Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Lesezeit 5 Minuten Lesezeit 5 Minuten
Erstellt am 01.12.2020

Das neue Datenschutzgesetz: Was läuft?

Das neue Datenschutzgesetz ist verabschiedet. Doch was bedeutet dies für PostFinance? Das Finanzinstitut treibt in einem umfassenden Rahmenprojekt die Vorbereitungen zur Umsetzung voran.

Data Compliance

Worum es geht: der Datenschutz der Zukunft

Mit der Digitalisierung steigen nicht nur die Datenmengen, sondern auch die technologischen Möglichkeiten, die vorhandenen Daten mit Big Data, Machine Learning und künstlicher Intelligenz zu analysieren und zu bearbeiten. Das neue Schweizerische Datenschutzgesetz, das im Herbst 2020 vom Parlament verabschiedet wurde, trägt diesen Entwicklungen Rechnung. Es löst ein Gesetz ab, das aus dem Jahr 1992 stammt – aus einer Zeit also, in der das Internet noch in den Kinderschuhen steckte. «Das neue Datenschutzgesetz greift nun überall dort ein, wo es um die Bearbeitung von Personendaten geht. Bei einer Bank, deren Geschäft datengetrieben und IT-gesteuert ist, schlägt es entsprechend in sehr vielen Bereichen ein», erklärt Jürg Frei, der bei PostFinance das Rahmenprojekt Datenschutz leitet. Zentrale Punkte des neuen Datenschutzgesetzes sind insbesondere:

  • Es werden nur noch Daten natürlicher Personen geschützt
  • Die Informationspflichten gegenüber betroffenen Personen werden umfassender
  • Es gelten zusätzliche Daten als besonders schützenswert, wie zum Beispiel genetische und biometrische Daten, mit denen eine Person eindeutig identifiziert werden kann
  • Unternehmen ab 250 Mitarbeitenden sind verpflichtet, ein Verzeichnis ihrer Datenbearbeitungen zu führen
  • Die Datenbearbeitung muss so geplant und umgesetzt werden, dass die Datenschutzvorschriften eingehalten werden (Privacy by Design)
  • Neu besteht ein Recht auf Datenübertragbarkeit: Jede Person kann die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format verlangen
  • Es sind klare Sanktionen definiert

Nach welchen Lösungen der Datenschutz der Zukunft verlangt: die Herausforderungen

Für PostFinance ist der sorgsame Umgang mit Personendaten eine Verpflichtung, die sie seit jeher wahrnimmt. Während das Finanzinstitut bis anhin tendenziell mit Lösungen für spezifische Sachverhalte agierte, geht es mit dem neuen Datenschutzgesetz um eine gesamtheitliche Sichtweise. «Heute sind die Daten nicht mehr nur einfach in einem separaten Datentopf vorhanden, sondern sie fliessen zum Beispiel von Applikation zu Applikation oder werden allenfalls noch angereichert. Diesem Umstand tragen wir Rechnung, indem wir gesamtheitlich an das Thema herangehen», erklärt Jürg Frei. Ein Schritt dazu sei die von Gesetzes wegen geforderte Erstellung und Verwaltung eines internen Verzeichnisses, in dem sämtliche Datenbearbeitungen aufgeführt seien und das intern Transparenz erlaube. Dieses wiederum bilde die Basis zur Erstellung einer Datenschutzerklärung, die gegen aussen Transparenz schaffe.

Wie sich PostFinance vorbereitet: ein Grossprojekt zum Datenschutz der Zukunft

Mit einem umfassenden Datenschutzprojekt bereitet sich PostFinance auf das Inkrafttreten des neuen Datenschutzgesetzes vor und definiert und priorisiert entsprechende Umsetzungsmassnahmen. Zu unterscheiden ist laut Jürg Frei dabei ganz grundsätzlich zwischen den Anforderungen des Datenschutzes und den Anforderungen der Datensicherheit: Mit dem Datenschutz schütze man das Recht auf Persönlichkeit, insbesondere auf der juristischen Ebene. Diese komme jedoch nicht aus ohne Datensicherheit. Diese definiere, wie in Organisationen mit den Daten umgegangen werde. Stephan Zimmermann, Leiter Customer Security bei PostFinance, in dessen Bereich die Themen Onlinesicherheit, Kartengeldsicherheit und Anti-Fraud fallen, führt aus: «Beim Datenschutz geht es allem voran um Transparenz gegenüber den Kundinnen und Kunden: Wir sind nicht nur in der Pflicht, ihnen mitzuteilen, wozu die Daten erhoben und genutzt werden, sondern sie müssen in gewissen Fällen auch die Möglichkeiten haben, sich für bzw. gegen die Erhebung von für das entsprechende Geschäft nicht relevanter Daten auszusprechen.» Bei der Datensicherheit gehe es um die Definition, wie ein Unternehmen die Datensicherheit über den gesamten Lifecycle der Daten gewährt – von der Erhebung bis zur Löschung. Dabei ist auch sichergestellt, dass keine unberechtigten Personen Zugriff auf die Daten haben.

