Hermeneutisches Banking

Von Ralf Keuper

Im Zuge der fortschreitenden Digitalisierung, d.h. die zunehmende Vernetzung von Nutzern und Geräten sowie die wachsende Mobilität, wird sich die Beziehung der Menschen zu ihrer Bank verändern. An die Stelle des Gesprächs unter vier Augen mit dem Kunden- oder Firmenberater in der analogen Welt treten über Algorithmen gesteuerte Kommunikationsprozesse, wie mit Sprachassistenten, Softwarerobotern und humanoiden Robotern.

Die eigentliche Herausforderung besteht nun darin, die analoge, ganzheitliche Erfahrung im Banking der alten Zeit mit der digitalen, in Einzelaktionen zerfallenden zu harmonisieren; während die analoge Darstellung Näherungswerte liefert, kann die digitale Repräsentation (Binär: 0 oder 1) mit exakten, eindeutigen Ergebnissen aufwarten. Alles wird messbarer – die Zahlen, die Daten lassen kaum noch Interpretationsspielraum – sie sprechen für sich, sind selbsterklärend. Korrelationen reichen schon, um die Bedürfnisse der Kunden zu erkennen und entsprechende Angebote unterbreiten zu können – oder aber erst gar nicht eine Beziehung entstehen zu lassen.

In einer Gegenüberstellung der Detektivarbeit des legendären Columbo und der CSI-Teams im Fernsehen verdeutlicht David Gugerli in Die Welt als Datenbank Zur Relation von Softwareentwicklung, Abfragetechnik und Deutungsautonomie den Paradigmenwechsel der letzten Jahre:

Der mit allen Wassern gewaschene Interpret Columbo – Tiefenhermeneutiker und Psychologe in Personalunion –, der den Autor des Verbrechens wie kein anderer zu verstehen vermag, der sich einfühlt in das Motiv des Täters und dem längst informierten Zuschauer die Zwangsläufigkeit seiner richtigen Interpretation vor Augen führt, ist abgelöst worden durch ein Team von wissenschaftlichen Experten, das arbeitsteilig und systematisch vorgeht, eine Plethora von Daten unterschiedlicher Qualität zu isolieren weiß und diese in provisorischen, aber immer definitiver werdenden Simulationen auf originelle Weise rekombiniert. Hermeneutik und Psychologie sind verschwunden.

Am Beispiel der Quantified-Self-Bewegung erläutert Andreas Bernard in Komplizen des Erkennungsdienstes. Das Selbst in der digitalen Kultur den Einzug kriminalistischer Methoden in den digitalen Alltag. Das “Verstehen”, die”Interpretation”, Grundprinzipien der Hermeneutik, werden durch Daten-Korrelationen ersetzt:

Disziplinen wie die experimentelle Psychologie und die daraus hervorgehenden Schulen der Psychotechnik und des Behaviorismus interessieren sich weniger für den sprachlichen Zugang zum Menschen oder die biografischen Ursprünge von Störungen, sondern befassen sich mit der Hervorbringung und Aufzeichnung körperlicher Oberflächenäußerungen. Anstelle des Introspektion des Patienten steht die Vermessung, anstelle der Produktion von Erinnerungen und Worten die Produktion von Körperströmungen und Daten, anstelle des verzögerten Aufbruchs latenter Komplexe die sofortige Reaktion auf Reize.

Auch im Banking besteht die Gefahr, die Kunden einer permanenten Vermessung zu unterziehen. Das Verständnis der jeweiligen Lage des Kunden, das persönliche Gespräch, der Dialog treten in der Hintergrund. Der Kunde sollte möglichst in Echtzeit auf die verschiedenen Reize bzw. personalisierten Angebote reagieren, welche die Bank ihm über alle Kanäle hinweg und zu jeder Tages- und Nachtzeit unterbreitet. Der Kunde wird, um mit dem Medienphilosophen Luciano Floridi zu sprechen, zu einem Daten-Subjekt degradiert:

Wenn man aber als Datenquelle beschrieben wird, ist klar, dass man als solche auch ausgebeutet werden kann. Das ist mehr als Semantik, das ist eine Frage der Perspektive. Die Onlinegesellschaft ist keine Gemeinschaft von Individuen, sondern ein Konglomerat von Typologien. Ich bin ein Italiener, der in Oxford lebt, Brille trägt, ein Auto hat und so weiter. Das ist mein Profil – und wenn ich ins Internet gehe, wird mir ein Squashschläger angeboten (Quelle: Der Mensch als “Data Subject” – Interview mit Luciano Floridi).

Welche Konsequenzen ergeben sich daraus für das Banking?

Ganz ohne persönlichen Kontakt, ohne das Gespräch von Mensch zu Mensch an einem bestimmten Ort, wird das Banking nicht funktionieren. Bis auf weiteres ist das Verstehen für die richtige Einschätzung der Bedürfnisse des Kunden unerlässlich. Das Relationship Banking wird – in bestimmten Bereichen zumindest – an Bedeutung gewinnen. Es wird wieder “hermeneutischer”.

Einer der wirkungsmächtigsten Vertreter der Hermeneutik war der Philosoph Hans-Georg Gadamer. Über die Allgemeingültigkeit der Hermeneutik schrieb er:

Der hermeneutische Aspekt kann also nicht auf die hermeneutischen Wissenschaften von Kunst und Geschichte, nicht auf den Umgang mit “Texten”, aber auch nicht, in Erweiterung, auf die Erfahrung der Kunst selbst beschränkt bleiben. Die Universalität des hermeneutischen Problems .. geht auf das All des Vernünftigen, das heisst auf all das, worüber man sich zu verständigen suchen kann (Quelle: Gadamer Lesebuch).

Daten bedürfen der Interpretation. Ihre Bedeutung erschließt sich nicht von selbst. Die Daten, die der Kunde produziert, auf deren Basis er bewertet wird, lassen verschiedene Interpretationen zu. Algorithmen haben noch immer zahlreiche Schwächen, wie die Tendenz zur Diskriminierung. Algorithmen wurden von Menschen programmiert; jedenfalls nach deren Vorgaben. Digitale Identitäten, Profile sind ein Weg, um als vielschichtige Person auch künftig wahrgenommen zu werden. Für vielversprechend halte ich das Persona-Konzept von Andreas Windisch wie er es in in Erfolgsfaktoren für e-Identity-Systeme skizziert hat.

Letztlich gilt aber, dass eine Person nicht auf ihre Digitale Identität und ihre verschiedenen Ausprägungen reduziert werden kann. Banken sollten sich – schon allein aus Eigeninteresse – dessen bewusst sein. Genau an dem Punkt beginnt nämlich echte, werthaltige und nutzenstiftende Beratung – das hermeneutische Banking. Daten und Digitale Identitäten sind ein Mittel, um zu einem gemeinsamen Verständnis zu kommen – nicht mehr und nicht weniger.

Veröffentlicht unter Banking | Kommentare deaktiviert für Hermeneutisches Banking

Forum Wirtschaft spezial: “Nichts dazugelernt? Wie sicher sind Europas Banken?”

Veröffentlicht unter Banken in den Medien, Banking | Kommentare deaktiviert für Forum Wirtschaft spezial: “Nichts dazugelernt? Wie sicher sind Europas Banken?”

