BEKB Geschäftsbericht 2024

Hauptnavigation

Servicenavigation

Datenschutz

Die BEKB ist sich ihrer Verantwortung im Umgang mit Daten bewusst. Sie schützt die Privatsphäre von Personen, deren Daten sie bearbeitet, und legt offen, wie und wozu sie Daten bearbeitet.

Relevanz des Themas

Verletzungen von datenschutzrechtlichen Vorgaben und insbesondere die Offenlegung von Personendaten an unbefugte Personen können hohen Schaden bei den betroffenen Personen verursachen. Deshalb haben der Datenschutz und die Datensicherheit einen hohen Stellenwert für Banken. Sowohl innerhalb der Unternehmensinfrastruktur als auch bei den Dienstleistern sind hohe Standards bezüglich technischer und organisatorischer Sicherheitsmassnahmen anzuwenden, um das Risiko beispielsweise von Hackerangriffen, menschlichen Bedienungsfehlern oder Mutwilligkeit zu minimieren.

Bei Nichteinhaltung der datenschutzrechtlichen Vorgaben können Banken Compliance- und Reputationsrisiken entstehen. Auf der anderen Seite können die Datenschutzkonformität sowie die Transparenz über die Datenbearbeitungstätigkeiten und bei allfälligen Datenschutzverletzungen das Vertrauen der Kundinnen und Kunden stärken. Zudem können Massnahmen getroffen werden, die dazu beitragen, solche Vorfälle zu beseitigen, zu unterbinden und zukünftig zu verhindern.

Konzepte, Massnahmen und Aktivitäten

Der sorgsame Umgang mit Daten und Informationen ist ein zentrales Anliegen für die BEKB. Entsprechende Grundsätze sind im Verhaltenskodex der BEKB festgelegt. Die Bank legt höchsten Wert darauf, dass sämtliche personenbezogenen Daten unter Einhaltung der geltenden Datenschutzbestimmungen bearbeitet werden. Dies umfasst nicht nur die Einhaltung gesetzlicher Vorschriften, sondern auch die Implementierung fortschrittlicher Sicherheitsmassnahmen, um entsprechende Risiken zu minimieren.

Das Bankgeheimnis dient dem Schutz der Kundinnen und Kunden vor unbefugter Einsicht in ihre Bankbeziehung. Die Datenschutzweisung der BEKB reguliert darüber hinaus die Einhaltung der datenschutzrechtlichen Bestimmungen und definiert den Umgang mit Kunden- und Personendaten sowie die Datenbearbeitungsgrundsätze. Sie etabliert auch die datenschutzrechtliche Data Governance innerhalb der Organisationsstruktur der BEKB und legt klare Eskalationsstrukturen bei Verletzungen von Bankgeheimnis, Datenschutz und Schweigepflicht nach BVG (Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge) fest.

Interne Schulungen, darunter das E-Learning «Datenschutztraining», vermitteln allen Mitarbeitenden die Grundlagen des Datenschutzgesetzes. Zusätzlich schult der Datenschutzberater diverse Fachbereiche spezifisch in Bezug auf ihre Tätigkeiten im Zusammenhang mit Datenbearbeitungen. Die Schulung «Informationssicherheit» fokussiert auf den sicheren Umgang mit physischen und elektronischen Kundendaten. Weiter werden die Mitarbeitenden regelmässig für den sicheren Umgang mit elektronischen Kommunikationsmitteln sensibilisiert.

Ansprechperson für sämtliche internen und externen Anliegen zum Datenschutz ist der Datenschutzberater, der im Rechtsdienst der BEKB angesiedelt ist. Er nimmt auch Meldungen von Datenschutzverletzungen entgegen. Für Kundinnen und Kunden sowie externe Stellen sind die Kontaktangaben in der Datenschutzerklärung ersichtlich. Für interne Stellen sind die Kontaktangaben zudem im Intranet und in der Weisung «Datenschutz» zugänglich.

Lesen Sie mehr dazu in der Datenschutzerklärung der BEKBbekb.ch/datenschutz

Informationssicherheit

Das Informationssicherheitsmanagement (ISMS) der BEKB orientiert sich an etablierten Normen (Standardreihe ISO/IEC 2700x). Die Bank überwacht die Einhaltung der ISMS-Richtlinien zum Schutz der Kundendaten mit technischen und organisatorischen Sicherheitsmassnahmen (zum Beispiel Verschlüsselung von Daten, Zugriffskontrollen, Protokollierung von sicherheitsrelevanten Ereignissen, Sensibilisierungskampagnen usw.). Zudem führt die BEKB regelmässige Sicherheitsaudits und Penetrationstests durch, um ihre IT-Infrastruktur und Systeme technisch abzusichern. Die IT-Systeme der BEKB werden regelmässig und automatisiert auf Softwareschwachstellen überprüft.

Ferner hält der Bereich Riskmanagement wesentliche Ergebnisse bezüglich der Einhaltung von Risikotoleranzen und -indikatoren in Bezug auf die Informationssicherheit, darunter insbesondere auch die Vertraulichkeit von Kundendaten, in seinen Berichterstattungen fest.

Schliesslich lässt die BEKB mit internen und externen Audits überprüfen, ob die Gesetze befolgt und die Anforderungen der Aufsichtsbehörden erfüllt werden. Im Rahmen der jährlichen aufsichtsrechtlichen Basisprüfung überprüft die externe Prüfgesellschaft periodisch unter anderem die Prüfgebiete «Management der Informations- und Kommunikationstechnologie (IKT)-Risiken», «Management der Cyber-Risiken», «Management der Risiken kritischer Daten», «Business Continuity Management» und «Operationelle Resilienz». Bei diesen Audits wurden keine Vorfälle mit Kundendaten festgestellt. Dabei ermittelte Verbesserungspunkte werden risikobasiert unverzüglich umgesetzt.

Ziele und Kennzahlen

Die BEKB will die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten vermeiden.

Im Berichtsjahr (wie auch im Vorjahr) gab es keine begründeten Beschwerden von Aufsichtsbehörden in Bezug auf die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten.

Geschäftspraktiken
Beratungs- und Verkaufspraktiken
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend zu verbessern, verwenden wir Cookies. Weitere Informationen finden Sie in der Online Datenschutzerklärung der Berner Kantonalbank AG.