Im Fokus: Datenschutz

Von der Geheimhaltung zur Vertraulichkeit


Verglichen mit anderen Branchen ist die Bankenwelt heute mit den hohen regulatorischen Ansprüchen an den Umgang mit sensiblen Daten vertraut. Historisch bedingt haben sich die Banken bisher stark auf das Bankkundengeheimnis konzentriert. Dieses bewegt sich weg vom absoluten Geheimnis zu einem hohen Vertraulichkeitsanspruch und nähert sich demnach dem Schweizer Datenschutzgesetz (DSG) an. Darüber hinaus spielen zahlreiche aufsichtsrechtliche Vorgaben für Banken eine Rolle. Für deren rechtskonforme Umsetzung sollten die Finanzdienstleister ihr Flair für sensitive Kundendaten nicht nur bewahren, sondern verfeinern.

Michèle Hess

Michèle Hess

Partner, Regulatory and Compliance Services

Vorab ein Wort zu einem medialen Begriffsirrtum im Kontext von Banken und Datenschutz: Landläufig wird vom «Bankgeheimnis» gesprochen. Ein solches existiert jedoch nicht absolut, da es in der Praxis nicht vornehmlich um die Banken selbst geht, sondern um deren Umgang mit personenbezogenen Kundendaten. Zutreffend ist also der Begriff «Bankkundengeheimnis». Dieses ist mit der langen Tradition des Schweizer Private Bankings eng verbunden.

Seitenwind von Steuerbord

Von steuerrechtlichen, internationalen Strömungen getrieben, durchläuft das Bankkundengeheimnis seit einigen Jahren einen Paradigmenwechsel: weg von der Geheimhaltung, hin zum Vertraulichkeitsanspruch mit punktuell weitgehender Transparenz, vorwiegend gegenüber Steuer- und Aufsichtsbehörden. Interessanterweise wurde diese Entwicklung nicht etwa vom BankG selbst angestossen – Art. 47 hat sich seit 1934 nicht massgeblich verändert. Doch im globalen Steuerbereich setzt sich die Forderung nach gesteigerter Transparenz von Kundenbeziehungen getrieben durch Entwicklungen in verschiedenen Ländern sowie internationale Organisationen wie die OECD durch. Diesem Anspruch wurde die Schweiz mit der Einführung des automatischen Informationsaustausches (AIA) gerecht. Der internationale Standard regelt, wie die Steuerbehörden der teilnehmenden Länder untereinander Daten über Konten und Wertschriftendepots von Steuerpflichtigen austauschen, während im Rahmen von bilateralen Abkommen der konkrete Austausch zwischen spezifischen Ländern vereinbart wird. Damit wurde die Geheimnissituation indirekt aufgehoben. Denn der AIA stellt einen Rechtfertigungsgrund dar, wonach Art. 47 BankG gebrochen werden darf – oder muss.

Das Schweizer Bankkundengeheimnis

Das Bundesgesetz über die Banken und Sparkassen von 1934 – kurz Bankgesetz (BankG) – umschreibt das Bankkundengeheimnis in Art. 47 Abs.1, 1bis und 2 wie folgt:
«Mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe wird bestraft, wer vorsätzlich: a) ein Geheimnis offenbart, das ihm in seiner Eigenschaft als Organ, Angestellter, Beauftragter oder Liquidator einer Bank, als Organ oder Angestellter einer Prüfgesellschaft anvertraut worden ist oder das er in dieser Eigenschaft wahrgenommen hat; b) zu einer solchen Verletzung des Berufsgeheimnisses zu verleiten sucht; c) ein ihm nach Buchstabe a offenbartes Geheimnis weiteren Personen offenbart oder für sich oder einen anderen ausnützt.

Mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe wird bestraft, wer sich oder einem anderen durch eine Handlung nach Absatz 1 Buchstabe a oder c einen Vermögensvorteil verschafft. Wer fahrlässig handelt, wird mit Busse bis zu 250’000 Franken bestraft.»

Banken vielförmig in der Pflicht

Durch den AIA nicht aufgehoben wurde hingegen die Tatsache, dass kundenbezogene Daten geschützt und vertraulich behandelt werden müssen, sprich, dass der unbefugte Zugriff von Dritten zu verhindern ist. Hier kommt zusätzlich das DSG zur Anwendung, für Banken genauso wie für jede andere Industrie. Dieses sieht keine spezifische Ausprägung für Finanzdienstleister vor. So entsteht ein anspruchsvolles Spannungsfeld: Das DSG verpflichtet die Unternehmen, nicht mehr Kundendaten als nötig zu sammeln. Standards wie die aufsichtsrechtlichen Anforderungen (z. B. die Bekämpfung der Geldwäscherei) sowie der AIA hingegen verlangen so viel Transparenz – also Daten – wie möglich. In der Schweiz wird diese Kontroverse auf politischer Ebene sehr breit gefächert diskutiert. Trotz und wegen zu erwartende weitere Veränderungen wird den Banken ein ausgeprägtes Feingefühl beim Einholen, Halten und Nutzen von Kundendaten abverlangt. Und eine adäquate (juristische) Differenzierung.