“Das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform .. lösen lassen” – Interview mit Dr. Andreas Windisch (asquared)

Dr. Andreas Windisch

Die strategische Bedeutung der Digitalen Identitäten ist in den letzten Monaten in den Fokus gerückt. Beispielhaft dafür ist der Start der Daten- bzw. Login-Allianzen Verimi und netID, von YES sowie von Anbietern blockchain-basierter Lösungen wie Blockchain Helix und Idento.one. Der derzeitige Zustand, das Fehlen eines sog. Identity Layers, eines “Meta-Logins” für das Internet, spielt nach Ansicht vieler Marktbeobachter den großen Internetkonzernen (Google Amazon, facebook, Apple – GAFA) in die Hände. Einmal eingeloggt gibt es daraus kaum noch ein Entkommen (Lock-in-Effekt) – der Gewöhnungseffekt und die Bequemlichkeit tun ihr übriges. Könnten die e-Identity-Systeme, u.a. auf Basis der eID des neuen Personalausweises, eine Alternative sein? Ist die Blockchain für die Verwaltung digitaler Identitäten eine geeignete Technologie? Können die Nutzer die Hoheit, die Souveränität über ihre Daten zurückgewinnen? Erhöht der aktuelle facebook-Skandal die Sensibilität der Nutzer für den Wert und die Schutzbedürftigkeit ihrer Daten? Was müsste sich dafür auf technologischem und organisatorischem Gebiet ändern, welche Voraussetzungen müssen noch geschaffen werden? Welche Rolle hätte paydirekt spielen können? Was für Optionen bleiben den Banken noch? Auf diese und weitere Fragen gibt Dr. Andreas Windisch (Foto), Managing Director bei der asquared GmbH und überdies profunder Kenner des Marktes für Digitale Identitäten, im Gespräch mit Bankstil Antwort. 

  • Herr Dr. Windisch, was macht das Thema Digitale Identitäten für Sie so interessant?

Ich befasse mich seit vielen Jahren mit innovativen digitalen Geschäftsmodellen. Die stetige Anpassung der Umfeldparameter des Marktes in den Bereichen Kundenerwartungen, Regulatorik und Technologie sind seit jeher Enabler für innovative Geschäftsmodelle. Für nahezu all diese Geschäftsmodelle bilden digitale Identitäten die Grundlage: So sind für die Abwicklung des Grundgeschäfts häufig gewisse personenbezogene Daten erforderlich und/oder es muss sichergestellt werden, dass die Geschäftspartner tatsächlich die sind, die sie vorgeben zu sein. Digitale Identitäten sind somit elementarer Bestandteil innovativer digitaler Lösungen, für die Stand heute jedoch in Deutschland keine übergreifende Lösung existiert. Viele Initiativen und Unternehmungen versprechen aktuell, eine solche Lösung unter Wahrung des Datenschutzes und der Privatsphäre seiner BenutzerInnen bereitzustellen und dadurch auch eine Antwort auf die vielen Datenschutzskandale zu liefern.

Die Schaffung einer adäquaten Lösung für digitale Identitäten Kompatibilität auf globaler bzw. zunächst europäischer Ebene sind gesellschaftlich höchst relevant und für mich als Informatiker und Ingenieur allein deshalb ganz besonders interessant.

Kim Cameron machte bereits im Jahr 2005 darauf aufmerksam, dass ein übergreifender Identity Layer im Internet nicht existiert und beschreibt, wie dieser Layer aussehen sollte. Damals waren die Herausforderungen auf Grund des Fehlens eines solchen Layers bereits deutlich spürbar: Es hat sich ein Flickenteppich aus Ausweichlösungen etabliert, welche Abhilfe schaffen sollten. In den letzten Jahren hat sich die Anzahl digitaler Geschäftsmodelle und digitaler Ökosysteme sowie die Durchdringung des Internets im Alltag jedoch signifikant gesteigert, weshalb eine Lösung erst recht erforderlich wurde. Ein einheitlicher Identity Layer existiert jedoch nach wie vor nicht, die einhergehenden Probleme sind weiterhin präsent.

Es existieren viele interessante Ansätze für technische Standards, wie beispielsweise openID oder die Lösungen der fido Alliance, die in speziellen Sektoren, für einzelne Nutzergruppen oder bestimmte Anwendungsfälle zum Einsatz kommen. Keiner der Ansätze hat es jedoch bislang geschafft, tatsächlich übergreifend Akzeptanz zu erfahren und sich als (de-facto) Standard zu etablieren.

  • Ist der fehlende Identity Layer des Internets nicht auch der Grund dafür, dass die sog. Datenkraken wie facebook und Google ihr eigenes Rechtsregime beim Umgang mit den personenbezogenen Daten der Nutzer durchsetzen konnten?

Der Begriff Datenkrake wird häufig verwendet, ist aber sehr negativ konnotiert. Facebook und Google sind zwei Beispiele für Unternehmen, die Pioniere sind (bzw. waren) in der Erschaffung und Etablierung von datenbasierten Geschäftsmodellen. Die bekannten Datenskandale verdeutlichen, welche Gefahren in derartigen Geschäftsmodellen liegen, wenn die Themen Datenschutz, Privatsphäre und/oder Security nicht genügend ernst genommen werden.

Ich denke, ein bestehender Identity Layer hätte diese Probleme nicht vollständig verhindern können; immerhin liegt ein Großteil der Probleme auch in der unüberlegten Datenfreigabe durch die Benutzer. Facebook beispielsweise verfügt grundsätzlich über einen ordentlichen Datenfreigabemechanismus und geeignete Privatsphäreneinstellungsoptionen – aber wie schnell werden die nötigen Freigaben bereitwillig für sinnlose Spiele, Umfragen und Quiz von Drittanbietern erteilt? Die Benutzer und deren Sensibilität für das Thema Datenschutz war und ist ein ganz entscheidender Faktor für die Erfolge dieser Player.

Die Existenz eines Identity Layers hätte die mittlerweile erreichte Übermacht der GAFAs vielleicht eindämmen können. Die Benutzer wären vielleicht schon früher für die Relevanz des Datenschutzes sensibilisiert worden, Datenfreigaben mit der „echten“ Identität würden vielleicht etwas überlegter erteilt und die Reichweite der Dienste durch Like- und Login- Buttons hätte signifikant eingeschränkt werden können.

Dies nachzuholen, ist nun das erklärte Ziel laufender Initiativen – ob sie Erfolg haben werden, wird sich zeigen.

  • Welche Voraussetzungen sollten Ihrer Ansicht nach e-Identity-Systeme erfüllen, wenn sie dauerhaften Erfolg haben wollen?

Aus meiner Sicht muss hier an zwei Stellen angesetzt werden. Zunächst müssen bei der Konzeption und Entwicklung des e-Identity-Systems bzw. -Schemes selbst ein paar wichtige Dinge berücksichtigt werden. Dabei geht es im Wesentlichen um die bereits erwähnten Laws of Identity von Cameron, wobei ich noch stärker auf das Persona-Konzept sowie die technischen Voraussetzungen drängen würde, die eine Omnipräsenz des Dienstes ermöglichen. In meinem Beitrag “Erfolgsfaktoren für e-Identity-Systeme” habe ich die Erfolgsfaktoren zusammengefasst. Das ist meines Erachtens aber alles kein Hexenwerk und heutzutage leicht zu bewerkstelligen.

Viel wichtiger und tatsächlich relevant für die Etablierung eines e-Identity-Systems/Schemes ist es, bestehende Digitalisierungslücken im Alltag der Menschen durch Formulierung innovativer Anwendungsfälle – die erst durch das Vorhandensein eines übergreifenden e- Identity-Systems möglich sind – zu schließen, um somit einen für den Benutzer deutlich wahrnehmbaren Mehrwert zu schaffen. Der Erfolg dieser Systeme kommt mit der wiederkehrenden Nutzung, d.h. die Integration in häufig-frequentierte Anwendungsfälle als auch die Schaffung neuer Anwendungsfälle als Alleinstellungsmerkmal sollten im Vordergrund stehen.

