Ihr Standort: movisco // Blog »
kontakt mail icon
kontakt phone icon

RPA in Banken – was ist mit der Compliance?

Robot Processing Automation und Hyperautomatisierung, also die Kombination von RPA mit fortschrittlichen Technologien wie Machine Learning, intelligenter Unternehmensführungssoftware (iBPMS) und KI, um komplexe Geschäftsprozesse vollumfänglich zu automatisieren (mehr hier), werden im Bankensektor angeregt diskutiert. Die Technologien versprechen einen regelrechten Digitalisierungsschub und Steigerung der Effizienz. In diesem Beitrag des movisco-Blogs soll ein anderer Aspekt von RPA-Prozessen in Kreditinstituten im Mittelpunkt stehen. Denn bei der Einführung solcher Technologien stellen sich auch die Fragen nach Verantwortung, Compliance und letztlich auch um potenzielle Schadensfälle.

Die vielen Möglichkeiten der Hyperautomation

Im Blogbeitrag „Den Robotern gehört der Freitag!“ wurden bereits die Vorteile und wesentlichen Anwendungsbeispiele für RPA in Banken beschrieben. Ihrem Wesen nach entfalten RPA-Anwendungen immer dort ihren größten Nutzen, wenn sie auf Prozesse treffen, die auf Regeln basieren und keinen regelmäßigen Änderungen unterworfen sind. Im Falle von strukturierten Daten, die eine eher geringe Komplexität aber ein hohes Volumen aufweisen, tragen RPA und Hyperautomatisierung zur Effizienzsteigerung bei. Dabei spielt auch die Datenqualität eine große Rolle. Die Automatisierung kann nur mit Informationen umgehen, auf die der Robot auch trainiert wurde.

Typische Einsatzfelder für RPA-Prozesse in Banken sind etwa:

  • Daten kopieren, verschieben, einfügen
  • Ausführung von Wenn/Dann-Befehlen
  • Berechnungen durchführen
  • Ausfüllen von Formularen
  • E-Mails und deren Anhänge verarbeiten
  • Auslesen von Informationen aus Datenbanken oder Dokumenten

Diese vielfältigen Szenarien werfen allerdings auch Fragen nach der Verantwortung auf, die eine Bank trägt, wenn sie RPA-Prozesse einsetzen will.

Wenn der Roboter die Arbeit übernimmt

Eines der wichtigsten Ziele bei der Einführung von RPA-Prozessen in Banken und der Hyperautomation besteht in der Regel darin, die Mitarbeitenden von meist monotonen Arbeiten zu entlasten und Effizienzgewinne zu erzielen. Dies hat verständlicherweise Auswirkungen auf Arbeitsschritte und Arbeitsplätze. Im Rahmen der strategischen Personalplanung können durch die Automatisierung Arbeitsplätze eingespart werden oder durch die frei gewordenen Ressourcen andere, wichtigere Aufgaben übernommen werden. Robotic Process Automation ist aus Sicht der Arbeitnehmervertretung somit „Segen und Fluch“ zugleich. Für die erfolgreiche Einführung von RPA (nicht nur) in Banken ist es unerlässlich, dass Arbeitgeber und Arbeitnehmer bei der Implementierung in einen fruchtbaren Dialog treten. Die möglicherweise damit verbundenen Bedenken und Ängste der Mitarbeitenden sollten ernstgenommen und miteinander geklärt werden. Wie an so vielen Stellen auch, hängt der Erfolg einer Prozessveränderung davon ab, dass die Mitarbeitenden dahinterstehen und die Maßnahmen mittragen.

Erinnert sei auch an den rechtlichen Rahmen: Im Betriebsverfassungsgesetz sind einige Vorschriften vorhanden, die beim Einsatz von RPA möglicherweise zum Tragen kommen. Hier kommen insbesondere die Paragrafen § 87, § 90, § 97 und § 111 in Betracht. Wie stark hängt letztlich von der genauen Ausgestaltung der Automatisierung ab.

Anforderungen an RPA-Bankprozesse aus Sicht der Compliance

RPA-Software in Banken verarbeitet mit großer Wahrscheinlichkeit auch personenbezogene Daten von Kunden. Es handelt sich also um Prozesse, die ohne jeden Zweifel unter den Geltungsbereich der DSGVO fallen, die ja die automatisierte Verarbeitung solcher Daten unter einen besonderen Schutz stellt. In Hinblick auf die Compliance ist somit ein besonderes Augenmerk darauf zu legen, wie die Bots im Banking Ge- und Verbote umsetzen, die aus dem Datenschutzrecht erwachsen.

