REGULIERUNG

Die DSGVO ist ein Triebmotor der Digitalisierung

Thomas Heiserowski, Foto: Europace

Die erste Aufregung um die DSGVO hat sich inzwischen gelegt. Thomas Heiserowski bewertet sie weder als einschränkend noch als übertrieben. Am Beispiel von unverbindlichen Online-Kreditanfragen erklärt er, wie sinnvoll der Grundsatz der Datensparsamkeit sein kann. Bei KI-gestützten Prozessen kann die Datenschutzgrundverordnung sogar hilfreich sein - legt sie doch die Leitplanken für die Programmierung fest, etwa das Timing, wann Aufbewahrungsfristen greifen oder Informationspflichten gelten. Insofern bewertet er die Verordnung sogar als Treibmotor der Digitalisierung. Red.

Nachdem die erste Mythenwelle abebbt, zeigen sich die Vorteile der 2018 novellierten Datenschutzgrundverordnung (DSGVO). Die Verordnung ist weder unklar noch einschränkend oder übertrieben. Und auch die ersten Bußgeldbescheide fallen mit 20 000 Euro, etwa in Baden-Württemberg, deutlich weniger dramatisch aus, als vor einem halben Jahr befürchtet. Zudem zeigt sich: Die DSGVO treibt technologische Weiterentwicklungen voran. Hinzu kommen mehr Transparenz und ein sparsamerer Umgang mit Verbraucherdaten.

Wer den Datenschutz von Verbraucherseite aus denkt, kann nur zu diesen Schlüssen kommen. Denn im Kern hat sich an der Intention des Datenschutzes durch die Novellierung nichts verändert. Bereits das erste Bundesdatenschutzgesetz aus dem Jahr 1977 hatte als oberstes Ziel, die Daten der Menschen zu schützen. Die zum 25. Mai vorigen Jahres in Kraft getretene EU-Verordnung hat die gleiche Intention, blickt aber auf neue Technologien. Neu ist die schärfere, rechtliche Verfolgung bei Verstößen. Bußgelder können nun auf bis zu vier Prozent des Jahresumsatzes eines Unternehmens festgelegt werden.

Datensparsamkeit ist Gebot

Vor Geltung der DSGVO war zu beobachten, dass Organisationen eher dazu tendierten, möglichst viele Daten zu sammeln. Ein Ziel war, so schien es, möglichst viele Informationen über Kunden und Endverbraucher zu horten. Oft ohne eine wirkliche Idee, was mit diesem Wissen anzufangen ist. Erst Unternehmen wie Amazon, Google und Facebook haben der Finanzwelt gezeigt, wie Daten zu Geld und wie viele Daten zu viel Geld werden.

Diesem Verhalten versucht die DSGVO einen Riegel vorzuschieben. Zumindest liefert sie Werkzeuge, um bei Missbrauch empfindliche Strafen zu verhängen.

Europace hat von Anfang an den Datenschutz aus Sicht des Verbrauchers gedacht. Auf der B2B-Plattform können zwar Banken und Berater die Daten der Endkunden hinterlegen, doch nur diejenigen Informationen, die für eine Finanzierung tatsächlich relevant sind. Der Verbraucherschutz hat oberste Priorität.

Für Erstberechnungen reichen zwei Parameter

Hierzu ein Beispiel: Die Berater können bei Europace einen sogenannten Schnellstart initialisieren. Hierzu benötigen sie, um etwa eine Baufinanzierung zu rechnen, nur vier grundlegende Parameter: Zuerst klären wir, ob es sich um einen Neubau oder eine Sanierung handelt, ein Haus oder eine Wohnung finanziert werden soll. Dann wird die Postleitzahl abgefragt und schließlich, ob vermietet oder eigengenutzt wird. Für diese erste Berechnung werden weder Name noch Adresse benötigt und auch kein Geburtsdatum.

