Digitalisierung, Informationssicherheit, Datenschutz und Privatsphäre

Relevanz des Themas

Die fortschreitende Digitalisierung verändert die Finanzbranche grundlegend und eröffnet neue Chancen für innovative Dienstleistungen und effiziente Prozesse. Gleichzeitig steigen die Anforderungen an den Schutz sensibler Daten und die Sicherheit digitaler Systeme.

Banken verfügen aufgrund ihrer Geschäftstätigkeit über besonders schützenswerte Daten, insbesondere personenbezogene Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Die LUKB ist durch das Schweizer Bankkundengeheimnis und das Datenschutzrecht verpflichtet, diese Daten umfassend zu schützen.

Über die gesetzlichen Vorgaben hinaus legt die LUKB konzernweit grossen Wert auf die Wahrung der Privatsphäre von Kundinnen, Kunden, Mitarbeitenden und Geschäftspartnern – denn Datenschutz ist die Basis für langfristige, vertrauensvolle Beziehungen.

Mit zunehmender Vernetzung und Digitalisierung gewinnen Cyber- und Informationssicherheit weiter an Bedeutung. Cyberangriffe stellen eine zunehmende Bedrohung dar. Zudem erhöhen die wachsende Komplexität moderner Informations- und Kommunikationstechnologien (ICT) und deren starke Vernetzung die möglichen Risiken in der Finanzbranche zusätzlich.

Grundsatz

Die LUKB schützt die Daten und die Privatsphäre gemäss dem Datenschutzgesetz, den Bestimmungen des Schweizer Bankkundengeheimnisses sowie allen anwendbaren regulatorischen Vorschriften. Dazu unterhält sie eine verantwortungsvolle Organisation, wirksame Prozesse und eine robuste ICT-Infrastruktur. Zum verantwortungsvollen Umgang mit sensiblen Informationen gehören der Schutz vor unbefugtem Zugriff und die Transparenz über die Zwecke der Datenverarbeitung. Mit der Verabschiedung einer umfassenden Data Governance hat die LUKB zudem verbindliche Grundsätze, Verantwortlichkeiten und Kontrollmechanismen für den Umgang mit Daten festgelegt.

Datenschutz und Informationssicherheit sind integrale Bestandteile des Risikomanagements. Risiken werden systematisch identifiziert, bewertet, begrenzt und den zuständigen Stellen berichtet. Die LUKB verfolgt einen ganzheitlichen Ansatz, um Integrität, Verfügbarkeit und Vertraulichkeit aller Daten sowie einen sicheren Bankbetrieb zu gewährleisten. Grundlage bilden umfassende interne Richtlinien, etablierte Standards, klare Verantwortlichkeiten und moderne Schutzmechanismen. Zu den präventiven Massnahmen zählen regelmässige Sicherheitsüberprüfungen, Penetrationstests, Notfall- und Wiederherstellungspläne sowie deren praktische Umsetzungstests.

Die LUKB stellt sicher, dass digitale Innovationen, einschliesslich Anwendungen auf der Basis von künstlicher Intelligenz (KI), stets verantwortungsvoll und unter Einhaltung höchster Sicherheitsstandards und Datenschutzvorgaben umgesetzt werden.

Ziele

Durch angemessene technische und organisatorische Massnahmen bleibt die LUKB frei von Datenschutzverletzungen, Verletzungen der Informationssicherheit und Betriebsausfällen. Sie schützt die Daten und die Privatsphäre ihrer Kundinnen, Kunden, Mitarbeitenden sowie ihrer übrigen Geschäftspartner und Anspruchsgruppen im Einklang mit den geltenden Gesetzen und Regularien. Die aktuelle Bedrohungslage soll stets im Blick behalten werden. Fortlaufend soll die eigene Infrastruktur auf Schwachstellen getestet und gegebenenfalls weiterentwickelt werden.

Stand 2025

Digitalisierung

Im Rahmen ihrer Strategie «LUKB30» stärkt die LUKB ihre Technologie- und Datenkompetenz weiter. Durch den Einsatz moderner Technologien, einschliesslich KI, und datengetriebener Vertriebssteuerung will sie ihre Angebote und das Kundenerlebnis weiter verbessern sowie die Effizienz steigern. Gleichzeitig entwickelt sie ihren Online-Kanal weiter zu einem integrierten Vertriebs-, Transaktions- und Kommunikationskanal.

