Robot Processing Automation und Hyperautomatisierung, also die Kombination von RPA mit fortschrittlichen Technologien wie Machine Learning, intelligenter Unternehmensführungssoftware (iBPMS) und KI, um komplexe Geschäftsprozesse vollumfänglich zu automatisieren (mehr hier), werden im Bankensektor angeregt diskutiert. Die Technologien versprechen einen regelrechten Digitalisierungsschub und Steigerung der Effizienz. In diesem Beitrag des movisco-Blogs soll ein anderer Aspekt von RPA-Prozessen in Kreditinstituten im Mittelpunkt stehen. Denn bei der Einführung solcher Technologien stellen sich auch die Fragen nach Verantwortung, Compliance und letztlich auch um potenzielle Schadensfälle.
Im Blogbeitrag „Den Robotern gehört der Freitag!“ wurden bereits die Vorteile und wesentlichen Anwendungsbeispiele für RPA in Banken beschrieben. Ihrem Wesen nach entfalten RPA-Anwendungen immer dort ihren größten Nutzen, wenn sie auf Prozesse treffen, die auf Regeln basieren und keinen regelmäßigen Änderungen unterworfen sind. Im Falle von strukturierten Daten, die eine eher geringe Komplexität aber ein hohes Volumen aufweisen, tragen RPA und Hyperautomatisierung zur Effizienzsteigerung bei. Dabei spielt auch die Datenqualität eine große Rolle. Die Automatisierung kann nur mit Informationen umgehen, auf die der Robot auch trainiert wurde.
Typische Einsatzfelder für RPA-Prozesse in Banken sind etwa:
Diese vielfältigen Szenarien werfen allerdings auch Fragen nach der Verantwortung auf, die eine Bank trägt, wenn sie RPA-Prozesse einsetzen will.
Eines der wichtigsten Ziele bei der Einführung von RPA-Prozessen in Banken und der Hyperautomation besteht in der Regel darin, die Mitarbeitenden von meist monotonen Arbeiten zu entlasten und Effizienzgewinne zu erzielen. Dies hat verständlicherweise Auswirkungen auf Arbeitsschritte und Arbeitsplätze. Im Rahmen der strategischen Personalplanung können durch die Automatisierung Arbeitsplätze eingespart werden oder durch die frei gewordenen Ressourcen andere, wichtigere Aufgaben übernommen werden. Robotic Process Automation ist aus Sicht der Arbeitnehmervertretung somit „Segen und Fluch“ zugleich. Für die erfolgreiche Einführung von RPA (nicht nur) in Banken ist es unerlässlich, dass Arbeitgeber und Arbeitnehmer bei der Implementierung in einen fruchtbaren Dialog treten. Die möglicherweise damit verbundenen Bedenken und Ängste der Mitarbeitenden sollten ernstgenommen und miteinander geklärt werden. Wie an so vielen Stellen auch, hängt der Erfolg einer Prozessveränderung davon ab, dass die Mitarbeitenden dahinterstehen und die Maßnahmen mittragen.
Erinnert sei auch an den rechtlichen Rahmen: Im Betriebsverfassungsgesetz sind einige Vorschriften vorhanden, die beim Einsatz von RPA möglicherweise zum Tragen kommen. Hier kommen insbesondere die Paragrafen § 87, § 90, § 97 und § 111 in Betracht. Wie stark hängt letztlich von der genauen Ausgestaltung der Automatisierung ab.
RPA-Software in Banken verarbeitet mit großer Wahrscheinlichkeit auch personenbezogene Daten von Kunden. Es handelt sich also um Prozesse, die ohne jeden Zweifel unter den Geltungsbereich der DSGVO fallen, die ja die automatisierte Verarbeitung solcher Daten unter einen besonderen Schutz stellt. In Hinblick auf die Compliance ist somit ein besonderes Augenmerk darauf zu legen, wie die Bots im Banking Ge- und Verbote umsetzen, die aus dem Datenschutzrecht erwachsen.
In der Praxis werden RPA-Prozesse häufig zwischen verschiedenen Systemen vermitteln. Der Bot nimmt beispielsweise vom Mailserver eingehende Nachrichten entgegen, verarbeitet diese und leitet sie zur weiteren Bearbeitung an eine andere Software weiter. Wenn der Bot hier Aufgaben übernimmt, die vorher von Mitarbeitenden erledigt wurden, kann das Lizenzrecht der verwendeten Software betroffen sein. Haben beispielsweise vorher fünf Mitarbeitende die Eingabe in der jeweiligen Software vorgenommen, musste für jede Person eine entsprechende Lizenz erworben werden. Übernimmt nun der Bot diese Arbeit, kann es sich aus Sicht des Lizenzgebers um eine indirekte Softwarenutzung handeln, die möglicherweise in den Lizenzbedingungen ausdrücklich ausgeschlossen wurde. Dies ist im Einzelfall zu prüfen, um juristischen Auseinandersetzungen mit dem Lizenzgeber aus dem Weg zu gehen.
Die Berater der movisco AG werden auch solche Fallstricke bei der Implementierung von RPA in der Bank überprüfen.
RPA-Prozesse in Banken werfen allerdings nicht nur Fragen in Hinblick auf die Compliance auf. Sie können auch das Einhalten der Regularien verbessern. Durch die automatisierte Zuordnung und Strukturierung von Informationen ergeben sich höhere Geschwindigkeiten bei der Bearbeitung von Daten. Dies trägt dann etwa dazu bei, dass ein Kreditinstitut seine Verpflichtungen beim Reporting besser einhalten kann.
Die Bedrohung von Unternehmen durch Phishing-Attacken hat in den vergangenen Jahren stets zugenommen, hier bildet die Bankenwelt keine Ausnahme. Auch bei der Prävention vor Phishing können RPA-Prozesse eingesetzt werden. Der gesamte Prüfungsprozess einer eingehenden Nachricht kann von einem Bot übernommen werden. Er extrahiert kennzeichnende Elemente der Nachricht (URL und IP-Adressen), gleicht diese mit verdächtigen Informationsstrukturen ab, kontrolliert den Nachrichtenkopf und kann Anlagen automatisiert überprüfen. Im Falle eines Verdachts werden Mail und Anhänge automatisiert mit den passenden Schutzprogrammen überprüft bzw. Alarm angezeigt. Erst nach Ablauf der erfolgreichen Überprüfung ohne Beanstandung wird die Nachricht dann einem weiteren Prozessschritt übergeben.
Und auch bei der Compliance rund um den Datenschutz entfalten RPA-Prozesse ihren Nutzen. Denn sie können sehr viel schneller und exakter strukturierte Daten identifizieren, zuordnen und klassifizieren. Alles Aufgaben, die im Zusammenspiel mit der DSGVO relevant sein können, wenn es um die Rechte der Betroffenen bei Auskunft, Löschung, Berichtigung oder Datenübertragbarkeit geht. Bereits nur teilweise gelöscht oder bei einer Auskunft nicht berücksichtigte Daten stellen ein Risiko dar. RPA wirkt dem entgegen.
Bei allen Vorteilen, die sich aus dem Einsatz von RPA und Hyperautomatisierung (Hyperautomation) in Banken ergeben können, stellt sich die Frage, wer die rechtliche Verantwortung für einen Fehler oder Schaden zu tragen hat. Wer muss dafür haften, wenn ein Bot eine Kundenanfrage falsch beantwortet hat oder wenn Daten falsch zugeordnet worden sind?
Ohne dass wir juristische Beratung geben/juristisch belastbare Aussagen treffen, ein Überblick: Die u.a. im BGB geregelten Ansprüche im Falle eines Schadens treffen keine Unterscheidung zwischen menschlichen und maschinellen Fehlern. In der Praxis haftet also zunächst einmal die Unternehmung, mit der ein Geschädigter eine Geschäftsbeziehung unterhält. Das ist im Verhältnis mit dem Kunden also zunächst einmal die Bank. Allerdings darf ein Geschädigter einen Schaden nicht nur behaupten, er muss diesen auch nachweisen und beziffern können. Er muss nachweisen, dass der Schaden durch ein Fehlverhalten oder eine Pflichtverletzung des Schädigers entstanden ist. Dazu ein Beispiel aus dem Investment-Bereich: Hat das von einem Robo-Advisor verwaltete Depot eines Kunden massiv an Wert verloren, ist zwar ein "Schaden“ entstanden. Juristisch käme eine Forderung nach Schadensersatz aber nur dann in Betracht, wenn der Wertverlust nicht durch die Volatilität der Wertpapierkurse entstand, sondern der Bot die Einlagen des Kunden in einer ausdrücklich ausgenommenen Asset-Klasse angelegt hätte. Wurde also vertraglich vereinbart, dass die Einlagen des Kunden nicht in Kryptowährungen angelegt werden, ist dies aber dennoch geschehen, dürfte ein Gericht einen Anspruch auf Schadensersatz zumindest in Erwägung ziehen.
Deshalb ist es bei der Implementierung von RPA-Prozessen in Banken auch wichtig, die automatisierten Prozessschritte, Aufgaben und Aktionen detailliert zu dokumentieren, damit diese auch überprüft werden können. In Logfiles sollten Hinweise zu finden sein, ob ein Fehler aufgetreten ist; oder, ob der Prozess verändert wurde. Deshalb hat es auch eine große Bedeutung, dass Änderungen an den RPA-Prozessen nur von dazu legitimierten Benutzern durchgeführt werden können.
Wird juristisch ein Schaden festgestellt, besteht aus Sicht der Banken die Option, Regressforderungen zu stellen, sofern es sich bei der Hyperautomation nicht um eine vollständig eigene Entwicklung handelt. Ob hier Aussichten bestehen, den eigenen Schaden zurückzufordern, hängt hier aber stark von der Ausgestaltung des Vertragsverhältnisses ab und müsste im Einzelfall geprüft werden.
Weiterlesen zum Thema Compliance können Sie im Fachbeitrag „Datenqualität in Banken – der Schlüssel für mehr Compliance“ und im Themenbereich Aufsichtsrecht auf unserer Website unter https://www.movisco.de/consulting/business-consulting/aufsichtsrecht.
Sie wollen direkt mehr zum Thema RPA-Einsatz in Banken wissen? – Dann kontaktieren Sie einfach Christian Behrens oder Benjamin Schmidt.
Wir freuen uns über Ihre direkte Kontaktaufnahme!