Datenschutz

Die BEKB ist sich ihrer Verantwortung im Umgang mit Daten bewusst. Sie schützt die Privatsphäre von Personen, deren Daten sie bearbeitet, und legt offen, wie und wozu sie Daten bearbeitet.

Relevanz des Themas

Verletzungen von datenschutzrechtlichen Vorgaben und insbesondere die Offenlegung von Personendaten an unbefugte Personen können hohen Schaden bei den betroffenen Personen verursachen. Deshalb haben der Datenschutz und die Datensicherheit einen hohen Stellenwert für Banken. Sowohl innerhalb der Unternehmensinfrastruktur als auch bei den Dienstleistern sind hohe Standards bezüglich technischer und organisatorischer Sicherheitsmassnahmen anzuwenden, um das Risiko beispielsweise von Hackerangriffen, menschlichen Bedienungsfehlern oder Mutwilligkeit zu minimieren.

Bei Nichteinhaltung der datenschutzrechtlichen Vorgaben können Banken Compliance- und Reputationsrisiken entstehen. Auf der anderen Seite können die Datenschutzkonformität sowie die Transparenz über die Datenbearbeitungstätigkeiten und bei allfälligen Datenschutzverletzungen das Vertrauen der Kundinnen und Kunden stärken. Zudem können Massnahmen getroffen werden, die dazu beitragen, solche Vorfälle zu beseitigen, zu unterbinden und zukünftig zu verhindern.

Konzepte, Massnahmen und Aktivitäten

Der sorgsame Umgang mit Daten und Informationen ist ein zentrales Anliegen für die BEKB. Entsprechende Grundsätze sind im Verhaltenskodex der BEKB festgelegt. Die Bank legt höchsten Wert darauf, dass sämtliche personenbezogenen Daten unter Einhaltung der geltenden Datenschutzbestimmungen bearbeitet werden. Dies umfasst nicht nur die Einhaltung gesetzlicher Vorschriften, sondern auch die Implementierung fortschrittlicher Sicherheitsmassnahmen, um entsprechende Risiken zu minimieren.

Das Bankgeheimnis dient dem Schutz der Kundinnen und Kunden vor unbefugter Einsicht in ihre Bankbeziehung. Die Datenschutzweisung der BEKB reguliert darüber hinaus die Einhaltung der datenschutzrechtlichen Bestimmungen und definiert den Umgang mit Kunden- und Personendaten sowie die Datenbearbeitungsgrundsätze. Sie etabliert auch die datenschutzrechtliche Data Governance innerhalb der Organisationsstruktur der BEKB und legt klare Eskalationsstrukturen bei Verletzungen von Bankgeheimnis, Datenschutz und Schweigepflicht nach BVG (Bundesgesetz über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge) fest.

Interne Schulungen, darunter das E-Learning «Datenschutztraining», vermitteln allen Mitarbeitenden die Grundlagen des Datenschutzgesetzes. Zusätzlich schult der Datenschutzberater diverse Fachbereiche spezifisch in Bezug auf ihre Tätigkeiten im Zusammenhang mit Datenbearbeitungen. Die Schulung «Informationssicherheit» fokussiert auf den sicheren Umgang mit physischen sowie elektronischen Personendaten (inklusive Kundendaten). Weiter werden die Mitarbeitenden regelmässig für den sicheren Umgang mit elektronischen Kommunikationsmitteln sensibilisiert.

Im Berichtsjahr hat die BEKB eine umfassende Schulungs- und Sensibilisierungsoffensive rund um Cybersecurity Riskmanagement lanciert. Alle Mitarbeitenden hatten über das Jahr verteilt zielgruppenspezifische E-Learning-Module auf der Awareness-Plattform «SoSafe» obligatorisch zu absolvieren. Zur systematischen Beurteilung der Sicherheitskultur wurde im Berichtsjahr zudem ein Security Culture Assessment durchgeführt, dessen Ergebnisse in die Weiterentwicklung von Schulungs- und Sensibilisierungsmassnahmen einfliessen.

Ansprechperson für sämtliche internen und externen Anliegen zum Datenschutz ist der Datenschutzberater, der im Rechtsdienst der BEKB angesiedelt ist. Er nimmt auch Meldungen von Datenschutzverletzungen entgegen. Für Kundinnen und Kunden sowie externe Stellen sind die Kontaktangaben in der Datenschutzerklärung ersichtlich. Für interne Stellen sind die Kontaktangaben zudem im Intranet und in der Weisung «Datenschutz» zugänglich.

Informationssicherheit

Das Informationssicherheitsmanagementsystem (ISMS) der BEKB orientiert sich an der internationalen Normenreihe ISO/IEC 2700x und bildet eine zentrale Grundlage für den Schutz von Personendaten (inklusive Kundendaten) und Geschäftsprozessen. Die Bank setzt umfassende technische und organisatorische Massnahmen ein, darunter Verschlüsselung, Zugriffskontrollen, Protokollierung sicherheitsrelevanter Ereignisse sowie regelmässige Sensibilisierungsmassnahmen für Mitarbeitende. Die IT-Systeme werden kontinuierlich und automatisiert auf Softwareschwachstellen überprüft.

Die Wirksamkeit des ISMS wird regelmässig durch interne Audits, unabhängige externe Prüfungen sowie technische Sicherheitsüberprüfungen wie Penetrationstests beurteilt. Darüber hinaus wird im Rahmen externer Prüfungen sichergestellt, dass gesetzliche Vorgaben sowie die Anforderungen der Aufsichtsbehörden eingehalten werden. Im Rahmen der jährlichen aufsichtsrechtlichen Basisprüfung überprüft die externe Prüfgesellschaft periodisch unter anderem die Prüfgebiete «Management der Informations- und Kommunikationstechnologie (IKT)-Risiken», «Management der Cyber-Risiken», «Management der Risiken kritischer Daten», «Business Continuity Management» und «Operationelle Resilienz». Bei diesen Audits wurden keine Vorfälle mit Personendaten (inklusive Kundendaten) festgestellt. Dabei ermittelte Verbesserungspunkte werden risikobasiert unverzüglich umgesetzt.

Ferner hält der Bereich Riskmanagement wesentliche Ergebnisse bezüglich der Einhaltung von Risikotoleranzen und -indikatoren in Bezug auf die Informationssicherheit, darunter insbesondere auch die Vertraulichkeit von Personendaten (inklusive Kundendaten), in seinen Berichterstattungen fest.

Ziele und Kennzahlen

Die BEKB will die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten vermeiden.

Im Berichtsjahr (wie auch im Vorjahr) gab es keine begründeten Beschwerden von Aufsichtsbehörden in Bezug auf die Verletzung des Schutzes von Kunden- und Personendaten und den Verlust von Kunden- und Personendaten.