  • Mit dem neuen Personalausweis (nPA) steht seit Jahren eine Lösung zur Verfügung, mit der die Nutzer ihre Identitäten im Netz verifizieren können. Warum kommt der nPA trotzdem nicht so recht vom Fleck?

Das stimmt und ich würde mich freuen, wenn ich ihn auch mal irgendwo sinnvoll nutzen könnte. Der nPA ist dem Henne-Ei-Problem erlegen, und in der aktuellen Konstellation haben weder Henne noch Ei Lust darauf, mitzuspielen. Welchen Anreiz haben Service Provider, ein teures Verfahren einzubinden, für das sie sich zunächst aufwändig zertifizieren müssen, wenn es am Ende kaum jemand nutzt? Die eID-Funktion des Personalausweises ist bei den Wenigsten aktiviert worden und wo sie aktiviert wurde, ist die zur Nutzung erforderliche PIN nicht mehr griffbereit und taucht erst Jahre später wieder auf, wenn man den PIN-Brief zufällig in wegsortierten Schreiben wiederfindet – die Ausstellung einer neuen PIN ist selbstverständlich kostenpflichtig. Aber selbst wenn der Ausweis aktiviert und die PIN parat liegt, mangelt es häufig am notwendigen Kartenleser, der teuer und nicht sonderlich nutzerfreundlich ist – Abhilfe schafft mittlerweile die AusweisApp2. Dennoch stellen all diese Hürden die Benutzer vor eine ähnliche Frage, wie bereits die Service Provider: Warum sollte ich mir das für die wenigen Anwendungsbereiche antun, wenn es doch auch anders (einfacher) geht? Erschwerend kommen Vorurteile und Vertrauensdefizite gegenüber Staat und Politik hinzu.

Vielleicht helfen die sich entwickelnden e-Identity-Systeme dem nPA aber sogar auf die Sprünge, indem er analog zur AusweisApp2 möglichst benutzerfreundlich integriert wird, für eben jene Anwendungsfälle, die tatsächlich eine Identifikation des Benutzers erfordern.

  • In letzter Zeit sind gleich mehrere Daten-Allianzen an den Start gegangen bzw. haben ihren Start angekündigt. Ist das richtige, ist das ein erfolgsversprechender Weg?

Naja… positiv hervorzuheben ist, dass das Problem scheinbar an vielen Stellen verstanden worden ist und adressiert wird, was schon mal einen ganz guten Startpunkt darstellt. Die aktuellen Identitäts- und Daten-Allianzen sind zudem mit teils unterschiedlichem Fokus unterwegs: Die netID mit vornehmlich Publisher-Partnern wird vermutlich auf Lösungen für Opt-Ins im Rahmen der kommenden ePrivacy-Richtlinie fokussieren, VERIMI ist ein branchenübergreifender Login-Dienst, YES startet aus dem Finanzdienstleistungssektor und positioniert sich als ID-Scheme und weitere spezialisiertere Initiativen wie z.B. Helix Alpha und idento.one legen den Fokus auf das Thema Daten. Fast alle Initiativen eint jedoch die Hoffnung, der de-facto Standard für den Kunden zu werden, also zukünftig als eine Art Generalschlüssel für alle digitalen Dienste zu dienen. Und an dieser Stelle beginnen meine Zweifel: Um den Generalschlüssel herum ist eine spürbare Konkurrenz erwachsen, die eigentlich unnötig ist. Die Benutzer werden sich ihre Generalschlüssel ohnehin selbst aussuchen: Ob sie nun einen Mercedes.me-Schlüssel, einen Sparkassen-Schlüssel, einen übergreifenden VERIMI- oder YES-Schlüssel oder einen web.de-Schlüssel nutzen möchten, bleibt ihnen überlassen. Wesentlich ist doch, dass alle Systeme interoperabel sind und sich die Initiatoren nicht gegenseitig Steine in den Weg legen. An dieser Stelle erhoffe ich mir die Kooperationsbereitschaft und -willigkeit aller Marktteilnehmer, denn ansonsten schadet dies wieder nur der Verbreitung aller Lösungen und „die anderen“ gehen weiterhin als Sieger vom Platz.

  • Ebenso präsent wie die Daten-Allianzen in der Berichterstattung sind die diversen Startups und Initiativen, die die Nutzer in die Lage versetzen wollen, ihre Identitäten dezentral per Blockchain zu verwalten. Könnte das eine Alternative zu den eher zentralisierten Datenallianzen sein?

Ob eine Lösung Blockchain-basiert ist oder nicht, halte ich persönlich für weniger erfolgsentscheidend. Die distributed ledger Technologie hat bekanntermaßen Vor- und Nachteile und es stellt sich eigentlich immer die Frage, ob man dem Betreiber der Identitätslösung Vertrauen schenkt oder ob man vor allem aus Vertrauensgründen versucht, das System auf mehrere Parteien zu dezentralisieren. Beide Varianten können heutzutage vergleichbar sicher implementiert werden. Wenn ich mir den Erfolg und die Verbreitung der GAFAs ansehe, bin ich sehr skeptisch, ob das Sicherheitsbedürfnis der Benutzer und die Vertrauensfrage an dieser Stelle erfolgsentscheidend für das Identitätssystem sein werden. Regulatorisch wird es nun strengere Anforderungen geben und diese werden auch durch die GAFAs umgesetzt werden. Deshalb wird der Mehrwert für den Benutzer entscheiden, weniger die technische Umsetzung.

  • Viele Branchenbeobachter halten die Banken für prädestiniert bei der sicheren Verwaltung der digitalen Identitäten. Teilen Sie die Ansicht?

Ja und nein. Auf der einen Seite sind viele der kolportierten Begründungen für die Prädestination für Banken zugegebenermaßen etwas beschönigt. So ist die Qualität der seitens der Finanzinstitute vorgehaltenen Identitätsdaten nicht immer so rosig, wie angenommen. Namensänderungen bei Heirat und Adressänderungen wegen Umzugs oder gar Kontaktmöglichkeiten werden häufig stark verzögert oder gar nicht gemeldet und korrigiert.

Finanzinstitute können auf der anderen Seite seit Jahren glaubhaft unter Beweis stellen, dass sie eine vergleichsweise sichere technische Infrastruktur bereitstellen können. Sie besitzen umfragegemäß nach wie vor einen Vertrauensvorsprung in der Gesellschaft. Darüber hinaus liegen digitale Identitäten und die Abwicklung der zugehörigen Zahlung typischerweise sehr eng beieinander, so dass die Nähe zum Finanzdienstleister auch Vorteile verspricht.

  • Könnten nicht auch die Kommunen die Rolle der Treuhänder für digitale Identitäten übernehmen?

Selbstverständlich. Wie auch beim Personalausweis sollte das Vertrauensthema dadurch kein Problem darstellen. Derartige Piloten sind beispielsweise bereits in der Schweiz in Schaffhausen und Zug auf Blockchain-Basis gestartet worden. Herausfordernd werden jedoch die dafür notwendige kurzfristige Digitalisierungsfähigkeit sowie die Abstimmung der Kommunen hinsichtlich gemeinsamer Spielregeln. Und, sobald es sich in der Wahrnehmung um kommunale oder staatliche Lösungen handelt, wird es umso relevanter sein, dass auch entsprechende e-Government-Services darüber nutzbar sind, da anderenfalls ein ähnliches Störgefühl auftreten wird, wie beim deutschen Personalausweis. Und so schnell mahlen die Mühlen in Deutschland leider noch nicht – was sehr schade ist, denn technisch wäre das alles sehr schnell machbar.

