Datenschutz und Privatsphäre

Relevanz des Themas

Banken verfügen aufgrund ihrer Geschäftstätigkeit über besonders schützenswerte Daten. Dazu zählen insbesondere die personenbezogenen Daten, das heisst Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Die LUKB ist durch das Bankkundengeheimnis und das Datenschutzrecht zum Schutz personenbezogener Daten verpflichtet. Konzernweit legt sie grossen Wert auf die Einhaltung der entsprechenden gesetzlichen Vorgaben. Datenschutz und der Schutz der Privatsphäre sind die Grundlage für langfristige vertrauensvolle Beziehungen zu Kundinnen und Kunden, Mitarbeitenden sowie zu den übrigen Geschäftspartnern. Zusätzlich unternimmt die LUKB grosse Anstrengungen zur Sicherstellung der Informationssicherheit, wozu der Schutz vor unbefugtem Datenzugriff, die Verhinderung von Datendiebstahl und der Schutz vor allen Arten von Cyberbedrohungen zählen.

Grundsatz

Die LUKB schützt die Daten und die Privatsphäre gemäss dem geltenden Datenschutzgesetz, den Bestimmungen des Schweizer Bankkundengeheimnisses sowie den anwendbaren regulatorischen und aufsichtsrechtlichen Vorschriften. Dazu unterhält sie eine verantwortungsvolle Organisation, wirksame Prozesse und eine robuste IT-Infrastruktur. Zum verantwortungsvollen Umgang mit sensiblen Informationen gehören sowohl deren Schutz vor unbefugtem Zugriff als auch die Transparenz über die Zwecke der Datenverarbeitung. Die LUKB informiert offen über die Zwecke der Datenbearbeitung.

Datenschutz, insbesondere der Schutz von personenbezogenen Daten, sowie die Gewährleistung der Informationssicherheit sind integrale Bestandteile des Risikomanagements der LUKB. Datenschutz­ und Informationssicherheitsrisiken werden systematisch identifiziert, bewertet, begrenzt und den zuständigen Stellen berichtet. Wo notwendig werden angemessene Massnahmen abgeleitet und konsequent umgesetzt.

Ziele

Durch angemessene technische und organisatorische Massnahmen bleibt die LUKB frei von Datenschutzverletzungen und Verletzungen der Informationssicherheit. Sie schützt die Daten und die Privatsphäre ihrer Kundinnen und Kunden, Mitarbeitenden sowie ihrer übrigen Geschäftspartner und Anspruchsgruppen im Einklang mit den geltenden Gesetzen und Regularien. Die aktuelle Bedrohungslage soll stets im Blick behalten werden. Fortlaufend soll die eigene Infrastruktur auf Schwachstellen getestet und gegebenenfalls weiterentwickelt werden.

Stand 2024

Datenschutz und Informationssicherheit

Die LUKB hat im Jahr 2023 die neuen und geänderten Vorschriften des revidierten Schweizer Datenschutzgesetzes (DSG) umgesetzt und die daraus folgenden notwendigen organisatorischen, vertraglichen und technischen Massnahmen zur Gewährleistung der datenschutzrechtlichen Anforderungen ergriffen. Am 15. Januar 2024 entschied die Europäische Kommission, dass das DSG gegenüber der EU-Datenschutzgrundverordnung (DSGVO) gleichwertig ist (Äquivalenz-Entscheid).

Die LUKB und ihre Tochtergesellschaften informieren auf ihrer Website1) transparent und ausführlich über Themen des Datenschutzes und der Informationssicherheit, bei aktuellen Themen der Informationssicherheit erfolgt die Information zum Schutz der Kunden und deren Vermögen themenbasiert ad hoc.

Kundinnen und Kunden haben hinsichtlich der sie betreffenden Daten im Rahmen des anwendbaren Datenschutzrechts das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Widerspruch sowie Datenübertragbarkeit. Zusätzlich haben sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. Die LUKB achtet auf Datensparsamkeit, was bedeutet, dass nur unbedingt notwendige Daten erhoben und verarbeitet werden. Die Aufbewahrungsdauer und Löschung der Daten richten sich nach den gesetzlichen Vorgaben und den betrieblichen Bedürfnissen der Bank.

Die operativen Zuständigkeiten und Kompetenzen zur Umsetzung der rechtlichen Anforderungen des Datenschutzes und der Informationssicherheit sind geregelt. Die Hauptverantwortung für Datenschutz und Informationssicherheit trägt die Geschäftsleitung. Die LUKB verfügt über entsprechende Notfall­- und Business-­Continuity-­Pläne bei Sicherheitsvorfällen (Sicherheitshandbuch, Business­-Continuity-­Planung BCM), mit welchen die gesetzlichen und regulatorischen Anforderungen erfüllt werden. Im Weiteren werden die Anforderungen an Datenschutz und Informationssicherheit von den unabhängigen Einheiten der Compliance-­ und der Risiko­-Funktion überwacht. Die LUKB verfügt zudem über einen Datenschutzberater. Dem Datenschutzberater können Fragen oder Auskunftsbegehren im Zusammenhang mit dem Datenschutz gestellt werden. Sämtliche Mitarbeitenden der LUKB werden regelmässig zu den Themen Datenschutz und Informationssicherheit bedarfsgerecht und mindestens einmal jährlich sensibilisiert und geschult. Die Schulungen sind für die Mitarbeitenden obligatorisch und die Teilnahme wird kontrolliert.