Abbildung 1: Entwicklung der Vertraulichkeit in Abhängigkeit von den regulatorischen Veränderungen
focus_03-01.de Created with Sketch. geplant nächstes Jahr FIDLEG und FINIG demnächst DSG-Revision GDPR geplant dieses Jahr Neues RS Outsourcing Anpassung RS opRisk in Kraft seit 2015 Anhang 3 FINMA- RS opRisk Aktuelle regulatorische Entwicklungen 2018 2017 2015 2014 2012 2009 1996 1934 Start Reporting AIA Inkrafttreten AIAG Start FATCA-Report Grundsatzentscheid Bundesrat Teilnahme an AIA/Weissgeldstrategie Abschluss DBAS nach OECD-Standard Übermittlung Kundendaten der UBS an USA DTA USA-CH (“tax fraud and the like”) Gesetzliche Verankerung Bankkundengeheimnis Unterzeichnung multilaterale Vereinbarung zum AIA

Veränderungen des Umfeldes

Die Vertraulichkeit der Informationen über die Vermögenswerte bei Banken bleibt ein schützenswertes Gut – dies erscheint auch für den Finanzplatz Schweiz wichtig. In diesem Bereich geht das Bankkundengeheimnis nach wie vor weiter als der Datenschutz: Die Einschränkungen für die Weitergabe von Daten sind umfassender. Das Interesse am Schutz der Informationen über Bestehen, Umfang und Entwicklung von Bankbeziehungen bleibt damit ein zentraler und legitimer Faktor – abgesehen vom Zweck der Steuerhinterziehung. Die stabile Situation der Schweiz macht dieses Versprechen der Bankindustrie auch in Zeiten von geopolitischen Unsicherheiten und Veränderungen glaubwürdig.

Nicht zu vergessen sind dabei auch die Digitalisierung und die exponentielle Zunahme von elektronischen Daten im Bankbereich. Kombiniert mit einem bestehenden Trend zu Auslagerungen im Interesse von Prozessoptimierungen und Effizienzgewinnen stehen die Banken vor zusätzlichen Herausforderungen, ihre Daten effektiv zu schützen. Eine absolute Sicherheit gab es nie und wird es auch in Zukunft nicht geben. Das Risiko für Lecks wird nicht zwingend grösser. Doch die Auswirkungen nehmen zu, da sie typischerweise viel mehr Daten umfassen.

Weitgehende Auslagerungen von kundenbezogenen Daten ins Ausland werden heute in der Schweiz noch zurückhaltend eingesetzt. Wir rechnen jedoch auch hier mit weiteren Anwendungen. Generell kann davon gesprochen werden, dass der Aufwand für die Sicherung von Daten weiterhin steigt.

Die Regulierung präzisiert

Die Bankenwelt steht nicht zuletzt seit der Finanzkrise im Fokus von Medien und Öffentlichkeit. Für die Handhabung von sensitiven Daten liegt eine Fülle regulatorischer Vorgaben und Präzisierungen vor. Nachfolgend die wichtigsten in Kürze.

  1. Im Anhang 3 «Umgang mit elektronischen Kundendaten» zum zum FINMA-Rundschreiben 2008/21 werden die Vorschriften zum Umgang mit Kundenidentifikationsdaten, auch «client identifying data» genannt, verschärft. Diese «lex spezialis» konkretisiert mit technischen Anforderungen die Pflicht der Banken, die Vertraulichkeit von Kundendaten in einer digitalisierten Welt sicherzustellen. Die entsprechenden Regeln erhielten u.a. durch Entwicklungen wie die Ankäufe von CDs sowie die Digitalisierung zusätzliche Bedeutung und sind seit dem 1. Januar 2015 in Kraft.

  2. Das aktuelle FINMA-Rundschreiben 2008/7 «Outsourcing Banken – Auslagerung von Geschäftsbereichen bei Banken» wird zurzeit totalrevidiert, da es nicht mehr den aktuellen Praxisbedürfnissen entspricht. Im vorliegenden Entwurf konstatiert die FINMA, dass der Datenschutz beim Auslagern von Daten in den Bereich des Zivilrechts falle und die Banken darum das DSG anzuwenden hätten. Die FINMA will diesen datenschutzrelevanten Teilbereich also nicht mehr aufsichtsrechtlich thematisieren – was nicht bedeutet, dass er für die Banken entfällt. Diese werden sich beim Outsourcing voll und ganz am DSG ausrichten müssen. Das Inkrafttreten des Rundschreibens war ursprünglich auf den 1. Juli 2017 geplant, was gemeinhin als optimistisch eingeschätzt wird.

