Suche begrenzen auf:
zurücksetzen

Daten, das neue Gold.

Wie gehe ich mit persönlichen Daten richtig um?
Autor: Adrian Anderegg
Kontakt: Adrian Anderegg
Eraneos Banking Blog Daten, das neue Gold.

Die Schweizer Bankiervereinigung SBVg hat im Mai einen Leitfaden zum «Umgang mit Daten im Geschäftsalltag» veröffentlicht.  Das Dokument verdeutlicht anhand von sechs konkreten Use Cases die bestehenden Risiken und Verantwortlichkeiten bei der Wertschöpfung aus Daten. Insbesondere das Finden der Balance zwischen «Chancen nutzen» und «Risiken vermeiden» stellt eine grosse Anforderung an die Unternehmen.


Diesen Leitfaden nehmen wir zum Anlass, das Thema «Umgang mit  Daten» zu beleuchten.

«Daten, das neue Gold» – alle Unternehmen haben sich in den letzten Jahren intensiv mit den Möglichkeiten beschäftigt, die sich aus der Nutzung von persönlichen Daten ergeben. Dabei stellen sich unseren Kunden folgende Fragen:


  • Wie darf ich Daten nutzen? Welche Vorsichtsmassnahmen muss ich treffen?

  • Wie soll ich Daten nutzen? Welche Anwendungsfälle sind für mich die richtigen?

  • Wie kann ich Daten nutzen? Sind die Organisation und die Technologie bereit?


In diesem Artikel beleuchten wir die erste Frage im Detail:

Wie darf ich Daten nutzen?

Der Leitfaden der SBVg betrachtet dieses Thema ausführlich und aus den verschiedenen Perspektiven des Vertragsrechts, Strafrecht und Datenschutzgesetzes. Zusammenfassend lese ich ein «Ja, aber». Wichtig ist ein sorgfältiger Umgang mit entsprechender Risikobetrachtung. Speziell aufgefallen sind mir zwei Punkte.


Anonymisierung, Pseudonymisierung, Verschlüsselung: Privacy und Cyber Security für persönliche Daten.

Diese drei Verfahren wurden im Anhang 3 des FINMA Rundschreibens 08/21 als Beispiele für den Schutz vor Kundendaten genannt. Seitdem begegne ich diesen Punkten immer wieder in Diskussionen mit Kunden.

Icon

Was ist der Unterschied zwischen Anonymisierung, Pseudonymisierung und Verschlüsselung?

Alle drei Prozesse zielen darauf ab, persönlich identifizierbare Informationen zu schützen.


Anonymisierung ist der Prozess der Entfernung persönlich identifizierbarer Informationen vollständig aus Datensätzen. 


Pseudonymisierung ist das Ersetzen von persönlich identifizierbaren Informationen durch künstliche Identifikatoren oder Codes.


Verschlüsselung ist die Codierung von Daten, sodass sie nicht als Klartext erkennbar sind. Berechtigte Empfänger können die Informationen nur mithilfe eines passenden Schlüssels entschlüsseln.

Die Anwendung solcher Methoden ist nicht trivial.

Zum einen soll eine Re-Identifizierung ausgeschlossen werden. Zum anderen sind aber viele Datenauswertungen erst sinnvoll, wenn auch personenbezogene Daten analysiert werden. Beispielsweise Alter in Kombination mit Wohnort, was bei kleiner Datenauflösung aber einen Rückschluss auf die Person erlauben würde. Somit sind Pseudonymisierung und Anonymisierung in vielen Auswertungen nicht anwendbar.


Beim Einsatz von Verschlüsselung, auch Codierung genannt, muss unterschieden werden, zu welchem Zeitpunkt die Daten verschlüsselt und wann diese in Klartext vorliegen:


  • Data-in-motion ­ (zu Deutsch: Daten in Bewegung) sind Daten während der Übermittlung von einer Stelle zur anderen. Dies kann im firmeninternen Netzwerk oder zu einer externen Stelle im Internet sein. Daten können hier ohne Probleme auf die Anwendung verschlüsselt werden.

  • Data-at-rest­ (zu Deutsch: Daten im Ruhezustand) sind gespeicherte Daten, zum Beispiel in einer Datenbank oder auf einer Dateiablage. Hier ist eine Verschlüsselung denkbar, schränkt unter Umständen die Verwendung aber ein.

  • Data-in-use (zu Deutsch: Daten bei der Verarbeitung) sind Daten, die durch eine Anwendung aktiv verwendet werden, zum Beispiel während der Datenauswertung durch die Analytik-Lösung. In diesem Schritt müssen die Daten für die verwendende Anwendung zwingend im Klartext vorliegen, um Informationen aus den Daten zu extrahieren/zu decodieren.


Die Beispiele zeigen, dass die Methoden Anonymisierung, Pseudonymisierung bzw. Verschlüsselung im Kontext von Datenauswertungen höchstens teilweise anwendbar sind.

Take-Away

Um Daten nutzen zu können, bleibt nur eine transparente Risikoabwägung. Wichtig finde ich auch, die Risiken in den üblichen Risk-Prozess aufzunehmen und dort regelmässig zu re-evaluieren. Schlussendlich entscheidet der Risikoappetit des Unternehmens.
Einsatz von künstlicher Intelligenz KI

Sehr interessant fand ich, dass die SBVg das Thema Artificial Intelligence, AI (zu Deutsch: künstliche Intelligenz, KI) aufnimmt. Dies ist ein Teilgebiet der Informatik, das versucht Computer automatisiert intelligentes Verhalten beizubringen. Viele Firmen wagen erste Schritte mit entsprechenden Anwendungsfällen, einige setzen KI-basierte Lösungen schon produktiv ein. Steht der Nutzen im Vordergrund, gehen beim schrittweisen Roll-out vom Labor hin zu etablierten Lösungen die Risiken oftmals vergessen.


Wir konnten bereits einige KI-Lösungen prüfen und haben dazu ein Framework entwickelt. Spezielles Augenmerk legen wir dabei auf:


  • Data Governance sollte etabliert sein, speziell im Bereich Datenqualität. Eine menschliche Bedienung kann fehlerhafte Daten «mit gesundem Menschenverstand» ausfiltern, eine KI hat diese Fähigkeit nicht (automatisch).

  • Regulatorische Aspekte, die allenfalls über organisatorische Massnahmen geregelt sind, müssen im KI-Umfeld zwingend technisch abgefangen werden.


  • Ein transparenter Einsatzzweck ist die Voraussetzung für die Zweckbindung der Daten, die im Datenschutzumfeld relevant ist. Spätestens bei Widerrufsrechten (dem Recht auf Vergessen) ist es zentral zu wissen, wozu die Daten verarbeitet wurden. Es ist auch absehbar, dass Regulierungen im AI Umfeld solche Verzeichnisse übernehmen werden.

  • Mit Fragen zur Kontrollierbarkeit wird geprüft, ob aus KI-Algorithmen heraus direkt Entscheidungen getroffen werden und inwieweit diese reversibel sind. Ideal ist hier auch, wenn die Algorithmen und Modelle regelmässig auf Verzerrungen und mögliche Diskriminierungen überprüft werden.

  • Transparenz ist wichtig, um Entscheide nachvollziehbar zu machen. Hier sollte auch immer diskutiert werden, wie weit Betroffene (z.B. Bewerber oder Kunden) über den Einsatz und die Hintergründe der künstlichen Intelligenz informiert werden und werden müssen.

Take-Away

KI-Lösungen bedingen spezielle Aufsicht, da sie auch erweiterte Risiken beinhalten. Neben technischen und regulatorischen Fragen gilt es auch ethische Aspekte und das Reputationsrisiko zu beachten.

Mit sechs Anwendungsfällen gibt die SBVg in ihrem Leitfaden einige Einblicke, welche Themen aktuell möglich sind. Oftmals sehe ich aber einen einfacheren Startpunkt nicht in den kundenorientierten Themen, sondern in der Analyse von Daten rund um interne Prozesse. Auch hier stellen sich verschiedene Fragen zu Risiken, die aber leichter zu kontrollieren sind.


Gerne werde ich in einem zukünftigen Beitrag darauf eingehen, wie eine Organisation mögliche Anwendungsfälle identifizieren und priorisieren kann und auch, welche Rahmenbedingungen erfüllt sein sollen, damit Daten genutzt werden können.

Lesen Sie mehr

Banking & Insurance

Finanzsektor mit einer Vielfalt an komplexen Herausforderungen konfrontiert


Banking Transformation

Unterstützung für erfolgreiche Geschäftsmodelltransformationen


Open Banking: Schlagwort oder Mehrwert?

Wir verwenden Cookies, um Ihnen ein optimales Nutzererlebnis zu bieten. Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies zu. Konsultieren Sie bitte unsere Datenschutzerklärung, falls Sie mehr darüber erfahren möchten.