Swiss Banking veröffentlicht Leitfaden zum «Umgang mit Daten im Geschäftsalltag»

Zielsetzung des Leitfadens

Die Schweizerische Bankiervereinigung (SBVg) hat im Mai einen Leitfaden zum «Umgang mit Daten im Geschäftsalltag» herausgegeben. Anders als andere Publikationen der SBVg hat er nicht den Anspruch, einen Code of Conduct zu definieren. Zudem soll der Leitfaden auch keine branchenweiten Mindeststandards etablieren. Ausserdem erhebt der Leitfaden keinen Anspruch auf Vollständigkeit und soll gegebenenfalls periodisch aktualisiert werden. Im Leitfaden sollen vor allem Beispiele exemplarisch dargestellt werden, welche bereits heute eine beachtliche Rolle im Bankenalltag spielen.

Grundlagen für den richtigen Umgang mit Daten

Für den richtigen Umgang der Daten nimmt der Leitfaden vorab eine Klassifizierung von verschiedenen Datentypen vor, welche sich nach dem Schweizer Datenschutzgesetz (DSG) bzw. revidierten Schweizer Datenschutzgesetz (revDSG) richtet. Dabei unterscheidet der Leitfaden zwischen Sach-, Personen- und besonders schützenswerten Personendaten:

• Sachdaten lassen keinen Rückschluss auf Individuen zu (dazu gehören auch anonymisierte Daten), somit handelt es sich gerade nicht um Personendaten und diese sind folglich nicht von der Datenschutzgesetzgebung erfasst.

• Als Personendaten gelten gemäss Art. 5 lit. a revDSG sämtliche Daten, welche sich auf eine bestimmte oder bestimmbare natürliche Person beziehen und damit auch solche, welche einen Rückschluss auf das Verhalten einer Person zulassen (z.B. Transaktionsdaten).

• Bei den besonders schützenswerten Daten nach Art. 5 lit. c revDSG handelt es sich um einen abschliessend aufgelisteten Katalog von Personendaten, welche vom Gesetzgeber als besonders sensibel angesehen werden (z.B. religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten, Gesundheitsdaten, genetische Daten, etc.).

Gemäss dem Leitfaden sind je nach Bearbeitungstätigkeit der Bank verschiedene Datenkategorien betroffen, wobei sich die Abgrenzung der unterschiedlichen Datenkategorien in der Praxis als komplex gestalte. Allerdings könnten durch die Klassifizierung die Anwendungsfälle schematisch anhand der jeweiligen Sensibilität eingeordnet werden.

Profiling bei Banken

Beim Profiling im Sinne des revDSG handelt es sich um die automatisierte Bearbeitung von Personendaten, welche der Bewertung bestimmter persönlicher Aspekte (z.B. Gesundheit oder Aufenthaltsort) dient. Anhand der Bearbeitung dieser Daten können gewisse Merkmale und Verhaltensweisen analysiert und mit einer gewissen Wahrscheinlichkeit vorausgesagt werden. So ist es beispielsweise durch die Analyse des Zahlungsverkehrs möglich, Anomalitäten zu erkennen und dadurch Betrugsversuche zu verhindern.

Im Leitfaden wird sodann der Standpunkt vertreten, dass Profiling bankenweit eingesetzt werden könne, da unter revDSG Konzerngesellschaften nicht als Dritte gelten würden (vgl. hierzu aber MLL-News vom 4.8.2020 für die differenziertere Erläuterung des damit angesprochenen «Konzernprivilegs»). Vorbehalten blieben allerdings die Einschränkungen des Bankkundengeheimnisses. Das revDSG erlaubt unter gewissen Voraussetzungen auch das «Profiling mit hohem Risiko». Ein solches liege vor, wenn ein besonderes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person besteht. Die Abgrenzung zum normalen Profiling müsse allerdings durch die Praxis noch weiter eingeschränkt bzw. definiert werden. Der Leitfaden weist in diesem Zusammenhang aber auch darauf hin, dass bei einem Profiling mit hohem Risiko eine Datenschutz-Folgenabschätzung durchgeführt werden müsse. Ferner sei das Risiko, welches vom Profiling ausgehe, durch «gängige» technische und organisatorische Massnahmen zu reduzieren.

