Artikel

Einhaltung der Gesetze zum Datenschutz und zum Schutz der Privatsphäre

Einhaltung der Privatsphäre

Es ist fast ein Jahr her, dass die Allgemeine Datenschutzverordnung (GDPR) in Kraft getreten ist. Nach diesem Gesetz sind Unternehmen, darunter auch Banken, verpflichtet, die Daten ihrer Kunden zu schützen. Natürlich mussten die Banken bereits das Kundengeheimnis schützen, aber jetzt müssen sie auch dafür sorgen, dass der Zugang zu Kundendaten so wenigen Personen wie möglich innerhalb ihrer Organisation gewährt wird.

Unternehmen wie Microsoft werden bereits untersucht, und das Institut für soziale Sicherheit (UWV) in den Niederlanden riskiert eine Geldstrafe von 150.000 Euro, wenn sie ihre Datensicherheitspraktiken nicht bis zum 31. Oktober 2019 verbessern. Eine Studie des Kaspersky-Labors ergab, dass 31% der Datenschutzverletzungen bei leitenden Nicht-IT-Mitarbeitern zur Kündigung des Arbeitsverhältnisses geführt haben.

Wie die Europäische Union scheinen auch die Vereinigten Staaten die Datenschutznormen zu verschärfen. Am 28. Juni 2018 verabschiedete Kalifornien den California Consumer Privacy Act (CCPA), ein Gesetz, das dem GDPR sehr ähnlich ist. Dieses Gesetz wird am 1. Januar 2020 in Kraft treten, und es wird erwartet, dass andere Bundesstaaten in die Fußstapfen Kaliforniens treten werden.

Eine der Richtlinien des GDPR besagt, dass Daten nicht erhoben werden sollen, nur weil sie verfügbar sind, sondern dass die Datenerhebung auf ein Minimum beschränkt werden soll. Die Einhaltung dieser Richtlinie ist für die Compliance-Abteilungen der Banken eine Herausforderung. In der Vergangenheit wurden Daten als eine wertvolle Ressource angesehen, und es galt der Gedanke: je mehr Daten, desto besser. Auch das verdeckte Sammeln von Daten ist nach der neuen Regel verboten. Die Komplexität der Vorschriften ist für die Mitarbeiter in den Compliance-Abteilungen von Banken oft verwirrend, da sie die Aufgabe haben, Daten zu sammeln und gleichzeitig die GDPR einzuhalten.

Die Einhaltung von Vorschriften zur Verhinderung von Finanzkriminalität scheint im Widerspruch zur Einhaltung des GDPR zu stehen. Die Nichteinhaltung dieser beiden Vorschriften stellt jedoch ein erhebliches Risiko für die Banken dar. Die Geldstrafen für die Nichteinhaltung der Vorschriften zur Verhinderung von Straftaten sind beträchtlich, aber die Strafen für die Nichteinhaltung des GDPR sind nicht geringer. Um Ihnen eine Vorstellung zu vermitteln: Die Höchststrafe für die Nichteinhaltung der GDPR beträgt 20 Millionen Euro oder 4% des globalen Jahreseinkommens einer Bank, je nachdem, welcher Betrag höher ist. Dieselbe Geldstrafe ist auch die Strafe für die Nichtmeldung von Datenverstößen an die Behörden innerhalb der gesetzten Frist von 72 Stunden.

Es ist keine Überraschung, dass die Banken über die Einhaltung der GDPR besorgt sind, zumal die GDPR-Konformität ihre Fähigkeit zur Verhinderung von Betrug und zur Erfüllung von Meldepflichten bei Datenverletzungen zu verringern scheint.

Anonymisierung durch Prozessautomatisierung

Eine der vom GDPR bevorzugten Richtlinien besagt, dass persönliche Informationen bei der Datenverarbeitung anonymisiert werden sollen. Wenn eine Bank nachweisen kann, dass die Identität einer Person aus den gespeicherten Daten nicht festgestellt werden kann, müssen die Daten nicht den vom GDPR vorgeschriebenen Datenschutzmaßnahmen unterworfen werden.

Um einen Sicherheitsalarm beurteilen zu können, müssen Sie die Daten anzeigen, die an die Zahlung angehängt sind, die den Alert erzeugt hat. Es besteht jedoch keine Notwendigkeit, Zugang zu Informationen zu haben, die keine Warnungen erzeugen, so dass Daten - eine erhebliche Menge - nicht in Übereinstimmung mit den GDPR-Regeln gespeichert werden müssen. Wenn Sie maschinelles Lernen einsetzen können, um die Anzahl der von Ihrem System generierten falsch-positiven Warnungen zu reduzieren, können Sie auch die Datenmenge in Ihrem System reduzieren, die den GDPR-Regeln unterliegt.

