Zurück

George, wie hältst Du’s mit den Daten?

george_Datenschutz2Worum geht’s beim digitalen Banking? Geld. Natürlich. Und Daten. Sehr viele und sehr persönliche. Fragen zu Datenschutz und -sicherheit sind daher berechtigt und verständlich. Wie bringt George Datenschatz und Datenschutz zusammen? Antworten aus der Entwickler-Perspektive.

Vielleicht gerade weil George so modern daherkommt, so kreativ und bunt in der Aufbereitung von Finanzdaten, fürchten Kundinnen und Kunden vereinzelt, dass strenge Anforderungen an Sicherheit und Datenschutz über Bord geworfen wurden. Dem ist natürlich nicht so. Nicht nur weil wir als Bank bzw. Sparkassen strengsten Auflagen unterliegen, sondern weil wir uns selbst als sichere Bank für Geld und Gut verpflichtet sind: Beim Datenschutz geht George keine Kompromisse ein. Niemals.

Und so kommt es, dass vieles in der Softwareentwicklung ein wenig, manchmal sogar deutlich aufwändiger ist als in anderen Unternehmen. Auf Log-Files dürfen nur speziell Berechtigte zugreifen, das Einrichten neuer Server-Dienste dauert oft lang, und technische Entscheidungen werden auf Herz und Nieren geprüft. Nicht selten wird technisch Machbares hinter Sicheres zurückgestellt. Ehrlich gesagt ist das manchmal mühsam, aber digitale Sicherheit ist Perfektionswissenschaft und Vertrauen eine langfristige Anlage.

George vs. altes Banking 1:1

Im Marketing tritt George gegen das alte Banking an, natürlich siegreich. In Punkto Sicherheit aber landen wir zunächst bei einem fairen und wohl verdienten Remis: Georges Hintergrund-Technologie basiert auf bewährten und konstant abgesicherten Systemen. Ein professionelles Spezialisten-Team hütet die Server und die zahlreichen Sicherheits-Features seit dem Start von netbanking als den Augapfel der Bank. Für George wird das selbstverständlich ohne Abstriche fortgesetzt. Die Sicherheitsstandards sind und bleiben strikt. Bedrohungen werden genauso schnell erkannt und behoben.

Zwei Hauptunterschiede zum alten Banking gibt es bei George, die spezifische Anforderungen an die Entwicklung und den Betrieb stellen. Die aber keine Abstriche in der Sicherheit bedeuten.

Erstens ist George eine Single Page Application. Das heißt, dass große Teile der Anwendung im Browser und daher viel, viel schneller laufen. Der Browser kommuniziert über eine API mit dem Banksystem. Die Datenübertragung ist natürlich verschlüsselt, und so macht es auch nichts, wenn Sie George über Mobilfunk oder in einem öffentlichen WLAN verwenden. (Ihren Browser sollten Sie klarerweise kennen und stets aktuell halten. Die Erste Bank hält hier ein paar nützliche Tipps für Sie bereit, die für George ebenso gelten wie für netbanking.)

Zweitens ist George auf noch mehr Schnelligkeit angelegt. Das passiert durch einen Caching Layer, das heißt ein Zwischenspeicher, der zwischen dem Buchungssystem und der API eingezogen wurde. Dieser Suchindex sorgt dafür, dass Sie Ihre Transaktionen, Live-Charts, Kategorisierungen oder Suchergebnisse in Bruchteilen von Sekunden sehen. Die Datenbank ist selbstverständlich streng gesichert, die Infrastruktur steht in denselben abgesicherten Rechenzentren, die auch die Buchungs-Server beschützen.

Individuelle Sicherheit

Aber hier ist nicht Schluss und so haben wir George mit einigen Ideen gefüttert, die Sicherheit und Benutzerfreundlichkeit zusammenbringen und das ganz individuelle Sicherheitsempfinden von Kundinnen und Kunden erhöhen.

Dazu zählt zum Beispiel s Kontakt: Als Modul in George sowie als native APP ist s Kontakt ein neuer und speziell abgesicherter direkter Kommunikationskanal zu Bank und persönlicher BetreuerIn. Was z.B. in herkömmlichen E-Mails nicht komplett sicher ist, geht via s Kontakt: datensichere Kommunikation über private Finanzen.

Und immer wieder im Zentrum von Sicherheitsbedenken: Karten. Mit dem George-Feature CardControl, auch das als native App verfügbar, haben Sie als KundIn die Sicherheit Ihrer Karte in der eigenen Hand.

(Mehr zu s Kontakt uns CardControl demnächst auch hier im Blog)

Daten und Drittanbieter

Aber zurück zum Thema Datenschutz. Wer die Datenschutzerklärung von George (https://george.sparkasse.at/privacy.html) genau liest – und das sollte man ernsthaft tun, sie ist erstaunlich klar und verständlich – bemerkt dort die Erwähnung von externen Dienstleistern, deren Services in George teilweise integriert sind. Wer nun aber darin das Einfallstor der Datenkraken sieht, kann durch genaue Erklärungen der einzelnen Dienste beruhigt werden:

Zunächst ist da Microsoft Azure, das George zum Speichern der User- und Kontobilder – Stichwort: Personalisierung! – und der Unternehmenslogos in der Kontohistorie verwendet. Warum George das so macht? Performance! Wir sind schlicht der Meinung, das Banking schnell gehen muss, sehr schnell! Warum das sicher ist? Der Speicherplatz liegt in der EU, juristisch ist das bekanntlich wichtig (die europäische Datenschutz-Richtlinie garantiert hier einen gesetzlichen Schutz auf demselben Niveau wie in Österreich), und auf technischer Ebene sind die Daten bereits verschlüsselt, sobald sie unsere eigenen Server verlassen. Es besteht keine Gefährdung der personenbezogenen Daten, weil Microsoft sie gar nicht lesen kann.

Ein weiterer Drittanbieter ist Webtrekk, zu finden in den User-Einstellungen zur Benutzerstatistik. Zur Auswertung der Besucherströme erstellt George mit Hilfe des deutschen Dienstleisters Statistiken. Diese dienen ausschließlich der Verbesserung der Leistungsfähigkeit und der Individualisierungsmöglichkeiten von George. Sie enthalten keinerlei personenbezogene Daten und werden unter keinen Umständen an Dritte weitergegeben. Das garantiert George und mit ihm Erste Bank und die Sparkassen. Wem das noch nicht genügt, kann die Benutzerstatistik freilich jederzeit für sich selbst deaktivieren.

Ebenso freiwillig ist die Nutzung des Service von Usersnap. Usersnap ist ein hilfreiches Tool, um Fragen an den Support zu stellen oder auch mal einen Bug direkt bei George einzumelden. Auch hier werden keine personenbezogenen oder Bankdaten übertragen.

Ähnlich verhält es sich last but not least auch mit Google Maps, die erst eingebunden werden, wenn der User zum Beispiel bei Bankomat-Lokalisierungen, aktiv darauf klickt. Zuvor werden ausschließlich Karten, die auf unseren Servern gespeichert sind, verwendet (OpenStreetMap). Auch hier natürlich: Keine Übermittlung von personen- oder bankbezogenen Daten in das berüchtigte Daten-Nirvana.

Falls das für Sie immer noch zu wenig glaubwürdig klingt – die Entwicklung von George wird natürlich auch von unserem Datenschutzbeauftragten überwacht. Er kennt sich mit den datenschutzrechtlichen und sicherheitstechnischen Vorgaben aus und steht uns mit Rat und Tat zur Seite. Auch so wird George sicherer.

Kurz: George ist nicht nur freundlich, schnell und gut aussehend, er kennt sich auch aus mit Sicherheit und Datenschutz. Und lernt natürlich weiter.

What happens in George, stays in George!

george_Datenschutz

Mathias ist Software-Entwickler im George-Team und war zuvor u.a. für Datenschutz an der Wirtschaftsuniversität Wien verantwortlich; er unterrichtet diese Themen an der FH Wien.

Kommentare

4 Comments

  1. Josef Stöckl sagt:

    Liebes George Team,

    Seit kurzem gibt es nun ja auch ein neues Feature, mit dem man Dateien an Überweisungen anhängen kann.

    Wie wird denn mit den hochgeladenen Dateien datenschutzmäßig verfahren? Werden die Dateien z.B. durchsucht und ausgewertet (wie bei GMail, Google Drive,…), oder sind sie wirklich “privat”? Wer hat alles Zugriff auf die Dateien (z.B. der/die BetreuerIn,…)?

    Beste Grüße,
    Josef Stöckl

    1. Mathias Frey Mathias Frey sagt:

      Hallo Hr. Stöckl,

      vielen Dank für die gute Frage, denn sie ist für mich Beweis, wie schnell George eigentlich weiterentwickelt wird, und wie das George-Team dennoch die strengen Richtlinien einhält!

      Die Dokumente werden – analog zu den Bildern – in Microsoft Azure innerhalb der Europäischen Union gespeichert. Sobald die Daten die George-Server verlassen, sind diese bereits verschlüsselt und daher für den Infrastruktur-Anbieter selbst unkenntlich.

      Die Dateien sind für Ihre Augen allein bestimmt, d.h. auch Ihr Betreuerteam oder auch weitere Zeichnunsgberechtigte sehen diese Dokumente nicht.

      Und zu guter Letzt: Diese Dateien werden nicht für unerwartbare Zwecke analysiert. Persönlich würde ich mir vielleicht noch eine Textsuche über die gesamten Inhalte wünschen. Aber auch hier wär’s Ihr privater Suchindex und mit Sicherheit kein Einfallstor für lästige Werbebanner.

  2. Dag Erik Zimen Dag Erik Zimen sagt:

    Mathias hat auch einen persönlichen, sehr lesenswerten Blog: http://www.zieglergasse.at

  3. Pingback: George bloggt |
  4. Dag Erik Zimen Dag Erik Zimen sagt:

    Hinweis: In einer früheren Version lautete die Überschrift „George, wie hälst Du’s mit den Daten?“. Das ist natürlich grammatikalisch falsch. George ist ja sehr genau 😉

Hinterlassen Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *