oder ein möglicherweise datenschutztechnisch kritischer US-amerikanischer Cloudanbieter an der Arbeit der KI beteiligt?

Sparkasse erklärt, dass die Daten an einen "Dienstleister" geschickt werden

Um diese Fragen zu beantworten, ist das Informationsportal Heise der datenschutztechnischen Sicherheit von Fotoüberweisungen auf die Spur gegangen.

Gestartet hat Heise seine Suche bei der Sparkassen-App, in die ein Fotoüberweisungs-Service integriert ist. Bei der ersten Nutzung der Funktion wird der Nutzer offenbar darauf hingewiesen, dass ein "Dienstleister" am Service beteiligt ist. In den App-Stores wird außerdem auf die Datenschutzrichtlinien der Firma Star Finanz hingewiesen. Diese hat die Sparkassen-App entwickelt und nennt in ihren Datenschutzrichtlinien die Gini GmbH als Dienstleister für die Fotoüberweisungen. Es sind also neben dem Kreditinstitut (der Sparkasse) zwei weitere Unternehmen am Fotoüberweisungs-Service beteiligt.

Gini GmbH hat Monopol als Dienstleister für Fotoüberweisungen

Den Star-Finanz-Datenschutzrichtlinien zufolge wird das Foto der Rechnung von der Sparkassen-App an die Gini GmbH geschickt, die die Daten auswertet und anschließend die überweisungsrelevanten Informationen anonymisiert an die App zurückschickt. Der Kunde überprüft die Daten und bestätigt den Zahlungsauftrag, anschließend werden diese Informationen zur Qualitätsprüfung der KI wieder an die Gini GmbH gesendet. Das Foto und die ausgelesenen Daten würden maximal 28 Tage bei der Gini GmbH aufbewahrt und danach gelöscht, so die Datenschutzrichtlinien der Star Finanz. Die gesamte Kooperation mit dem Münchner Unternehmen werde nach Artikel 28 DSGVO abgewickelt.

"Für Dich eine Rechnung. Für unsere KI ein offenes Buch."

Die Gini GmbH hat ihren Sitz in München und ist, so Heise, auch bei allen anderen Banken für den Fotoüberweisungs-Service zuständig - hat also ein Datenmonopol. Dabei bietet die Gini GmbH nicht nur Fotoüberweisungen, sondern auch andere Dienste an, darunter einen Versicherungsoptimierungsservice. Hierbei machen Nutzer ein Foto ihrer Versicherungsrechnung und laden es in der App des Unternehmens hoch, woraufhin Vorschläge zur Optimierung des Vertrags gegeben werden. Dies bewirbt die Gini GmbH auf ihrer Website wie folgt: "Für Dich eine Rechnung. Für unsere KI ein offenes Buch."

Heise hat weitere Nachforschungen betrieben und bei der Gini GmbH in Erfahrung gebracht, dass die Server der Gini GmbH in München in einem Rechenzentrum der Mivitec GmbH betrieben werden. Die Gini GmbH arbeite eigenen Angaben zufolge ohne US-Cloudprovider. Heise schreibt außerdem, dass das Rechenzentrum von der TÜV Rheinland ISO-zertifiziert ist.

EPC-QR-Code: Alternative zur Fotoüberweisung

Nach dem Kontakt mit der Gini GmbH erklärt Heise, diese habe "vergleichsweise gründlich" gearbeitet - was zunächst ein gutes Fazit ist. Allerdings berichtet Heise auch, dass dies nicht über die Kreditinstitute gesagt werden könne, die ihre Angaben eher knapp hielten. Zudem habe Heise die ING Bank im Rahmen ihrer Nachforschungen darauf hinweisen müssen, dass die Datenschutzbestimmungen falsche Informationen beinhalten (zunächst habe es darin geheißen, dass die Fotos ohne Drittanbieter direkt auf dem Handy des Kunden ausgewertet würden - obwohl auch die ING mit der Gini GmbH arbeitet). Daraufhin seien die Datenschutzrichtlinien stillschweigend korrigiert worden. Dies sei jedoch juristisch fragwürdig.

Jeder Online-Banking-Nutzer muss im Endeffekt selbst beurteilen, ob er Fotoüberweisungen nutzen möchte oder nicht. Wer unsicher ist, ob er alle in einer Rechnung enthaltenen Informationen an das Kreditinstitut und die Gini GmbH weiterleiten möchte, kann stattdessen die sogenannten EPC-QR-Codes nutzen. Dabei handelt es sich um auf Rechnungen gedruckte QR-Codes, in denen ausschließlich die für eine Überweisung benötigten Daten verschlüsselt sind. Alle anderen Daten können über den Code nicht in Erfahrung gebracht werden. Mit den Apps der verschiedenen Kreditinstitute können solche Codes eingescannt und die darin enthaltenen Daten direkt in das Überweisungsformular eingetragen werden. Die Wahrscheinlichkeit, dass hierbei Zahlendreher aufkommen, ist sogar noch geringer als bei Fotoüberweisungen. Aber: Noch gibt es nicht auf allen Rechnungen solche QR-Codes.