Kritiker sagen, diese Angebotsberechnungen seien wenig aussagekräftig. Doch mit einer Erstindikation ist durchaus der Einstieg in eine Beratung möglich. Und vor allem: Der Interessent muss dabei keine persönlichen Details preisgeben. Diese sparsame Art, mit sensiblen Kundendaten umzugehen, stärkt das Vertrauen des Kunden in seinen Berater.

Hinzu kommt: Immer mehr Menschen erledigen Bankgeschäfte online, per Telefon oder Videoberatung. Das gilt für Ratenkredite genauso wie für komplexe Prozesse, etwa eine Immobilienfinanzierung. Das belegen diverse Studien und berichten Produkt- und Vertriebspartner. Mit dieser Entwicklung einher geht der Wunsch, dem Berater nicht beim ersten Kontakt alle persönlichen Daten liefern zu müssen. Und auch Telefonberater wollen nicht umfangreiche Informationen ins System tippen, um eine erste Berechnung erstellen zu können. So reichen beim Konsumentendarlehen zwei Parameter (Summe und Laufzeit), um die Beratung aufzunehmen und um damit erste Schritte einer "Customer Journey" zu gehen.

DSGVO gibt Leitplanken für KI-unterstützte Prozesse

Im Laufe der letzten Jahre ist aus einem schnellen Abschluss ein Prozess geworden. Mittels Künstlicher Intelligenz (KI) können viele Interessenten über einen längeren Zeitraum mit zugeschnittenen Informationen gehalten und somit als Kunden gewonnen werden. Beziehung aufbauen und pflegen ist das neue Verkaufen. Und auch auf diese Kontaktanbahnung hat sich die DSGVO ein gestellt. KI-unterstützte Prozesse, die es vor 30 Jahren noch gar nicht gab, als das Bundesdatenschutzgesetz letztmalig novelliert wurde, wurden aufgenommen und geben damit Leitplanken aus.

In der realen Softwarewelt kann ein verbraucherfreundliches Datenmanagement so aussehen: Endverbraucher sehen bei Europace über die transparenten Datenschutzhinweise, wer welche persönlichen Daten über sie speichert oder welche Daten an Dritte wie die Schufa weitergegeben werden. Bleibt ein Vorgang in der Leadphase, werden Daten automatisch nach kurzer Zeit gelöscht.

Erst nach dem Erstellen eines rechtsverbindlichen Angebots greifen Aufbewahrungsfristen, die dazu zwingen, Kundendaten über gewisse Zeiträume zu speichern. Unsere Vision von einem nutzerfreundlichen geschützten Bereich sieht vor, dass auch der Endkunde über einen direkten Zugang einsehen kann, welche Dokumente zu seinem Vorgang gespeichert sind. Die Kunden sehen dann alle über sie gespeicherten Daten und können über ihren Berater gesetzeskonforme Löschungen vornehmen lassen.

In Zukunft sollte so viel Transparenz im Bankgeschäft möglich sein. Nötig ist sie ohnehin - dank DSGVO. Die hohe Kunst besteht darin, diese komplexen Szenarien zu programmieren und Regeln zu finden, die Kunden genau diese Zugriffe ermöglichen, die rechtlich erlaubt sind und Fehler ausgeschlossen werden.

Die zweite Gruppe in der Gesamtbetrachtung DSGVO sind neben den Verbrauchern die Berater und Vermittler. Durch die Implementierung der DSGVO-Vorgaben vereinfacht Europace deren Arbeitsabläufe. Das System ermöglicht es ihnen zu entscheiden, wann sie welche Datenschutzhinweise einbringen wollen, und erleichtert die sachgerechte und vollständige Information des Verbrauchers. Dazu zählen die eigenen, die der Plattform, der Banken, Versicherungen oder Bausparkassen, für die sie arbeiten und Dritten wie Kreditauskunfteien. Die Berater werden durch einen programmierten Hinweis angehalten, sobald sie einen Vorgang anlegen, die Datenschutzhinweise an Endkunden weiterzugeben.

