GDPR – Eine weitere unterschätzte EU-Regulation?

DSGVO, GDPR
Im Schatten der PSD2 (Payment Services Directive), welche auch in der Schweiz, vor allem wegen der geforderten Öffnung der Bankkonten für Drittanbieter, eine gewisse Aufmerksamkeit auf sich ziehen konnte, ging eine ebenso bedeutende EU-Verordnung fast in Vergessenheit. Die Rede ist von der Datenschutzgrundverordnung (DSGVO), auch bekannt in Englisch als General Data Protection Regulation (GDPR). Diese Verordnung wird im Mai 2018 für alle EU-Mitgliedsländer in Kraft treten.

Alle Organisationen, die in Europa aktiv sind, müssen der GDPR entsprechen. Dies umfasst auch jene Organisationen ohne Niederlassung in der EU, die Güter und Dienstleistungen an Personen in der EU anbieten. Die GDPR enthält eine Reihe neuer Regeln, die von Unternehmen fordern, ihre Systeme und Prozesse für den Datenschutz erneut zu überprüfen und zu aktualisieren. Dazu gehören insbesondere personenbezogene Daten, die sich auf identifizierte oder identifizierbare natürliche Personen, sog. Datensubjekte, beziehen.
Es stellt sich wie bei der PSD2 die Frage, inwieweit hiesige Firmen (in unserem Blog in erster Linie Finanzinstitute) von der Regulation betroffen sind. Die Verordnung verlangt u.a. folgendes:

  • Analysiert der Betreiber einer Website das Nutzerverhalten seiner Besucher, ist er verpflichtet, die Einwilligung für die Verwendung der Nutzerdaten einzuholen
  • Die Einwilligung zur Erhebung von Nutzerdaten muss unmissverständlich und klar sein (ein Hinweis in den AGBs reicht nicht aus)
  • Ein europäischer Kunde kann künftig von einem Schweizer Anbieter verlangen, dass dieser seine Kundendaten löscht ("Recht auf Vergessen")
  • Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet sich der Verantwortliche unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde

Obige Punkte treffen mit Sicherheit bei allen Onlinebanking-Lösungen zu. Ist es doch schon seit langem Usus von einem identifizierten, eingeloggten Bankkunden sein Verhalten während seiner Session zu loggen und in der Folge auszuwerten. Generell steigert sich aktuell bei den Finanzinstituten der Appetit auf Sammlungen nach noch persönlicheren Kundendaten. Natürlich immer im Sinne des Kunden für die Unterbreitung von noch besser zugeschnittenen Angeboten. Bei all diesen Aufzeichnungen und Auswertungen sollten die GDPR-Anforderungen in Zukunft miteinbezogen werden, um im Schadensfall nicht auf dem falschen Fuss erwischt zu werden.
Sollte ein Schadensfall eintreten, kann es für den Verursacher teuer werden. Gemäss der Verordnung kann bei einem eingetretenen Ereignis die betroffene Firma mit bis zu vier Prozent vom Jahresumsatz oder bis zu zwanzig Millionen EUR gebüsst werden. Das sind natürlich konkrete finanzielle Risiken, welche in das Risiko-Management jeder Bank einfliessen sollten. Daneben sollten alle IT-Systeme inventarisiert und analysiert werden, welche personenbezogene Daten aufzeichnen.
Eine anschliessende Einfluss-Analyse in Bezug auf die GDPR-Anforderungen verschafft Klarheit über den jeweiligen Handlungsbedarf. Idealerweise erfolgt die Identifizierung von Lösch-, Sperr- bzw. Pseudonymisierungs-Kandidaten regelmässig und automatisiert, inklusive Bereitstellung eines angepassten Berichtwesens über gelöschte und zur Löschung anstehende Daten. Hier setzt das Lösungspaket von ACTICO und PPI an – eine kürzlich erfolgreich ins Leben gerufene Kooperation für den Bereich Datenclearing.

Auf dem Finanzplatz Schweiz hört man aktuell wenig zur EU-Verordnung. Namhafte lokale Wirtschaftskanzleien weisen auch darauf hin, dass die hiesigen Gesetze vergleichbar mit den GDPR-Anforderungen seien und im Prinzip kein grosser Handlungsbedarf bestehe. Nichtsdestotrotz stellt sich die Frage, ob im Fall einer Klage (z.B. eines Kunden aus einem EU-Land) die bestehenden IT-Systeme alle Anforderungen zu erfüllen in der Lage sind und alle Prozesse adäquat funktionieren.
Mehr Infos zum Thema und zur Kooperation von ACTICO und PPI finden Sie hier.

