Neues Datenschutzgesetz (nDSG) – Welche Änderungen ergeben sich für Finanzintermediäre?

Das neue Bundesgesetz über den Datenschutz (nDSG) verbessert die Verarbeitung personenbezogener Daten und stattet die Schweizer Bürgerinnen und Bürger mit neuen Rechten aus. Diese wichtige Gesetzesänderung ist mit einer Reihe neuer Pflichten für die Unternehmen verbunden und verschärft die bereits bestehenden Anforderungen.

Das totalrevidierte Datenschutzgesetz und die in der neuen Datenschutzverordnung (DSV) und der neuen Verordnung über Datenschutzzertifizierungen (VDSZ) festgelegten Ausführungsbestimmungen treten am 1. September 2023 in Kraft.

Wie wirkt sich dies auf den Finanzsektor aus?

Seit dem ersten Bundesgesetz über den Datenschutz aus dem Jahr 1992 haben sich in unserer Gesellschaft grundlegende Veränderungen hinsichtlich Digitalisierung und des Umgangs mit personenbezogenen Daten vollzogen. Das Internet, Smartphones, soziale Netzwerke und die Cloud werden heute tagtäglich verwendet.

Die Banken und der Finanzsektor haben diese neuen Technologien mit dem entsprechenden erheblichen Mehrwert durch Personalisierung und erweiterte Zugangsmöglichkeiten umfassend in ihre Dienstleistungen integriert. Im Übrigen gehört der Datenschutz vor dem Hintergrund des Bankgeheimnisses schon seit vielen Jahren zur DNA dieser Branche. Somit befindet sich dieser Sektor in einer einzigartigen Position: Einerseits hat er in Datenschutzfragen sicher einen Vorsprung vor anderen Unternehmen, andererseits stellen die Öffentlichkeit und die Aufsichtsbehörden auch höhere Anforderungen an ihn.

Manche Institute haben viele der Anforderungen des nDSG mit der freiwilligen Einführung eines Compliance-Systems, um der Datenschutzgrundverordnung (DSGVO) der EU zu entsprechen, bereits vorweggenommen. Andere haben sich im Gegensatz dazu entschieden, auf Schweizer Vorschriften zu warten. In beiden Fällen steht ab dem 1. September 2023 der echte Praxistest für die Widerstandsfähigkeit der internen Kontrollsysteme bevor.

Welche wesentlichen Änderungen ergeben sich für den Finanzsektor?

Das neue Datenschutzgesetz bringt mehrere grosse Veränderungen mit sich. Insbesondere folgende Regelungen werden sich stark auf Unternehmen des Finanzsektors auswirken:

1. Einführung der Grundsätze «Privacy by Design» (Datenschutz durch Technikgestaltung) und «Privacy by Default» (Datenschutz durch Voreinstellung). Das Prinzip «Privacy by Design» bedeutet, den Datenschutz und den Respekt der Privatsphäre der Nutzerinnen und Nutzer in die Technikgestaltung derjenigen Finanzprodukte oder -dienstleistungen zu integrieren, die personenbezogene Daten sammeln. Der Grundsatz «Privacy by Default» stellt sicher, dass schon bei der Bereitstellung des Produktes oder der Dienstleistung standardmässig, also ohne Eingreifen der Nutzerinnen und Nutzer, alle nötigen Massnahmen für den Datenschutz und die Einschränkung der Datennutzung aktiviert sind. Die betreffenden Anforderungen müssen bei allen neuen Finanzdienstleistungen in besonderem Masse beachtet werden, vor allem wenn diese auf digitalen Lösungen basieren.
2. Folgenabschätzungen müssen durchgeführt werden, sofern ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen besteht. Dies ist insbesondere relevant, wenn eine neue Dienstleistung eingeführt oder eine grössere organisatorische Änderung vorgenommen wird, wodurch sich die Verarbeitung von Kundendaten erheblich ändert, insbesondere bei Informatikmigrationen in die Cloud.
3. Ein Verzeichnis von Verarbeitungstätigkeiten ist grundsätzlich vorgesehen und wird für Banken sowie viele andere Unternehmen im Finanzsektor oft praktisch unumgänglich sein. Tatsächlich ist lediglich eine Ausnahme für KMUs vorgesehen, deren Datenbearbeitung nur ein geringes Risiko von Persönlichkeitsverletzungen mit sich bringt. Darüber hinaus ist die Erfassung der Verarbeitungstätigkeiten ein allgemein bei jeder nDSG-Umsetzung erforderlicher Schritt, da nur so die Grenzen der personenbezogenen Daten erzeugenden Prozesse klar definiert und diese Prozesse somit ordnungsgemäss analysiert werden können. Letztendlich sollte dieser Ansatz idealerweise mit den Data-Governance-Systemen gemäss dem neuen FINMA-Rundschreiben über operationelle Risiken und Resilienz abgestimmt werden.
4. Es sind Prozesse einzurichten, die eine schnelle Meldung bei Verletzung der Datensicherheit ermöglichen. Die Meldung ist an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu richten. Bei Bankinstituten sind diese Meldungen mit Meldungen an die FINMA zu koordinieren.
5. Schliesslich wurde das Konzept des Profiling (die automatisierte Bearbeitung personenbezogener Daten) gesetzlich verankert. Hiervon können Finanzinstitute betroffen sein, die ausgefeilte automatisierte Prozesse nutzen, insbesondere für die Überwachung von Kundentransaktionen in Zusammenhang mit ihrem GwG-Profil.

Wie kann Ihnen Deloitte helfen?

Deloitte verfügt über ein auf Datenschutzfragen spezialisiertes Anwälte- und Juristenteam. Dank langjähriger Erfahrungen im Finanzsektor (Consulting und Audits) weist Deloitte umfassende Kenntnisse der Branche und des reglementarischen Umfelds auf, in welchem Banken und Finanzintermediäre tätig sind. Dadurch sind wir in der Lage, die neuen Anforderungen des Datenschutzgesetzes (nDSG) abgestimmt auf den reglementarischen Kontext und unter Einbeziehung bewährter Branchenlösungen für Sie umzusetzen. Darüber hinaus ist Deloitte weltweit führend in der Digitalisierung und der Integration von Cloud-Lösungen, die den Umgang mit personenbezogenen Daten immer häufiger entscheidend bestimmen. Wir bieten Ihnen folgende Ansätze an, die selbstverständlich personalisiert werden können:

• Heathcheck nDSG  – Wir prüfen gemeinsam mit Ihnen Ihren Plan und den Fortschritt der Massnahmen zur Umsetzung des nDSG. Wir erkennen Lücken und schlagen Ihnen praktische Massnahmen vor, mit denen Sie am 1. September 2023 alle Anforderungen erfüllen.
• nDSG-Unterstützungspaket – Wir bieten Ihnen vollständige Unterstützung bei der Umsetzung des nDSG in Ihrem Institut an. Dies umfasst einen Massnahmenplan, Richtlinien und Dokumentvorlagen zur Beschleunigung des Prozesses.
  
• Swiss finish nDSG – Instituten, die bereits die europäische DSGVO umsetzen, bieten wir eine begrenzte Überprüfung und die pragmatische Anpassung bestimmter Schlüsselaspekte an.
  
• Beratung zum nDSG und zu reglementarischen Fragen – Unsere DSG-Expertinnen und -Experten stehen Ihnen selbstverständlich auch für die Überarbeitung von Dokumenten oder die Lösung spezieller Probleme in Zusammenhang mit dem DSG zur Verfügung. Sie sorgen dafür, dass diese auch dem reglementarischen Rahmen für Banken und den Finanzsektor entsprechen.