  • Im Vergleich zu anderen Ländern, wie Kanada, der Schweiz oder Norwegen, ist hierzulande noch kein einheitlicher Wille bzw. die Tendenz nach einem Standard zu erkennen. Woran könnte das liegen?

Das ist in der Tat eine unglückliche Situation und leider schon viel zu oft beobachtbar gewesen. Das Verständnis und der Wille für einen einheitlichen Standard sind schon vorhanden, leider stehen häufig Einzelinteressen im Vordergrund. In Kanada investierten die größten Banken in eine gemeinsame Lösung, in der Schweiz gibt es ein gemeinsames Industriekonsortium, in Norwegen genau ein Verfahren hinter dem sich die norwegischen Banken versammeln. In Deutschland läuft es (mal wieder) anders. Das deutsche Bankwesen ist mit seiner Drei-Säulen-Struktur zugegebenermaßen auch deutlich komplexer als jenes der benannten Länder und eine Harmonisierung der Einzelinteressen maximal herausfordernd. Das Bezahlverfahren paydirekt zeigt, dass dies zwar grundsätzlich möglich ist, aber nur dann funktionieren kann, wenn an dieser Harmonie festgehalten wird. Auch das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform als gemeinsamer Ansatz der Deutschen Kreditwirtschaft lösen lassen – wäre man sich einig gewesen.

Leider ist immer wieder beobachtbar, dass selbst mit kleineren Funktionalitäten und Services in den Wettbewerb gegangen wird, wo es viel sinnvoller wäre, darauf zu verzichten, und diese Funktionalität als Teil eines größeren Ganzen gemeinsam zu entwickeln. Viele vor allem technische Themen sind mitnichten wettbewerbsdifferenzierend und sollten daher gemeinsam entwickelt werden, um sich stattdessen auf die relevanten Themen mit Kunden- Impact zu fokussieren. Das gilt im Banking und beim Zahlungsverkehr genauso wie beispielsweise im Handel oder beim Thema Mobilität.

Sollte niemand mehr einlenken, wird sich das Thema leider nur noch durch den (internationalen) Wettbewerb lösen lassen.

  • Was meinen Sie: Wann könnte der “Tipping Point” für die flächendeckende Nutzung digitaler Identitäten erreicht sein – welche Voraussetzungen fehlen derzeit noch?

E-Identity-Systeme wird es kurzfristig genügend geben. Es fehlt jedoch ein weites Netzwerk aus Akzeptanzstellen sowie die Kooperationsbereitschaft der Wirtschaft bei übergreifenden Services und Ansätzen im Sinne der Kunden. Weniger sinnloser Wettbewerb und Golden Cage für die Kunden, mehr Fokus auf Anforderungen der Kunden und Vielfalt in den Geschäftsmodellen.

Wirklich relevant werden digitale Identitäten nämlich erst, wenn sie in den Alltag der Menschen integriert sind und/oder eine Vielzahl von Anwendungsfällen nur noch damit möglich sind bzw. damit deutlich einfacher möglich sind. So ist das Schließen vorhandener Digitalisierungslücken und das Adressieren von Konsolidierungsmöglichkeiten der erste Schritt auf dem Weg zu einer flächendeckenden Nutzung digitaler Identitäten – mit Fokus auf insbesondere jene Bereiche, die eine verifizierte Identität benötigen, denn damit könnte noch ein Vorsprung gegenüber der internationalen Konkurrenz aufgebaut werden. Das Thema e- Government ist zwar unterwegs, wird aber sicherlich noch ein paar Jahre auf sich warten lassen. Beim Thema Mobilität existieren erste technische Konsolidierungsbestreben – dies anbieterübergreifend auszuweiten und als Role Model auch für andere Industrien zu verstehen, wird die Herausforderung sein.

Ich rechne aus diesen Gründen mit 3-5 Jahren für einen „Tipping Point“, bin aber zuversichtlich, dass es bereits sehr kurzfristig erste wegweisende Piloten geben wird.

  • Herr Dr. Windisch, vielen Dank für das Gespräch!
Veröffentlicht unter Banking, Digitale Identitäten, Digitale Plattformen / Plattformökonomie, Digitale Währungen, Distributed Ledger Technology, Graphentechnologie | Kommentare deaktiviert für “Das Thema digitale Identitäten hätte sich großartig über die paydirekt-Plattform .. lösen lassen” – Interview mit Dr. Andreas Windisch (asquared)

Dezentrales Banking #3

Von Ralf Keuper

Eine weitere Blockchain-Bank, die für sich in Anspruch nimmt, die erste ihrer Art zu sein, hat die Bühne betreten: Gemeint ist die Nuo Bank in Singapur, worüber in Now here’s a crypto bank you can grow with berichtet wird.

Anstatt Zinsen für ihre Einlagen bekommen die Kunden einen Anteil an den Einnahmen der Bank.

Zum Finanzierungs- und Geschäftsmodell:

Nuo Bank will essentially offer about 20% of its 1 billion tokens, called Nuo Coins, to customers, the value of which will be connected to smart contracts. These contracts will entail that up to 25% of the revenue that the bank makes should be reserved for these tokens.

The bank will generate revenue from the transaction fees, or merchant discount rate ( MDR) on its payments products as well as a share of the premium from its peer to-peer lending business.

In First Ever Crypto Bank Branch and ATM Opened werden die Vorzüge der Advanced Artificial Robotic Account Managers (AARAM) hervorgehoben, die den Bankberater ersetzen sollen:

With AARAM, Nuo’s users can use voice based commands to get answers to their important queries regarding crypto prices, private keys, decentralized loans etc without being annoyed with frequent calls to invest their savings in a new insurance policy.

Die Kunden können den weltweit ersten Bankautomaten für Kryptowährungen benutzen.

Einen Mittelweg schlägt dagegen Stellar ein, wie in Introduction to Stellar Lumens (XLM) – The Future of Banking zu erfahren ist. Dort geht es weniger um Revolution sondern eher um Evolution. Das Bestehende soll mit dem Neuen kombiniert werden:

Stellar is a blockchain platform that is primarily focused on integrating distributed ledger technology into existing financial infrastructure. Stellar presents itself as the “future of banking,” and intends to address the gaps that currently exist between the disparate closed system that compose current international financial markets.

Gut möglich, dass wir demnächst einen drei-geteilten Bankmarkt sehen werden. Einmal die großen digitalen Plattformen (Google, Amazon, Alibaba, Tencent, Apple, Baidu, SoftBank), dann Hybridformen aus zentralem und dezentralem Banking (Stellar plus klassische Banken) und dezentrale Banken auf Blockchain-Basis.

Was noch fehlt sind entsprechende Standards, über die Blockchains-untereinander und Blockchain und klassische Infrastrukturen miteinander kommunizieren können, wie heute in Teilen schon mit Stellar und Ripple.

Veröffentlicht unter Banking, Digitale Währungen, Distributed Ledger Technology, Graphentechnologie | Kommentare deaktiviert für Dezentrales Banking #3

Die Mobilisierung von Kapital Anfang des 19. Jahrhunderts

Im neunzehnten Jahrhundert, als alles kostspieliger und das Risiko größer wurde, war das effektivste Verfahren zur Mobilisierung von Kapital die staatlich konzessionierte Kapitalgesellschaft mit beschränkter Haftung – staatlich konzessioniert, weil die beschränkte Haftung nur von der Krone oder dem Parlament gewährt werden konnte. Diese riesigen, halbstaatlichen Unternehmen nahmen nie einen langfristigen Bankkredit auf, weil keine Bank groß genug dafür war. Die Konzessionsurkunde der Bank of England sah vor, dass keine andere Bank aus mehr als sechs Gesellschaftern bestehen dürfe. Erst im Jahr 1826 wurden Aktienbanken zugelassen, und auch dann nur unter der Bedingung, dass sie mindestens hundert Kilometer von London entfernt lagen; und erst 1833 durften sie sich, sofern sie keine Banknoten ausgaben, innerhalb dieses Radius niederlassen. Doch die neuen Banken unterschieden sich in Größe und Geschäftspolitik kaum von Privatbanken, und nicht einmal die Eisenbahnbauer brauchten ihre Hilfe.

