Aufrufe
vor 5 Jahren

die bank 05 // 2018

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG eines

REGULIERUNG eines digitalen Transformations-Wettkampfs – sowohl gegen ihre traditionellen Wettbewerber als auch gegenüber jenen neuen Herausforderern, deren Geschäftsmodelle sich um den intelligenten Einsatz von neuen Technologien drehen. Stichworte sind hier künstliche Intelligenz, Blockchain, Big Data, Predictive Analytics, Chatbots oder das Internet of Things. Diese Anwendungsfälle lassen sich in der Datenwolke einfacher realisieren als in den verkrusteten Altsystem-Welten und im Organisations- Wirrwarr klassischer Banken. Die HSBC etwa will im Rahmen ihrer Cloud-Strategie große Datenmengen in der Cloud analysieren und via APIs auf Machine- Learning-Tools zugreifen. Dabei bieten diese Dienste nicht nur eine Heimat für neue Anwendungen der Finanzindustrie, sondern sie bilden auch die Grundlage für die Realisierung moderner Arbeitsumgebungen für die eigenen Mitarbeiter. Die DSGVO wirft ihre Schatten voraus Doch die Herausforderungen für ein erfolgreiches Cloud-System enden nicht bei der IT-Infrastruktur und der Software. Zusätzlich gilt es, neue Vorgaben – wie die ab dem 25. Mai 2018 EU-weit gültige Datenschutz-Grundverordnung (DSGVO) – sorgfältig in der Planung der eigenen Strategie zu berücksichtigen. Für personenbezogene Daten, die in der Cloud gespeichert werden, gelten demnach die DS- GVO-Bestimmungen hinsichtlich einer Auftragsdatenverarbeitung. Davon betroffen sind dann nicht nur offensichtliche Informationen, sondern auch weniger offensichtliche Merkmale – neben Kundenadressen und Telefonnummern auch Daten über Mitarbeiter oder IP-Adressen der Besucher von Firmen-Webseiten. Zwar bieten die meisten Provider inzwischen Zertifizierungen für die Bereiche Datenschutz, Auftragsdatenverarbeitung und weiterer Prüfungsstandards an. Allerdings beinhalten die Regularien spezifische Anforderungen und Fallstricke, die sorgfältig betrachtet werden müssen – etwa für das Recht auf Datenlöschung oder des eigenen „Vergessenwerdens“. So sollen Unternehmen laut DSGVO nur solche Cloud-Anbieter beauftragen, "die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet" (Art. 28). Die erweiterten Löschansprüche richten sich somit auch gegen den Cloud-Provider. Außerdem stellt das neue Recht auf Datenübertragbarkeit eine Herausforderung für Cloud-Provider dar (Art. 20). Demnach haben Auftraggeber einen Anspruch darauf, personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format abzurufen, z. B. um diese Daten an andere Anbieter übertragen zu können. Verschiedene Umsetzungsalternativen erfordern strategische Lösungsansätze Die Cloud bietet grundsätzlich drei Optionen für die Umsetzung von (Finanz-) Anwendungen: Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a- Service (SaaS) – wobei letztere gemäß einer gemeinsamen Studie von FIMA, Publicis.Sapient und WBR derzeit bereits überwiegen. Gerade im regulatorischen Bereich setzen mehr und mehr Banken auf Cloud Services, um eine geordnete Umsetzung der steigenden Anzahl von Vorschriften zu gewährleisten – bei gleichzeitig erhöhter Skalierbarkeit sowie geringeren Entwicklungs- und Betriebskosten. Aufgrund der – je nach Regelwerk – unterschiedlichen Anforderungen, etwa im Hinblick auf die Ortsgebundenheit der Daten, müssen Banken bei der Auswahl der richtigen Lösung darauf achten, dass sie die vollständige Kontrolle über sämtliche Datenflüsse behalten. Hierfür bieten sich hybride Modelle aus öffentlichen Cloud-Lösungen und privaten Infrastrukturen an. Sie kombinieren Flexibilität und Wiederverwendbarkeit von be- stehenden Komponenten mit der Einhaltung gesetzlicher Auflagen und den Schutzerwartungen der Kunden. Auch Lösungen wie die Cloud „mit deutscher Datentreuhand“ von Microsoft tragen dazu bei, dass sich die Akzeptanz für Cloudbasierte Anwendungen in der Branche stetig erhöht. Bei diesem Beispiel agiert eine Tochtergesellschaft der Deutschen Telekom als „Datentreuhänder“. Sie stellt sicher, dass Kontrolle und Entscheidungshoheit über die Daten in jedem Fall beim Finanzinstitut verbleiben. Der US-amerikanische Software-Riese reagiert damit auf Vorbehalte insbesondere aus Deutschland: Es geht darum, zu vermeiden, dass US-Behörden das Unternehmen zwingen könnten, einen Blick in die verwalteten Daten zu gewähren. FAZIT In den letzten Jahren hat sich die Einstellung zu Cloud-Lösungen in der Finanzwelt drastisch gewandelt. Bedingt durch die hohe Konkurrenzsituation, steigende Kundenansprüche und die Verfügbarkeit neuer 44 05 // 2018

REGULIERUNG Zusatzinfo Technologien ist eine Hinwendung zu dieser neuen Technologie erfolgt. Im Zeitalter des digitalen Wandels ermöglicht sie den Spagat zwischen geringeren Kosten einerseits und den zwingend notwendigen kürzeren Go-to- Market-Zyklen andererseits. Während einige Banken noch eine prüfende Haltung einnehmen, sind andere bereits dabei, die Früchte in Form einer verbesserten Ertragslage und einer erhöhten Kundenzufriedenheit zu ernten. Neue Datenschutzregelungen aus der DSGVO erzeugen Handlungsbedarf. Sie erfordern eine Überprüfung und ggf. Anpassung bestehender Verträge mit den Cloud- Providern. Allerdings besteht kein Grund zur Panik. Hilfestellungen bieten beispielsweise die Musterverträge und FAQ-Listen des Arbeitskreis Datenschutz im Verband der Digitalwirtschaft Bitcom e. V. Autor Bernd Harnisch ist bei Publicis.Sapient als Vice President Strategy & Consulting in diversen Projekten bei Banken tätig. Sein Schwerpunkt sind dabei IT Infrastrukturen und neue Technologien. Sollten Datenschutzverstöße erfolgen, ist in erster Linie der Nutzer, nicht der Cloud-Anbieter haftbar. Gut, wenn der Anbieter mittels Zertifikat nachweisen kann, dass seine Cloud Datenschutz- und -sicherheitsbestimmungen einhält. Aufgrund der vielen verschiedenen Zertifikate, welche den Markt überschwemmen, entwickelte und etablierte der Mitte 2015 gegründete Verein „Kompetenznetzwerk Trusted Cloud e. V.“ ein Gütesiegel für vertrauenswürdige Cloud Services, das Trusted Cloud Label. Das Kompetenznetzwerk ging aus dem gleichnamigen Technologieprogramm des Bundesministeriums für Wirtschaft und Energie (BMWi) hervor. Darüber hinaus gibt es ein „Trusted Cloud Datenschutz-Profil für Cloud-Dienste“ (TCDP), einen Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Sein Nachfolger ist das Forschungsprojekt „Auditor“, dessen Ziel die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten ist. Auch Auditor wird gefördert vom BMWi. Infos unter: www.trusted-cloud.de, www.tcdp.de, http://auditor-cert.de, www.bitcom.org 05 // 2018 45

die bank