Geldinstitute > Strategie

01.12.2017 von Herbert Loerch, General Manager EMEA bei Hyland

DSGVO und Geldinstitute: Informationsmanagement als zentrale Instanz

Eine unter Datenschutz-Verantwortlichen durchgeführte Studie des Softwareherstellers SAS zeigt auf, wo in Sachen EU-DSGVO (Europäische Datenschutz-Grundverordnung) und Information-Management bei den Unternehmen noch gewaltig der Schuh drückt.

Autor: Herbert Loerch, General Manager EMEA bei Hyland

 Dazu ein Beispiel: Bekannterweise haben Personen gemäß der Verordnung das Recht auf Löschung oder Portierung ihrer Daten. 48 Prozent der Studienteilnehmer sagen jedoch aus, dass es bereits eine Herausforderung für sie darstelle, die Personendaten in ihrer eigenen Datenbank zu finden. Das liegt unter anderem an der Mehrfachspeicherung von Datensätzen in verschiedenen Systemen. Laut der Umfrage äußern außerdem 58 Prozent außerdem Probleme bei der Datenportabilität und der praktischen Umsetzung des Rechts auf Vergessenwerden, also dem Löschen der Daten auf Kundenwunsch, was ihnen nunmehr mit der DSGVO ausdrücklich zugebilligt wird. Zudem sei auch der eigentliche Zugriff auf die Personendaten eine immense Herausforderung. „Insbesondere große Unternehmen und Finanzinstitute haben Schwierigkeiten, gespeicherte Personendaten zu finden“, so die Studie wörtlich.

 

Warum das alles so schwierig ist, erklärt der Blick „unter die Motorhaube“: Kernbanken-Software, ERP, CRM oder Filialanbindung – je integrierter ein Institut seinen Kunden gegenübertreten möchte, desto höher ist oft die Zahl der parallel eingesetzten Software-Lösungen. Daten sind demnach überall und nirgendwo, Begrifflichkeiten wie „IT-Dschungel“ und „Schatten-IT“ kommen dabei nicht von ungefähr. Kurz und gut: Es mangelt an Durchblick.

Wollen Geldinstitute diesen jedoch bekommen, lohnt ein Blick in andere Branchen. Etwa in die Logistik: Revolutionär war hier seinerzeit die Einführung der dynamischen Lagerhaltung, auch als „Chaos-Lager“ bekannt. Paletten erscheinen dort auf den ersten Blick wild gemixt. Der Rasenmäher teilt sich friedlich seinen Platz mit Hundefutter und Parfum. Produkte haben keinen festen Lagerplatz, sondern werden auf beliebigen, gerade nicht belegten Stellen abgelegt. Und exakt dieses Prinzip ist es, das der Finanzbranche auch bei der Bewältigung der DSGVO in ihrem Information-Management weiterhilft: Es ist völlig gleichgültig, wo Daten im Unternehmen gespeichert sind. Einzig und allein dem „Wie“ kommt in diesem Kontext eine besondere Rolle zu, selbst wenn es so genanntes Big Data ist. Es braucht schlicht und einfach eine zentrale und verlässliche Instanz. Das Information Management muss diese zentrale Drehscheibe im „Datenlager“ bilden.

 

Die technologischen Voraussetzungen dafür lassen sich klar umreißen: Zentrale Instanz meint, dass sich über eine Information Management Platform jedwede Art von personenbezogener Datei identifizieren und auffinden lässt. Dies gelingt durch die Markierung relevanter Inhalte mit den zugehörigen Metadaten. Diese Informationen können dann mit dem Dokument gespeichert und dynamisch mit allen zugehörigen Inhalten verlinkt werden. Somit lassen sich schnell und komfortabel alle Informationen für einen bestimmten Kunden, Fall, Vorfall oder Antrag finden. Alles ist eindeutig identifizierbar.

 

Eine zweite wichtige Voraussetzung für die DSGVO ist die lückenlos nachvollziehbare Historie einer Datei. So besagen die Datenschutz-Verfügungen in der DSGVO beispielsweise, dass eine natürliche Person das Recht hat, ihre Daten löschen zu lassen – es handelt sich hierbei um das bereits angesprochene Recht auf Vergessenwerden. Ein qualifizierter Records-Management-Prozess ermöglicht dies durch ein automatisiertes Verfahren, das einen eindeutigen Lebenszyklus definiert – von der Erstellung des Dokuments, der Deklaration als Record (Aufzeichnung) bis hin zum endgültigen Löschen. Derart können Geldinstitute die Aufbewahrungsdauer entsprechend behördlicher Auflagen bestimmen oder automatisch eine Datei aufgrund eines bestimmten Ereignisses oder einer bestimmten Anfrage löschen.

 

Auf diese Weise sind also wesentliche Maßgaben der DSGVO sichergestellt: Dokumente können nicht nur eindeutig identifiziert und lokalisiert werden, auch ihr „Lebenslauf“ ist dank des Informationsmanagements einwandfrei nachvollziehbar. In diesem Konzept fehlt nun nur noch ein letzter Sicherheitsaspekt: So verlangt die DSGVO angemessene Maßnahmen zum Schutz von sensiblen und personenbezogenen Daten. Im Mittelpunkt steht hier beim Information-Management eine adäquate Verschlüsselung, die sicherstellt, dass kritische Informationen wie personenbezogene Daten und Dokumente in jeder Phase (Speicherung, Übertragung zwischen Servern, Verarbeitung) maximal geschützt sind. Integrierte Funktionen, wie strikte Kennwort-Richtlinien und eine detaillierte Rechteverwaltung bieten darüber hinaus Kontrolle darüber, wer genau Zugang zu Informationen hat und wozu diese verwendet werden dürfen.

 

Fazit: Der DSGVO korrekt zu entsprechen ist kein Hexenwerk, sondern ein Fall für das Information-Management. Dies muss jedoch lückenlos und sicher sein. Zudem sollte es den Charakter einer zentralen Distanz haben, die alle relevanten Dateien „kennt“ und ebenso Kenntnis sämtlicher Lebenszyklus-Phasen jedes einzelnen Dokumentes hat. Dann sind Geldinstitute auf der sicheren Seite.