  • Im Zusammenhang mit Hyperautomatisierung und RPA wird gern von der sogenannten “Dunkelverarbeitung” gesprochen. Auch wenn sich der Name eigentlich davon ableitet, dass die Prozesse ohne menschliches Zutun ablaufen, darf der Begriff im Zusammenhang mit der DSGVO gern wörtlich genommen werden.
  • So fordert das Datenschutzrecht ja bekanntlich, dass die personenbezogenen Daten nur von dazu berichtigten Personen eingesehen werden dürfen. Das muss ein RPA-Prozess in der Bank leisten; auch Systemadministratoren dürfen nicht direkt sehen können, welche Daten gerade bearbeitet werden und was mit ihnen geschieht.
  • Je nach Schutzbedarf der verarbeiteten Informationen sind Anforderungen an die Verschlüsselung des Prozesses zu stellen, hier ist auch an die Wegstrecke zwischen verschiedenen am Prozess beteiligten Systemen zu denken.
  • Ebenfalls relevant ist der Zugriffsschutz auf die Daten. Auf einen produktiven Prozess mit Echtdaten dürfen keine Dritten zugreifen. Das gilt auch für den Fall, dass RPA in einem externen Rechenzentrum eines Dienstleisters abläuft. Hier könnten beispielsweise Maßnahmen helfen, die einen Zugriffsversuch auf den Prozess erkennen, um das System automatisch in Halt zu versetzen.
  • Ein kritischer Faktor bei der Einhaltung der Compliance in Richtung des Datenschutzes ist die temporäre Speicherung von Informationen. Werden Datensätze zur Bearbeitung zwischengespeichert, ist hier das Prinzip des Vergessens zu beachten. Der RPA-Prozess in der Bank darf nicht dazu führen, dass ein zweiter Datensilo entsteht, in dem sich personenbezogene Daten finden.

In der Praxis werden RPA-Prozesse häufig zwischen verschiedenen Systemen vermitteln. Der Bot nimmt beispielsweise vom Mailserver eingehende Nachrichten entgegen, verarbeitet diese und leitet sie zur weiteren Bearbeitung an eine andere Software weiter. Wenn der Bot hier Aufgaben übernimmt, die vorher von Mitarbeitenden erledigt wurden, kann das Lizenzrecht der verwendeten Software betroffen sein. Haben beispielsweise vorher fünf Mitarbeitende die Eingabe in der jeweiligen Software vorgenommen, musste für jede Person eine entsprechende Lizenz erworben werden. Übernimmt nun der Bot diese Arbeit, kann es sich aus Sicht des Lizenzgebers um eine indirekte Softwarenutzung handeln, die möglicherweise in den Lizenzbedingungen ausdrücklich ausgeschlossen wurde. Dies ist im Einzelfall zu prüfen, um juristischen Auseinandersetzungen mit dem Lizenzgeber aus dem Weg zu gehen.

Die Berater der movisco AG werden auch solche Fallstricke bei der Implementierung von RPA in der Bank überprüfen.

RPA Einsatz in Banken kann Compliance verbessern

RPA-Prozesse in Banken werfen allerdings nicht nur Fragen in Hinblick auf die Compliance auf. Sie können auch das Einhalten der Regularien verbessern. Durch die automatisierte Zuordnung und Strukturierung von Informationen ergeben sich höhere Geschwindigkeiten bei der Bearbeitung von Daten. Dies trägt dann etwa dazu bei, dass ein Kreditinstitut seine Verpflichtungen beim Reporting besser einhalten kann.

Die Bedrohung von Unternehmen durch Phishing-Attacken hat in den vergangenen Jahren stets zugenommen, hier bildet die Bankenwelt keine Ausnahme. Auch bei der Prävention vor Phishing können RPA-Prozesse eingesetzt werden. Der gesamte Prüfungsprozess einer eingehenden Nachricht kann von einem Bot übernommen werden. Er extrahiert kennzeichnende Elemente der Nachricht (URL und IP-Adressen), gleicht diese mit verdächtigen Informationsstrukturen ab, kontrolliert den Nachrichtenkopf und kann Anlagen automatisiert überprüfen. Im Falle eines Verdachts werden Mail und Anhänge automatisiert mit den passenden Schutzprogrammen überprüft bzw. Alarm angezeigt. Erst nach Ablauf der erfolgreichen Überprüfung ohne Beanstandung wird die Nachricht dann einem weiteren Prozessschritt übergeben.

Und auch bei der Compliance rund um den Datenschutz entfalten RPA-Prozesse ihren Nutzen. Denn sie können sehr viel schneller und exakter strukturierte Daten identifizieren, zuordnen und klassifizieren. Alles Aufgaben, die im Zusammenspiel mit der DSGVO relevant sein können, wenn es um die Rechte der Betroffenen bei Auskunft, Löschung, Berichtigung oder Datenübertragbarkeit geht. Bereits nur teilweise gelöscht oder bei einer Auskunft nicht berücksichtigte Daten stellen ein Risiko dar. RPA wirkt dem entgegen.

Und wenn Bots im Banking Fehler machen?

Bei allen Vorteilen, die sich aus dem Einsatz von RPA und Hyperautomatisierung (Hyperautomation) in Banken ergeben können, stellt sich die Frage, wer die rechtliche Verantwortung für einen Fehler oder Schaden zu tragen hat. Wer muss dafür haften, wenn ein Bot eine Kundenanfrage falsch beantwortet hat oder wenn Daten falsch zugeordnet worden sind?

Ohne dass wir juristische Beratung geben/juristisch belastbare Aussagen treffen, ein Überblick: Die u.a. im BGB geregelten Ansprüche im Falle eines Schadens treffen keine Unterscheidung zwischen menschlichen und maschinellen Fehlern. In der Praxis haftet also zunächst einmal die Unternehmung, mit der ein Geschädigter eine Geschäftsbeziehung unterhält. Das ist im Verhältnis mit dem Kunden also zunächst einmal die Bank. Allerdings darf ein Geschädigter einen Schaden nicht nur behaupten, er muss diesen auch nachweisen und beziffern können. Er muss nachweisen, dass der Schaden durch ein Fehlverhalten oder eine Pflichtverletzung des Schädigers entstanden ist. Dazu ein Beispiel aus dem Investment-Bereich: Hat das von einem Robo-Advisor verwaltete Depot eines Kunden massiv an Wert verloren, ist zwar ein "Schaden“ entstanden. Juristisch käme eine Forderung nach Schadensersatz aber nur dann in Betracht, wenn der Wertverlust nicht durch die Volatilität der Wertpapierkurse entstand, sondern der Bot die Einlagen des Kunden in einer ausdrücklich ausgenommenen Asset-Klasse angelegt hätte. Wurde also vertraglich vereinbart, dass die Einlagen des Kunden nicht in Kryptowährungen angelegt werden, ist dies aber dennoch geschehen, dürfte ein Gericht einen Anspruch auf Schadensersatz zumindest in Erwägung ziehen.

Deshalb ist es bei der Implementierung von RPA-Prozessen in Banken auch wichtig, die automatisierten Prozessschritte, Aufgaben und Aktionen detailliert zu dokumentieren, damit diese auch überprüft werden können. In Logfiles sollten Hinweise zu finden sein, ob ein Fehler aufgetreten ist; oder, ob der Prozess verändert wurde. Deshalb hat es auch eine große Bedeutung, dass Änderungen an den RPA-Prozessen nur von dazu legitimierten Benutzern durchgeführt werden können.

Wird juristisch ein Schaden festgestellt, besteht aus Sicht der Banken die Option, Regressforderungen zu stellen, sofern es sich bei der Hyperautomation nicht um eine vollständig eigene Entwicklung handelt. Ob hier Aussichten bestehen, den eigenen Schaden zurückzufordern, hängt hier aber stark von der Ausgestaltung des Vertragsverhältnisses ab und müsste im Einzelfall geprüft werden.

Tipp 1: 

Weiterlesen zum Thema Compliance können Sie im Fachbeitrag „Datenqualität in Banken – der Schlüssel für mehr Compliance“ und im Themenbereich Aufsichtsrecht auf unserer Website unter https://www.movisco.de/consulting/business-consulting/aufsichtsrecht.

Tipp 2: 

Sie wollen direkt mehr zum Thema RPA-Einsatz in Banken wissen? – Dann kontaktieren Sie einfach Christian Behrens oder Benjamin Schmidt.



Kommentare

Schreiben Sie den ersten Kommentar!

Kommentar schreiben

* Diese Felder sind erforderlich

Mit der Abgabe eines Kommentars stimme ich der Nutzung meiner Daten zur Kontaktaufnahme zu!

Nach oben

Ihre Ansprechpartnerin

Susanne Jung

info@movisco.com
elektronische Visitenkarte

Fon +49 40 767 53 777

Schnellkontakt-Formular

Schnellkontakt-Formular
zweite Formularseite