Das Informationssicherheitsmanagement der LUKB und ihrer wesentlichen IT-Outsourcing-Partner orientiert sich an anerkannten Normen (z.B. die Standardreihen ISO/IEC 27002:2022 bzw. ISAE/SOC 3000 und/oder 3402). Die Bank überwacht in Abstimmung mit internen und externen Sicherheitsexperten die Einhaltung der Richtlinien zum Schutz der Kundendaten durch technische und organisatorische Sicherheitsmassnahmen. Dazu gehören die Datenverschlüsselung, Zugriffskontrollen, die Protokollierung sicherheitsrelevanter Ereignisse sowie Sensibilisierungskampagnen. Zudem führt die LUKB zusammen mit externen Experten regelmässige Penetrationstests durch, um ihre IT-Systeme abzusichern. Diese werden periodisch und automatisiert auf Schwachstellen überprüft.

Die LUKB ist an langfristigen, partnerschaftlichen Geschäftsbeziehungen sowohl mit Kundinnen und Kunden als auch mit ihren Lieferanten und Dienstleistern interessiert. Im Rahmen des Beizugs von Dienstleistern und im Rahmen von Auslagerungen von Dienstleistungen verpflichtet die LUKB die Lieferanten und Dienstleister, das Bankkunden-­ und Geschäftsgeheimnis sowie die datenschutzrechtlichen Vorschriften einzuhalten. Diese Verpflichtungen werden vertraglich festgehalten und deren Einhaltung wird regelmässig kontrolliert.

Zusätzlich lässt die LUKB durch interne und externe Audits überprüfen, ob die gesetzlichen Vorgaben und die Anforderungen der Aufsichtsbehörde erfüllt werden. Periodisch prüft die externe Revisionsstelle unter anderem den Bereich Informatik, einschliesslich des Umgangs mit elektronischen Kundendaten.

Im Berichtsjahr wurden keine relevanten Vorfälle mit Kundendaten festgestellt. Festgestellte Verbesserungspunkte werden unverzüglich umgesetzt.

Die LUKB hat im Berichtsjahr keine wesentlichen Beschwerden aus dem Bereich Datenschutz identifiziert.

1) https://www.lukb.ch/de/datenschutzerklaerung

Künstliche Intelligenz (KI)

Die LUKB regelt die Verantwortlichkeiten für künstliche Intelligenz (KI) in den Bereichen Entwicklung, Integration, Betrieb, Awareness und Ausbildung innerhalb der bestehenden organisatorischen Einheiten. Der Einsatz von KI erfolgt im Einklang mit den bestehenden Weisungen, Grundsätzen und Strategien der LUKB sowie den geltenden Gesetzen und regulatorischen Vorgaben.

KI wird eingesetzt, wenn dies ethisch vertretbar, fair und nichtdiskriminierend ist. Die LUKB informiert über den Einsatz von KI, wenn dies für Personen (Kunden, Mitarbeitende, Bewerbende) relevant ist und sie direkt mit KI interagieren.

Die LUKB fördert die Gewinnung von Anwendungserfahrungen und die Durchführung spezifischer KI-Schulungen (Best Practices, Sicherheit, Datenschutz usw.) für ihre Mitarbeitenden. Dazu gehört auch die Bereitstellung von Hilfsmitteln wie Anleitungen und Support-Anlaufstellen.

Im Vordergrund steht im Umgang mit KI die Prävention, einschliesslich der Schulung der Mitarbeitenden im korrekten Umgang mit KI. Bei der Entwicklung, Implementierung und dem Betrieb von KI-Systemen sind Mitarbeitende als integraler Bestandteil zu berücksichtigen. Menschliche Überwachung, Bewertung und Fehlerkorrektur gewährleisten transparente, (fachlich) korrekte, nachvollziehbare und verantwortungsbewusste KI-Entscheidungen. Zudem gehört auch das kritische Hinterfragen der Nutzung von KI-Werkzeugen dazu.

Die LUKB strebt eine dem Einsatzzweck entsprechende Qualität der von KI erstellten Inhalte oder Vorhersagen an. Bei KI-Projekten werden Massnahmen zur Einhaltung der Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität) umgesetzt.

Die Risiken im Zusammenhang mit KI werden im Rahmen der bestehenden Risikoarten (operationelle Risiken, Compliance- und Reputationsrisiken) analysiert, verstanden, regelmässig überprüft und aktualisiert. Die LUKB nutzt KI-Anwendungen, die sie versteht sowie erklären und kontrollieren kann. Sie stellt sicher, dass Betroffene ihre Auskunfts-, Korrektur- und Widerspruchsrechte auch für KI-Services wahrnehmen können.