Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit rund einem Jahr in Kraft. Grund genug, einen Blick auf die Umsetzung zu werfen. Der Digitalverband Bitkom zog im September 2018 eine erste Bilanz, da war die DSGVO gerade mal ein halbes Jahr alt. Zum damaligen Zeitpunkt hatte erst ein Viertel (24 Prozent) der befragten Unternehmen die DSGVO vollständig umgesetzt. Laut Bitkom-Experten war vielen Unternehmen anfangs nicht bewusst, wie umfangreich sie ihre Prozesse prüfen und ihre Datenschutzmaßnahmen anpassen müssten.
Foto: Andrea Danti - shutterstock.com
Die folgenden Punkte zeigen, welche zentralen Aspekte auf lange Sicht noch eine große Herausforderung für Banken darstellen werden:
Datenschutz beim Test von IT-Systemen
IT-Systeme müssen gründlich getestet werden, bevor sie im Bankenumfeld zum Einsatz kommen. Insbesondere die Finanzaufsicht BaFin schreibt Tests unter möglichst realen Bedingungen vor. Bei internen Systemen oder Prozessen sind solche IT-Tests eher unkritisch, da in vielen Fällen keine personenbezogenen Daten verwendet werden müssen.
Handelt es sich aber beispielsweise um CRM- oder Buchhaltungssysteme, ist die Prüfung anhand von Originalkundendaten, wie Kreditkartennummern oder E-Mail-Adressen, meist unumgänglich. Im Sinne der DSGVO sollten diese IT-Tests allerdings mit pseudonymisierten oder synthetisch generierten Daten durchgeführt werden, da die Verordnung die Nutzung personenbezogener Informationen untersagt. Dies ist zwar im ersten Schritt kostenaufwändiger, aber letztlich stellen die Verantwortlichen sicher, nicht abgemahnt zu werden.
DSGVO und künstliche Intelligenz
Innovationen wie Künstliche Intelligenz (KI) oder eine automatisierte Beratung mittels Robo Advisor und Chatbot treiben die Digitalisierung von Banken voran. Sie haben das Potenzial, Mehrwert in Bereichen wie der Anlageberatung oder im Investmentbanking zu bieten sowie generell im Kundenservice. So kann ein Robo Advisor auf Basis von Verhaltens- und Persönlichkeitsmustern der Kunden selbstständig entscheiden, welche Produkte am besten zu ihnen passen.
Doch die Technologien sind hierfür auf das menschliche Wissen angewiesen, um zu lernen und gute Entscheidungen zu treffen. Sie ziehen ihre Expertise aus dem Verhalten einzelnen Personen – sprich Bankkunden und Mitarbeitern – sowie aus deren Daten. Banken, die etwa Robo Advisor einsetzen wollen, müssen daher stets Auskunft geben können, welche persönlichen Daten ihrer Kunden zu welchem Zweck verwendet werden. Sie müssen wissen, wo die Daten sich befinden und welche Algorithmen für ihre Verarbeitung relevant sind. Doch wenn Banken Algorithmen offenlegen müssen, betrifft dies möglicherweise auch Geschäftsgeheimnisse.
Lesetipp: Bot oder Mensch - was der Kunde wissen sollte
Noch anspruchsvoller wird die Auskunft bei KI-Systemen. Denn diese lernen eigenständig weiter, auch wenn die Datenbasis objektiv gleich bleibt, beispielsweise wenn Anleger ihre Optionen auswählen. Ebenso beziehen selbstlernende Systeme auch die Daten und Verhaltensweisen anderer Personen in ihre Entscheidungen mit ein. Hier muss geklärt werden, wie transparent man bei der Information aller „Betroffenen“ vorgeht. Eine weitere komplexe Herausforderung ist das Recht auf Vergessen: Dabei muss eruiert werden, ob und wie eine künstliche Intelligenz überhaupt „dümmer“ werden – sprich Gelerntes vergessen – kann und welche Auswirkungen dies auf den Leistungsumfang für andere Kunden oder Nutzer hat.
Zusammenarbeit mit Cloud-Anbietern
Die Bafin steht der Datenauslagerung in die Wolke mittlerweile positiv gegenüber. Um die Daten DSGVO-konform zu speichern, gilt es allerdings, einige Bedingungen zu beachten. So sollte vorab klar eruiert und definiert werden, welche Daten in die Cloud verlagert werden und welches Cloud-Modell bei welchem Anbieter genutzt wird. Cloud-Anbieter sollten entsprechend der Datenschutz-Grundverordnung folgende Möglichkeiten für Banken anbieten. Im Idealfall als standardisiertes Verfahren:
Klassifizierung: Personenbezogene Daten sollten eindeutig identifiziert, klassifiziert, gekennzeichnet und geschützt werden können. Dadurch ist sichergestellt, dass sie nicht in die Hände unberechtigter Dritter gelangen und nur für die Zwecke verwendet werden, die der Bankkunde freigegeben hat – sowohl bei der Speicherung als auch bei der Übertragung.
Filter: Um das Recht auf Vergessen umzusetzen und Kunden Auskunft über die Nutzung ihrer Daten geben zu könnten, sollten diese gefiltert werden können – etwa nach Personen, Speicherort oder Relevanz. Zudem sollte gewährleistet werden können, dass gelöschte Daten auch wirklich gelöscht sind.
IT-Sicherheit: Moderne IT-Security-Funktionen wie Verschlüsselung, Firewalls oder Multi-Faktor-Authentifizierung sollten ebenso zum Cloud-Grundkonzept gehören. Auf diese Weise können Banken darauf vertrauen, dass die Daten ihrer Kunden jederzeit auf dem neuesten Stand der Technik geschützt werden.
Umgang mit Datenschutzverletzungen: Verletzungen der DSGVO sollten sofort angezeigt und nachvollziehbar für Finanzinstitute gemacht werden, damit diese auch wiederum ihre Kunden umgehend informieren können.
Fazit
Bei allen Herausforderungen, die Banken noch lange begleiten werden, gibt es für die Finanzdienstleister auch Chancen im Zuge der DSGVO. So arbeiten die meisten von ihnen mit Legacy-Strukturen, die über Jahrzehnte gewachsen sind. Gleichzeitig gibt es Datenbankstrukturen, die oftmals noch redundant angelegt und daher weder effizient noch datenschutzkonform sind.
Die Datenschutz-Grundverordnung schafft einen einzigartigen Anreiz, diese Strukturen aufzubrechen und etwa das Konzept einer „Golden Source“ für Kundenstammdaten – also eine nicht-redundante Datenhaltung – umzusetzen. Durch den bewussteren Umgang mit Daten lassen sich Kunden konsistenter auf Basis einer 360-Grad-Sicht ansprechen. Gleichzeitig bringt die Transparenz bei der Datenerhebung und -nutzung Kunde und Bank wieder näher zusammen und stärkt das Vertrauensverhältnis. Denn die Erfahrung zeigt, dass Kunden durchaus bereit sind, einer umfassenderen Datenverwendung zuzustimmen, wenn ihnen dadurch klare Mehrwerte geboten werden.