Was der neue Datenschutz konkret fordert – drei Beispiele

Auftragsvergabe an Dritte
Überträgt PostFinance einem Dritten einen Auftrag, der eine Bearbeitung von Personendaten umfasst, muss das Finanzinstitut wie auch schon bis anhin sicherstellen, dass der Datenschutz und die Datensicherheit gleichermassen erfüllt sind – wie bei einer Inhouse-Bearbeitung. Ein Beispiel dafür ist ein Grossversand über eine Druckerei. Geregelt werden kann dies über sorgfältige Instruktionen und vertragliche Bestimmungen.  Im neuen Schweizerischen Datenschutzgesetz werden nun die Pflichten unter Auftragsbearbeitern und Verantwortlichen festgelegt.
Telefonische Authentisierung
Im Kontaktcenter nutzt PostFinance den Stimmabdruck der Kunden, um sie eindeutig erkennen zu können. Dabei besteht die Pflicht, den Kunden vorgängig zu informieren, wozu die Daten genutzt werden. Zudem hat der Kunde die Möglichkeit, die Stimmerkennung abzulehnen.
Privacy of Design

Wenn PostFinance neue Systeme entwickelt, müssen diese datenschutzkonform ausgestaltet werden, was nun gesetzlich festgeschrieben ist. Handelt es sich dabei etwa um ein System zur Eröffnung von Kundenbeziehungen, dürfen nur Daten erhoben werden, die mit dem Bearbeitungszweck vereinbar und für diesen notwendig sind. Man nennt dies Datenminimierung.  Will man weiterführende Daten erheben, muss für den Kunden ersichtlich sein, dass es sich hier um freiwillig abgegebene Zusatzinformationen handelt, die nicht zwingend notwendig sind. Das wird unter dem Begriff «Privacy by Default» verstanden.  Zudem müssen die Kunden über die Verwendung der Personendaten informiert werden. Dies wird auch die Arbeit von IT-Spezialistinnen und -Spezialisten beeinflussen.

Warum der neue Datenschutz für alle von Bedeutung ist: die Sensibilisierung

Ein besonders wichtiges Puzzleteil bei der Umsetzung des Datenschutzes sind die Mitarbeiterinnen und Mitarbeiter. «Der Datenschutz muss in die DNA von uns allen übergehen», betont Jürg Frei. «Die Mitarbeitenden sollen den Datenschutz in seinen Grundfesten verstehen, wissen, was man darf und was nicht, und auch erkennen und melden, wenn eine heikle Situation auftritt. Dies ist eigentlich ähnlich wie beim Bankkundengeheimnis.» Aus diesem Grund startete PostFinance eine umfassende Kommunikationskampagne mit Erklärvideos, in denen relevante Teile des Datenschutzgesetzes ausgeführt werden. Zudem ist geplant, in einem nächsten Schritt stufengerecht tiefergehende Schulungen auszurollen.

Was das neue Datenschutzgesetz bewirkt: die Folgen

Gemäss Jürg Frei wird das neue Datenschutzgesetz in Bezug auf die Bearbeitung von Personendaten eine wesentlich höhere Transparenz bringen. Dies trage zum Verständnis bei den Kunden bei, dass ihnen die neuen technologischen Möglichkeiten auch Vorteile bringen können. Es liegt auch an PostFinance, den Mehrwert herauszustreichen. So könnten zum Beispiel spezifische, auf den Kunden zugeschnittene Angebote gemacht werden, ohne dass der Kunde künftig eine Werbelawine über sich ergehen lassen muss. Jürg Frei sieht keine Gefahr, dass das neue Datenschutzgesetz die Nutzung von Technologien wie Big Data, künstliche Intelligenz oder Machine Learning grundsätzlich einschränkt. «Wir kommen einfach in eine Zeit, in der mit Daten bewusster umgegangen wird. Das Datenschutzgesetz verhindert nicht, dass man Daten bearbeiten kann. Es verlangt nur, dass man dies den Normen entsprechend tut – also mit der nötigen Transparenz.» Den Stellenwert, den PostFinance dem Umgang mit Daten einräumt, zeigt die Grösse dieses Rahmenprojekts und die Bedeutung, die dieses im Unternehmen hat.

Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Sie können die Seite mit 1 bis 5 Sternen bewerten. 5 Sterne ist die beste Bewertung.
Vielen Dank für die Bewertung
Beitrag bewerten

Dies könnte Sie ebenfalls interessieren