Rechtfertigung der Bearbeitung von Personendaten

Gemäss dem Leitfaden darf eine Bank Personendaten bearbeiten, ohne dass die Zustimmung des Kunden vorliege. Allerdings brauche es eine Einwilligung des Kunden oder einen anderen Rechtfertigungsgrund, falls die Bearbeitung zu einer Persönlichkeitsverletzung führt. Eine solche liegt insbesondere vor, wenn gegen die Grundsätze des Datenschutzes verstossen wird. Hierzu gehören insbesondere die Gebote der Zweckbindung, Transparenz, Rechtmässigkeit oder Verhältnismässigkeit (z.B. mit der Ausprägung Datensparsamkeit). Gemäss dem Leitfaden brauche zum Beispiel die Einladung zu einem Kundenevent keine Einwilligung, da dies durch ein überwiegendes privates Interesse der Bank gerechtfertigt werden könne (vgl. aber zu den Vorgaben des E-Mail-Marketings z.B. MLL-News vom 17.9.2020).

Der Leitfaden weist ferner darauf hin, dass die Anforderungen an eine Einwilligung sodann umso höher seien, je höher das Risiko der Datenbearbeitung für die betroffene Person sei. Für den Fall, dass eine Einwilligung des Kunden notwendig sei, könne zwischen der konkludenten und der ausdrücklichen Einwilligung unterschieden werden. Eine Einwilligung könne konkludent erteilt werden, wenn der Kunde angemessen aufgeklärt werde und freiwillig handle. Dieser Fall liege beispielsweise vor, wenn der Kunde neue Vertragsbedingungen erhalte und nicht innerhalb einer angemessenen Frist widerspreche. Demgegenüber sei eine ausdrückliche Einwilligung nur notwendig, wo sie vom Gesetz verlangt werde. Damit eine Einwilligung ausdrücklich sei, müsse der erklärte Wille unmittelbar aus den verwendeten Worten oder Zeichen hervorgehen. Entscheidend für eine ausdrückliche Einwilligung sei gemäss revDSG ferner, dass die Einwilligung auf angemessenen Informationen basiert, freiwillig erfolgt und dokumentiert wird. Dementsprechend könne, solange die Informationen transparent seien, eine Einwilligung auch über die AGB erfolgen oder aber durch das Anklicken eines entsprechenden Buttons (vgl. aber zu den Risiken bei Einwilligungen in AGB sowie den weiteren Anforderungen an Einwilligungen Jusletter-Beitrag von Lukas Bühlmann und Michael Schüepp). Ob und wann eine Einwilligung aus datenschutzrechtlicher Sicht eingeholt werden müsse, sei aber nach wie vor im Einzelfall zu prüfen.

Technische und organisatorische Massnahmen

Technische und organisatorische Massnahmen (sog. TOM) dienen der Einhaltung von gesetzlichen Pflichten, insbesondere zur Gewährleistung der Datensicherheit. Beispielsweise «ist die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass insbesondere die Bearbeitungsgrundsätze […] eingehalten werden». Die zu implementierenden TOM hängen massgeblich von den jeweiligen Risiken für die Personendaten ab, sodass sich die Angemessenheit des Schutzes bei den jeweiligen Bearbeitungstätigkeiten unterscheiden kann. Die TOM-Vorgabe trage daher den Besonderheiten der Aufbau- und Ablauforganisation der jeweiligen Bank Rechnung. Gemäss dem Leitfaden orientieren sich die TOM für Banken an den Regeln der Berufskunde, dem Stand der Technik sowie den Branchenstandards oder Usanzen. Ferner sind sie dynamisch dem Wandel der Zeit unterworfen. Aus diesen Gründen müssen TOM-Vorgaben periodisch auf deren Eignung sowie Wirksamkeit geprüft werden. Als allgemeines Beispiel für TOM erwähnt der Leitfaden unter anderem die Zuteilung von Zugriffsrechten oder aber eine verfügbare und belastbare IT-Architektur.

