Ich habe mich vor ein paar Wochen bei Curve Pay registriert — Ausweis gescannt, Selfie gemacht, das übliche Prozedere. Zwei Wochen Funkstille. Dann diese Mail: „After reviewing your application, we were unable to verify your identity based on the information provided. […] For security reasons, we are unable to share further details regarding this decision.“
Klingt nach einer abschließenden Entscheidung — ist aber, sobald man genauer hinsieht, ziemlich dünn. Und sie ist kein Einzelfall: Wer bei einem Fintech-Onboarding scheitert, bekommt fast immer dieselbe Floskel. „Sicherheitsgründe“ als Begründung für eine Ablehnung, die nicht angefochten werden kann. Mal abgesehen davon, dass das einen schlechten Beigeschmack hat — es ist schlicht nicht das, was die DSGVO erlaubt.
Was bei einem Fintech-Onboarding tatsächlich passiert
Der Prozess ist immer derselbe und läuft fast vollständig automatisiert. Ausweis hochladen — eine Bildanalyse prüft, ob das Dokument bekannt, gültig und unverfälscht aussieht. Dann Selfie plus Liveness-Check, also eine kleine Bewegungsaufgabe, damit die Software sicher ist, dass keine statische Fotokopie davorgehalten wird. Beides wird gematcht: Gesicht aufs Ausweisfoto, Daten aufs Adressformular, Name auf Sanktionslisten. Bestätigt das System alle Kriterien, ist man drin. Hakt ein Punkt, geht der Antrag entweder in eine manuelle Prüfung oder direkt in die Ablehnung.
Warum was hakt, kann banal sein: Scan zu unscharf, Ausweisecke abgeschnitten, Spiegelung auf dem Hologramm, Name minimal anders geschrieben als auf dem Adresseintrag, oder ein Treffer in einer Sanktions-/Betrugsdatenbank, der oft nur eine Namensgleichheit ist. Bei einem so engmaschigen Filter erwischt es zwangsläufig auch Leute, mit denen alles in Ordnung ist. Genau diese werden mit derselben Mail abserviert wie die paar tatsächlichen Betrugsversuche.
„For security reasons“ — die Standardabwehr
Aus Sicht des Anbieters ist die Pauschalbegründung praktisch. Sie spart Diskussionen, sie verrät keine Details des eigenen Prüfsystems, und sie schützt theoretisch davor, dass jemand den Algorithmus gezielt austrickst. Aus Sicht des Antragstellers ist sie eine Sackgasse.
Der Punkt dabei: Die Entscheidung über die Kontoeröffnung ist regelmäßig eine vollautomatisierte Verarbeitung mit erheblicher Auswirkung auf die betroffene Person. Genau dafür gibt es Art. 22 DSGVO. Wer einer solchen Entscheidung unterworfen wird, hat das Recht auf das Eingreifen einer natürlichen Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Dazu kommt Art. 15 — Auskunft über die zur Person verarbeiteten Daten und die „involvierte Logik“ der automatisierten Entscheidung. Das heißt nicht, dass Curve seinen kompletten Risk-Score offenlegen muss. Aber „aus Sicherheitsgründen nichts“ ist juristisch keine Erfüllung dieser Pflichten, sondern eine Verweigerung. (Ich bin allerdings kein Anwalt — das ist die grobe Richtung, nicht das letzte Wort.)
Was man konkret tun kann
Wer eine solche Ablehnung bekommt, sollte zuerst sauber und höflich eine manuelle Prüfung verlangen. Bei einer Neueinreichung des Ausweises mit besserem Licht, dunklem Untergrund und vollständigem Dokument erledigt sich der Vorgang in einem nennenswerten Teil der Fälle. Wer einmal eine klassische Banken-Onboarding-Hotline angerufen hat, weiß: An den Sachbearbeitern hängt es selten, am Automatismus davor schon.
Hilft das nicht, wird die DSGVO zum eigentlichen Hebel. Eine sachliche Mail, die ausdrücklich auf Art. 22 und Art. 15 DSGVO Bezug nimmt und konkret nach den Daten fragt, die zur Ablehnung geführt haben, sowie nach der involvierten Logik, hebt das Anliegen messbar aus der Standardschleife heraus. Das ist kein Pochen auf Geheimwissen, sondern eine Pflicht des Anbieters.
Bleibt auch das ohne brauchbare Antwort, ist die zuständige Datenschutz-Aufsichtsbehörde der nächste Schritt. Bei Curve mit Sitz in London ist das nicht zwingend die deutsche Behörde, sondern oft der britische ICO oder die irische DPC, je nachdem, wie der Anbieter den europäischen Markt organisiert. Klingt nach Aufwand für eine bessere Antwort-Mail — aber Aufsichtsbehörden bekommen Antworten, an die Privatpersonen nicht herankommen.
Die ehrliche Lehre aus solchen Fällen ist eine andere als die übliche „Fintechs sind eben so“. Klassische Banken haben dieselben KYC-Pflichten, lehnen aber sehr viel seltener komplett ab — sie ziehen den Vorgang einfach in die Filiale und lassen einen Menschen draufschauen. Reine App-Anbieter sparen genau diesen Schritt und verlagern das Risiko auf die Nutzer. Solange Aufsichtsbehörden das nicht stärker einsortieren, wird sich daran wenig ändern. Wer einen Reject bekommt, sollte ihn nicht wegklicken, sondern wenigstens den DSGVO-Weg gehen — schon weil sonst die nächste Generation dieser Verfahren noch breitmaschiger filtert.