Quelle: David Landes: Wohlstand und Armut der Nationen. Warum die einen reich und die anderen arm sind

Veröffentlicht unter Bankgeschichte | Kommentare deaktiviert für Die Mobilisierung von Kapital Anfang des 19. Jahrhunderts

Banking: “Banks and Credits” 1948 Coronet Instructional Films; Financial Institutions

Veröffentlicht unter Banken in den Medien, Bankgeschichte | Kommentare deaktiviert für Banking: “Banks and Credits” 1948 Coronet Instructional Films; Financial Institutions

New Banking: Welchen Kontext meinen wir?

Von Ralf Keuper

Wenn das Banking natürlicher Bestandteil des “digitalen” Alltags der Mensch wird, dann wird die jeweilige Situation, der Kontext zum entscheidenden Kriterium. Auf diesen Umstand machte Brett King bereits vor ca. fünf Jahren in The Future of Banking Is All About Context aufmerksam. Die Gedanken von King griff seinerzeit der Blog der Volksbank Bühl in Bank 2.0: It´s all about context?! auf. In dem Zusammenhang wird häufig vom kontextsensitiven Banking gesprochen. Eng verbunden damit ist wiederum die Semantik, d.h. die Wortbedeutung. Ohne echtes Verständnis der jeweiligen Lebenssituation, der Lebenswirklichkeit der Kunden werden beliebige Zusammenhänge (Kontext) hergestellt, die keinen Sinn ergeben und zu keinem Handlungsimpuls führen (Pragmatische Information). Das läuft häufig auf Korrelations-Bingo hinaus, was durch den Einsatz von Big Data noch verstärkt wird.

In der Vergangenheit und z.T. auch heute noch, war für den Kontext der Kundenberater in der Filiale zuständig. Aufgrund seiner Kenntnisse der Lebenssituation der Kunden, die er über Jahre/Jahrzehnte begleitete und auf Basis eigener Erfahrungen konnte der Berater, die Beraterin weitestgehend individualisierte Angebote unterbreiten, d.h. die für die jeweilige Situation passende Lösung finden – und das nicht selten unbürokratisch. Mehr Kontext geht eigentlich nicht.

Diese – gewiss auch idealisierte – Beziehung muss nun auf digitalem Weg nachgebildet werden. Dafür stützen sich die diversen Applikationen auf die Daten, welche die Kunden im Netz hinterlassen und/oder bewusst zur Verfügung stellen. Im Idealfall lassen sich aus den Daten Schlüsse ziehen und darauf aufbauend Empfehlungen aussprechen (Empfehlungsmarketing, Permission Based Marketing). Große Hoffnungen richten sich an den Einsatz von Sprachassistenten, die dem Nutzer quasi jeden Wunsch von den Lippen ablesen können – im Banking auch als Voice Banking bekannt. Bislang ist die Treffgenauigkeit eher unbefriedigend. Es fehlt eine Ontologie, wie sie u.a. von der Object Management Group für die Finanzindustrie vorgeschlagen wird.

Es bleibt das Problem der Mehrdeutigkeit, das Hubert L. Dreyfus in seinem Klassiker Die Grenzen Künstlicher Intelligenz beschrieb:

Der wichtige Unterschied zwischen dem Ausräumen von Mehrdeutigkeiten durch Fakten und dem durch Einbeziehung des Kontexts wird von Minsky, Bar-Hillel oder Fodor und Katz nicht gesehen. Vermutlich nehmen sie alle an, dass der Kontext selbst durch Merkmale identifiziert wird, die Fakten sind, und dass er zum Ausräumen einer Mehrdeutigkeit beiträgt. Es wird sich jedoch zeigen, dass die Missachtung dieses Unterschieds zwischen Fakten und Kontext sowohl bei Bar-Hillel als auch bei Fodor und Katz zu einer Unklarheit bezüglich der Frage führt, ob perfekte maschinelle Übersetzungen nur praktisch oder auch theoretisch unmöglich sind.

Die größte und letzte Hürde ist der “letzte Kontext”:

Glücklicherweise scheint es so etwas wie einen letzten Kontext zu geben, aber wie wir sehen werden, erweist sich dieser als ebenso unprogrammierbar wie der unendliche Regress, den wir mit seiner Hilfe vermeiden wollten. Wie sich gezeigt hat, muss man sich auf einen umfassenderen Kontext berufen, um festzustellen, welche Fakten zum Erkennen einer akademischen oder einer geheimdienstlichen Situation relevant sind, und um diese Fakten zu interpretieren. So erkennen wir erst in einem weiter gefassten Kontext sozialer Interaktion, dass wir normalerweise darauf achten müssen, wie Leute gekleidet sind und was sie tun, aber nicht darauf achten, wieviele Insekten im Raum sind oder auf die Wolkenbildungen um zwölf Uhr mittags oder eine Minute später. Und nur dieser umfassendere Kontext lässt uns erkennen, ob dies Fakten ihre normale Bedeutung haben.

Und weiter:

Überdies können selbst die Fakten, die eine soziale Interaktion erkennbar machen, nur deshalb identifiziert werden, weil soziale Interaktionen wiederum ein Spezialfall aller menschlichen Aktivitäten darstellt, zu denen auch Dinge gehören wie allein zu arbeiten oder ein Naturvolk zu erforschen. Und schließlich ist selbst das menschliche Tun und Treiben nur eine Unterklasse einer noch weiter gefassten Situation – sagen wir, der menschlichen Lebenswelt -, die sogar auch solche Situationen umfassen müsste, an denen keine Menschen unmittelbar beteiligt sind.

Daraus folgt: Solange Mehrdeutigkeiten im Leben der Menschen bestehen, solange der “letzte” Kontext nicht erkannt ist, solange wird es im Banking und anderswo an bestimmten Stellen auf den persönlichen Kontakt ankommen. Viele Situationen erschließen sich erst durch den intensiven Dialog von Mensch zu Mensch. Insofern ein wichtiges Argument für das Relationship-Banking.

Veröffentlicht unter Banking, Künstliche Intelligenz | Hinterlasse einen Kommentar

Trust Center, Vetrauensnetzwerke und digitale Notare

Von Ralf Keuper

In der Geschichte lässt sich immer wieder das Muster beobachten, dass Ideen, die ihrer Zeit voraus waren, durch Kombination mit neuen Elementen zum Durchbruch kommen. Das betrifft technologische Innovationen bzw. Revolutionen in besonderer Weise.

Ende der 1990er Jahre, als das Internet noch in den Anfängen war und  noch sich noch keine Datenmonopole, wie Google oder facebook, gebildet hatten, spielte Rainer Kuhlen in seinem Buch Die Konsequenzen von Informationsassistenten gedanklich die verschiedenen Möglichkeiten durch, die sich mit der Verbreitung des Internet für Trust Center, Vertrauensnetzwerke und digitale Notare ergeben könnten.

