Skip to main content
Top

13-08-2018 | Bank-IT | Schwerpunkt | Article

DSGVO erschwert IT-Entwicklung in Banken

Author: Dennis Heinemeyer

3 min reading time

Activate our intelligent search to find suitable subject content or patents.

search-config
print
PRINT
insite
SEARCH
loading …

Ein IT-System einer Bank wird auf Herz und Nieren geprüft, bevor es zum Einsatz kommt. Doch der verschärfte Datenschutz setzt den Geldhäusern hohe Hürden bei der Entwicklung und entsprechender Tests.                                  

Banken testen ihre IT-Systeme, bevor sie in Betrieb genommen werden. Das ist seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) Ende Mai nicht mehr so einfach möglich wie davor. Denn die Institute müssen rechtlich sauber klären, wann sie Echtdaten einsetzen können und wann für Tests synthetisch hergestellte Daten erforderlich sind. Das gilt zum Beispiel beim Thema "Privacy by Design". Hier müssen laut DSGVO schon bei der IT-Entwicklung technische Datenschutzmaßnahmen mitgedacht und eingebaut werden. Möglichkeiten, die Umsetzung technischer Maßnahmen mit dem Argument der Unwirtschaftlichkeit abzulehnen, wie es sie vor Mai gab, sind weggefallen. Das hat erhebliche Auswirkungen auf den Umgang mit echten Datensätzen in den Testumgebungen.

Insbesondere im Finanzsektor ist die Nutzung echter Daten beim Testen der IT-Systeme noch immer üblich – beispielsweise bei der Einführung der neuen Kontonummern IBAN und BIC. Die Institute bevorzugen reale Kundendaten, weil die Anonymisierung und das Erstellen synthetischer Daten in der Branche technisch aufwendig ist. Dafür sorgen weit zerklüftete IT-Systemlandschaften. Zudem gibt es immer noch viel Unkenntnis über die rechtlichen Details in den Instituten.

Editor's recommendation

Open Access 2018 | OriginalPaper | Chapter

Digitale Transformation aus Sicht von IT-Entscheidern

Digitale Transformation ist eines der zentralen Themen auf der Agenda von Entscheidungsträgern in Unternehmen. Allerdings fehlt vielfach eine klar definierte Strategie für diese digitale Transformation. 


Fakt ist: IT-Systeme müssen auch in Zeiten der EU-DSGVO realitätsnah getestet werden, allein schon weil es regulatorische Vorschriften verbindlich vorschreiben. Die Bankenaufsicht, etwa die Bafin, verlangt beispielsweise Tests unter möglichst realen Bedingungen – hier bedienen sich Institute oft der vermeintlich naheliegenden Quelle: echte Kundendaten. Dies wird bei vielen Tests, beispielsweise bei internen Systemen und Prozessen in Ordnung sein, weil keine personenbezogenen Daten  erforderlich sind. Für die übrigen Fälle kann der Rat allerdings nur lauten, flächendeckende IT-Tests mit Echtdaten einzustellen und auf Anonymisierung beziehungsweise die Erzeugung synthetischer Daten umzustellen. Die DSGVO untersagt das Nutzen personenbezogener Daten zum Testen von Systemen, weil hierfür kein Erlaubnistatbestand einschlägig ist.

Künstliche Datensätze bieten auch Vorteile

Der Umstieg auf ein Testmanagement mit Anonymisierung und künstlich erzeugten Daten hat neben rechtlichen noch weitere Vorzüge. Synthetische Daten eignen sich beispielsweise besser für fiktive Szenarien: Neue regulatorische Anforderungen an Systeme und geänderte Eingabemasken erfordern in der Regel auch neue Testfälle. Das bedeutet, beim Testen darf eine Bank nicht buchstabengetreu der üblichen Prozedur folgen, sondern muss vielmehr kritisch betrachten, ergänzen und notfalls aktualisieren. Die Testdaten werden also genutzt, um einen theoretischen, zukünftigen Fall zu beschreiben. Solche Daten lassen sich in der Regel nicht aus vorhandenen Produktivdaten erzeugen.

Der Umstieg auf ein IT-Testing mit synthetischen Daten sorgt vorübergehend für einen erhöhten Aufwand. Denn die Institute müssen die betroffenen Systeme identifizieren und sicherstellen, dass die Daten-Anonymisierungen überall zu plausiblen Ergebnissen führen. Gerade in Systemlandschaften von Großbanken ist dieser Arbeitsschritt nur mit dem nötigen Bewusstsein in der IT, aber auch in den Fachabteilungen zu schaffen. Denn für die Datenschutzorganisation wäre eine Kontrolle aller Systeme nicht zu schaffen.

Herausforderungen beim Umstellen auf Kunstdaten

Die größte Herausforderung ist dabei, synthetische Daten herzustellen, die kongruent durch alle Systeme des jeweiligen Geschäftsprozesses laufen können, da oft das Testen eines einzelnen Systems abhängig vom Datenzufluss eines anderen Systems ist. Hierfür müssen Banken geeignete Tools auswählen, die bei der Generierung solcher Daten unterstützen.

Auch wenn auf Banken hier zunächst ein erheblicher Aufwand wartet, lohnen sich die Investitionen. Denn die Unternehmen und ihre Verantwortlichen müssen bedenken, dass bei Verstößen gegen die DSGVO Bußgeldzahlungen in zweistelliger Millionenhöhe drohen. Mit den richtigen Maßnahmen lassen sich die Sanktionen aber vermeiden und Testaktivitäten auch ohne Einspielung der Echtdaten durchführen.

print
PRINT

Related topics

Background information for this content