EU-Datenschutz-Grundverordnung

Die Finanzbranche vor der nächsten großen Herausforderung?

Dirk Häußermann ist Geschäftsführer EMEA Central bei Informatica. Seit Juli 2013 verantwortet er das operative Geschäft von Informatica EMEA Central Europe in Deutschland, Österreich und der Schweiz. Dirk Häußermann ist seit vielen Jahren auf Executive-Ebene in der IT-Branche tätig, davon lange Zeit bei IBM Deutschland. Zuletzt war er Vorstandsmitglied bei der Heiler Software AG.
Die aktuellsten Meldungen zur neuen EU-Datenschutz-Grundverordnung verdeutlichen, dass diese vor allem für Finanzdienstleistungsunternehmen eine Herausforderung darstellen wird.

Der Umfang der Änderungen und Ergänzungen der bestehenden Regelungen wird signifikante Veränderungen für den Umgang mit Daten und ihre Speicherung im gesamten Sektor der Finanzdienstleister haben. Es lohnt sich also, hier einmal genauer hinzusehen, um sich schon jetzt für die Zukunft zu rüsten.

Was verbirgt sich hinter der Verordnung? Ganz allgemein soll sie den Bürgern ermöglichen, die Kontrolle über ihre eigenen Daten zurückzugewinnen und gleichzeitig die Regulierungen zum Datenschutz innerhalb der EU vereinheitlichen. Geplanter Zeitpunkt des Inkrafttretens ist das Jahr 2018. Als vollständiger Ersatz zur bestehenden Datenschutzrichtlinie wird mit der Einführung der Verordnung der Schutz der Privatsphäre erweitert: So werden in Zukunft sowohl Daten von einem Unternehmen oder einer Person innerhalb der EU als auch von Organisationen, die sich außerhalb der EU befinden und Daten von EU-Bürgern verarbeiten, von der Verordnung abgedeckt. Persönliche Daten erstrecken sich heute bereits über verschiedenste Bereiche, darunter die üblichen Informationen zur Person wie Adresse oder Geburtsdatum, über Fotos bis hin zu Social-Media-Inhalten. Zusätzliche Herausforderungen wie das Recht der Kunden, die über sie gespeicherten Informationen einsehen und bei Bedarf löschen lassen zu können, setzen Finanzdienstleister unter Druck, ihre internen Richtlinien im Umgang mit Kundendaten genau zu überprüfen.

Dazu kommen neue Regelungen, beispielsweise dass eine ausdrückliche Zustimmung zur Speicherung von Daten und ihrer Nutzung vorhanden sein muss. Wer gegen diese Regel verstößt, dem drohen hohe Bußgelder oder Sanktionen: Bis zu 20 Millionen Euro oder vier Prozent der weltweiten Jahreseinnahmen können als maximale Strafe bei der Verletzung derRichtlinien erhoben werden. Für die meisten Finanzdienstleister ist dies eine erhebliche Belastung. Die hohen Strafen verdeutlichen, dass die General Data Protection Regulation (GDPR) - so der offizielle Name der EU-Datenschutz-Grundverordnung - ein wichtiges Thema für Finanzdienstleiser ist. Durch die neuen Regelungen wächst die Bedeutung der Daten und damit einhergehend auch die des Data Privacy Officer.

Herausforderungen beim Datenschutz

Für Finanzdienstleister ist der Umgang mit sensiblen Daten Alltag. Dennoch werden mit dem Inkrafttreten der GDPR neue Herausforderungen auf sie zukommen, die es zu überwinden gilt:

1. Das Finden von Kundendaten

Eine der größten Schwierigkeiten für Institutionen ist es, zunächst alle sensiblen Daten innerhalb des Unternehmens ausfindig zu machen. Kundendaten werden innerhalb verschiedenster Systeme und in unterschiedlichsten Formaten gespeichert. Das können traditionelle Systeme für Transaktionen sein oder auch Systeme, die der Kundenbindung dienen. Denn mit dem Aufstieg des Omnichannels auch im Bereich der Finanzdienstleister treten Kunden über alle Kanäle und geeigneten Medien mit dem Unternehmen in Kontakt.

Sobald sie dies tun, hinterlassen sie einen digitalen Fußabdruck, der gespeichert wird und hinzugezogen werden kann, falls Fehler auftreten oder um Aktivitäten nachvollziehen zu können. Jeder Fußabdruck und jede Interaktion kann somit relevant für die Datenschutzregelungen sein: Von Daten aus Anwendungsprotokollen der letzten Nutzersitzungen in einer Web-Anwendung, über Daten aus Social Media Feeds des Kundenservice, Web-Analytics-Systeme, die die Customer Journey auf der Unternehmenswebseite dokumentieren oder Telefonanrufe der Kunden bis hin zu klassischen Papierdokumenten, wie beispielsweise einer Mitteilung über eine Adressänderung.

