KI und Datenschutz in der Finanzdienstleistungsbranche
Grégory Rickenmann
Künstliche Intelligenz ist keine futuristische Idee mehr, sondern verbessert bereits Arbeitsabläufe und hilft Finanzinstituten, effizienter denn je zu arbeiten. Doch neben all den Vorteilen steht eine Frage im Mittelpunkt: Wie schützen wir sensible Daten in dieser neuen, von KI geprägten Welt?
In stark regulierten Umgebungen wie dem Finanzsektor ist das sowohl eine technische als auch eine strategische Herausforderung. Verantwortungsbewusster Datenschutz ist notwendig, um Vertrauen zu gewinnen, die Vorschriften einzuhalten und langfristig wettbewerbsfähig zu bleiben.
KI im Finanzwesen: Mehr als nur IT
KI ist längst nicht mehr nur ein Werkzeug für Ihr Tech-Team, da sie beeinflusst, wie ganze Unternehmen arbeiten, wie sie Risiken managen und wie sie mit Kundinnen und Kunden interagieren. Deshalb gehört Datenschutz im Kontext von KI auf die Agenda des gesamten Führungsteams, einschliesslich des Verwaltungsrats.
Darum ist das wichtiger denn je:
Strengere Vorschriften: KI-Systeme müssen komplexen rechtlichen Rahmenwerken wie der DSGVO der EU, dem revidierten Schweizer Datenschutzgesetz (DSG) und dem EU AI Act entsprechen. Compliance ist zur Grundlage geworden.
Betriebliche und Reputationsrisiken: Mit KI entstehen neue Risiken wie Datenlecks, Cyberangriffe und Missbrauch personenbezogener Daten, die erheblichen finanziellen und reputativen Schaden verursachen können.
Kundenerwartungen: Datenschutz ist zu einem Vertrauenssignal geworden. Institutionen, die ihn ernst nehmen, gewinnen die Loyalität ihrer Kundschaft. Wer das nicht tut, erholt sich nach einer Datenpanne womöglich nie mehr davon.
Die Position der FINMA zu KI und Datenverarbeitung
Schweizer Finanzinstitute unterliegen nicht nur den allgemeinen Datenschutzgesetzen, sondern auch der Eidgenössischen Finanzmarktaufsicht (FINMA). Diese Vorschriften haben direkte Auswirkungen darauf, wie KI eingesetzt werden kann und soll.
Zu den wichtigsten FINMA-Rundschreiben gehören:
FINMA-Rundschreiben 18/3 «Outsourcing – Banken und Versicherer»
Wenn KI-Tools von externen Anbietern oder Cloud-Diensten bereitgestellt werden, legt dieses Rundschreiben fest, wie Datensicherheit, Vertraulichkeit und Risikomanagement sichergestellt werden müssen, insbesondere wenn Kundendaten die interne Infrastruktur verlassen.FINMA-Rundschreiben 08/21 «Operationelle Risiken – Banken»
Dieses Rundschreiben verlangt die Identifizierung, Bewertung und Minderung von Risiken im Zusammenhang mit IT und Datenverarbeitung. Jede KI-Lösung muss unter diesem Blickwinkel geprüft werden, insbesondere im Hinblick auf Systemintegrität und Verfügbarkeit.FINMA-Rundschreiben 11/2 «Interne Kontrollsysteme – Banken»
Stellt sicher, dass interne Governance-Strukturen und Risikokontrollen vorhanden sind, um Technologien wie KI zu steuern. Dazu gehören klare Verantwortlichkeiten, Audit-Trails und Aufsicht.
Kurz gesagt erwartet die FINMA von den Instituten, KI-Systeme mit derselben Sorgfalt und Prüfung zu behandeln wie jede andere kritische Infrastruktur.
Verantwortungsvolle KI beginnt mit starkem Datenschutz
Wie sieht verantwortungsvolle KI in der Praxis also aus? Sie beginnt damit, sicherzustellen, dass Ihre Datenverarbeitung mit den folgenden sechs Grundsätzen wasserdicht ist, denen jedes Finanzinstitut folgen sollte:
1. Datenminimierung und Zweckbindung
KI-Modelle brauchen nicht Zugriff auf alle Ihre Daten, sondern nur auf die richtigen Daten. Beschränken Sie die Erhebung und Nutzung auf das, was für die jeweilige Aufgabe notwendig ist. Techniken wie Anonymisierung, Pseudonymisierung und sichere Embeddings helfen, die Privatsphäre zu schützen und gleichzeitig den Nutzen zu erhalten.
2. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
Erstellen Sie Systeme, bei denen Datenschutz kein Zusatz ist, sondern von Anfang an integriert. Das bedeutet Standardeinstellungen, die Benutzer schützen, starke Zugriffskontrollen und klare Audit-Trails.
3. Sichere Infrastruktur und Verschlüsselung
Verschlüsselung von Daten im Ruhezustand und bei der Übertragung ist nicht verhandelbar. Kombinieren Sie dies mit robustem Identitätsmanagement und Zero-Trust-Prinzipien, um zu kontrollieren, wer auf welche Daten zugreifen kann.
4. Klare Einwilligung und Transparenz
Kunden und Mitarbeitende müssen verstehen, wie ihre Daten verwendet werden. Dazu gehören klare Offenlegungen, Opt-out-Möglichkeiten und volle Transparenz.
5. Grenzüberschreitende Datentransfers mit Blick auf die Einhaltung der Vorschriften
Wenn Sie mit internationalen Cloud-Anbietern arbeiten, stellen Sie sicher, dass Ihr Setup mit Schweizer Recht konform ist. Entweder:
Arbeiten Sie mit Anbietern, die unter dem Data Privacy Framework zertifiziert sind, oder
führen Sie eine direkte Due Diligence durch und schaffen Sie rechtliche Schutzmassnahmen (z. B. Standardvertragsklauseln) in Platz.
Die Verantwortung für die Einhaltung der Vorschriften liegt immer bei Ihnen, nicht beim Anbieter.
6. Kontinuierliches Monitoring und Auditing
KI-Systeme müssen regelmässig auf Schwachstellen und Compliance geprüft werden. Wenn sich Modelle weiterentwickeln, muss Ihre Governance Schritt halten. Verankern Sie Überprüfungsmechanismen als fortlaufenden Prozess in Ihren Abläufen.
Wie Olymp KI-Sicherheit und Compliance unterstützt
Bei Olymp unterstützen wir Finanzinstitute dabei, KI sicher, geschützt und effizient einzusetzen. Unsere modularen Systeme sind mit Sicherheit und Compliance im Zentrum aufgebaut:
Wir setzen ausschliesslich lokalisierte Modelle ein. Ihre Daten bleiben in Ihrer Infrastruktur.
All unsere Hosting- und Cloud-Deployments befinden sich in der Schweiz.
Wir unterstützen eine vollständige FINMA-konforme Integration mit klarer Dokumentation und Kontrollmechanismen.
Unsere Lösungen folgen den Grundsätzen von Privacy by Design, und wir helfen unseren Partnern, die passenden Governance- und Risiko-Frameworks umzusetzen.
Abschliessende Gedanken
KI verändert die Finanzbranche, aber nur Unternehmen, die Datenschutz ernst nehmen, werden ihr volles Potenzial ausschöpfen. Mit starker Governance, sicherer Architektur und klarer Verantwortlichkeit kann KI zu einem Treiber des Vertrauens werden und nicht zu einer Bedrohung dafür.
Bei Olymp sind wir überzeugt, dass nur sichere, konforme KI eine KI ist, die es wert ist, aufgebaut zu werden.