Ausrichtung
Die BEKB ist sich ihrer Verantwortung im Umgang mit Daten bewusst. Sie schützt die Privatsphäre von Personen, deren Daten sie bearbeitet, und legt offen, wie und wozu Daten bearbeitet werden.
Datenschutz hat für Banken einen hohen Stellenwert, weil der Schaden bei Datenschutzverletzungen in erster Linie bei den betroffenen Personen entsteht. Deshalb haben Banken für die Sicherheit von Kundendaten zu sorgen. Dies umfasst auch Daten, die von Dienstleistern der Bank gehalten oder bearbeitet werden. Im eigenen Betrieb haben Banken Einfluss auf die Cybersecurity, indem sie effektive Prozesse sicherstellen, die das Risiko von Hackerangriffen, menschlichen Bedienungsfehlern oder Mutwilligkeit minimieren.
Durch den hohen Stellenwert, den der Datenschutz sowohl aus regulatorischer Sicht als auch aus Kundensicht hat, entstehen Banken bei Datenschutzverletzungen Compliance- und Reputationsrisiken. Auf der anderen Seite kann ein transparenter Umgang mit Datenschutzfragen das Vertrauen der Kundinnen und Kunden in eine Bank stärken.
Der sorgsame Umgang mit Daten und Informationen ist ein zentrales Anliegen für die BEKB. Entsprechende Grundsätze sind im Verhaltenskodex der BEKB festgelegt. Die Bank legt höchsten Wert darauf, dass sämtliche personenbezogenen Informationen gemäss den geltenden Datenschutzbestimmungen behandelt werden. Dies umfasst nicht nur die Einhaltung gesetzlicher Vorschriften, sondern auch die Implementierung fortschrittlicher Sicherheitsmassnahmen, um potenzielle Risiken zu minimieren.
Das Bankkundengeheimnis dient dem Schutz der Kundinnen und Kunden vor unbefugter Einsicht in ihre Bankbeziehung. Die Datenschutzweisung der BEKB reguliert darüber hinaus die Einhaltung der datenschutzrechtlichen Bestimmungen und definiert den Umgang mit Kunden- und Personendaten sowie die Datenbearbeitungsgrundsätze. Sie etabliert auch die datenschutzrechtliche Data Governance innerhalb der Organisationsstruktur der BEKB und legt klare Eskalationsstrukturen bei Verletzungen von Bankgeheimnis, Datenschutz und Schweigepflicht fest.
Interne Schulungen, darunter das E-Learning «Datenschutz Training», vermitteln allen Mitarbeitenden die Grundlagen des totalrevidierten Datenschutzgesetzes. Gleichzeitig werden diverse Fachbereiche spezifisch in Bezug auf ihre Tätigkeiten im Zusammenhang mit Datenbearbeitungen geschult. Die Schulung «Informationssicherheit» fokussiert auf den sicheren Umgang mit elektronischen Kundendaten. Weiter werden die Mitarbeitenden regelmässig für den sicheren Umgang mit elektronischen Kommunikationsmitteln sensibilisiert.
Ansprechperson für sämtliche internen und externen Anliegen zum Datenschutz ist der Datenschutzberater, der im Rechtsdienst der BEKB angesiedelt ist. Er nimmt auch Meldungen von Datenschutzverletzungen entgegen. Für Kundinnen und Kunden sowie externe Stellen sind die Kontaktangaben in der Datenschutzerklärung ersichtlich. Für interne Stellen sind die Kontaktangaben zudem im Intranet und in der Weisung Datenschutz zugänglich.
Das Informationssicherheitsmanagement der BEKB orientiert sich an etablierten Normen (Standardreihe ISO/IEC 2700x). Die Bank überwacht die Einhaltung der Richtlinien zum Schutz der Kundendaten mit technischen und organisatorischen Sicherheitsmassnahmen (zum Beispiel Verschlüsselung von Daten, Zugriffskontrollen, Protokollierung von sicherheitsrelevanten Ereignissen, Sensibilisierungskampagnen). Zudem führt die BEKB regelmässige Sicherheitsaudits und Penetrationstests durch, um ihre IT-Systeme technisch abzusichern. Die IT-Systeme der BEKB werden periodisch und automatisiert auf Schwachstellen überprüft.
Ferner hält der Bereich Riskmanagement wesentliche Ergebnisse zur Einhaltung von Risikotoleranzen und -indikatoren in Bezug auf die Informationssicherheit und die Vertraulichkeit von Kundendaten in seinen Berichterstattungen fest.
Schliesslich lässt die BEKB mit internen und externen Audits überprüfen, ob die Gesetze befolgt und die Anforderungen der Aufsichtsbehörde erfüllt werden. Im Rahmen der jährlichen «aufsichtsrechtlichen Basisprüfung» überprüft die externe Prüfgesellschaft mittels gradueller Abdeckung über sechs Jahre unter anderem den Bereich Informatik inklusive Umgang mit elektronischen Kundendaten. Bei diesen Audits wurden keine Vorfälle mit Kundendaten festgestellt. Dabei ermittelte Verbesserungspunkte werden unverzüglich umgesetzt.
Die BEKB will die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten vermeiden.
Im Berichtsjahr (wie auch im Vorjahr) gab es keine begründeten Beschwerden in Bezug auf die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten.