Geldinstitute > Strategie

23.02.2018 von Herbert Loerch, General Manager EMEA bei Hyland

Informationsmanagement als zentrale Instanz

DSGVO und Geldinstitute. Eine unter Datenschutz-Verantwortlichen durchgeführte  Studie des Softwareherstellers SAS zeigt auf, wo in Sachen EU-DSGVO (Europäische  Datenschutz-Grundverordnung) und Information-Management bei den Unternehmen  noch gewaltig der Schuh drückt. 

Autor: Lutz Varchmin, Territory Leader Germany, Hyland Software Germany GmbH

Bekannterweise haben Personen gemäß der Verordnung das Recht auf Löschung oder Portierung ihrer Daten. 48 Prozent der Studienteilnehmer sagen jedoch aus, dass es bereits eine Herausforderung für sie darstelle, die Personendaten in ihrer ­eigenen Datenbank zu finden. Das liegt unter anderem an der Mehrfachspeicherung von Datensätzen in verschiedenen Systemen. Laut der Umfrage äußern 58 Prozent außerdem Probleme bei der Datenportabilität und der praktischen Umsetzung des Rechts auf Vergessenwerden, also dem Löschen der Daten auf Kundenwunsch, was ihnen nunmehr mit der ­DSGVO ausdrücklich zugebilligt wird. Zudem sei auch der eigentliche Zugriff auf die Personendaten eine immense Herausforderung. „Insbesondere große Unternehmen und Finanzinstitute haben Schwierigkeiten, gespeicherte Personendaten zu ­finden“, so die Studie wörtlich.

Warum das alles so schwierig ist, erklärt der Blick „unter die Motorhaube“: Kernbanken-Software, ERP, CRM oder Filial­anbindung – je integrierter ein Institut seinen Kunden gegenübertreten möchte, desto höher ist oft die Zahl der parallel eingesetzten Software-Lösungen. Daten sind demnach überall und nirgendwo, Begrifflichkeiten wie „IT-Dschungel“ und „Schatten-IT“ kommen dabei nicht von ungefähr. Kurz und gut: Es mangelt an Durchblick.

Wollen Geldinstitute diesen jedoch bekommen, lohnt ein Blick in andere Branchen. Etwa in die Logistik: Revolutionär war hier seinerzeit die Einführung der ­dynamischen Lagerhaltung, auch als „Chaos-Lager“ bekannt. Paletten erscheinen dort auf den ersten Blick wild gemixt. Der Rasenmäher teilt sich friedlich seinen Platz mit Hundefutter und Parfum. Produkte haben keinen festen Lagerplatz, sondern werden auf beliebigen, gerade nicht belegten Stellen abgelegt. Und exakt dieses Prinzip ist es, das der Finanzbranche auch bei der Bewältigung der DSGVO in ihrem Information-Management weiterhilft: Es ist völlig gleichgültig, wo Daten im Unternehmen gespeichert sind. Einzig und allein dem „Wie“ kommt in diesem Kontext eine besondere Rolle zu, selbst wenn es so genanntes Big Data ist. Es braucht schlicht und einfach eine zentrale und verlässliche Instanz. Das Information Management muss diese zentrale Drehscheibe im „Datenlager“ bilden.

Die technologischen Voraussetzungen dafür lassen sich klar umreißen: Zentrale ­Instanz meint, dass sich über eine Information Management Platform jedwede Art von personenbezogener Datei identifizieren und auffinden lässt. Dies gelingt durch die Markierung relevanter Inhalte mit den zugehörigen Metadaten. Diese Informationen können dann mit dem Dokument gespeichert und dynamisch mit allen zuge­hörigen Inhalten verlinkt werden. Somit lassen sich schnell und komfortabel alle Informationen für einen bestimmten Kunden, Fall, Vorfall oder Antrag finden. Alles ist eindeutig identifizierbar.

Eine zweite wichtige Voraussetzung für die DSGVO ist die lückenlos nachvollziehbare Historie einer Datei. So besagen die Datenschutz-Verfügungen in der ­DSGVO beispielsweise, dass eine natürliche Person das Recht hat, ihre Daten löschen zu lassen – es handelt sich hierbei um das bereits angesprochene Recht auf Vergessenwerden. Ein qualifizierter Records-Management-Prozess ermöglicht dies durch ein automatisiertes Verfahren, das einen eindeutigen Lebenszyklus definiert – von der Erstellung des Dokuments, der Deklaration als Record (Aufzeichnung) bis hin zum endgültigen Löschen. Derart können Geldinstitute die Aufbewahrungsdauer entsprechend behördlicher Auflagen bestimmen oder automatisch eine Datei aufgrund eines bestimmten ­Ereignisses oder einer bestimmten Anfrage löschen.

Fazit

Der DSGVO korrekt zu entsprechen ist kein Hexenwerk, sondern ein Fall für das Information-Management. Dies muss jedoch lückenlos und sicher sein. Zudem sollte es den Charakter einer zentralen ­Distanz haben, die alle relevanten Dateien „kennt“ und ebenso Kenntnis sämtlicher Lebenszyklus-Phasen jedes einzelnen ­Dokumentes hat. Dann sind Geldinstitute auf der sicheren Seite.