Eine wichtige Rolle würden dabei kryptografische Verfahren und neutrale Dritte übernehmen:

Wenn es auch noch nicht durchgängig Praxis ist, so spricht einiges dafür, dass Kontrollinstanzen unter dem Gesichtspunkt von Vertrauensbildung in erster Linie in die Hände neutraler Dritter (Trusted Third Parties) gelegt werden sollen. Dies sind die neuen Broker, der Vermittler (middlemen) in Neztwerken und elektronischen Diensten. Sie übernehmen u.a. klassische Notarfunktionen für das Netz, wie Identifikation, Authentifikation, Verifikation oder Kryptografie-Kontrolle bzw. Überwachung der elektronischen Unterschrift. Sie sollen vertrauenswürdige Antworten auf die Fragen geben, auf welche Dienste und Vermittlungsleistungen, auf welche Suchdienste, auch welche Qualitätseinschätzungen oder überhaupt auf welche elektronischen Transaktionsformen auf welcher Kryptografie-Grundlage man sich verlassen kann.

Die allgemeine Funktion der “Mittler”:

Mittler sollen, ganz generell gesehen, die Vertrauenslücke schließen, die zwischen den (oft anonymen) elektronischen (staatlichen oder kommerziellen) Organisationen und Diensten im Netz und den Endkunden besteht. …

Über die Rolle des Vertrauens angesichts der Verbreitung kryptografischer Verfahren und Zertifizierungen:

Vertrauen wird auch wieder zentral, weil die Vorgänge, die mit Verschlüsselung und Zertifizierung zusammenhängen, für die meisten Nutzer nicht nachvollziehbar sind, und daher auch an neutrale vertrauensvolle Mittler delegiert wird.

Für die Vermittlerfunktion kommen mehrere Akteure und Institutionen in Betracht:

Hier öffnet sich ein breites Feld für neue Aktivitäten einer Vielzahl von Organisationen, deren Hauptzweck es ist, Transaktionen in Netzwerken nachvollziehbar und vertrauenswürdig zu machen. Wer diese Mittler sein werden, ist im einzelnen unentschieden. Sicherlich wird es keine einzelne institutionelle Lösung geben, sondern vielfältige Organisationen – kleine, mittlere und große Unternehmen, Banken, Industrie- und Handelskammern, Gewerbeaufsichten, Überwachungsvereine, wissenschaftliche Gesellschaften, Interessenverbände, Unternehmensberatungen, Forschungsinstitute, Bürgerinitiativen … – werden hier aktiv werden und werden versuchen, sich für ihre Kunden durch vertrauensbildende Maßnahmen zu legitimieren. ….

Eine Lösung im Sinne von “One size fits all” wird es jedoch nicht geben:

Man erkennt aus der bisherigen Diskussion, dass es eine eindeutige institutionelle Lösung für die Delegation von Problemen, die mit Kryptografie, Zertifizierung oder Identitätssicherung allgemein zusammenhängen nicht gibt. Man kann jedoch zwei grundsätzlich verschiedene Denkansätze zur Lösung des Problems ausmachen. Aus der einen Richtung wird auf die Herausbildung von Vertrauensnetzen (Web of trust), aus der anderen mehr auf professionelle Instanzen, die allerdings .. sich auf vielfältige Weise institutionell realisieren können. Das ist die Idee der Trust Center.

Kuhlen hat bereits vor ca. 20 Jahren die Diskussion der letzten Jahre in den Bereichen Digitale Identitäten, Vertrauensdienste, Kryptografie usw. vorweggenommen.

Mit den neuen regulatorischen Bestimmungen wie PSD2, der DSGVO, ePrivacy und eIDAS sind die Voraussetzungen inzwischen ebenso vorhanden wie auf technischem Gebiet durch die Blockchain bzw. die Distributed Ledger. Mit dem neuen Personalausweis/eID steht in Deutschland – prinzipiell – eine Digitale Identität zur Verfügung. Die erwähnte PSD2 sieht explizit die Rolle sog. Third Party Provider vor, die die Funktion von Vertrauensdiensten übernehmen könn(t)en.

Auf der organisatorischen, institutionellen Seite jedoch ist dieser Impuls noch nicht im vollen Umfang angekommen. Zwar experimentieren Banken, Telekommunikationsunternehmen, wie z.B. bei Verimi, mit einigen Aspekten (Single Sign On), ohne jedoch das zentralisierte Modell der Datenhaltung aufzugeben. Die ultimative “Daten-Allianz” wird es aller Voraussicht nach nicht geben.

Auf der anderen Seite positionieren sich die verschiedenen Anbieter aus dem Umfeld der Digitalen Identitäten und der Verwaltung der personenbezogenen Daten, welche auf die Blockchain-Technologie setzen. Die Blockchain kombiniert bis dahin getrennt betrachtete Verfahren, wie Kryptografie, P2P und dezentrale Datenhaltung.

Unter den bestehenden Markt- und Machtverhältnissen erscheint es relativ ausweglos, die Internetkonzerne aus ihrer Monopolstellung bei den Daten zu verdrängen. Dafür ist ihr Vorsprung zu groß, der Gewöhnungseffekt bei den Nutzern zu weit fortgeschritten. Wir benötigen echte Alternativen. Ein Mittel dazu ist m.E. die Blockchain-Technologie sowie neue Organisationsformen wie Personal Data oder Digital Identity Banks.

Crosspost von Identity Economy

Veröffentlicht unter Personal Data Bank | Hinterlasse einen Kommentar

When Bankers Were Good

Veröffentlicht unter Bankgeschichte, Banking | Hinterlasse einen Kommentar

“Personal Data Banks wären .. eine wichtige Grundlage für umfassende digitale und datenbasierte Dienstleistungen” – Interview mit Michael Ochs (Fraunhofer IESE)

Michael Ochs

Beim Thema Datenschutz scheiden sich die Geister. Für die einen mehr oder weniger ein notwendiges Übel, das die Customer Journey nicht zu sehr beeinträchtigen soll, für die anderen die Ultima Ratio auf dem Weg zur Datensouveränität. Dazwischen bleibt nicht mehr allzu viel Interpretationsspielraum. Dass diese Sichtweise verkürzt ist und Datenschutz sogar ein Wettbewerbsvorteil sein kann, davon ist Michael Ochs (Foto), Geschäftsfeldmanager Digital Services beim Fraunhofer IESE in Kaiserslautern, überzeugt. Im Interview mit Bankstil erläutert Michael Ochs, warum das Thema Datenschutz moderner denn je ist, welchen Beitrag die vom Fraunhofer IESE entwickelte Lösung IND²UCE bei der Umsetzung der DSGVO und darüber hinaus leisten kann und warum er die Zeit für Personal Data Banks kommen sieht. 

  • Herr Ochs, können Sie kurz Ihre Funktion am Fraunhofer-Institut für Experimentelles Software Engineering IESE beschreiben?

Ich verantworte das Geschäftsfeld »Digital Services«. In diesem Geschäftsfeld beschäftigen wir uns mit Digitalisierung in verschiedenen Branchen mit verschiedenen Arbeitsschwerpunkten. Arbeitsschwerpunkte sind z.B. digitale Geschäftsmodelle, digitale Ökosysteme und Plattformökonomie, Technologien für Privacy bzw. Datenschutz, User Experience, Softwarearchitekturen – auch für Ökosysteme oder das Zusammenspiel zwischen Security und Safety. Die Branchen sind beispielsweise Automotive, Nutzfahrzeuge, Business Software und Financial Services. Hier arbeiten wir für und mit Unternehmenskunden in Projekten an einzelnen dieser Schwerpunkte oder an Kombinationen von diesen.

  • Sie sind von Haus aus Wirtschaftsmathematiker – was hat Sie zum Thema Datenschutz geführt?