Die LUKB regelt die Verantwortlichkeiten für die Digitalisierung und den Einsatz von KI in den Bereichen Entwicklung, Integration, Betrieb, Awareness und Ausbildung innerhalb der bestehenden organisatorischen Einheiten. Der Einsatz von KI erfolgt im Einklang mit den bestehenden Weisungen, Grundsätzen und Strategien der LUKB sowie den geltenden Gesetzen und regulatorischen Vorgaben.

KI wird eingesetzt, wenn dies ethisch vertretbar, fair und frei von Diskriminierung ist. Die LUKB informiert über den Einsatz von KI, wenn dies für Personen (Kunden, Mitarbeitende, Bewerbende) relevant ist und sie direkt mit KI interagieren.

Die LUKB fördert die Gewinnung von Anwendungserfahrungen und die Durchführung spezifischer KI-Schulungen (Best Practices, Sicherheit, Datenschutz usw.) für ihre Mitarbeitenden. Dazu gehört auch die Bereitstellung von Hilfsmitteln wie Anleitungen und Support-Anlaufstellen.

Im Vordergrund steht im Umgang mit KI die Prävention, einschliesslich der Schulung der Mitarbeitenden im korrekten Umgang mit KI. Bei der Entwicklung, Implementierung und dem Betrieb von KI-Systemen sind Mitarbeitende als integraler Bestandteil zu berücksichtigen. Menschliche Überwachung, Bewertung und Fehlerkorrektur gewährleisten transparente, (fachlich) korrekte, nachvollziehbare und verantwortungsbewusste KI-Entscheidungen. Zudem gehört auch das kritische Hinterfragen der Nutzung von KI-Werkzeugen dazu.

Die LUKB strebt eine dem Einsatzzweck entsprechende Qualität der von KI erstellten Inhalte oder Vorhersagen an. Bei KI-Projekten werden Massnahmen zur Einhaltung der Schutzziele der Informationssicherheit (Vertraulichkeit, Verfügbarkeit, Integrität) umgesetzt.

Die Risiken im Zusammenhang mit KI werden im Rahmen der bestehenden Risikoarten (operationelle Risiken, Compliance- und Reputationsrisiken) identifiziert, beurteilt und überwacht. Die LUKB nutzt KI-Anwendungen, die sie versteht und die sie erklären und kontrollieren kann. Sie stellt sicher, dass Betroffene ihre Auskunfts-, Korrektur- und Widerspruchsrechte auch für KI-Services wahrnehmen können.

Informations- und Cybersicherheit

Governance und Risikomanagement

Die LUKB steuert ihre Informationssicherheits- und Cyberrisiken über klar definierte Verantwortlichkeiten, internationale Standards und ein dreistufiges Verteidigungsmodell. Strategische Vorgaben und die operative Umsetzung sind eng aufeinander abgestimmt und unterliegen strengen internen Kontrollen.

Der Verwaltungsrat ist in seiner Funktion als Oberleitungsorgan für die Festlegung der Strategien betreffend Cyberrisiko und Business Continuity Management (BCM) sowie der Risikopolitik verantwortlich. Der Risiko- und Strategieausschuss des Verwaltungsrates konkretisiert die Vorgaben der Risikopolitik in entsprechenden Subpolitiken und überwacht die Umsetzung der Risikostrategien. Die operative Gesamtverantwortung für die Cyber-Risiken liegt bei der Konzernleitung, welche die Umsetzung an die hierfür zuständigen operativen Einheiten delegiert. Die Umsetzung, Kontrolle und Überwachung erfolgt mittels organisatorischer Umsetzung der drei unabhängigen Verteidigungslinien (Three Lines of Defence) gemäss FINMA-Rundschreiben 2017/01 «Corporate Governance – Banken»1), wobei der Chief Information Security Officer (CISO) der unabhängigen zweiten Verteidigungslinie zugeordnet ist.

Abgestimmt mit den Zielen der Konzern-, ICT-, BCM- und Cyberrisiko-Strategie definiert die Risikopolitik das Rahmenkonzept für das institutsweite Risikomanagement als Instrument zur Erreichung der geschäftspolitischen Ziele und zur Sicherstellung des ordnungsgemässen Institutsbetriebs. Die Subpolitik operationelle Risiken konkretisiert die in der Risikopolitik festgelegten Grundsätze für das Management der operationellen Risiken der LUKB, insbesondere auch im Hinblick auf die darin integrierten Cyberrisiken. Die daraus abgeleiteten Sicherheitsprinzipien werden auf Stufe Weisung definiert, welche sich an den internationalen Standards NIST Cyber Security Framework2) und ISO/IEC 27002:2022 3) orientiert. Die Konkretisierung der Sicherheitsprinzipien erfolgt im LUKB-Sicherheitshandbuch mit entsprechenden Sicherheitsanforderungen.

1)   https://www.finma.ch
2)  https://www.nist.gov
3)  https://www.iso.org

Der Verwaltungsrat, der Risiko- und Strategieausschuss des Verwaltungsrates (RA-VR) und die Konzernleitung werden regelmässig über die Cyberrisiken im Rahmen der Berichterstattung über die operationellen Risiken informiert (quartalsweise Berichterstattung mittels Risikobericht der unabhängigen zweiten Verteidigungslinie sowie ad-hoc bei Bedarf) und je nach eingeschätztem Risiko bei Entscheiden abgeholt.

Die Einhaltung der regulatorischen Anforderungen wird periodisch durch die interne Revision und die externe Prüfgesellschaft geprüft. Weiter führt die FINMA als regulatorische Aufsichtsbehörde entsprechende Vor-Ort-Kontrollen bei ihren Beaufsichtigten durch.

Sicherheitsmassnahmen

Der folgende Auszug gibt einen Überblick über die für die LUKB relevanten, umgesetzten Sicherheitsmassnahmen. Die LUKB orientiert sich am NIST Cyber Security Framework (National Institute of Standards and Technology).

Identifikation («Identify»): Die LUKB führt regelmässige Risikoanalysen und Risk-Assessments durch. Die wesentlichen ICT-Provider überwachen rund um die Uhr (7 × 24 Stunden) ausgewählte Systeme auf Schwachstellen. Die LUKB hat Zugang zur Informations- und Meldeplattform des Bundesamtes für Cybersicherheit (BACS) und erhält dadurch zeitnah Warnungen zu Cyberbedrohungen.

Schutz («Protect»): Die wesentlichen ICT-Provider haben einen marktüblichen ICT-Grundschutz implementiert, welcher im Rahmen der ICT-Providersteuerung vertraglich sichergestellt wird. Die LUKB-Mitarbeitenden absolvieren regelmässige Awareness-Trainings zum Thema Sicherheit. Die LUKB überwacht in Abstimmung mit internen und externen Sicherheitsexperten die Einhaltung der Richtlinien zum Schutz der kritischen Daten durch technische und organisatorische Sicherheitsmassnahmen. Zudem führt die LUKB zusammen mit externen Experten regelmässige Penetrationstests durch, um ihre ICT-Systeme abzusichern bzw. auf Schwachstellen zu prüfen.

Feststellung («Detect»): Die Security Operation Centers (SOC) der wesentlichen ICT-Provider überwachen ihre eigenen und die Systeme der LUKB rund um die Uhr (7 × 24 Stunden) auf Cyber-Angriffe. Kunden und Mitarbeitende haben die Möglichkeit, Security-Incidents (beispielsweise Schwachstellen) über die bestehenden Eskalationsprozesse zu melden.

Reaktion («Respond»): Die Security Operation Centers (SOC) der wesentlichen ICT-Provider reagieren zusammen mit den ICT- und Security-Stellen der LUKB auf allfällige Cyber-Angriffe. Dabei werden sie bei Bedarf vom Computer Security Incident and Response Team (CSIRT) der Swisscom unterstützt. Die LUKB betreibt eine interne Krisenorganisation und hat sich auf schwerwiegende, aber plausible Szenarien mittels Business-Continuity-Plänen und regelmässigen Übungen vorbereitet.

Wiederherstellung («Recover»): Die wesentlichen ICT-Provider stellen im Notfall die kritischen Systeme mittels Disaster-Recovery-Plänen (DRP) im Rahmen der vereinbarten Service Level Agreements (SLAs) wieder her.

Relevante Vorschriften und Standards

Die nachfolgende Auflistung ist eine nicht abschliessende Übersicht von relevanten Vorschriften und Standards, welche in der Governance und im Risikomanagement auf dem Gebiet der Informations- und Cybersicherheit berücksichtigt werden:

  • Bundesgesetz über die Banken und Sparkassen (BankG)
  • Bundesgesetz über den Datenschutz (DSG)
  • Bundesgesetz über die Informationssicherheit (ISG)
  • Verordnung über die Cybersicherheit (CSV)
  • FINMA-Rundschreiben 2017/01 «Corporate Governance – Banken»
  • FINMA-Rundschreiben 2018/03 «Outsourcing»
  • FINMA-Rundschreiben 2023/01 «Operationelle Risiken und Resilienz – Banken»
  • FINMA-Aufsichtsmitteilung 05/2020
  • FINMA-Aufsichtsmitteilung 03/2024
  • FINMA-Aufsichtsmitteilung 08/2024
  • ISO 27001 und ISO/IEC 27002:2022
  • NIST Cyber Security Framework

Datenschutz

Die LUKB hat im Jahr 2023 die neuen und geänderten Vorschriften des revidierten Schweizer Datenschutzgesetzes (DSG) umgesetzt und die daraus folgenden notwendigen organisatorischen, vertraglichen und technischen Massnahmen zur Gewährleistung der datenschutzrechtlichen Anforderungen ergriffen. Am 15. Januar 2024 entschied die Europäische Kommission, dass das DSG gegenüber der EU-Datenschutzgrundverordnung (DSGVO) gleichwertig ist (Äquivalenz-Entscheid).

Die LUKB informiert auf ihrer Website transparent und ausführlich über Themen des Datenschutzes1) und der Informationssicherheit2). Bei aktuellen Themen der Informationssicherheit erfolgt die Information zum Schutz der Kundinnen und Kunden und deren Vermögen themenbasiert ad hoc.

1)  https://www.lukb.ch/ueber-uns/rechtliches/datenschutzerklaerung
2)  https://www.lukb.ch/ueber-uns/rechtliches/informations-und-cybersicherheit

Kundinnen und Kunden sowie die Mitarbeitenden und Dritte (einschliesslich externer Mitarbeitenden) haben hinsichtlich der sie betreffenden Personendaten im Rahmen des anwendbaren Datenschutzrechts das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Widerspruch sowie Datenübertragbarkeit. Zusätzlich haben sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. Die LUKB achtet auf Datensparsamkeit, was bedeutet, dass nur unbedingt notwendige Daten erhoben und verarbeitet werden. Aufbewahrungsdauer und Löschung der Daten richten sich nach den gesetzlichen Vorgaben und den betrieblichen Bedürfnissen der Bank. Sind Personendaten nicht mehr erforderlich, werden diese – soweit technisch möglich – regelmässig gelöscht, es sei denn, deren befristete Weiterbearbeitung bzw. Aufbewahrung ist für die Erfüllung gesetzlicher oder regulatorischer Aufbewahrungspflichten, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder aufgrund spezieller Aufbewahrungsvorschriften erforderlich. Machen Kundinnen oder Kunden von ihren Rechten auf Auskunft, Berichtigung, Löschung, Einschränkung der Bearbeitung, Widerspruch oder Datenübertragbarkeit Gebrauch, erteilt die LUKB die notwendigen Auskünfte, berichtigt oder löscht die Daten, schränkt deren Bearbeitung ein oder überträgt die verlangten Daten an die Kundin oder den Kunden bzw. an von ihnen beauftragte Dritte, soweit dies gesetzlich nicht eingeschränkt ist.

Outsourcingpartnern der LUKB werden die entsprechenden datenschutzrechtlichen Pflichten (technische und organisatorische Massnahmen zur Einhaltung von Datenschutz und Datensicherheit) vertraglich überbunden. Die LUKB achtet darauf, dass mit den Outsourcingpartnern, wo immer dies möglich ist, Datenhaltung in der Schweiz vereinbart werden kann. Für Outsourcingpartner gelten die gleichen Datenschutzbestimmungen wie für die LUKB selbst. Die Einhaltung wird im Rahmen des Providermanagements überprüft.

