Datenschutz und Datengovernance
Diskretion, Vertraulichkeit und Datenschutz sind und bleiben Kernkompetenzen des «Swiss Banking». Hier erhalten Sie einen Überblick über die massgeblichen gesetzlichen Vorgaben in der Schweiz und über aktuelle Entwicklungen.
Entwicklungen im Bereich Datenschutz
Stand der Beratungen im Parlament (17.059)
Das Datenschutzgesetz (DSG) wurde an die veränderten technologischen und gesellschaftlichen Verhältnisse angepasst. Der Bundesrat beschloss das bisherige Datenschutzgesetz einer Totalrevision zu unterziehen und legte im September 2017 die entsprechende Botschaft vor. Nach einem langwierigen parlamentarischen Prozess wurde am 25. September 2020 das neue Datenschutzgesetz verabschiedet (nDSG). Voraussichtlich soll es im Jahr 2022 in Kraft treten.
In der parlamentarischen Beratung wurde darauf geachtet, dass die Schweiz keine strengeren Regeln als nötig aufstellt bzw. umsetzt («Swiss Finish»). Das revidierte Datenschutzgesetz sollte zudem keine Kopie der EU-Datenschutz-Grundverordnung (DSGVO) werden, sondern die Schweizer Eigenheiten beibehalten und genügend Spielraum dafür lassen. Darüber hinaus wurden u.a. die Informationspflichten, sowie das Instrument der Datenschutz-Folgeabschätzung, für Unternehmen noch praktikabler ausgestaltet. Das neue Datenschutzgesetz sieht unter anderem eine erhebliche Erweiterung der Informationspflicht bezüglich der Datenverantwortlichen vor. Zudem wird das Konzept des Profiling mittels einer Legaldefinition implementiert. Weiter wurden auch der Katalog der Strafbestimmungen ergänzt und die Bussen erhöht. Eine Erweiterung hat auch das Berufsgeheimnis erfahren, indem es auf sämtliche Berufe, neben den schon regulierten Branchen wie den Banken und der Anwälte, ausgeweitet wurde. Gesamt gesehen kann man von einer längst nötigen Anpassung des DGS an internationale und nationale, digitale Herausforderungen sprechen.
Die SBVg begleitete die DSG-Revision in enger Zusammenarbeit mit economiesuisse.
Links
Die DSGVO ist seit dem 25. Mai 2018 direkt anwendbar. Sie stärkt die Rechte natürlicher Personen bei der Kontrolle ihrer Personendaten. Die Verordnung gilt verbindlich für alle Mitgliedstaaten der Europäischen Union, welche teilweise bereits Umsetzungsgesetze erlassen haben. Die DSGVO hat allerdings auch extraterritoriale Wirkung. Für zahlreiche Schweizer Unternehmen bedeutet dies in der Praxis sowohl die Einhaltung der Bestimmungen des Schweizer Datenschutzgesetzes, als auch jene der DSGVO. Neue Bestimmungen sind regelmässig mit Rechtsunsicherheiten verbunden. Nicht abschliessende Analysen der Auswirkungen der DSGVO auf die Schweiz haben beispielsweise der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) oder die Kanzlei Homburger veröffentlicht.
Links
Stand der Beratungen im Parlament (15.073)
Das am 01. Januar 2020 in Kraft getretene FIDLEG enthält ebenfalls spezifische datenschutzrechtliche Vorgaben. Diese gelten zusätzlich zum DSG und können sich mit den darin enthaltenen Bestimmungen überschneiden. So etwa entspricht der in Art. 72 FIDLEG normierte Herausgabeanspruch von Kundinnen und Kunden sämtliche Dokumente, die der Finanzdienstleister im Rahmen der Geschäftsbeziehung erstellt hat, im Wesentlichen Art. 8 DSG (Art. 25 nDSG). Dieser regelt die Auskunftspflichten und damit auch die Herausgabepflichten in Bezug auf personenbezogenen Daten.
Links
Datenschutz
Der Schutz der Privatsphäre ist ein Grundrecht. Gemäss Art. 13 der Bundesverfassung hat deshalb jede Person Anspruch auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung sowie ihres Brief-, Post- und Fernmeldeverkehrs und – im weiteren Sinne – auf Schutz vor Missbrauch ihrer persönlichen Daten.
In unserer immer stärker von der Digitalisierung geprägten Welt beeinflussen Daten unser Leben, jederzeit und überall. Einmal gespeichert, bleiben die Daten für sehr lange Zeit im Netz und können somit potenziell auch für Zwecke verwendet werden, die nicht dem Willen der Nutzerinnen und Nutzer entsprechen. Unternehmen wie auch Privatpersonen haben deshalb ein grosses Interesse daran, dass der Schutz ihrer Daten respektiert und gewährleistet wird. Gerade Banken, die auf eine lange Tradition von Diskretion und Vertraulichkeit zurückblicken können, sind sich bewusst, dass detaillierte Informationen über die finanzielle Situation eines Menschen zu den sensibelsten Personendaten gehören.
