Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Lesezeit 5 Minuten Lesezeit 5 Minuten
Erstellt am 01.12.2020 | Aktualisiert am 21.05.2021

So bereitet sich PostFinance auf das neue Datenschutzgesetz vor

Im September 2020 hat das eidgenössische Parlament das neue Datenschutzgesetz verabschiedet. Das Datum seines Inkrafttretens ist noch nicht festgelegt. PostFinance bereitet sich umfassend auf die veränderten Anforderungen vor. Die Ergebnisse dieser Arbeiten werden sich den Kundinnen und Kunden sowie den Besuchenden der PostFinance-Website in den kommenden Monaten laufend zeigen.

Data Compliance

Worum es geht: der Datenschutz der Zukunft

Mit der Digitalisierung steigen nicht nur die Datenmengen, sondern auch die technologischen Möglichkeiten, die vorhandenen Daten mit Big Data, Machine Learning und künstlicher Intelligenz zu analysieren und zu bearbeiten. Das neue Schweizerische Datenschutzgesetz, das im Herbst 2020 vom Parlament verabschiedet wurde, trägt diesen Entwicklungen Rechnung. Es löst ein Gesetz ab, das aus dem Jahr 1992 stammt – aus einer Zeit also, in der das Internet noch in den Kinderschuhen steckte. «Das neue Datenschutzgesetz greift nun überall dort ein, wo es um die Bearbeitung von Personendaten geht. Bei einer Bank, deren Geschäft datengetrieben und IT-gesteuert ist, schlägt es entsprechend in sehr vielen Bereichen ein», erklärt Jürg Frei, der bei PostFinance das Rahmenprojekt Datenschutz leitet. Zentrale Punkte des neuen Datenschutzgesetzes sind insbesondere:

  • Das neue Datenschutzgesetz umfasst nur noch den Schutz natürlicher Personen, was eine Angleichung an relevante, internationale Normen ist.
  • Die Informationspflichten gegenüber betroffenen Personen werden sehr viel umfassender und beinhalten Mindestangaben.
  • Es gelten zusätzliche Personendaten als besonders schützenswert, wie zum Beispiel genetische und biometrische Daten, mit denen eine Person eindeutig identifiziert werden kann
  • Unternehmen ab 250 Mitarbeitenden sind verpflichtet, ein Verzeichnis ihrer Bearbeitungstätigkeiten zu führen.
  • Eine Bearbeitung von Personendaten muss so geplant und umgesetzt werden, dass diese von Beginn weg datenschutzkonform erfolgen kann (Privacy by Design).
  • Neu besteht ein Recht auf Datenübertragbarkeit: Jede Person kann die Herausgabe ihrer Personendaten in einem gängigen elektronischen Format verlangen.
  • Es sind klare Sanktionen definiert, die eine individuelle strafrechtliche Haftung der verantwortlichen Personen vorsehen. Es ist davon auszugehen, dass hier vor allem die Leitungsorgane wie Mitglieder des Verwaltungsrats oder der Geschäftsleitung betroffen sein könnten, bei unsachgemässem Handeln allenfalls auch der Datenschutzberater, wie der Datenschutzbeauftragte neu heisst.

Was bedingt der Datenschutz der Zukunft verlangt: die Herausforderungen

Für PostFinance ist der sorgsame Umgang mit Personendaten eine Verpflichtung, die sie seit jeher wahrnimmt. Während das Finanzinstitut bis anhin tendenziell mit Lösungen für spezifische Sachverhalte agierte, geht es mit dem neuen Datenschutzgesetz um eine ganzheitliche Sichtweise. «Heute sind die Daten nicht mehr nur einfach in einem separaten, einfach zu kontrollierenden Datentopf vorhanden, sondern sie fliessen von Applikation zu Applikation, werden allenfalls angereichert und für weitere Bearbeitungen zur Verfügung gehalten. Diesem Umstand tragen wir Rechnung, indem wir gesamtheitlich an das Thema herangehen», erklärt Jürg Frei. Ein Schritt dazu sei der Aufbau und der Unterhalt des von Gesetzes wegen geforderten Verzeichnisses der Bearbeitungen, das sämtliche Bearbeitungen von Personendaten beinhalten müsse. Diese interne Transparenz ist beispielsweise die Basis für die Erstellung von Datenschutzerklärungen, die nach aussen Transparenz schaffen.

Wie sich PostFinance vorbereitet: ein Grossprojekt zum Datenschutz der Zukunft

Mit einem umfassenden Datenschutzprojekt bereitet sich PostFinance auf das Inkrafttreten des neuen Datenschutzgesetzes vor und definiert und priorisiert entsprechende Umsetzungsmassnahmen. Zu unterscheiden ist laut Jürg Frei dabei ganz grundsätzlich zwischen den Anforderungen des Datenschutzes und den Anforderungen der Datensicherheit: Mit dem Datenschutz schütze man das Recht auf Persönlichkeit, insbesondere auf der juristischen Ebene. Diese komme jedoch nicht aus ohne Datensicherheit. Diese definiere, wie in Organisationen mit den Daten umgegangen werde. Stephan Zimmermann, Leiter Customer Security bei PostFinance, in dessen Bereich die Themen Onlinesicherheit, Kartengeldsicherheit und Anti-Fraud fallen, führt aus: «Beim Datenschutz geht es allem voran um Transparenz gegenüber den Kundinnen und Kunden: Wir sind nicht nur in der Pflicht, ihnen mitzuteilen, wozu die Daten erhoben und genutzt werden, sondern sie müssen in gewissen Fällen auch die Möglichkeiten haben, sich für bzw. gegen die Erhebung von für das entsprechende Geschäft nicht relevanter Daten auszusprechen.» Bei der Datensicherheit gehe es darum, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten sicherzustellen und zwar über den gesamten Lifecycle der Daten – von der Erhebung bis zur Löschung. Dies umfasst zum Beispiel, dass keine unberechtigten Personen Zugriff auf die Daten haben oder dass Daten nicht verloren gehen, falls Systemprobleme auftreten sollten.