Der Leitfaden führt dazu explizit drei technische Möglichkeiten auf, welche zum Schutz von Personendaten eingesetzt werden können. Es handelt sich dabei namentlich um die Anonymisierung, die Pseudonymisierung sowie die Verschlüsselung:

• Bei der Anonymisierung werden die personenbezogenen Attribute irreversibel verändert, somit sind die betroffenen Personen nicht mehr (re-)identifizierbar (sind die Daten korrekt anonymisiert, liegen keinen Personendaten mehr vor).

• Durch die Pseudonymisierung erfolgt eine Verschleierung, dadurch können Daten nicht unmittelbar einer Person zugewiesen werden. Der Datenverantwortliche kann jedoch mithilfe des Schlüssels die Daten wieder den Personen zuordnen. Es handelt sich aber nach wie vor um Personendaten, zumindest für denjenigen welcher den Schlüssel besitzt.

• Bei der Verschlüsselung werden die Daten durch kryptografische Hilfsmittel vor unberechtigten Zugriffen geschützt. Es handelt sich dabei jedoch nicht um ein eigenes Konzept, sondern vielmehr um einen Anwendungsfall der Pseudonymisierung, da durch einen Schlüssel weiterhin auf die Daten zugegriffen werden kann.

KI-Governance

Im Zusammenhang mit der Anwendung von Künstlicher Intelligenz (sog. KI) seien für Banken die folgenden Grundsätze zu beachten:

• Die verwendeten Datensätze sind zu differenzieren und auf ihre Qualität zu überprüfen.

• Die Prozesse, welche auf KI basieren müssen transparent und nachvollziehbar sein.

• Mitarbeiter sind entsprechend zu schulen, damit gegebenenfalls in die automatisierten Prozesse eingegriffen werden kann.

Sofern Entscheidungen über die aufgrund des Einsatzes von KI gewonnenen Erkenntnisse nicht bei den Bankangestellten liegen, seien ferner die Vorgaben für sog. automatisierte Einzelentscheidungen zu prüfen und gegebenenfalls umzusetzen (vgl. Art. 21 revDSG). Beim Einsatz von KI könne es ferner vorkommen, dass Daten an Dritte weitergegeben würden. Dabei sei unter anderem das Bankkundengeheimnis zu beachten (ausführlich zu den Anforderungen bezüglich der Weitergabe von Daten an Dritte siehe den SBVg Cloud-Leitfaden).

Anwendungsfälle im Leitfaden

Der Leitfaden beinhaltet sechs Anwendungsfälle, welche die Datennutzung im Bankengeschäft exemplarisch darstellen. Bei jedem Anwendungsfall erfolgt eine kurze Einführung, wobei auch der Mehrwert der Datennutzung erläutert wird. Danach folgt eine Anwendungsskizze. Schlussendlich werden die relevanten (rechtlichen) Fragestellungen aufgeworfen und mögliche Lösungsansätze beziehungsweise Empfehlungen skizziert.

Der Leitfaden enthält die folgenden sechs Anwendungsfälle:

1. Nutzung von künstlicher Intelligenz für Compliance-Zwecke:
Eine effektive Bekämpfung der Geldwäscherei und Terrorismusfinanzierung ist essenziell für den Schweizer Finanzplatz. Der Einsatz von KI zur Hintergrundprüfung von Neukunden (sog. KYC) oder zur Überwachung von Transaktionen könne dabei massgeblich zu deren Bekämpfung beitragen. Für den Einsatz sind aber insbesondere die Risiken einzuschätzen und ein Einsatzkonzept zu erstellen. Besonders müsse im Einzelfall dokumentiert werden, welche konkreten technischen und/oder organisatorischen Massnahmen angemessen seien und umzusetzen sind. Das gelte vor allem bei der Bearbeitung von besonders schützenswerten Personendaten und bei der Vornahme von Profiling mit hohen Risiken. Es sei sodann auch sinnvoll, dass die Mitarbeiter nicht nur eine Überwachungsfunktion wahrnehmen, sondern auch über Entscheidungskompetenzen verfügen.

2. Kreditprüfung:
Durch die Verwendung von Daten sei es für Banken möglich, eine präzisere Krediteinstufung vorzunehmen. In diesem Zusammenhang sei es grundlegend, dass es sich um einwandfreie Daten handle, welche die Realität korrekt abbilden. Es biete sich bei Zweifeln an der Herkunft der Daten oder bei fehlender Verifizierungsmöglichkeiten an, auf eine Verwendung dieser Daten im Kreditprüfungsprozess gänzlich zu verzichten (so z.B. bei Daten aus den sozialen Medien oder dem Internet). Es sei aber ohnehin empfehlenswert, sowohl den Grad der Datenqualität als auch die Datenherkunft transparent, nachvollziehbar und klar gegenüber den Betroffenen zu kommunizieren (inkl. der präzisen Beschreibung der verwendeten Datenquellen). Zur Schaffung der notwendigen Vertrauensbasis könne es im Rahmen von Kreditprüfungen sodann erforderlich sein, bei den Betroffenen eine ausdrückliche Einwilligung für die Erhebung von Daten aus Drittquellen einzuholen. Damit der Kreditentscheid für die betroffene Person transparent und nachvollziehbar sei, könne es sich darum anbieten, die für die Entscheidung verwendeten Daten offenzulegen. Schliesslich sollen Daten gemäss dem Leitfaden nur dann gespeichert werden, falls ein positiver Kreditentscheid ausgesprochen wurde. Bei einem neuerlichen Antrag müssen die entsprechenden Daten erneut beschafft werden, wodurch das Risiko minimiert werde, dass veraltete Daten Grundlage einer (neuerlichen) Kreditprüfung bilden.

3. Trendanalysen und Benchmarking:
Durch den Einsatz von Daten können Trends frühzeitig erkannt werden und es könne entsprechend frühzeitig reagiert werden. Es sei dabei aber fraglich, welche Personendaten mit Bezug zu welchen Geschäftsfeldern ohne Weiteres von den Banken analysiert werden dürfen. Durch den Einsatz von geeigneten TOM soll zumindest verhindert werden, dass die Daten zurückverfolgt werden können (z.B. durch die Anonymisierung oder Aggregierung der Daten). Gemäss dem Leitfaden seien bei der Aggregierung der Daten (im Sinne von TOM) u.a. folgende Faktoren entscheidend: die Anzahl der verwendeten Merkmale/Attribute, die Hierarchien und Drill-Downs sowie die Grösse und Zusammensetzung der Grundgesamtheit. Auch wenn eine gewisse Aggregierung der Daten vorgenommen werde oder die Anonymisierung nach den aktuellen wissenschaftlichen Erkenntnissen erfolge, können dennoch sog. systemische Fehler (Bias) vorliegen. Darum müsse bei jedem Datensatz schlussendlich gesondert geprüft werden, ob systemische Fehler vorlägen, weil der Kundenstamm der Bank beispielsweise nicht repräsentativ sei. Wichtig sei bei Trendanalysen und dem Benchmarking aber die Nachvollziehbarkeit. Aus diesem Grund empfiehlt die SBVg, eine kurze und transparente Information im Kontext der Anwendung über die Zusammensetzung der Datensätze und die verwendeten Methoden der Datenverarbeitung.

4. Biometrische Authentifizierung:
Biometrische Daten, wie Fingerabdrücke oder Gesichtserkennung können als sichere Authentifizierungsmöglichkeit verwendet werden. Zu beachten ist dabei aber, dass es sich um besonders schützenswerte Daten handelt. Für die Bank sei es insbesondere relevant, wer die biometrischen Daten speichere. Während die Daten bei Gesichtserkennung und Fingerabdruck normalerweise auf dem Smartphone gespeichert werden, müsse eine Spracherkennung von der Bank selbst gespeichert werden, wodurch die Bank – anders als wenn die Daten auf dem Smartphone gespeichert würden – den relevanten Vorschriften des revDSG unterläge. Beispielsweise sei nach dem revDSG bei der Identifizierung Transparenz notwendig. Diese könne z.B. mittels einer Datenschutzerklärung hergestellt werden. Abschliessend sei es wichtig, dass die Bank auf eine transparente und klare Kommunikation setze, weil dadurch die Hemmschwelle zur Nutzung seitens des Kunden reduziert werden könne. Dennoch stellt der Leitfaden klar, dass über die datenschutzrechtlichen Anforderungen hinaus die Einhaltung der Vorgaben zum Bankkundengeheimnis bei der Kundenidentifikation naturgemäss entscheidend sei. In diesem Zusammenhang verweist die SBVg auch auf das Rundschreiben der FINMA zu den operationellen Risken (FINMA-RS 08/21 «Operationelle Risiken –Banken», insbesondere Anhang 3). Darin werden die Vorschriften Umgang mit Kundenidentifikationsdaten ausgeführt. Dieses Rundschreiben konkretisiert insbesondere die Anforderungen an die TOM im Rahmen der Kundenidentifikation.

5. Personalisierte Angebote und Beratung:
Aufgrund der breiten Datenbasis bei Banken können diese den Kunden individualisierte Angebote machen, um bestmöglich auf deren Bedürfnisse einzugehen. Die Personalisierung hängt aber jeweils auch von der Datenlage ab. Je mehr Daten vorhanden sind, desto besser kann eine Personalisierung der Angebote erfolgen. Dieser Grundsatz stehe jedoch in einem gewissen Spannungsverhältnis zum Datenschutzrecht. Es sei vor allem fraglich, welche Daten von der Bank ohne Weiteres für die Personalisierung des Angebots oder der Beratung verwendet werden können. Gerade bei Daten, welche ausserhalb der eigentlichen Bankentätigkeit (z.B. im Rahmen der Steuer- oder Erbschaftsberatung) erhoben werden, sei es wichtig Transparenz zu schaffen (z.B. durch eine Datenschutzerklärung). Ausserdem könnten Angebote von Kunden als Belästigung empfunden werden. Vor diesem Hintergrund führt der Leitfaden aus, dass eine Datenanalyse und die gestützt darauf vorgenommene Personalisierung unter der Beachtung der allgemeinen Grundsätze des Datenschutzrechts und in Anwendung des Grundsatzes von Treu und Glauben immer ohne Weiteres zulässig sei, wenn die folgenden Voraussetzungen kumulativ erfüllt seien:

• Die Analyse basiere auf Daten, welche der Kunde selbst der Bank zur Verfügung gestellt habe, wobei Daten, welche mit Wissen des Kunden bei Dritten erhoben wurden, gleich zu behandeln seien.

• Die Daten wurden von der Bank in Zusammenhang mit ihrer typischen Banktätigkeit erhoben, wobei diese abhängig vom konkreten Geschäftsmodell der Bank sei (z.B. bei einer Universalbank die drei Geschäftsfelder Konto- und Zahlungsverkehr, Finanzierungsgeschäft und Anlagegeschäft).

Sofern diese Voraussetzungen aber nicht gegeben seien, müsse die Bank prüfen, ob für die Nutzung der betroffenen Daten zu anderen Zwecken Transparenz gegenüber dem Kunden geschaffen werden müsse (z.B. über eine Datenschutzerklärung). Gemäss dem Leitfaden ergebe sich dies nicht nur aus der Transparenzpflicht, sondern aus dem Grundsatz der Zweckbindung und der Verhältnismässigkeit (Art. 6 Abs. 2 revDSG und Art. 6 Abs. 3 revDSG). Die SBVg hebt insbesondere hervor, dass die Wünsche des Kunden von der Bank stets zu berücksichtigen seien.

