Zum Hauptinhalt springen

Neues Bundesgesetz über den Datenschutz (nFADP) - Was ändert sich für Finanzintermediäre?

Ab dem 1. September 2023 müssen Banken und andere Finanzintermediäre die Anforderungen des neuen INLB und seiner Verordnungen erfüllen. Was sind die besonderen Auswirkungen auf die Finanzinstitute und wie kann dies mit den für den Finanzsektor geltenden rechtlichen Anforderungen koordiniert werden?

Das neue Bundesgesetz über den Datenschutz (nFADP) verbessert die Verarbeitung personenbezogener Daten und gewährt den Schweizer Bürgern neue Rechte. Diese wichtige Gesetzesänderung geht mit einer Reihe von neuen Verpflichtungen für Unternehmen und einer Verschärfung bestehender Anforderungen einher.

Das vollständig revidierte Datenschutzgesetz und die Ausführungsbestimmungen der neuen Datenschutzverordnung (DSGVO) und der Datenschutzzertifizierungsverordnung (DSGVO) werden am 1. September 2023 in Kraft treten.

Was sind die Auswirkungen auf den Finanzsektor?

 

Seit dem ersten Bundesdatenschutzgesetz im Jahr 1992 haben sich mit der täglichen Nutzung des Internets, von Smartphones, sozialen Netzwerken und der Cloud grundlegende gesellschaftliche Veränderungen in Bezug auf die Digitalisierung und die Verwaltung persönlicher Daten ergeben.

Banken und der Finanzsektor haben diese neuen Technologien weitgehend in ihr Dienstleistungsangebot aufgenommen, wobei Personalisierung und Zugänglichkeit einen wesentlichen Mehrwert darstellen. Ausserdem ist der Datenschutz neben dem Bankgeheimnis seit vielen Jahren Teil der DNA der Branche. Daher befindet sich dieser Sektor in einer einzigartigen Position: Einerseits hat er in Sachen Datenschutz einen klaren Vorsprung vor anderen Unternehmen, andererseits muss er auch mit höheren Erwartungen seitens der Öffentlichkeit und der Regulierungsbehörden fertig werden.

Einige Institutionen haben viele der neuen Anforderungen des nFADP bereits vorweggenommen, indem sie freiwillig ein System zur Einhaltung der europäischen Datenschutzverordnung (GDPR) eingeführt haben. Andere Institutionen hingegen haben sich entschieden, auf die Schweizer Anforderungen zu warten. Nichtsdestotrotz wird in beiden Fällen erst ab dem 1. September 2023 die Robustheit der internen Kontrollsysteme in der Praxis wirklich getestet werden.

Was sind die wichtigsten Änderungen für den Finanzsektor?

 

Das neue Datenschutzgesetz bringt mehrere wichtige Änderungen mit sich. Die folgenden werden sich insbesondere auf Unternehmen im Finanzsektor auswirken:

  1. Einführung der Grundsätze von "Privacy by Design" und "Privacy by Default". Der Grundsatz "Privacy by Design" impliziert die Integration des Datenschutzes und des Schutzes der Privatsphäre der Nutzer in das Design des Finanzprodukts oder der Finanzdienstleistung, die personenbezogene Daten erhebt. Der Grundsatz "Privacy by Default" verlangt, dass die notwendigen Massnahmen zum Schutz der Daten und zur Beschränkung ihrer Nutzung standardmässig und ohne Zutun des Nutzers aktiviert werden, sobald das Produkt oder die Dienstleistung zur Verfügung gestellt wird. Diesen Anforderungen sollte besondere Aufmerksamkeit gewidmet werden, wenn neue Finanzdienstleistungen angeboten werden, insbesondere wenn sie auf digitalen Lösungen basieren.
  2. Folgenabschätzungen müssen durchgeführt werden, wenn ein hohes Risiko für die Persönlichkeit oder für die Grundrechte der betroffenen Personen besteht. Die Frage stellt sich vor allem bei der Einführung eines neuen Dienstes oder einer organisatorischen Änderung, die erhebliche Auswirkungen auf die Verarbeitung von Kundendaten hat, insbesondere bei einer IT-Migration in eine Cloud.
  3. DasFühren eines Verzeichnisses der Verarbeitungstätigkeiten wird grundsätzlich gefordert und wird in der Praxis für Banken sowie für viele Unternehmen des Finanzsektors oft unumgänglich sein. In der Tat sind nur KMUs, deren Datenverarbeitung ein begrenztes Risiko der Persönlichkeitsverletzung darstellt, davon ausgenommen. Darüber hinaus ist die Festlegung von Verarbeitungstätigkeiten im Allgemeinen ein notwendiger Schritt in jedem Projekt zur Umsetzung des nFADP, da sie es ermöglicht, den Umfang der Prozesse, bei denen personenbezogene Daten anfallen, klar zu definieren und ihre Analyse in geordneter Weise durchzuführen. Schliesslich sollte dieser Ansatz idealerweise mit den Data-Governance-Systemen koordiniert werden, die im neuen FINMA-Rundschreiben zu operationellen Risiken und Widerstandsfähigkeit vorgesehen sind.
  4. DieEinrichtung von Prozessen für eine rasche Benachrichtigung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)im Falle einer Datenverletzung ist eine Anforderung. Für Banken müssen diese Meldungen natürlich mit denjenigen an die FINMA koordiniert werden.
  5. Der Begriff des Profilings, d.h. der automatisierten Verarbeitung personenbezogener Daten, ist nun gesetzlich definiert. Institute des Finanzsektors könnten davon betroffen sein, da sie ausgeklügelte automatisierte Prozesse verwenden, insbesondere im Zusammenhang mit der Überwachung von Kundentransaktionen im Hinblick auf ihr GwG-Profil.

Wie kann Deloitte helfen?

 

Deloitte verfügt über ein Team von Anwälten und Rechtsexperten für Datenschutzfragen. Durch seine Beratungs- und Prüfungspraxis im Finanzsektor verfügt Deloitte über umfassende Kenntnisse des geschäftlichen und regulatorischen Kontextes, in dem Banken und Finanzintermediäre tätig sind. Dies ermöglicht es uns, die neuen Anforderungen des neuen Bundesgesetzes über den Datenschutz (nFADP) in Abstimmung mit dem regulatorischen Kontext anzugehen und gleichzeitig bewährte Branchenlösungen zu integrieren. Deloitte ist ausserdem weltweit führend bei der Digitalisierung und Integration von Cloud-Lösungen, die einen zunehmend entscheidenden Einfluss auf die Verwaltung personenbezogener Daten haben. Wir bieten Ihnen die folgenden Ansätze, die natürlich angepasst werden können:

  • Heathcheck nFADP - Gemeinsam überprüfen wir Ihren Plan und den Fortschritt der Massnahmen, die zur Umsetzung des nFADP ergriffen wurden. Deloitte identifiziert mögliche Abweichungen und bietet praktische Massnahmen an, um für den 1. September 2023 bereit zu sein.
  • nFADP-Support-Paket - Wir bieten Ihnen umfassende Unterstützung bei der Umsetzung von nFADP in Ihrer Einrichtung, mit einem Aktionsplan, Richtlinien und Musterdokumenten, um den Prozess zu beschleunigen.
  • Swiss finish nFADP - Für Einrichtungen, die die europäische Datenschutzgrundverordnung bereits umgesetzt haben, bieten wir eine begrenzte Überprüfung und eine pragmatische Anpassung bestimmter Schlüsselpunkte an.
  • nFADP Beratung und Regulierung - Unsere Datenschutzexperten stehen natürlich auch zur Verfügung, um Dokumente zu überprüfen oder spezifische Fragen aus der Sicht des nFADP zu klären und ihre Übereinstimmung mit dem Banken- und Finanzregulierungsrahmen sicherzustellen.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback