Im Spannungsfeld zwischen Digitalisierung und Datenschutz brauchen Banken kluge technische Lösungen. Diese sollen helfen, die vielfältigen regulatorischen Anforderungen zu erfüllen und zugleich zeitgemäße Geschäftsmodelle zu etablieren.
Der Wunsch nach hoher Datensicherheit lässt sich mit durchdachter technologischer Innovation noch besser als bisher verwirklichen.
Die klassische Finanzwirtschaft befindet sich in einem herausfordernden Umbruchprozess, der von mehreren Faktoren getrieben wird. Hier sind zum einen die wachsenden Anforderungen zu nennen, die staatliche Institutionen dem Bankwesen durch zunehmende regulatorische Vorgaben auferlegen. Gesetze zur Verhinderung von Geldwäsche und anderen kriminellen Aktivitäten, die Einhaltung von ESG-Richtlinien (Environment, Social, Governance) oder des Datenschutzes erfordern komplexe Prozesse. Damit nicht genug, werden die einschlägigen Regularien ständig erweitert oder neu gestaltet.
Zum anderen drängen mit den Fintechs neue Player auf den Markt. Diese Start-ups nutzen den Vorteil, ohne den Ballast vorhandener Strukturen und Prozesse schlanke digitale Geschäftsmodelle zu etablieren, die dem klassischen Finanzsektor das Wasser abgraben. Altehrwürdige Finanzinstitute müssen sich daher teilweise neu erfinden, um sich in diesem Wettbewerb zu positionieren und gleichzeitig Pfade durch das regulatorische Dickicht zu schlagen - angesichts oft schwerfälliger, in Jahrzehnten gewachsener IT-Landschaften keine leichte Aufgabe.
Innovative digitale Lösungen schaffen hier Abhilfe, stoßen allerdings nicht immer auf Gegenliebe. Denn in der Öffentlichkeit wird die notwendige Digitalisierung von Geschäftsprozessen im Finanzbereich durchaus kritisch betrachtet, insbesondere unter dem Aspekt des Datenschutzes.
Datenschutz und Digitalisierung ist kein Widerspruch
Fest steht: Die Finanzwirtschaft muss sensible Kundendaten erheben, um ihren regulatorischen Verpflichtungen zur Bekämpfung von Geldwäsche (AML) und Kundenkenntnis (KYC) nachzukommen. Um die Vorschriften zu erfüllen, müssen für neu aufgenommene Kunden Due-Dilligence-Prozesse durchgeführt werden, um potenzielle Risiken zu bewerten. In diesem Zuge müssen auch Geldflüsse überwacht und dokumentiert sowie risikominimierende Analysen vorgenommen werden.
Diese Praxis steht unter dem Generalverdacht über das Ziel hinausschießender Datensammelei und potenzieller Gefahren durch Datenlecks und Datenmissbrauch. Um diesem Misstrauen zu begegnen, wurden mit der Datenschutzgrundverordnung - oder auch mit der zu erwartenden ePrivacy-Richtlinie der Europäischen Union - entsprechende gesetzliche Rahmenbedingungen erlassen. Die Finanzwirtschaft steht nun vor der Herausforderung, diese Anforderungen mit innovativen, digitalen Lösungen in sinnvolle Geschäftsprozesse zu überführen.
Compliance-Prozesse automatisieren
Diese Lösungen stehen zur Verfügung. Komplexe Compliance-Prozesse können inzwischen automatisiert umgesetzt werden, wobei die regulatorische Datenbasis immer auf dem neuesten Stand gehalten wird.
Gleichzeitig werden wesentliche Aspekte, die dem Datenschutz genügen und Vertrauen aufbauen, umgesetzt. Zum einen wird das Gebot der Transparenz erfüllt. Kunden können mit diesen Lösungen stets nachvollziehen, welche Daten zu welchem Zweck erhoben werden. Zum anderen wird die Datensparsamkeit zum Ziel erklärt und technologisch verwirklicht. KYC-Prozess, Kundenonboarding, Risikomanagement oder Offboarding finden nicht in isolierten Datensilos statt, sondern basieren auf einem zentralen Datensatz. Damit lassen sich Schutzsysteme und Zugangskontrollen wesentlich effizienter etablieren und aufrechterhalten.