6. Loyalitätsprogramme:
Als Loyalitätsprogramme gelten Kundenbindungsinstrumente, die individuelle Präferenzen berücksichtigen und hierfür auf personenbezogene Daten zurückgreifen (z.B. Cash Back-Programme oder Punktesysteme mit individueller Werbung). Nicht individualisierbare Kundenbindungsprogramme seien aus einer Datenschutzperspektive unproblematisch. Bei individualisierten Programmen besteht unter Umständen eine zusätzliche vorgängige Informationspflicht, insbesondere wenn die Datenbearbeitung über den allgemeinen Bearbeitungszweck von Banken hinausgehe. Für Banken gilt es insbesondere zu beachten, dass Kunden Loyalitätsprogramme skeptisch gegenüberstehen, da Kunden in der heutigen Zeit eine Weitergabe der Daten vermuten. Gerade in dieser Weitergabe der Daten bestünden auch die Herausforderungen für Banken. Vertrauen gegenüber den Kunden schaffe eine klare Kommunikation bezüglich der durchgeführten oder nicht-durchgeführten Datenweitergabe an Dritte. Neben der Schaffung von Transparenz müsse aber immer geprüft werden, ob aus datenschutzrechtlicher Sicht oder aufgrund des Bankkundengeheimnisses eine vorgängige Einwilligung des Kunden für die Datenweitergabe an Dritte notwendig sei.

Zusammenfassung und Fazit

Der Leitfaden veranschaulicht allgemeine Regelungskonzepte zur Datenbearbeitung unter Berücksichtigung des revDSG, welches voraussichtlich 2022 in Kraft treten wird (vgl. dazu MLL-News vom 19.10.2020). Neben für die Branche hilfreichen Hinweisen, schält der Leitfaden auch heraus, dass beim Einsatz moderner Datenverarbeitungsmethoden, insbesondere beim Einsatz von KI zu Compliance Zwecken, die Risiken jeweils vorgängig abgeschätzt und ggf. mit entsprechenden TOM minimiert werden müssen. Bei der Kreditprüfung sei besonders darauf zu achten, dass einwandfreie Daten als Grundlage verwendet würden und genutzte Drittquellen gegenüber den Kunden transparent offengelegt werden. Werden Daten für Trendanalysen und Benchmarking verwendet, muss sichergestellt werden, dass die Re-Identifikation der Personen nicht möglich ist und dass im Sinne der Nachvollziehbarkeit Auskunft über die Datensätze und Methoden gegeben werden kann. Im Anwendungsfall der biometrischen Authentifizierung müsse hauptsächlich sichergestellt werden, dass auf die besonders schützenswerten Personendaten Rücksicht genommen werde. Gemäss dem Leitfaden können die Daten verwendet werden, welche der Bank von den Kunden zur Verfügung gestellt wurden, um personalisierte Angebote und Beratungen bereitzustellen. Schliesslich seien Loyalitätsprogramme dann unproblematisch, wenn es sich um standardisierte Programme handelt, bei individualisierten Programmen gebe es jedoch weitergehende Anforderungen, wie die Informationspflicht.

Der Leitfaden stellt eine solide Orientierungshilfe für Banken zum Umgang mit Daten in ihrem day-to-day-business dar. Besonders gut zeigt der Leitfaden aber auf, dass im stark regulierten Umfeld der Banken neben dem Datenschutzrecht auch weitere Regeln beachtet werden müssen, welche das Datenschutzrecht entweder konkretisieren (so z.B. das FINMA-RS 08/21 «Operationelle Risiken –Banken») oder die Anforderungen ergänzen (z.B. das Bankkundengeheimnis). Die im Leitfaden aufgenommenen sechs Anwendungsfälle zeigen sodann auf, dass in den meisten Fällen eine Einzelfallbeurteilung erforderlich ist. Dennoch stellt die SBVg den Banken gewisse Leitlinien zur Verfügung. Schliesslich geht aus dem Leitfaden hervor, dass das revDSG und die sich daraus ergebenden neuen Pflichten auch für Banken eine Herausforderung darstellen, sodass der frühzeitige Beginn der Umsetzungsarbeiten angezeigt ist.

Weitere Informationen:

• Swiss-Banking Leitfaden «Umgang mit Daten im Geschäftsalltag»
• Schweizerisches Datenschutzgesetz (DSG)
• Schlussabstimmungstext revDSG
• Swiss-Banking Cloud-Leitfaden
• MLL News vom 19.10.2020: «Neues Schweizer Datenschutzrecht: wichtigste Regelungen der DSG-Revision im Überblick»