Banking und Finance

DSGVO und Finanzbranche

18. Juni 2018

In meinem Beitrag vom 4. Juni 2018 habe ich dargelegt, weshalb sich auch Finanzdienstleister und insbesondere Banken in der Schweiz mit der EU-Datenschutzgrundverordnung (DSGVO) befassen müssen, die am 25. Mai 2018 verbindlich wurde. Heute befasse ich mich mit der Frage, was das Ziel der DSGVO ist, um welche Daten es sich handelt und wie sie durchgesetzt wird.

Wie wird die DSGVO die Finanzbranche künftig beeinflussen?

Wie wird die DSGVO die Finanzbranche künftig beeinflussen (Symbolbild)?

Was will die DSGVO?

Die Daten natürlicher Personen sollen wirksamer geschützt werden (es handelt sich hier um ein Grundrecht – auch in der Schweiz) und die Regeln für das Erheben und Verarbeiten personenbezogener Daten werden präzisiert. Zu den erwähnten Regeln gehören beispielsweise die Gebote der „Zweckbindung“ (kein wahlloses Erheben und Speichern von Daten) der „Datenminimierung“ (nur so viel wie nötig) oder der „Richtigkeit“ (Daten müssen sachlich richtig und auf dem neusten Stand sein).

Um welche Daten geht es?

In der oben erwähnten Art zu schützen sind Daten, die sich auf natürliche Personen beziehen, also auf Menschen aus Fleisch und Blut (nicht auf Unternehmungen). Dabei kann es sich um allgemeine Personendaten handeln (Name, Adresse, Geburtsdatum), um Kennnummern (AHV-Nummer, Pass-Nummer), Bankdaten (Kontonummer, Kontostand, Kreditinformationen), um Online-Daten (wie die IP-Adresse) oder auch um körperliche Merkmale (Kleidergrösse, Haar- und Augenfarbe). Finanzdienstleister verfügen über viele solcher Daten von bestehenden oder potenziellen Kunden, eigenen Mitarbeitenden, aber auch von Mitarbeitenden anderer Unternehmen. Einige Daten unterliegen dabei einem besonderen Schutz und dürfen nur unter eingeschränkten Bedingungen verarbeitet werden. Es geht dabei um Angaben zu Ethnie, politischer Meinung, religiösen oder weltanschaulichen Überzeugungen etc.

Was müssen Finanzdienstleister bei der Datenverarbeitung beachten?

Neben den bereits erwähnten Geboten – wie der „Datenminimierung“ – muss insbesondere sichergestellt werden, dass die Daten „rechtmässig“ verarbeitet werden. Diese Voraussetzung ist nicht nur dann erfüllt, wenn die betroffene Person eine entsprechende Einwilligung erteilte, sondern unter anderem auch dann, wenn die Verarbeitung zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung notwendig ist. Im Falle von besonders schützenswerten Daten können weitere Pflichten hinzukommen, beispielsweise die ausschliessliche Verarbeitung durch Personen, die einem Berufsgeheimnis unterliegen.

Wie wird die DSGVO durchgesetzt?

Unter anderem werden interne und externe Revisionsstellen prüfen, ob die Bestimmungen der DSGVO eingehalten wurden. Die Aufsichtsbehörden haben die Möglichkeit, bei Verstössen Geldbussen auszusprechen, die in Extremfällen bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes betragen können.

Fazit und Ausblick

Grund zur Panik besteht trotzdem nicht. Dies, weil solch empfindliche Strafen nur in Extremfällen zur Anwendung kommen werden und weil grundlegende Massnahmen zur Datenschutz-Compliance – auch heute noch – schon recht einfach eingerichtet werden können. Selbstverständlich ist zusätzlich zur DSGVO aber auch das Schweizer Datenschutzgesetz zu beachten. Seine Bestimmungen überschneiden sich in vielen Bereichen mit denjenigen der DSGVO – aber es wird derzeit revidiert.

Thema: Banking und Finance

Autor: Dominique Rütimann

Datum: 18. Juni 2018

Schlagworte: Bankenregulierung, Bankmanagement

Verwandte Artikel