Wie man sein Unternehmen und die Daten seiner Kundinnen und Kunden schützt: Ein Blick auf die neuesten Vorschriften

Im September letzten Jahres war ein Vermögensverwalter von einem großen Datenleck betroffen. Die Daten von Hunderten von Kunden wurden gestohlen und im Darknet veröffentlicht. Ein unzufriedener Mitarbeiter? Eine größere Sicherheitslücke? Nein, der Ursprung des Datenlecks soll tatsächlich in der Datenbank eines ehemaligen Dienstleisters des Vermögensverwalters liegen. Daher ist es wichtig, bei der Auswahl von Dienstleistern eine erhöhte Due Diligence durchzuführen.

	Laurent Pellet Limited Partner, Global Head of EAM,                                          Bank Lombard Odier & Co Ltd.
	In Zusammenarbeit mit Philipp Fischer Partner, Oberson Abels SA

Darüber hinaus sind seit letztem Jahr neue Datenschutzbestimmungen in Kraft getreten, die die Pflichten der Unternehmen, auch im Finanzsektor, verschärfen. Dabei handelt es sich insbesondere um die revidierte Fassung des Bundesgesetzes über den Datenschutz (DSG) und die Allgemeine Datenschutzverordnung (DSGVO).

Sie verlangen von externen Vermögensverwaltern (EAM) einen strengeren und proaktiveren Ansatz in Bezug auf den Umgang mit persönlichen Daten, Transparenz und Sicherheit im Prozess der Verarbeitung von persönlichen Daten. Diese Anforderungen haben direkte Auswirkungen auf die EAM in der Schweiz, deren Kundenbeziehungen vor allem auf Vertrauen und Vertraulichkeit beruhen.

Somit nimmt der Datenschutz in dieser Branche eine umso entscheidendere Rolle ein, da er sowohl eine Herausforderung als auch eine Chance bietet, das Vertrauen der Kundinnen und Kunden in einem schützenden Rechtsrahmen zu festigen.  

Mehr Transparenz und Information: Was ist konkret zu tun?

EAMs müssen ihre Kundinnen und Kunden ausführlich über den Zweck und die Art und Weise der Erhebung und Verarbeitung ihrer personenbezogenen Daten informieren. Dies beinhaltet die Erstellung eines klaren und zugänglichen Datenschutzhinweises. Die Informationspflicht gilt ab dem Zeitpunkt der Datenerhebung, wobei besonders auf Situationen zu achten ist, in denen personenbezogene Daten an Dritte weitergegeben werden, insbesondere bei der Nutzung von Cloud-Anbietern.

Datensicherheit und Risikomanagement: strenge Anforderungen

Die neuen Datenschutzregeln enthalten strenge Anforderungen an die Informationssicherheit: So müssen EAMs interne Verfahren zur Identifizierung und Sicherung der verarbeiteten Daten einführen. Ebenso sind sie verpflichtet, Massanahmen zum Schutz vor Datenlecks zu ergreifen und die Behörden im Falle eines Verstoßes umgehend zu benachrichtigen.

Wenn zudem wahrscheinlich ist, dass eine Datenverarbeitung erhebliche Risiken für die betroffenen Personen (z. B. Kundinnen und Kunden) birgt, sind die EAMs verpflichtet, diese Risiken strukturiert und dokumentiert zu bewerten. Gegenbefalls sind sie angehalten, diese Risiken durch eine Datenschutz-Folgenabschätzung (DSFA) zu reduzieren.

Diese Anforderungen sind umso entscheidender, da die DSGVO (Datenschutzgrundverordnung)und ihre strengen Sanktionen unter bestimmten Bedingungen auch für Schweizer Unternehmen gelten können, die Dienstleistungen für in der EU ansässige Personen anbieten.

Recht auf Vergessenwerden und Berichtigung von Daten: Prozesse, die eingerichtet werden müssen

Betroffene Personen (Kundinnen und Kunden) haben nun weitergehende Rechte, wie z. B. das Recht auf Zugang zu den sie betreffenden Informationen, das Recht, deren Löschung zu beantragen (Recht auf Vergessenwerden) oder auch das Recht, unrichtige Daten korrigieren zu lassen, was die Einrichtung interner Prozesse erfordert, um schnell auf diese Anträge reagieren zu können.

Für EAMs bedeuten diese neuen Regeln eine doppelte Herausforderung: Einerseits müssen sie das Vertrauen der Kundinnen und Kunden durch eine strenge und transparente Datenverwaltung aufrechterhalten; andererseits müssen sie die Einhaltung der Vorschriften sicherstellen, um allfällige Strafen und Reputationsrisiken zu minimieren.

Um die neuen Anforderungen zu erfüllen, müssen EAMs ihre Datenverwaltungssysteme, ihre internen Regeln und Praktiken anpassen sowie ihre Teams schulen, um Risiken zu antizipieren und die steigenden Erwartungen der Kundinnen und Kunden in Bezug auf den Datenschutz zu erfüllen.

In diesem Zusammenhang besteht der erste Schritt darin, eine Bestandsaufnahme der aktuellen Praktiken zu machen, indem man diese mit den Anforderungen der neuen Regeln abgleicht und daraufhin die notwendigen Korrekturmaßnahmen identifiziert und priorisiert, wobei diejenigen Punkte priorisiert werden, welche weniger konform sind und am ehesten zu Rechts- oder Reputationsrisiken führen könnten (risikobasierter Ansatz).

Biografie

Laurent Pellet trat 2017 in die Bank ein und übernahm 2018 die Verantwortung für die Abteilung Externe Vermögensverwalter für die Gruppe. Nach seinen Anfängen bei Ferrier Lullin & Cie SA war er über 20 Jahre lang in verschiedenen Funktionen bei der Bank Julius Bär tätig. Er verfügt über ein Diplom in quantitativer Vermögensverwaltung der HEC Genf, ein Diplom in Digital Finance Law der Universität Genf und ein CWMA-Diplom.