Datenschutz ist eines der Themen, die wir mit Blick auf die Digitalisierung mit eigenen Technologien für Privacy by Design unterstützen. Daher liegt es auf der Hand, sich intensiv mit Datenschutz auch auf der regulativen Ebene zu beschäftigen. Dass ich Wirtschaftsmathematiker bin, ist hierbei kein Nachteil. Die Ausbildung war im Schwerpunkt eine Mischung aus Mathematik und Informatik. Dazu kamen noch Wirtschaftswissenschaften, darunter auch das Thema Recht – damals mit Fokus auf HGB und BGB natürlich. Das macht es heute durchaus leichter, sich als Nicht-Jurist durch EU-Verordnungen und -Richtlinien zu arbeiten.

  • Bietet das Fraunhofer IESE in diesem Bereich Lösungen und Services an?

Wir haben eine Lösung für das einfache und direkte Management von Einwilligungen zur Datenverarbeitung für Kunden bzw. Konsumenten und Dienstanbieter entwickelt. Dies geschieht mittels sogenannter Privacy Cockpits. Dort kann der Kunde bzw. Nutzer eines Dienstes transparent sehen und festlegen, was mit seinen Daten geschieht. Das Festlegen der Art der Verarbeitung umfasst beispielsweise, welche Daten für welche Analysen –oder generell für eine Verarbeitung – in welcher Weise verwendet werden dürfen. Hierzu kann auch fallbezogen eine Pseudonymisierung oder Anonymisierung gehören. Genauso kann festgelegt und überprüft werden, welche weiteren Dienstanbieter auf Daten des Kunden zugreifen und auf welche Weise sie diesen nutzen dürfen. Das Besondere und Einzigartige ist die Möglichkeit, die im Privacy Cockpit vorgenommenen Einstellungen zur Datenverarbeitung direkt in der Verarbeitung in den IT-Systemen durchsetzen zu können – also ein Ende-zu-Ende-Privacy-Enforcement. Die Lösung besteht aus der Technologie IND²UCE und weiteren unterstützenden Dienstleistungen bei der Einführung und Integration von IND²UCE in die eigenen Systeme. Technisch gesehen ist IND²UCE eine Privacy-Architekturschicht für datenverarbeitende Systeme, die leicht in bestehende und sich in der Entwicklung befindende Systeme integriert werden kann. Als Dienstanbieter löst man damit die Herausforderungen der Datenschutzgrundverordnung (DSGVO) in Bezug auf das einfache Geben und Zurücknehmen von Einwilligungen zur Datenverarbeitung mit der geforderten engen Zweckbindung sowie Privacy by Design im Hinblick auf die IT-Systeme. Außerdem besteht eine erhebliche Aufwandsersparnis im Vergleich zur Entwicklung eines eigenen Einwilligungsmanagements mit Enforcement in den IT-Systemen. Dazu ist IND²UCE nahezu wartungsfrei und mindert damit deutlich die Wahrscheinlichkeit für solche Fehler in der Software, die im schlimmsten Fall zu meldepflichtigen Datenschutzverletzungen führen können.

  • Beim Thema Datenschutz bilden sich – überspitzt formuliert – schnell zwei Lager heraus: einmal diejenigen, denen der Datenschutz gar nicht weit genug gehen kann, und dann die Gruppe, für welche der Datenschutz latent geschäftsverhindernd ist. Wo würden Sie sich ansiedeln?

Ich würde mich in keinem der beiden Lager wohlfühlen. Wichtig ist immer, die richtige Balance zwischen Datenschutz und Datennutzung zu halten. Das hängt im Einzelfall von vielen Faktoren ab, z.B. den Kategorien der Daten oder dem jeweiligen Zweck der Verarbeitung.

  • Könnte Datenschutz auch ein Standortvorteil für Europa sein und Innovationen fördern?

Eine der Neuerungen – in meinen Augen eine der wichtigsten – in der Datenschutzgrundverordnung ist das Recht auf Datenübertragbarkeit. Dies ist die Öffnung von digitalen Diensten untereinander. Einerseits kann ich so als Kunde meine Daten, die bei einem Dienstanbieter liegen, auch ganz oder in Teilen durch Übertragung bei einem anderen Dienstanbieter nutzen. Dies schafft eine ganz neue rechtliche Grundlage für neue digitale Wirtschaftszweige in den Bereichen Plattformökonomie und digitale Ökosysteme. Andererseits fällt mir so auch ein Wechsel des Dienstanbieters zu einem möglicherweise „besseren“ Anbieter leichter, da durch das Recht auf Datenübertragbarkeit das Data Lock-in von Anbietern aufgebrochen wird. Dies schafft zum Beispiel Raum für alternative Angebote zu großen Dienstanbietern, die aktuell quasi eine Monopolstellung bei ihren Angeboten innehaben. Würden Konkurrenten in den Markt eindringen, könnte ich als Kunde beim Wechsel des Anbieters meine gesamten Daten zum neuen Anbieter mitnehmen.

  • Aus Kanada stammt die Idee des Privacy by Design, d.h. der Datenschutz bzw. der Schutz der Privatsphäre wird in die Applikationen eingebaut und nicht erst später mit hohem Aufwand integriert. Wie ist der Stand in Deutschland?

Die DSGVO fordert unter anderem entsprechende Maßnahmen. Praktisch schließt dort Privacy by Design technische und organisatorische Maßnahmen für Datenschutz ein. Organisatorische Maßnahmen beginnen dabei für mich bereits auf Ebene der Geschäftsprozesse, die auf Datenschutz und die sorgsame Handhabung von personenbezogenen Daten ausgerichtet werden müssen. Dies sollte sich dann in entsprechenden Risikoanalysen für Datenschutz wiederfinden und auch in die Anforderungen für Software, die die Geschäftsprozesse unterstützt, Eingang finden. In der Software selbst wäre beispielsweise eine Privacy-Architekturschicht ein sinnvoller Aspekt, um durchgängig den Datenschutz und die Privatsphäre von Kunden durch die Software und die damit ausgeführte Datenverarbeitung zu unterstützen. Bisher habe ich wenige solcher technischen Lösungsansätze im Sinne der DSGVO im Einsatz gesehen. An vielen Stellen befinden sich zwar Berechtigungsmanagementsysteme im Einsatz, jedoch ist dies mehr die Innensicht auf die Prozesse und Daten und deren Nutzung durch Mitarbeiter des jeweiligen Unternehmens. Das hat noch wenig von den Aspekten, die ab Mai mit der DSGVO auf Unternehmen, deren Prozesse und damit auch deren Software zukommen. Dazu zählen unter anderem freiwillige Einwilligungen zur Verarbeitung von personenbezogenen Daten, die jederzeit– so leicht wie sie gegeben wurden – widerrufbar sein müssen.

  • PSD2/Open Banking und demnächst die neue Datenschutzgrundverordnung (DSGVO) versetzt die Kunden in die Lage, ihre Daten in Besitz zu nehmen und zu entscheiden, wer etwas mit ihnen machen darf. Wie sieht das in der Praxis aus, d.h. welche Hürden müssen dazu überwunden werden?