Dieser Blog wurde von Carsten Miehling gepostet.

#Regulierung, #GDPR, #PSD2, #DSGVO, #PPI, #ACTICO

Cyber Risk & Digitalisierung bei Versicherungen

Die zunehmende Digitalisierung stellt viele Versicherungen vor grosse Herausforderungen. Die heutige digitale Welt erwartet eine starke Anpassung der Vertriebsprozesse. Die Versicherungsbranche erwartet in den nächsten Jahren eine Zunahme der E-Commerce-Relevanz. Eine effizientere und ressourcenschonende Gestaltung der Geschäftsprozesse kann durch richtiges Investment im Digitalisierungsbereich erreicht werden.

Digitalisierung der Vertriebsprozesse ist heutzutage unerlässlich. Zeitgemässes Handeln im Bereich der digitalen Transformation bietet zusätzlich auch einen grossen Konkurrenzvorsprung.

Folgende Dinge machen die Versicherungen richtig:
Durch die Digitalisierung der Papierunterlagen werden nicht nur die Lagerkosten gespart, sondern auch die Auffindbarkeit der Unterlagen erfolgt viel schneller. Dadurch steigt die Servicequalität und die Prozesse werden effizienter gestaltet. Ferner müssen auch Geschäftsbereiche und Service Provider von global organisierten Versicherungen ständigen Zugriff auf die Dokumente haben bzw. diese austauschen und mit diesen täglich arbeiten. Eine Möglichkeit bieten Shared Drives, welche sich bereits seit einigen Jahren etabliert haben. Vorteile von dieser Lösung sind flexible Aufbewahrungsfristen, Automatisierung der Prozesse, Steuerung der Berechtigungen und Vereinfachung der Audit-Prozesse. Jedoch, wie sicher sind die elektronisch archivierten Dokumente?

Auch bei der Abwicklung der Schadenfälle hat die Digitalisierung einen Vorteil im Hinblick auf die Prozesseffizienz und Kundenzufriedenheit. Eine elektronische Plattform dient als Schnittstelle zwischen dem Kunden und der Versicherung und sorgt für eine vollständige und transparente Übersicht der Daten. Hier wird neben der herkömmlichen Schadenmeldung und dem Dokumentenaustausch auch das zugesprochene Guthaben bei einem Schadenfall virtuell gutgeschrieben (z.B. bei der Zürich Versicherungs-Gesellschaft AG). Mit diesem Guthaben lassen sich z.B. Ersatzgegenstände günstiger erwerben oder der gutgeschriebene Betrag kann ausbezahlt werden.

Auswertung der Konkurrenz- oder Kundendaten ist durch die Digitalisierung einfacher geworden. Auch der Austausch der Daten zwischen den einzelnen Versicherungen und Ämter funktioniert in Sekundenschnelle. Für Abklärungen werden auch vermehrt Sozialnetzwerke verwendet.

Schattenseite der Digitalisierung:
Viele Manager befürchten, dass die betrieblichen Abläufe durch eine digitale Transformation unübersichtlich werden. Dazu kommen die potentiell unbegrenzte Sammlung und Nutzung der persönlichen Daten, neue Möglichkeiten der Verletzung des Datenschutzes und die Cyberkriminalität. Die globale Vernetzung zeigt zunehmend ihre Schattenseiten. Infolge der Digitalisierung entstehen Risiken, die aufgrund ihrer dynamischen Eigenschaften für Privatpersonen und Unternehmen kaum überschaubar sind. Immer häufiger hört man in den Medien von Hacking, umfassenden Systemausfällen und dem Einbruch des operativen Geschäfts.

Wie gut bin ich gegen Cyber-Attacken geschützt? 
Das Cyberrisk-Rating „cysmo“ der PPI Schweiz schafft Transparenz. Möchten Sie einer der Ersten sein und brauchen Unterstützung beim Eintritt in den Cyber-Markt? Oder möchten Sie Ihre Cyber-Risiken richtig einschätzen, Ihre Vertriebsmöglichkeiten intensivieren oder mehr Transparenz auf der Kundenseite schaffen?


Wir können Ihnen behilflich sein!

Dieser Beitrag wurden von Alen Kasumovic gepostet.

