10 Vertraulichkeit der Kundendaten, Datensicherheit und Datenschutz
Für die SZKB haben die Vertraulichkeit der Kundendaten, das Bankkundengeheimnis, die Datensicherheit und der Datenschutz eine hohe Bedeutung.
Die Schweiz hat bezüglich des Datenschutzes strenge regulatorische Vorgaben.
Art. 13 der Bundesverfassung legt grundlegend fest, dass jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs sowie auf Schutz vor Missbrauch ihrer personenbezogenen Daten hat.
Um diesen Schutz gesetzlich zu verankern, wurde das Bundesgesetz über den Datenschutz (DSG) verabschiedet, das seit dem 1. Juli 1993 in Kraft ist. Die entsprechende Verordnung (VDSG) regelt die Einzelheiten.
Eine Besonderheit der Schweiz ist das Bankgeheimnis. Das Bankgeheimnis ist im Bundesgesetz über die Banken und Sparkassen (Bankengesetz, BankG) in Art. 47 verankert.
Die oberste Verantwortung für die Erstellung, Umsetzung und Einhaltung der Massnahmen zur Sicherstellung von Datenschutz und Datensicherheit obliegt dem Leiter Finanz- & Risikomanagement, welcher Mitglied der Geschäftsleitung ist.
Die Umsetzung der Datenschutzgesetzgebung obliegt der Abteilung Compliance/Rechtsdienst. Der Datenschutzverantwortliche prüft die Bearbeitung der Personendaten und empfiehlt Korrekturmassnahmen, wenn er feststellt, dass Datenschutzvorschriften verletzt werden. Der Datenschutzverantwortliche führt ferner eine Liste der Datensammlungen. Schliesslich treibt die Sicherheitskommission (SI-KOM), ein von der Geschäftsleitung eingesetztes Gremium, die Steuerung und Kontrolle der Sicherheitsthemen (bspw. Informationsschutz, physische Sicherheit und Datenschutz) der SZKB voran.
Die SZKB betreibt ein Informationssicherheits-Managementsystemen (ISMS) in Anlehnung an ISO 27001. Zusätzlich führt die SZKB regelmässige interne und externe Prüfungen durch, um die hohen Standards bezüglich der Datensicherheit zu gewährleisten.
Die SZKB behandelt sowohl die ihr von ihren Kundinnen und Kunden anvertrauten Daten sowie alle Personendaten vertraulich und entsprechend den geltenden gesetzlichen und aufsichtsrechtlichen Vorgaben. Eine Offenlegung oder Weiterleitung der Daten an Dritte erfolgt nur, sofern gesetzlich erlaubt oder zur Vertragserfüllung notwendig. Zudem kann die Weitergabe von Daten an Dritte mit ausdrücklicher Einwilligung der betroffenen Kundinnen und Kunden erfolgen.
Im Falle der Weitergabe von Kundendaten an einen Dritten aufgrund einer vertraglichen Verpflichtung wird der Vertragspartner zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet, wie sie auch für die SZKB gelten würde.
Der Datenschutzverantwortliche führt ein Inventar der Datensammlungen, das jährlich aktualisiert wird. Der Inhaber einer neu zu eröffnenden Datensammlung hat diese an den Datenschutzverantwortlichen zu melden, sofern sie länger als sechs Monate besteht. Eine neue Datensammlung liegt auch dann vor, wenn Daten aus einer bestehenden Datensammlung herausgezogen werden und einem eigenständigen Zweck dienen.
Dokumentations- und Auskunftspflichten stellen latente Risiken für die Bank dar. Daten sowohl in physischer als auch in elektronischer Form sind nach den gesetzlichen Vorschriften zu archivieren und gestützt auf das Recht auf Vergessen zu gegebener Zeit nach den gesetzlichen Vorschriften zu vernichten. Deshalb ist im Rahmen des Lebenszyklus von Daten auch deren Löschung bzw. Vernichtung zu berücksichtigen. Jeder Mitarbeitende erledigt die mit der Aufbewahrung und Vernichtung von Dokumenten und Daten verbundenen Aufgaben bzw. Tätigkeiten in eigener Verantwortung.
Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob Daten über sie bearbeitet werden. Sie hat ein Recht auf Einsicht in die Daten, welche über sie bearbeitet werden. Ebenso kann jede Person, über welche Daten bearbeitet werden, die Berichtigung und/oder Löschung ihrer individuellen Daten entsprechend den gesetzlichen Vorgaben verlangen. Diese Persönlichkeitsrechte der Kundinnen und Kunden gelten grundsätzlich in allen Geschäftsbereichen der SZKB und sind in den allgemeinen Geschäftsbedingungen und auf der Website szkb.ch transparent unter der Rubrik «Rechtliche Hinweise» sowie in den «Datenschutzrichtlinien» festgehalten.
Personenbezogene und sonstige sensitive Daten sind durch ein mehrstufiges Sicherheitssystem geschützt. Alle nichtöffentlichen Räumlichkeiten der SZKB sind durch personenbezogene Zugangskontrollen geschützt. Der Zugang zu bankinternen IT-Systemen ist nur anhand einer individuellen Kennung jedes Mitarbeitenden sowie in Verbindung mit einem persönlichen Passwort möglich. Somit ist Datenzugriff nur für Mitarbeitende der SZKB oder Beauftragte möglich und jeder einzelne Zugriff ist einer spezifischen Person zuordenbar. Dieses mehrstufige Sicherheitssystem ist im Einklang mit geltenden Vorschriften und unter Berücksichtigung des Need-to-know-Prinzips umgesetzt.
Vergleichbare Sicherheitsmechanismen erwartet die SZKB auch von Zulieferern und Partnern. Entsprechend werden auch diese regelmässigen Prüfungen unterzogen.
2022 hat die SZKB eine neue Applikation zur Verwaltung der Userrechte eingeführt.
Personendaten werden durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt. Die SZKB hat vorsorgliche (proaktive) Massnahmen implementiert, um die Gefahr von Datenlecks zu vermindern und die Integrität der Datenspeicherung und -vertraulichkeit soweit wie möglich zu gewährleisten. Reaktiv verfügt die SZKB über einen Notfallplan, um bei allfälligen «Data Breaches» jederzeit adäquat reagieren zu können. Diese proaktiven und reaktiven Massnahmen entsprechen den Anforderungen der Eidgenössischen Finanzmarktaufsicht FINMA gemäss Anhang 3 FINMA-RS 2008/21 und der FINMA-Aufsichtsmitteilung 05/2020 zur Meldepflicht von Cyber-Attacken gemäss Art. 29 Abs. 2 FINMAG.
Die SZKB hat eine sehr restriktive Cloud-Politik und verzichtet vorderhand auf eine breite Nutzung von IT-Tools mit Cloud-Lösungen. Ausnahmefälle sind nur aufgrund gesetzlicher Vorgaben oder mit Einwilligung der Kundinnen und Kunden unter strikter Einhaltung der von Swissbanking im Cloud-Leitfaden festgelegten Vorgaben denkbar. Die Sicherstellung der Datensicherheit wird nicht nur laufend durch organisatorische Einheiten wie Informationssicherheit und/oder die Compliance-Funktion kontrolliert, sondern auch im Projekt- und Prozessmanagement bei der Einführung neuer Tools berücksichtigt.
Die SZKB führt regelmässige Datensicherungen (Backups) durch und testet mindestens jährlich die Wiederherstellung (Restore).
Alle Voll- und Teilzeitmitarbeitenden der SZKB sowie Beauftragte mit Zugang zu den IT-Systemen der SZKB sind verpflichtet, jährliche Onlinetrainings zur Daten- und Informationssicherheit zu absolvieren.
Regelmässig werden weitere Sensibilisierungs- und Awarenessmassnahmen wie simulierte Phishing- oder Smishing-Attacken auf Mitarbeitende durchgeführt.
2022 wurden (wie im Vorjahr) weder von Kundinnen oder Kunden, externen Parteien noch von den Aufsichtsbehörden Beschwerden in Bezug auf die Verletzung des Schutzes von Kundendaten eingereicht, noch kam es zu Diebstahl
von Daten oder zu Datenverlusten im Zusammenhang mit Kundendaten.
Die Vertraulichkeit der Kundendaten, die Datensicherheit und der Datenschutz werden in der SZKB auch in Zukunft einen hohen Stellenwert haben. Entsprechend werden Massnahmen zur Verhinderung von Datenlecks sowie zur Sicherstellung der Informations- und Datensicherheit laufend den aktuellsten Entwicklungen angepasst und weiter verbessert. Insbesondere wird die SZKB sicherstellen, dass auch das per 1. September 2023 verschärfte schweizerische Datenschutzgesetz umgesetzt und eingehalten wird.