2. Kundenanfragen zur Einsicht der gespeicherten persönlichen Informationen

Mit der neuen Verordnung haben Kunden nun das Recht, alle persönlichen Informationen, die vom Finanzdienstleister über sie gespeichert werden, einzusehen. Während die Herausforderung der Sammlung der Daten an sich ähnlich ist wie im obigen Punkt, liegt der Unterschied hier darin, dass die Informationen über die Unternehmensgrenze hinweg wandern und dadurch zusätzliche Sicherheitsmaßnahmen erfordern. Zudem ist der Vorgang sehr kostspielig, wenn er manuell vorgenommen wird. Der kritische Punkt ist hier: Wenn die Daten aus dem Unternehmen nicht vollständig sind und der Kunde dies erkennt, zeigt das, dass das Unternehmen seine Kundendaten nicht unter Kontrolle hat. Damit ebnet die Institution sich selbst den Weg zu Bußgeldern oder Sanktionen.

3. Was ist zu tun, sobald Kundendaten identifiziert sind?

Angenommen, ein Unternehmen hat alle relevanten Kundendaten lokalisiert, muss nun festgelegt werden, wie mit diesen Daten weiter verfahren wird. Mit der neuen GDPR-Verordnung wird eine sogenannte Opt-in-Klausel eingeführt. Kunden können so der Speicherung und Nutzung ihrer Daten zustimmen. Finanzdienstleistungsunternehmen müssen allerdings beachten, dass diese Zustimmung nur für bestimmte Bereiche der Kundendaten gelten kann. Mit der zunehmenden Komplexität durch diese Zustimmungsklausel müssen Unternehmen entscheiden, wie sie die Nutzung der Daten handhaben, die nicht unter diese Zustimmung fallen, ohne dabei die finanzielle Integrität und Transaktionsprozesse innerhalb des gesamten Unternehmens zu beeinträchtigen.

4. Das "Recht auf Vergessen" umsetzen

Mit der Einführung der GDPR-Verordnung können Kunden verlangen, dass all ihre relevanten persönlichen Daten innerhalb aller Systeme eines Unternehmens gelöscht werden. Es lässt sich schwer vorhersagen, wie viele Kunden dieses Recht tatsächlich ausüben werden. Doch wenn man sich die öffentliche Diskussion vor Augen hält, kann man davon ausgehen, dass dies vorkommen wird und zumindest anfänglich auch das Interesse der Medien auf sich zieht. Deshalb ist es umso wichtiger, sich hier als Unternehmen gut vorzubereiten. Dabei ist die Entfernung von Daten innerhalb verschiedener Systeme und unterschiedlicher Formate entweder sehr zeit- und kostenintensiv (und birgt das Risiko, nicht alle Daten entfernt zu haben) oder aber erfordert von Unternehmen, ihre Prozesse auf eine industrielle Weise zu automatisieren. Ob manuell oder automatisiert - Unternehmen müssen zukünftig verstärkt darauf achten, dass Kosten, Risiken und Zeitaufwand so niedrig wie möglich gehalten werden und entsprechende Lösungen einführen.

Lösungen für den Datenschutz

Dies mag für viele Unternehmen wie ein unüberwindbares Hindernis wirken. Doch moderne Software-Lösungen können dabei helfen, viele der oben angesprochenen Herausforderungen im Rahmen der GDPR-Verordnung zu adressieren.

1. Lösungen zum Finden von Daten

Lösungen, die im Rahmen von Data Intelligence eingesetzt werden, können zur Einhaltung der Verordnung genutzt werden. Diese Lösungen automatisieren das Auffinden wichtiger Kundendaten über alle Anwendungen und Datenspeicher eines Unternehmens hinweg. Mithilfe flexibler, hochleistungsfähiger und skalierbarer Scan-Techniken werden Kundendaten schnell und genau bestimmt und dargestellt. Dazu werden alle Orte identifiziert, wo Kundendaten gespeichert werden und durch Dashboards und Reports visualisiert. Das ermöglicht Unternehmen, nicht nur genau zu wissen, wo sich sensible Daten befinden, sondern auch, welchem Risiko sie ausgesetzt sind. Dabei kommen die gleichen Fähigkeiten zum Einsatz, die auch zum Auffinden sensibler Daten innerhalb von Unternehmen genutzt werden, um diese adäquat vor unerlaubtem Zugriff oder Missbrauch zu schützen.