#DigitalFinanceExperts, #DigitalBanking, #Digitalisierung, #DigitalTransformation, #Innovation

Stühlewanken bei den Banken


Oder: „Reich wird man nicht durch das, was man verdient, sondern durch das, was man nicht ausgibt“ (Henry Ford).



Wir nehmen ein Interview von CNBC mit dem Deutsche Bank CEO John Cryan von Mitte September als Grundlage für eine Diskussion über gefährdete Jobs bei den Banken. Cryan unterstrich seither seine Angriffslustigkeit auf Bankjobs auch in einem Interview mit der Financial Times, indem er klar kommuniziert, dass die Beschäftigtenzahl des Hauses viel zu hoch sei.



Gegenüber CNBC antwortet John Cryan auf die Frage, wie viele Jobs denn nun tatsächlich durch die zunehmende Automatisierung gefährdet seien, mit: "very hard to say", um dann zu ergänzen, dass es "a lot of people over the next five to 10 years" betreffen werde. 



Dieses Jobsterben bei Banken beschränkt sich nicht etwa auf einzelne Institute, nur auf Grossbanken oder einzelne Länder, es ist vielmehr ein sektorweites Phänomen. Denn aus der Finanzkrise haben die Banken vor allem eines gelernt: Die eigene Kostenstruktur viel stärker als zuvor im Blick zu haben. Diese Sichtweise ist, wie das Zitat im Titel zeigt, nicht neu, ging aber in den rosigen Bankenjahren mehr und mehr vergessen. Es geht sehr stark darum, im eigenen Unternehmen Abläufe zu optimieren und einfacher zu gestalten und wenn immer möglich, zu automatisieren. Neue Computertechnik hilft dabei genauso wie neue verhaltenspsychologische Erkenntnisse. Soweit so gut. Aber lassen sich damit wirklich Personalkosten sparen?



Cryan kommt zum Schluss, dass sein Haus, verglichen mit der Konkurrenz, noch immer viel zu viele Menschen beschäftigt. Sein Fokus liegt dabei wieder vermehrt auf der Anzahl der Mitarbeiter, die mit dem Kunden in eine Interaktion treten. Diese soll erhöht werden während interne Prozesse einer starken Prüfung unterzogen werden. Alles, was Mitarbeiter an Aufgaben bindet, die eigentlich ein Roboter erledigen kann, soll weggestrichen werden. 

Gemäss dem CEO der Deutschen Bank geht es um ein klares Upskilling der Arbeiten. Er will seinen Angestellten vermehrt wieder befriedigende Aufgaben übertragen und sie nicht einfache mechanische Arbeiten ausführen lassen. Die Menschen sollen wieder mehr Freude an der Arbeit bekommen und vermehrt auch kreativ denken müssen. Insofern unterscheidet er sich doch stark von Henry Ford, dem cleveren Anwender der Fliessbandfertigung. 
Das alles klingt nach einem guten Vorsatz, doch was bedeutet es konkret? Heisst das, der Sachbearbeiter von heute ist der Kundenberater von morgen? Ganz so einfach ist es wohl nicht. Eher sind das nett klingende Worte für die Kernaussage: „Danke schön, das war’s“.


Unbestritten ist, dass so ziemlich alle Banken die Möglichkeiten der Prozessoptimierung durch Automation nutzen und dafür auf den Einsatz von immer intelligenter werdenden digitalen Lösungen setzen. Auch der Kunde übernimmt immer mehr Aufgaben selbst. Dienstleistungen, die früher die Bank erledigte, vollzieht der Kunde heute im E-Banking. Das für manche Bankangestellten und auch Kunden schmerzhaft spürbare Resultat daraus ist zumindest das Wegsterben vieler Zweigniederlassungen. Und genau hier geht Raum für Begegnungen und positive Kundenerlebnisse verloren. Das steht im Widerspruch zu Cryans Wunsch, wieder mehr Mitarbeiter für zwischenmenschliche Begegnungen einzusetzen. Und obwohl munter gestrichen und vermeintlich gespart wird, steigen die Löhne im Bankensektor (https://www.cash.ch/news/top-news/finanzplatz-schweiz-das-bankensterben-geht-weiter-1097302). 

Insofern behält der CEO der Deutschen Bank doch recht, dass klar ein Upskilling bei den Bankjobs stattfindet. 


