Langzeitprojekt DSGVO-Umsetzung

Banken in der digitalen Verantwortung

21.06.2019
Von   IDG ExpertenNetzwerk


Als Chief Marketing Officer (CMO) ist Martin Häring für das weltweite Marketing des Finanz-Softwareherstellers Finastra verantwortlich. Martin Häring kam im Oktober 2013 zu Finastra (ehemals Misys). Er bringt mehr als 25 Jahre an Marketing- und Managementerfahrung mit, die er zuvor in Führungspositionen bei international agierenden Technologieunternehmen erworben hat.
Viele Banken haben bei der DSGVO noch Nachholbedarf – sowohl in ihren IT-Systemen als auch in ihren Prozessen. Langfristig gibt es ganz konkrete Ansatzpunkte

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist seit rund einem Jahr in Kraft. Grund genug, einen Blick auf die Umsetzung zu werfen. Der Digitalverband Bitkom zog im September 2018 eine erste Bilanz, da war die DSGVO gerade mal ein halbes Jahr alt. Zum damaligen Zeitpunkt hatte erst ein Viertel (24 Prozent) der befragten Unternehmen die DSGVO vollständig umgesetzt. Laut Bitkom-Experten war vielen Unternehmen anfangs nicht bewusst, wie umfangreich sie ihre Prozesse prüfen und ihre Datenschutzmaßnahmen anpassen müssten.

Angriffe von außen, zum Beispiel durch Cyber-Angriffe, sind für Finanzunternehmen ein wichtiges Thema.
Angriffe von außen, zum Beispiel durch Cyber-Angriffe, sind für Finanzunternehmen ein wichtiges Thema.
Foto: Andrea Danti - shutterstock.com

Die folgenden Punkte zeigen, welche zentralen Aspekte auf lange Sicht noch eine große Herausforderung für Banken darstellen werden:

Datenschutz beim Test von IT-Systemen

IT-Systeme müssen gründlich getestet werden, bevor sie im Bankenumfeld zum Einsatz kommen. Insbesondere die Finanzaufsicht BaFin schreibt Tests unter möglichst realen Bedingungen vor. Bei internen Systemen oder Prozessen sind solche IT-Tests eher unkritisch, da in vielen Fällen keine personenbezogenen Daten verwendet werden müssen.


Handelt es sich aber beispielsweise um CRM- oder Buchhaltungssysteme, ist die Prüfung anhand von Originalkundendaten, wie Kreditkartennummern oder E-Mail-Adressen, meist unumgänglich. Im Sinne der DSGVO sollten diese IT-Tests allerdings mit pseudonymisierten oder synthetisch generierten Daten durchgeführt werden, da die Verordnung die Nutzung personenbezogener Informationen untersagt. Dies ist zwar im ersten Schritt kostenaufwändiger, aber letztlich stellen die Verantwortlichen sicher, nicht abgemahnt zu werden.

DSGVO und künstliche Intelligenz

Innovationen wie Künstliche Intelligenz (KI) oder eine automatisierte Beratung mittels Robo Advisor und Chatbot treiben die Digitalisierung von Banken voran. Sie haben das Potenzial, Mehrwert in Bereichen wie der Anlageberatung oder im Investmentbanking zu bieten sowie generell im Kundenservice. So kann ein Robo Advisor auf Basis von Verhaltens- und Persönlichkeitsmustern der Kunden selbstständig entscheiden, welche Produkte am besten zu ihnen passen.

Doch die Technologien sind hierfür auf das menschliche Wissen angewiesen, um zu lernen und gute Entscheidungen zu treffen. Sie ziehen ihre Expertise aus dem Verhalten einzelnen Personen – sprich Bankkunden und Mitarbeitern – sowie aus deren Daten. Banken, die etwa Robo Advisor einsetzen wollen, müssen daher stets Auskunft geben können, welche persönlichen Daten ihrer Kunden zu welchem Zweck verwendet werden. Sie müssen wissen, wo die Daten sich befinden und welche Algorithmen für ihre Verarbeitung relevant sind. Doch wenn Banken Algorithmen offenlegen müssen, betrifft dies möglicherweise auch Geschäftsgeheimnisse.

Lesetipp: Bot oder Mensch - was der Kunde wissen sollte

Noch anspruchsvoller wird die Auskunft bei KI-Systemen. Denn diese lernen eigenständig weiter, auch wenn die Datenbasis objektiv gleich bleibt, beispielsweise wenn Anleger ihre Optionen auswählen. Ebenso beziehen selbstlernende Systeme auch die Daten und Verhaltensweisen anderer Personen in ihre Entscheidungen mit ein. Hier muss geklärt werden, wie transparent man bei der Information aller „Betroffenen“ vorgeht. Eine weitere komplexe Herausforderung ist das Recht auf Vergessen: Dabei muss eruiert werden, ob und wie eine künstliche Intelligenz überhaupt „dümmer“ werden – sprich Gelerntes vergessen – kann und welche Auswirkungen dies auf den Leistungsumfang für andere Kunden oder Nutzer hat.