2. Data-Masking-Lösungen

Damit die Integrität von Transaktionen aufrechterhalten und die Richtlinien im Bereich Finance und Accounting eingehalten werden können, lassen sich Kundendaten maskieren. So stellt man sicher, dass sie nicht für fremde Zwecke genutzt werden. Dazu gibt es Lösungen, die verschiedene Arten der Datenmaskierung ermöglichen, während sie im Prinzip die Speicherung aller Daten erlauben, aber diese nur für autorisierte Personen sichtbar sind. Da der Zugriff auf bestimmte Daten über eine Autorisierung für Finanzinstitutionen bereits angewendet wird, kann eine bestehende Lösung eventuell relativ einfach angepasst werden. Das spart Kosten und Zeit.

3. Master-Data-Management-Lösungen

Ein Grundpfeiler der meisten Customer-Centricity- oder Customer360-Programme sind Master Data Management (MDM) -Lösungen. Teil des Mastering-Prozesses ist, Daten aus dem gesamten Unternehmen zu sammeln und mithilfe verschiedenster Techniken einem Kunden zuzuordnen. Dieser Ansatz ermöglicht, Datensätze aus unterschiedlichen Systemen unter einem Kunden zusammenzuführen und für die spätere Nutzung zu verwahren. Sobald alle Kundendaten mithilfe des Mastering-Ansatzes verwaltet werden, verfügen Unternehmen über die Fähigkeit, die gespeicherten Datensätze, die einem bestimmten Kunden zuzuordnen sind, einwandfrei zu identifizieren. Wenn ein Kunde nun von seinem "Recht auf Vergessen" Gebrauch macht, haben Unternehmen folgende Möglichkeiten:

- Wenn der Mastering-Prozess auf einem Analytical-MDM-Ansatz beruht, können Reports erstellt werden, die alle relevanten Kundendaten auflisten. Dieser Report lässt sich an die jeweiligen Teams weiterleiten, die dann die relevanten Kundendaten manuell aus den entsprechenden Systemen löschen. Ein Update der Masterdaten des Kunden zeigt, ob alle Einträge entfernt wurden (da sie nicht länger gemastert werden) oder ob weitere Schritte notwendig sind.

- Wenn die Mastering-Prozesse auf einem Operational-MDM-Ansatz basieren, werden die Daten mit dem Verweis "zu löschen" gekennzeichnet und mithilfe der zugrundeliegenden Technologien entsprechend automatisch gelöscht.

4. Information-Lifecycle-Management-Lösungen

Information Lifecycle Management (ILM) ist ein Ansatz, um sicherzustellen, dass Daten korrekt gelöscht werden. In vielen Fällen bedeutet dies, dass Parameter festgelegt werden müssen, die die Regelungen darüber kontrollieren, welche Daten gelöscht werden, wann sie gelöscht werden und wie sie gelöscht werden sollen. Dies ist eine übliche Anforderung bei Finanzdienstleistern, bei der veraltete Daten aus den Systemen gelöscht und dann Berichte zu den Ergebnissen verfasst werden. ILM-Lösungen können ebenfalls dazu verwendet werden, um die Erstellung eines Data Repository aus nicht mehr genutzten Anwendungen zu automatisieren. So verursachen diese Anwendungen keine Kosten mehr, während die Daten für Reporting- oder Analysezwecke genutzt werden können. Bei diesem Ansatz entsteht ein neuer Speicherplatz von Kundendaten, der in die Prozesse zum Auffinden von Daten integriert werden muss.

Was kommt als nächstes?

Durch die GDPR-Verordnung wird deutlich, dass die Kontrolle über Kundendaten bei Finanzdienstleistungsunternehmen nun zu einer Geschäftsnotwendigkeit geworden ist. Die Konsequenzen bei Nichteinhaltung sind einfach zu gravierend. Doch es gibt ein Licht am Ende des Tunnels: Es existieren bereits Softwarelösungen, die viele der Herausforderungen adressieren, vor die die Unternehmen durch GDPR gestellt werden. Im nächsten Schritt müssen die Unternehmen die einzelnen Details der neuen Verordnung genau prüfen und die verfügbaren Lösungen entsprechend auswählen.

Zwei Jahre scheinen aus heutiger Sicht noch weit entfernt zu sein, doch Unternehmen müssen sich jetzt vorbereiten, um die Implementierung so einfach, schnell und kostengünstig wie möglich umzusetzen, hohe Strafen zu vermeiden und - nicht zuletzt - ihren Kunden den optimalen Schutz bieten können. (fm)