Aber kreativ denkende Mitarbeiter in verantwortungsvollen Positionen, die ihren Bereich überblicken und die Zukunft aktiv mitgestalten, kosten mehr. Irgendwo harzt also Cryans Wunsch und wir kriegen das Gefühl nicht los, dass es hierbei weniger um das Wohle der Mitarbeiter geht, sondern eher um die Verschlankung der Personalstruktur im Hinblick auf die nächste Erfolgsrechnung. Ob die Rechnung somit ganzheitlich gemacht wird, werden wir sehen. Denn der Schwerpunkt der Arbeit verschiebt sich entgegen Cryans anfänglicher Aussage, zwar weg von stark repetitiven Aufgaben im Backoffice, aber nicht etwa hin zu mehr zwischenmenschlichem Kundenkontakt. Er geht ganz klar in Richtung IT. Da laufen die kosten- und personalintensiven und knowhow-starken Projekte. Und hier gilt ohne Wenn und Aber: Wer sich strategisch clever aufstellt und mit den richtigen Leuten eine klare Linie verfolgt, der meistert die Herausforderungen effizient und in einer überschaubaren Zeit. Wer aber einfach mal anfängt und seine IT-Abteilung wild programmieren lässt, der läuft Gefahr sich stark zu verzetteln und erheblich Geld zu vernichten. Dieser Grundsatz gilt nicht nur für Herrn Cryan und die Deutsche Bank, sondern beansprucht Allgemeingültigkeit. 



Richtiges Know-how am richtigen Ort zur gefragten Zeit ist Gold wert und kann mit guten Lösungen zu positiven Kundenerlebnissen führen, auch auf digitalen Plattformen. Ob das nun durch Upskilling im eigenen Betrieb erfolgt oder durch externe Unterstützung ändert an der Zielsetzung des Projekts eigentlich nichts. Denn so oder so, billig ist das Unterfangen mit der Digitalisierung nicht, denn auch beim Upskilling gilt: „if you feed peanuts, you get monkeys“.

Somit wird die (Personal-)Kostenstruktur vermutlich auch morgen noch eine Herausforderung für die Banken sein. Und wie viele Sachbearbeiter bei der Deutschen Bank in Zukunft wirklich neue, viel spannendere Aufgaben erhalten, werden wir wohl nie erfahren. 


Dieser Beitrag wurde von Matthias Hungerbühler gepostet.


#Digitalisierung, #DigitalTransformation, #Upskilling

Die ganze Schweiz harmonisiert den Zahlungsverkehr, aber wer harmonisiert das Testing?


Bis jetzt gab es zwei Zahlungsverkehrsformate in der Schweiz für die Einreichung von Zahlungsaufträgen: EZAG der PostFinance und DTA für die Banken. Ab sofort gilt es, die ISO 20022-Meldung pain.001 zu verwenden und dazu noch das Protokoll pain.002 auswerten zu können.



In der Praxis wird aber schnell klar, dass das Format nicht zu unterschätzen ist und es doch ein weiter Weg ist bis die Salärfiles und Kreditorenzahlungen wieder zuverlässig vom Konto abgebucht werden. Meist werden von den Banken im Vorfeld ausreichende Tests verlangt bis eine gewisse Qualität erreicht ist. Und letztendlich werden immer noch „Penny-Tests in Produktion“ empfohlen, sodass bei den ersten reellen Zahlungsläufen keine Überraschungen auftreten.



Testbanken - Fluch oder Segen?

Früher wurden ab einem gewissen Zeitpunkt der Programmierung DTA-Files über den einen oder anderen Weg an die Bank übermittelt und meist gab es ein Feedback in Prosa, in welchem die noch auftretenden Fehler erklärt wurden. Mit der neuen Meldung pain.001 jedoch, haben die Swiss Interbank Clearing als schweizweite Hüterin des „Swiss Payment Standards“ und mehrere Banken nun sogenannte Testbanken eingeführt, welche es dem Kunden im Vorfeld ermöglichen sollen, autonom und realitätsnah zu testen, ohne dass ein Bankmitarbeiter jedes Mal involviert werden und ein individuelles Feedback geben muss.


Dabei hat sich bemerkbar gemacht, dass nicht immer klar ist, wie die Testbanken im gesamten Onboarding-Prozess genutzt werden sollen. Viele sind auch von den Rückmeldungen der Testbanken überfordert, weil es neben richtigen Fehler- auch Infomeldungen gibt, bei denen dann nicht klar ist, ob diese nun beseitigt werden müssen oder eben nur eine Empfehlung darstellen. Mit den Rückmeldungen alleine gelassen fühlen sich nicht nur Endkunden, die vor dem produktiven Einsatz einer Standardsoftware nur nochmal ein oder zwei Tests machen wollen, sondern auch die Softwarehersteller eben solcher Standardprodukte. Dieses Problem haben aber auch Grosskunden, die selbst programmieren und durchaus auch Bankmitarbeiter in Hotlines oder in der Zahlungsverkehrsberatung, die bei Unklarheiten die Meldungen ihrer eigenen Testbank erklären sollen.