Die PSD2 versetzt Kunden in die Lage, z.B. ihre Kontodaten und insbesondere ihre Kontotransaktionen von mehreren Zahlungskonten in einer Sicht darstellen zu lassen. Dies kann entweder durch eine Bank geschehen oder durch einen Zahlungsdienstleister, der sogenannte Kontoinformationsdienste anbietet. Dies ist ein Konstrukt, das in etwa dem Recht auf Datenübertragbarkeit in der DSGVO entspricht. Dabei dürfen die Daten vom Anbieter des Kontoinformationsdienstes zunächst nur zum Zweck des Kontoinformationsdienstes selbst verwendet werden. Alle weitergehenden Analysen dieser so aggregierten Daten, wie z.B. Mehrwertdienste aufgrund von Profiling und Unterbreitung von maßgenauen Angeboten aller nur erdenklichen Art, würden eine weitere Einwilligung auf Basis der DSGVO und gegebenenfalls auch des UWG erfordern. Aktuell werden immer wieder Diskussionen geführt, bei denen die erste Interessengruppe keine Notwendigkeit für Unterscheidungen bei den Arten der Kontotransaktionen sieht. Kontotransaktionen können z.B. mit Girocard getätigte regelmäßige Apothekenbezahlungen, Partei- oder Gewerkschaftsbeiträge, Spenden an religiöse Gruppen oder Unterhaltszahlungen an minderjährige und außerhalb des Haushalts lebende Kinder beinhalten. Man könnte diese Liste von besonders sensiblen Inhalten in Kontotransaktionen noch sehr lange fortsetzen. Die zweite Interessengruppe möchte sicherstellen, dass auf Basis der DSGVO für Mehrwertdienste entsprechende Einwilligungen freiwillig gegeben oder Verträge mit Zweckbindung geschlossen werden. Dies hätte aber auch zur Folge, dass beispielsweise ein Mehrwertdienst für Freizeitangebote entweder Kontotransaktionsdaten wie z.B. Partei- oder Gewerkschaftsbeiträge erst gar nicht „sehen“ sollte oder sicherstellen und bei Bedarf auch nachweisen können müsste, dass solche Daten nicht in ein Profiling eingehen. Hier besteht noch erheblicher Klärungsbedarf. Die VZBV (Verbraucherzentrale Bundesverband) in Berlin kommentiert dies mit: „Das ist eine Friss-oder-Stirb-Lösung […]“ – also das, was die EU mit der DSGVO eigentlich abschaffen wollte. Helfen könnten bei der Klärung zum Beispiel die Artikel-29-Gruppe zum Datenschutz und verschiedene Arbeitsgruppen der Landesdatenschutzbeauftragten. Nicht zuletzt muss das Thema auf EU-Ebene einheitlich reguliert werden. Technologisch gäbe es bereits eine Lösung: IND²UCE könnte auch hier vollumfänglich eingesetzt werden.

  • Vor einigen Wochen kündigten die Sparkassen die Pilotierung des Voice Bankings mit dem Google Assistent an. (Vor Jahren sah man das dort noch anders: Deutsche Sparkassen legen sich mit Google an). Dagegen äußerten Datenschützer einige Bedenken – auch die beste Verschlüsselung könne nicht verhindern, dass die Hersteller mithören. Wie sehen Sie das?

Ich finde die Idee naheliegend und innovativ. Als Konsument und Kunde erhöht das definitiv meinen Komfort beim Banking und die Integration mit den gängigen Sprachassistenten ist ein möglicher und konsequenter nächster Digitalisierungsschritt. Denken wir einen Moment „zurück“ an das bekannte Telefonbanking: Hier gibt es die Sprachsteuerung schon. Aber es gibt einen großen Unterschied: Die gängigen Sprachassistenten sind lediglich „Mikrofon“ und „Lautsprecher“. Sämtliche Verarbeitung findet in der Cloud beim jeweiligen Assistenzanbieter statt. Beim Telefonbanking war die Bank auch der Dienstleister für Sprachein- und -ausgabe; in der Wertschöpfungskette gab es also eine direkte Verbindung zwischen Kunde und Bank. Beim Voice Banking wird ein Mittler, nämlich der Anbieter des Assistenzsystems, dazwischengeschaltet. Ich denke, ab hier muss jeder über die Nutzung von Voice Banking für sich selbst entscheiden, z.B. nach intensivem Studium der Datenschutzerklärungen der Bank zum Voice Banking, des Anbieters des Sprachassistenzsystems und auch der Funktionalität des Voice Bankings, die man selbst tatsächlich nutzen möchte.

  • Statt die Diskussion auf den Datenschutz zu konzentrieren, fordern einige eine neue Datenpolitik, welche berücksichtigt, dass Daten Teil eines größeren Ökosystems sind und in sozialen und ökonomischen Austauschbeziehungen entstehen. Der richtige Ansatz?

Für mich ist es definitiv der richtige Ansatz, sich nicht nur auf Datenschutz zu konzentrieren. Ohne Daten und Datennutzung wird sich die in Zukunft immer mehr digitalisierte Wirtschaft weit unter ihrem Potenzial entwickeln. Datennutzung sollte dabei aber immer adäquat und zweckbezogen sein. Das heißt, dass nicht jeder Dienstanbieter in einem Ökosystem für einen bestimmten Zweck alle meine personenbezogenen Daten in voller Detailstufe sehen und kennen muss. Ein weiterer Aspekt ist auch die Frage, wie lange bestimmte Daten dann wiederum mit Personenbezug beim Anbieter persistieren dürfen und wann diese vollständig anonymisiert oder gelöscht werden müssen.

  • Sollte sich das dezentrale Internet (Web 3.0) durchsetzen, könnten neue Geschäftsmodelle und Institutionen, wie Personal Data Banks oder Datengemeinschaften, entstehen. Mehr als eine Utopie?

Ich halte das nicht für eine Utopie. Es wird aber auch nicht gleich schon morgen dazu kommen. Personal Data Banks wären in meinen Augen eine wichtige Grundlage für umfassende digitale und datenbasierte Dienstleistungen, mit denen Daten zu einem Teil eines größeren Ökosystems werden würden und, bei entsprechender Datensouveränität der Konsumenten, tatsächlich auch umfassend, aber kontrolliert zur Wertschöpfung genutzt werden könnten. Ich finde übrigens die Bezeichnung Personal Data Bank ziemlich gelungen: Eine Bank im klassischen Sinne verwaltet mein Geld sicher und ich kann selbst entscheiden, wie ich es ausgebe und für was. Dieser Analogie folgend liegt bei Personal Data Banks der Fokus klar auf Sicherheit und Datenschutz für die Daten der Kunden, die selbst entscheiden können, an wen sie welche Daten herausgeben. Solche Konzepte – die Nutzung von Daten in Ökosystemen und aus Personal Data Banks heraus durch Dienste – lassen sich übrigens ebenfalls mit unserer Technologie IND²UCE umsetzen.

  • Wo könnten wir in fünf Jahren in Deutschland in Sachen datengetriebene Geschäftsmodelle und Datenschutz stehen? 

Ich bin Optimist und schätze, dass dann Daten mit adäquatem Datenschutz in Ökosystemen für Dienstleistungen zweckbezogen global genutzt werden. Im besten Fall werden schon viele Menschen eine Personal Data Bank nutzen. Die Personal Data Bank sollte dabei möglichst alle wichtigen und relevanten Daten zu einer natürlichen Person halten. Das kann von Wohnanschrift über Bankverbindungen oder Geoposition bis hin zu Gesundheitsdaten reichen. Ich weiß, auf dem Weg dahin haben wir noch viel zu tun in punkto Software, IT-Sicherheit, Datenschutz und natürlich der Kreation innovativer Geschäftsideen. Beim Thema Privacy by Design auf Softwareebene wäre IND²UCE die ideale Technologie auch in verteilten Ökosystemen. Und – immer noch als Optimist – bin ich der Meinung, dass es in den kommenden fünf Jahren spannend, hochinteressant und innovativ wird. Wir werden es schaffen, in einigen Schlüsselbranchen die Marktführerschaft in digitalen, datenbasierten Diensten zu erobern. Dabei wird Innovation in Verbindung mit Datenschutz der wesentliche Wettbewerbsvorteil gegenüber nicht-europäischen Anbietern sein.

  • Herr Ochs, vielen Dank für das Gespräch!

Sehr gerne, Herr Keuper.

Veröffentlicht unter Interviews, Personal Data Bank | Verschlagwortet mit , , | Hinterlasse einen Kommentar