Was der neue Datenschutz konkret fordert – drei Beispiele

Auftragsvergabe an Dritte
Die Auftragsbearbeitung ist unter der Bezeichnung «Outsourcing» schon lange ein Thema bei den Banken. Erteilt PostFinance einem Dritten einen Auftrag, der eine Bearbeitung von Personendaten umfasst, muss das Finanzinstitut wie auch schon bis anhin sicherstellen, dass der Datenschutz und die Datensicherheit gleichermassen erfüllt sind – wie bei einer Inhouse-Bearbeitung. Ein Beispiel dafür ist ein Grossversand über eine Druckerei. Geregelt werden kann dies über sorgfältige Instruktionen und vertragliche Bestimmungen sowie über die Überwachung des Auftragsbearbeiters. Im neuen Schweizerischen Datenschutzgesetz werden nun die Pflichten des Verantwortlichen (Auftraggeber) und des Auftragsbearbeiters (Auftragsnehmer) geregelt.  
Telefonische Authentisierung
Im Kontaktcenter nutzt PostFinance den Stimmabdruck der Kunden, um sie eindeutig erkennen zu können. Dabei besteht die Pflicht, den Kunden vorgängig zu informieren, wozu die Daten genutzt werden. Zudem hat der Kunde die Möglichkeit, die Stimmerkennung abzulehnen.
Privacy of Design

Wenn PostFinance neue Systeme entwickelt, müssen diese datenschutzkonform ausgestaltet werden, was nun gesetzlich festgeschrieben ist. Handelt es sich dabei etwa um ein System zur Eröffnung von Kundenbeziehungen, dürfen nur Daten erhoben werden, die mit dem Bearbeitungszweck vereinbar und für diesen notwendig sind. Man nennt dies Datenminimierung.  Will man weiterführende Daten erheben, muss für den Kunden ersichtlich sein, dass es sich hier um freiwillig abgegebene Zusatzinformationen handelt, die nicht zwingend notwendig sind. Das wird unter dem Begriff «Privacy by Default» verstanden.  Zudem müssen die Kunden über die Verwendung der Personendaten informiert werden. Dies wird auch die Arbeit von IT-Spezialistinnen und -Spezialisten beeinflussen.

Warum der neue Datenschutz für alle von Bedeutung ist: die Sensibilisierung

Ein besonders wichtiges Puzzleteil bei der Umsetzung des Datenschutzes sind die Mitarbeiterinnen und Mitarbeiter. «Der Datenschutz muss in die DNA von uns allen übergehen», betont Jürg Frei. «Die Mitarbeitenden sollen den Datenschutz in seinen Grundfesten verstehen, wissen, was man darf und was nicht, und auch erkennen und melden, wenn eine heikle Situation auftritt. Dies ist eigentlich ähnlich wie beim Bankkundengeheimnis.» Aus diesem Grund startete PostFinance eine umfassende Kommunikationskampagne mit Erklärvideos, in denen relevante Teile des Datenschutzgesetzes ausgeführt werden. Zudem ist geplant, in einem nächsten Schritt stufengerecht tiefergehende Schulungen auszurollen.

Was das neue Datenschutzgesetz bewirkt: die Folgen

Gemäss Jürg Frei wird das neue Datenschutzgesetz für die Bearbeitung von Personendaten eine wesentlich höhere Transparenz bringen. Dies trage zum Verständnis bei den Kunden bei, dass ihnen die neuen technologischen Möglichkeiten auch Vorteile bringen können. Es liegt auch an PostFinance, den Mehrwert herauszustreichen. So könnten zum Beispiel spezifische, auf den Kunden zugeschnittene Angebote gemacht werden, ohne dass der Kunde künftig eine Werbelawine über sich ergehen lassen muss. Jürg Frei sieht keine Gefahr, dass das neue Datenschutzgesetz die Nutzung von Technologien wie Big Data, künstliche Intelligenz oder Machine Learning grundsätzlich einschränkt. «Wir kommen einfach in eine Zeit, in der mit Daten bewusster umgegangen wird. Das Datenschutzgesetz verhindert nicht, dass man Personendaten bearbeiten kann. Es verlangt nur, dass man dies den Normen entsprechend tut – also mit der nötigen Transparenz und Sorgfalt.» Den Stellenwert, den PostFinance dem Umgang mit Daten einräumt, zeigt die Grösse dieses Rahmenprojekts und die Bedeutung, die dieses im Unternehmen hat.

Diese Seite hat eine durchschnittliche Bewertung von %r von maximal 5 Sternen. Total sind %t Bewertung vorhanden.
Sie können die Seite mit 1 bis 5 Sternen bewerten. 5 Sterne ist die beste Bewertung.
Vielen Dank für die Bewertung
Beitrag bewerten

Dies könnte Sie ebenfalls interessieren