Systemintegrität wahren
API-basierte IT-Architekturen sind ein Schlüsselfaktor, um Sicherheit im Datenverkehr und beim Datenmanagement herzustellen. APIs erfordern in der Regel Authentifizierung und Autorisierung, um sicherzustellen, dass nur berechtigte Benutzer oder Anwendungen auf die Daten zugreifen können. Dies kann durch die Verwendung von API-Schlüsseln, OAuth-Token oder anderen Mechanismen erfolgen. Oder es werden Rate-Limiting-Mechanismen implementiert, um die Anzahl der Anfragen pro Zeiteinheit zu begrenzen. Dies hilft, Überlastungsangriffe zu verhindern und die Systemintegrität aufrechtzuerhalten.
Zum Einsatz kommen außerdem Tools zur permanenten Datenanalyse. Analytics-Tools können Daten über das Verhalten des Systems analysieren, um potenzielle Sicherheitsbedrohungen zu identifizieren. Dies umfasst die Erkennung von ungewöhnlichem Verhalten, Anomalien oder verdächtigen Aktivitäten.
Wuchernde IT-Landschaften behindert Sicherheit
Zuletzt werden die Systeme durch Verschlüsselung, Datenanonymisierung und umfängliche Zugriffsprotokolle geschützt. Das verhindert Missbrauch und schafft Vertrauen. Das war nicht immer so. Gewachsene Organisationsstrukturen und wuchernde IT-Landschaften erzeugte angesichts der Regulatorik manuelle Prozesse und Datensilos. Die Folge: Wenig Transparenz, genervte Kunden, fragile Sicherheit.
Somit ist klar: Digitale Innovationen sind nicht der Feind von Datenschutz und Privatsphäre, sondern tragen vielmehr dazu bei, diese wirklich zu gewährleisten. Gleichzeitig erhalten Banken die Möglichkeit, ihre Geschäftsmodelle profitabel und im Sinne des Kunden weiter zu entwickeln. Insbesondere der 360-Grad-Blick auf die Daten ihrer Kunden liefert wertvolle Informationen und setzt regulatorische Vorgaben zur Kriminalitätsbekämpfung in die Realität um.
Datensicherheit und Kriminalitätsbekämpfung
Gleichwohl ist die Welt eine andere: Immer öfter geraten Finanzinstitute an die Grenzen des datenschutzrechtlich Machbaren, wenn sie ihre regulatorischen Verpflichtungen erfüllen wollen. Das Spannungsfeld zwischen europäischem Datenschutzrecht und der notwendigen Bekämpfung der Finanzkriminalität muss daher beseitigt werden. Banken müssen in die Lage versetzt werden, Kundendaten untereinander und mit anderen Akteuren austauschen, um weiterhin gegen die zunehmende Finanzkriminalität vorgehen zu können und Compliance-Prozesse zu optimieren.
Erst Ende 2022 hat der Europäische Gerichtshof in einem wegweisenden Urteil den Zugriff auf das Register wirtschaftlicher Eigentümer von Unternehmen unter Verweis auf den Grundrechtsschutz eingeschränkt. Damit wird es Banken erschwert, ihrer KYC-Compliance im Rahmen von Onboarding- und Due-Diligence-Prozessen zu genügen. Zentrale Informationen, die dringend für die Bekämpfung von Finanzkriminalität gebraucht werden, stehen nur erschwert zur Verfügung.
Mehr Dialog zwischen Finanzwirtschaft und Regulatoren
Regulierungsbehörden und die Finanzwirtschaft sollten daher in einen Dialog treten. Die Expertise von Systemanbietern, Finanzinstituten und Datenschützern kann dazu beitragen, wirklich sinnvolle Regelungen zu finden, die allen nützen. Dabei stehen Themen wie die Datensicherheit, technologische Umsetzbarkeit, betriebswirtschaftliche Effizienz sowie die Bekämpfung von Kriminalität im Vordergrund.
Es muss klar werden, dass der berechtigte Wunsch nach hoher Datensicherheit mit durchdachter technologischer Innovation noch besser als bisher verwirklicht werden kann. Datenschutz und Digitalisierung stehen eben nicht in einem permanenten Widerspruch. Vielmehr werden digitale Innovationen durch datenschutzrechtliche Anforderungen in eine Richtung gelenkt, die im unmittelbaren Kundeninteresse liegt und damit gesellschaftlichen Nutzen stiftet.