Aufwandreduktion beim Entwickeln und beim End-To-End-Testen erreichen

Wie erreicht man nun, dass die Investitionen dieser Testbanken sich rentieren? Schliesslich sollen diese neuen Möglichkeiten ja alle Beteiligten entlasten. 
Banken sollten deshalb Checklisten für Supportanfragen einführen, die dem Kunden direkt beim ersten Kontakt überreicht werden. Auch sollten die Mitarbeiter geschult werden und eine Liste an die Hand bekommen, welche Fehlermeldung wie zu verstehen ist. 


Nach all diesen Ausführungen möchten wir an dieser Stelle aber auch alle involvierten Parteien ermutigen, die Testbanken rege einzusetzen und ein paar Tipps mit auf den Weg geben:



Fragen Sie frühzeitig bei Ihrer Bank nach dem Onboarding-Prozess. Dieser kann unterschiedlich aussehen, je nachdem, ob eine Testbank zur Verfügung steht oder nicht:



Mögliche Supportprozesse: 




  • Wenn Ihre Bank keine Testbank mit den bankeigenen Besonderheiten anbietet, nutzen Sie die Validierungsplattform der SIX.
  • Die Rückmeldungen der Testbanken sind meist selbsterklärend. Schon allein mit nochmaligem Vergleich der Feld-Definition in den Implementation Guidelines sollten Programmierer sehr gut den Fehler finden und beseitigen können.
  • Manche Testbanken bieten Beispieldateien an, die die Testbank per Knopfdruck erzeugt und die anschliessend sogar heruntergeladen werden können, um ein „Primus-Beispiel“ zu haben. Dieses klärt meist schon sehr viele Fragen.
  • Fragen Sie sich, welche Zahlungsarten Sie benötigen und nutzen Sie die Beispieldaten der Testbanken zu den unterschiedlichen Zahlungsarten.
  • Stellen Sie sicher, dass Sie alle notwendigen Dokumentationen besitzen. Zum einen natürlich die Implementation Guidelines und Beispieldateien der SIX, zum anderen bieten Banken meist noch eigene, komplementäre Implementation Guidelines für ISO 20022-Meldungen an, welche auf die individuelle Behandlung mancher Schlüsselfelder eingehen. 
  • Viele Testbanken erlauben es, Ihre eigene pain.001-Meldung mit den Auswertungsergebnissen angereichert als Kommentare wieder herunterzuladen. Hier wird sehr schnell deutlich, wo der Hase begraben liegt.
  • Wenn Sie nicht weiterkommen, gehen Sie nicht ohne Screenshots aus der Testplattform bzw. nicht ohne die kommentierte pain.001-Meldung auf die Supporteinheiten Ihrer Bank zu, da dies meist zu unnötigen Rückfragen führt und eine schnelle Antwort verunmöglicht.



Und tritt doch einmal ein Fehler in der Produktion auf...



Sollte es doch mal zu einem Fehler in der Produktion kommen, sind gewisse Angaben unabdingbar für alle Support-Beteiligten, um eine rasche Antwort geben zu können:


  • Dokumentieren Sie den genauen Wortlaut der Fehlermeldung, am besten mit Screenshots.
  • Testen Sie die fehlerhafte pain.001-Meldung zuerst auf der Testplattform der Bank und dokumentieren Sie dortige Fehlermeldungen. Laden Sie die kommentierte XML-Meldung herunter. Dies hilft dem Support meist, den Fehler rasch zu lokalisieren.
  • Bitte vergessen Sie auch nicht, die fehlerhafte pain.001-Meldung bereitzuhalten, falls vom Support gefordert.
  • Daneben sind noch einigen Randparameter festzuhalten:
    •  Einlieferkanal
    • Zeitpunkt des Uploads
    • Filename, den das System/der Kanal vergeben hat
    • Name des Users und Vertragsnummer, mit der eingereicht wurde
    • Ggf. Vertragsnummer eines Kollektivvisums

Dieser Beitrag wurde von Frank Rebmann gepostet.

#Testing, #HarmonisierungZahlungsverkehr, #Testplattform