Um dies im Detail zu verstehen, müssen Sie wissen, wie sich die traditionelle Transaktionsüberwachung von der fortgeschrittenen Überwachung unterscheidet. Die traditionelle Transaktionsüberwachung ist hauptsächlich regelbasiert. Das bedeutet, dass immer dann ein Alert generiert wird, wenn eine bestimmte Zahlung gegen eine Regel verstößt. Eine Regel könnte zum Beispiel alle Zahlungen über €250.000 identifizieren. Solche Zahlungen erzeugen Warnmeldungen unabhängig davon, ob sie betrügerisch sind oder nicht. Warnmeldungen, die von einem fortschrittlichen Transaktionsüberwachungssystem generiert werden, sind jedoch wesentlich informationsreicher, da das System unter anderem Faktoren wie das Verhalten und das Netzwerk eines einzelnen Kunden berücksichtigen kann.

Die folgende Abbildung zeigt, wie Ausschreibungen anonym bearbeitet werden. Auf der linken Seite des Bildschirms werden vier Fragen gestellt. Das System ermittelt die Antworten auf diese Fragen automatisch für jede Zahlung, die es durchläuft. Es ist nur möglich, die Identität eines Kunden freizugeben, wenn das System aus den Fragen "Was", "Wert", "Wann" und "Wo" feststellt, dass eine Zahlung verdächtig erscheint. In diesem Fall erzeugt das System eine Warnmeldung, und sobald dies der Fall ist, wird ein autorisierter Compliance Officer den Fall weiter untersuchen und Zugang zu relevanten privaten Daten des betroffenen Kunden erhalten. Dieser Zugang wird nur auf der Grundlage des "Need to know"-Prinzips gewährt. Für die überwiegende Mehrheit der Kunden werden die privaten Daten vor der Sicht aller Mitarbeiter des Unternehmens geschützt, und das System wird ihre Zahlungen automatisch verarbeiten.

w7 Datenschutz

Einhaltung der 72-Stunden-Frist

Fortschrittliche Transaktionsüberwachungssysteme können nicht nur Daten anonymisieren, sondern auch automatisch einen Audit-Trail erstellen und pflegen. Jede Aktion des Compliance Officers, der eine Warnmeldung untersucht, wird im Audit-Trail registriert. Das Führen eines Prüfpfads ist für die Gesamtverantwortlichkeit bei der Präsentation der Ergebnisse einer Untersuchung von wesentlicher Bedeutung und wird auch von den GDPR-Vorschriften verlangt.

PWC hat die Einhaltung der 72-Stunden-Frist für die Meldung einer Datenverletzung an die Behörden als eine der größten Herausforderungen für die Banken identifiziert. Dazu müssen sie über Prozesse verfügen und genau wissen, wo sich ihre Daten befinden. Für die meisten Banken ist dies an und für sich schon eine Herausforderung. Wenn das System automatisch einen Prüfpfad erstellt, wird die Einhaltung dieser 72-Stunden-Frist sehr viel einfacher.

Um den Prüfpfad zu erstellen, müssen sieben Fragen aus der Sicht des Forschers oder des Fallprüfers beantwortet werden. Diese Fragen sind:

● Was wurde getan, um zu der dem Fall zugrunde liegenden Argumentation zu gelangen?
● Gewicht der Sanktionsmassnahmen?
● Wann wurde die Untersuchung durchgeführt?
● Woher stammen die im Fall verwendeten Fakten?
● Wer war an der Untersuchung beteiligt?
● Mit welchen (Instrumenten?) wurde die Untersuchung durchgeführt oder abgeschlossen?
● Warum erklärt sie die wahrscheinliche Ursache?

Der Prüfpfad hilft den Banken, ihre Position zu verteidigen, wenn die Behörden sie bitten, zu erklären, warum auf die persönlichen Daten eines Kunden zugegriffen wurde. Die automatische Erstellung von Berichten und die einfache gemeinsame Nutzung des Prüfpfades machen 72 Stunden als Frist weitaus weniger anspruchsvoll.

[button size="large" url="hbusinessforensicsttps:// .gr8.com/" text="Auch ohne GDPR bleibt die Überwachung von Transaktionen ein schwieriges Thema für Banken. In unserem Whitepaper "Das Einzige, was Compliance-Manager ändern können, um ihre Bank vor aufsichtsrechtlichen Geldbußen zu bewahren (selbst wenn die Arbeitsbelastung unüberschaubar ist)" erläutern wir, wie maschinelles Lernen dazu beitragen kann, die Zahl der Fehlalarme zu reduzieren. Möchten Sie mehr lesen? Hier erhalten Sie freien Zugang zu unserem Whitepaper." color="Extra-color-3″]

Autor

Tames Rietdijk

Tames Rietdijk ist der CEO von BusinessForensics. Seine Fachgebiete sind Produktmanagement, forensische Untersuchungen und Datenanalyse. Seine Arbeit konzentriert sich auf die Verbesserung von Marktmechanismen und betrieblicher Effizienz, um den Wert für seine Kunden zu steigern.