Das ist ein wichtiges Detail. Denn die DSGVO verlangt dieses Timing. Ganz zu Beginn des Customer Journey, möglichst bevor erste persönliche Daten ausgetauscht werden, muss der Berater über den Umgang mit Daten informieren. Dazu erhält er aus dem System ein Dokument, das über alle wichtigen Fakten informiert, etwa, wie die Hinweise der Produktpartner aussehen, deren Angebote er unterbreitet. Es ist wichtig, dass er oder sie bereits in dieser frühen Beratungsphase vollständig Auskunft geben kann.

Bei einer Finanzierung sind mehrere Partner beteiligt: Vertriebe, Banken, Schufa, Gutachter oder Versicherungen. Für den Verbraucher geht schnell der Überblick verloren, wer denn nun seine Daten hat. Ein wichtiges Gebot der DSGVO ist Transparenz. Sobald Daten weitergeben werden, sind neue Datenschutzhinweise mit im Spiel. Europace stellt daher automatisch alle notwendigen Hinweise zur Verfügung. Das spart Zeit, Arbeit und am Ende profitiert der Verbraucher von der Transparenz.

Eine Versionierung ermöglicht es dem Berater, jederzeit nachzuvollziehen, wann er welche Datenschutzhinweise übergeben hat. Und um für den Vertrieb die Bereitstellung seiner Hinweise zu vereinfachen, haben wir meinedatenschutzhinweise.de gegründet. Diese Seite ist verknüpft mit dem persönlichen Konto, der Berater kann seine Datenschutzhinweise überall einbinden und übermitteln.

Bei Europace hat sich die DSGVO tief in die Unternehmens-DNA eingewoben. Bei der Entwicklung neuer Features läuft der Prozess immer gemeinsam mit dem Datenschutzbeauftragten Philipp Müller-Peltzer. Kein Kollege kommt daran vorbei, mit dem Rechtsanwalt Entwicklungen und Ideen zu klären, um bestmögliche Lösungen zu gestalten. Die Grundsätze privacy by design und privacy by defaults wurden zum Anlass genommen, Entwicklungsrichtlinien weiterzuentwickeln und verbraucherfreundlich auszurichten.

Am Beispiel des Features "Automatisierte Dokumentenerkennung" wird dies deutlich: Wir verzichten beim Einlesen von Gehaltsabrechnungen auf sensible Informationen. Der Algorithmus schwärzt nicht relevante Datenfelder und ignoriert diese.

Keine Angst vor Cloud-Services

Ein weiterer Aspekt, der im Zusammenhang mit Datenschutz immer wieder fällt, sind Cloud-Services. Unter Finanzunternehmen herrscht mitunter die Angst, dass Daten Risiken ausgesetzt sind, wenn sie nicht im eigenen Rechenzentrum (möglichst beheimatet im Keller der Bank) lagern. Doch die Technologie liefert hierauf Antworten.

Das erste Argument, das für Clouds spricht, ist das Abfedern von Auslastungsspitzen. Diese zwingen Rechenzentren regelmäßig in die Knie, etwa wenn nach einer Fernsehwerbung 100 000-fach auf den Server zugegriffen wird. Das funktioniert so gut, dass Hacker sich auf diese Art des Angriffs spezialisiert haben. Mit sogenannten DDoS-Attacken provozieren sie Überlastungen, die Sicherheitslücken in den Systemen offerieren. Im Sinne einer Risikoabwägung schalten etliche Finanzunternehmen ihre Systeme in solchen Fällen einfach ab. In der Folge sind Giro-Online-Konten nicht mehr verfügbar. Sehr zum Ärger der Verbraucher.

Die Bankenaufsicht geht offen an das Thema Cloudanbieter heran und verlangt Kontrollrechte und die Umsetzung von Sicherheitsstandards. Die BaFin hat sich bereits vor Jahren über Zusatzvereinbarungen umfassende Kontrollrechte bei Cloudanbietern einräumen lassen.

Natürlich spielen in diesem Kontext der Auslagerung Sicherheitsaspekte eine Rolle, die aber ebenso nötig sind, wenn Daten im eigenen Rechenzentrum liegen. Etwa, dass sich Kreditinstitute Gedanken darüber machen, welche Daten verschlüsselt verarbeitet werden und wer Zugriff auf diese hat. Ebenso müssen sich Sicherungssysteme permanent an geänderte technologische Entwicklungen anpassen, die teilweise sehr rasant sind.

Datensilos in unterschiedlichen Kategorien

Eine moderne Datenarchitektur ist notwendig, um technologischen Herausforderungen begegnen zu können. Dazu gehören Datensilos in unterschiedlichen Kategorien:

- Eines für Produktangebote, das komplett frei von persönlichen Daten der Verbraucher sind.

- Ein zweites für Finanzanfragen der Berater, die den Bedarf ihrer Kunden analysieren. Und ein Drittes, das ausschließlich dem Reporting dient.

Eine Aufteilung und letztlich Speicherung an unterschiedlichen Orten bedient relevante Sicherheitsaspekte im Sinne des Datenschutzes. Zum einen, weil unterschiedliche Datenkategorien verschiedenen Sicherheitsanforderungen unterliegen. Reine Produktkonditionen sind weniger sicherheitsrelevant als personenbezogene Daten. Ein smartes Verschlüsselungskonzept und -management stellt die vollständige Kontrolle über den Datenbestand sicher. Durch diese Infrastruktur stellt die Exit-Strategie sicher, dass jederzeit auf alternative Speicheranbieter ausgewichen werden kann. Durch die modulare Architektur ist es möglich, dass nur der Teil der Architektur umgezogen oder umgebaut wird, der in dem jeweiligen Datensilo liegt. Historische Strukturen hingegen bergen Risiken in sich, wenn Teilsysteme veraltet sind und dadurch die komplette Sicherheit gefährden.

Schließlich zwingt das Outsourcen auch zum Überarbeiten und gegebenenfalls Aktualisieren des Rechte- und Rollen-Managements. Etwa, weil durch verschiedene Speicherstandorte komplexere Zugriffssysteme erforderlich sein können. Letztlich bedeuten mehr Schnittstellen mehr Steuerungsaufwand, was als Nachteil der Cloud-Variante gelten kann. Der aber schnell entschärft wird: Als jüngst in Berlin ein U-Bahnschacht repariert wurde, beschädigte vermutlich ein Bagger wichtige Datenstränge. Danach hatten viele Unternehmen in der Stadt keinen Zugriff mehr auf ihre Systeme. Anbieter, die auf Cloud-Services setzen, mindern dieses physische Risiko, weil die Server in ganz Europa verteilt stehen. Auch das ist im Sinne der DSGVO verbraucherfreundlich gedacht und gehandelt.

Datenverfügbarkeit und die schnelle Wiederherstellung von Systemen sind ebenfalls Schutzziele des Datenschutzes. Der gefühlte Kontrollverlust wird zu einem realen Kontrollgewinn, wenn Cloud-Technologie genutzt wird.

Die DSGVO als Triebmotor der Digitalisierung hat dazu gezwungen, sämtliche digitalen Prozesse und Teilsysteme zu überprüfen und zu dokumentieren. Die Sorgfalt in der Beobachtung und das Verständnis der eigenen Prozesse ist eine Grundvoraussetzung dafür, digitale Prozesse von morgen zu denken. Data Governance und Compliance sind für dabei Grundpfeiler, der Technik den Sprung in die Zukunft zu ermöglichen.

Thomas Heiserowski, Co-CEO Europace AG, Berlin
twitter
Noch keine Bewertungen vorhanden


X