Datenschutzgesetz
In der Schweiz schützt das Bundesgesetz über den Datenschutz (DSG) die Persönlichkeit und die Grundrechte von natürlichen und juristischen Personen, über die Daten bearbeitet werden. Es nennt die Voraussetzungen für eine rechtstaatlich zulässige Datenbearbeitung und beugt damit möglichen Missbräuchen vor. Es statuiert den Grundsatz, dass nicht mehr personenbezogene Informationen als notwendig gesammelt werden dürfen (Verhältnismässigkeitsgebot und Datensparsamkeit).
Datenschutz dient dem Recht auf informationelle Selbstbestimmung. Dieses bringt zum Ausdruck, dass jeder Bürger und jede Bürgerin selbst über die Bekanntgabe und den Verwendungszweck der eigenen Daten bestimmen können soll. Das Datenschutzrecht räumt deshalb den Bürgerinnen und Bürgern verschiedene Möglichkeiten ein, ihre Persönlichkeitsrechte wahrzunehmen.
Jede Person kann vom Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden. Die Auskunft kann nur verweigert oder eingeschränkt werden, wenn ein Gesetz im formellen Sinne dies vorsieht oder es wegen überwiegenden Interessen Dritter erforderlich ist.
Werden besonders schützenswerte Personendaten und Persönlichkeitsprofile gesammelt, so sind die davon betroffenen natürlichen Personen vom Inhaber einer Datensammlung aktiv zu informieren. Dabei sind u.a. der Bearbeitungszweck sowie im Falle einer Bekanntgabe der Datenempfänger bekannt zu geben.
Im Zeitalter von Mobile Banking oder Bezahl-Apps greifen zahlreiche Bankkunden täglich via Computer oder Smartphone auf ihre Konto- oder Kreditkartendaten zu. Der Umgang mit Sicherheitslücken stellt deshalb eine besondere Herausforderung dar. Die Banken reagieren darauf, indem sie neue Risiken gezielt erfassen und zu begrenzen versuchen. Zudem wird das Thema Datenschutz mit seinem Aspekt Datensicherheit vermehrt von Verwaltungsrat und Geschäftsleitung einer Bank beraten und beschlossen.
Bankkundengeheimnis
Das Bankkundengeheimnis (Art. 47 des Bankengesetzes) ist ein eigentliches Berufsgeheiminis und als solches vergleichbar mit jenem der Ärzte oder Anwälte. Es zielt auf den Schutz der finanziellen Privatsphäre und schützt sämtliche Tatsachenfeststellungen, Werturteile und sonstige Daten (einschliesslich personenbezogener Auswertungsresultate), die sich einem Bankkunden zuordnen lassen. Das Bankkundengeheimnis geht damit weiter als das Datenschutzgesetz. Entgegen einer verbreiteten Annahme gilt es aber nicht unbegrenzt. Insbesondere Kriminellen gewährt das bereits 1934 eingeführte Bankkundengeheimnis keinen Schutz. Die Banken sind seit jeher verpflichtet,
- in Zivilprozessen (etwa bei Erbgängen oder Ehescheidungen),
- in Schuldbetreibungs- und Zwangsverwertungsverfahren,
- in Strafprozessen (gerade auch bei Steuerbetrug),
- in Verfahren der Finanzmarktaufsicht, sowie
- in Verfahren des grenzüberschreitenden Informationsaustauschs
Informationen über Kundinnen und Kunden offenzulegen. Gleichwohl hat das Bankkundengeheimnis in den vergangenen Jahren – insbesondere in Steuerfragen – einen tiefgreifenden Wandel erfahren. Getrieben von Entwicklungen auf internationaler Ebene wurde auch in der Schweiz der Transparenz gegenüber Steuer- und Aufsichtsbehörden grössere Bedeutung eingeräumt.
Automatischer Informationsaustausch (AIA)
Seit dem 1. Januar 2017 setzen die Schweizer Banken den automatischen Informationsaustausch (AIA) mit dem Ausland um. Der AIA regelt, wie die Steuerbehörden der teilnehmenden Länder untereinander Daten über Konten und Wertschriftendepots von Steuerpflichtigen austauschen. Die Schweiz ist vom AIA besonders stark betroffen, da in unserem Land mehr als ein Viertel der weltweit grenzüberschreitend angelegten Vermögen verwaltet werden. Die Schweizer Regierung und die Banken haben sich deshalb in der OECD stark für eine möglichst praktikable und faire Ausgestaltung des AIA-Standards eingesetzt; dazu gehörte auch die mit Nachdruck vertretene Forderung nach einem ausreichenden Datenschutz.
Links
Foreign Account Tax Compliance Act (FATCA)
Erhöhte Transparenzerfordernisse gelten auch gegenüber den USA. FATCA ist ein unilaterales US-Steuergesetz mit extraterritorialer Wirkung, welches eine mögliche Steuerhinterziehung zu Lasten der USA eindämmen soll. Es richtet sich an Finanzinstitute weltweit und verlangt von diesen, dass sie den US-Steuerbehörden periodisch Informationen über sogenannte US-Konten weitergeben. Die Schweiz hat – wie auch zahlreiche andere Länder – mit den USA einen Staatsvertrag zur erleichterten Umsetzung von FATCA abgeschlossen. Auf der Basis dieses Staatsvertrags (sogenanntes FATCA-Abkommen) wurde schliesslich ein Schweizer FATCA-Gesetz erlassen, das seit dem 30. Juni 2014 gilt.