  3. Das geplante Bundesgesetz über die Finanzdienstleistungen (Finanzdienstleistungsgesetz, FIDLEG) befindet sich ebenfalls in der Entwurfsphase und steht derzeit in der parlamentarischen Beratung. Es tritt frühestens 2018 in Kraft. Ebenfalls relevant in dieser Hinsicht ist das im Entwurf vorliegende Finanzinstitutsgesetz FINIG. Beide Regelwerke sollen die Schweiz näher an die Vorgaben von MiFID II, einer umfassenden Reform der Finanzmarktregulierung in der EU, heranführen. FIDLEG und FINIG enthalten u.a. auch spezifische Regelungen zum Umgang mit Daten im Finanzbereich. Allerdings lassen sie auch Überschneidungen mit dem DSG entstehen. Beispielsweise stellt Art. 75 E-FIDLEG zur Herausgabe von Dokumenten eine ähnliche Regelung wie Art. 8 DSG zum Herausgabeanspruch von Personendaten dar. Die Banken sind gut beraten, die Abgrenzung zwischen diesen Regularien im Auge zu behalten und der Konsolidierung von Daten aus ihren verschiedenen Front- und Backend-Systemen besondere Aufmerksamkeit zu schenken.

  4. Die Änderungen des FINMA-Rundschreibens 2008/21 «Operationelle Risiken – Banken» vom 22. September 2008 sind (gemäss Medienmitteilung der FINMA von November 2016) am 1. Juli 2017 in Kraft getreten. Sie regeln die grenzüberschreitenden Dienstleistungen und verpflichten Schweizer Banken, ausländisches Recht einzuhalten. Zum Beispiel entfaltet die Europäische Datenschutzgrundverordnung (EU-DSGVO) eine extraterritoriale Wirkung, da sie Unternehmen betrifft, die in der EU tätig sind. Dies führt dazu, dass auch Schweizer Banken im Rahmen ihrer Analyse der ausländischen rechtlichen Anforderungen und der entsprechenden Risiken eine vertiefte Beurteilung der Auswirkungen vornehmen sowie im Umgang mit EU-Kunden die EU-DSGVO angemessen berücksichtigen müssen.

(Aufsichts)rechtliche Datenschutzvorgaben für Banken

Bundesgesetz über die Banken und Sparkassen (Bankengesetz, BankG)
> Zum Wortlaut

Bundesgesetz über den Datenschutz (DSG)
> Zum Wortlaut

FINMA-Rundschreiben 2008/21 «Operationelle Risiken – Banken: Eigenmittelanforderungen und qualitative Anforderungen für operationelle Risiken bei Banken» (inkl. Anhang 3)
> Zum Wortlaut

FINMA-Rundschreiben 2008/7 «Outsourcing Banken – Auslagerung von Geschäftsbereichen bei Banken»
> Aktuelle Fassung
> Entwurf
> Erläuterungsbericht

Finanzdienstleistungsgesetz (FIDLEG) und Finanzinstitutsgesetz (FINIG)
> Bundesratsentwurf
> Faktenblatt

Genauigkeit und Fingerspitzengefühl gefragt

Banken sind seit je stark reguliert und kennen die Sensitivität von Kundendaten. Aus dieser Optik hat auch die geplante Anpassung des Datenschutzes für die Branche einen weniger hohen Neuheitsgehalt. Dennoch besteht bereits heute ein hoher Implementierungsbedarf und damit die Notwendigkeit, genau hinzuschauen. In der Vergangenheit stand in dieser Erwägung das Bankkundengeheimnis im Mittelpunkt. Im Zug der zahlreichen (steuer)rechtlichen und regulatorischen Veränderungen hat sich das über die letzten Jahre klar verändert. Die Banken werden nicht umhinkommen, sich in der Umsetzung des Datenschutzes mit den Finessen der einzelnen Bestimmungen auseinanderzusetzen – auf nationaler Ebene genauso wie auf internationalem Parkett. Dabei bewegen sie sich in einem Spannungsfeld von datenschutzrechtlich geforderter Zurückhaltung beim Sammeln von Daten und steuerrechtlicher sowie regulatorischer Forderung nach einem hohen Grad an Informationen. Hier empfiehlt sich ein systematisches, schrittweises Vorgehen mit fundierter Analyse von Anwendbarkeit, Auswirkungen und Implementierung (mehr dazu in Fokus 1, «Mit Daten zu Taten»).

Nur auf dieser Basis und unter Berücksichtigung des legitimen erhöhten Interesses am Schutz der Daten zu Bankbeziehungen kann die Finanzindustrie einen ihrer Wettbewerbsvorteile im internationalen Private Banking auch in der steuertransparenten Welt erhalten.

Wir sind für Sie da!

Michèle Hess

Michèle Hess

Partner, Regulatory and Compliance Services

+41 58 792 46 67

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!