Die operativen Zuständigkeiten und Kompetenzen zur Umsetzung der rechtlichen Anforderungen des Datenschutzes sind klar geregelt. Der Verwaltungsrat (VR) der LUKB trägt die Verantwortung für die Oberleitung, Aufsicht und Kontrolle im Bereich des Datenschutzes. Er überwacht die Einhaltung der massgebenden Gesetze und Regularien. Der zuständige Ausschuss des VR ist der Prüfungs- und Finanzausschuss (PA-VR). Die Geschäftsleitung der LUKB verantwortet die operative Umsetzung. Der Leiter Rechtsdienst & Compliance übernimmt die gesetzlich vorgeschriebenen Aufgaben als interner Datenschutzberater. Die Geschäftsleitung hat interne Weisungen zur Einhaltung des Datenschutzes erlassen, die für sämtliche Mitarbeitenden anwendbar sind. Sie bewertet zudem das Management des Datenschutzes und der Datenschutzrisiken jährlich auf Zweckmässigkeit und Wirksamkeit und sorgt dafür, dass die materiellen und personellen Mittel für ein effizientes Management zur Verfügung stehen. Die Geschäftsleitung behandelt die internen Berichte zu Datenschutzthemen. Die Verantwortung für das Thema Datenschutz auf Stufe Geschäftsleitung liegt beim CEO.

Im Weiteren werden die Anforderungen an Datenschutz von den unabhängigen Einheiten der Compliance-Funktion überwacht. Die LUKB verfügt zudem über einen Datenschutzberater. Der Datenschutzberater ist der Leiter Rechtsdienst & Compliance. Dem Datenschutzberater können Fragen oder Auskunftsbegehren im Zusammenhang mit dem Datenschutz gestellt werden. Die Compliance-Funktion, die direkt dem CEO unterstellt ist, berichtet jährlich an die Geschäftsleitung, den PA-VR und den VR. Sie hat die Kompetenz und die Aufgabe, bei ausserordentlichen Fällen direkt an die Geschäftsleitung und den VR zu gelangen.

Sämtliche Mitarbeitenden der LUKB werden regelmässig zu den Themen Datenschutz und Informationssicherheit bedarfsgerecht und mindestens einmal jährlich sensibilisiert und geschult. Die Schulungen sind für die Mitarbeitenden obligatorisch und die Teilnahme wird kontrolliert.

Die LUKB ist an langfristigen, partnerschaftlichen Geschäftsbeziehungen sowohl mit Kundinnen und Kunden als auch mit ihren Lieferanten und Dienstleistern interessiert. Im Rahmen des Beizugs von Dienstleistern (einschliesslich externer Mitarbeitender) und im Rahmen von Auslagerungen von Dienstleistungen verpflichtet die LUKB die Lieferanten und Dienstleister, das Bankkunden-­ und Geschäftsgeheimnis sowie die datenschutzrechtlichen Vorschriften einzuhalten. Diese Verpflichtungen werden vertraglich festgehalten und deren Einhaltung wird regelmässig kontrolliert.

Verfehlungen und Datenschutzverletzungen von Mitarbeitenden werden disziplinarisch verfolgt. Dabei reicht der Sanktionsrahmen je nach Schwere der Verfehlung von einer mündlichen Ermahnung bis hin zur Entlassung oder gar einer Anzeige bei Strafverfolgungsbehörden.

Zusätzlich lässt die LUKB durch interne und externe Audits überprüfen, ob die gesetzlichen Vorgaben und die Anforderungen der Aufsichtsbehörde erfüllt werden. Periodisch prüft die externe Revisionsstelle unter anderem den Bereich Informatik, einschliesslich des Umgangs mit elektronischen Kundendaten. Im Jahr 2025 fanden keine internen und externen Prüfungen explizit mit Fokus auf die Einhaltung des Datenschutzes statt.

Im Berichtsjahr wurden keine relevanten Vorfälle mit Kundendaten festgestellt. Festgestellte Verbesserungspunkte werden unverzüglich umgesetzt.

Die LUKB hat im Berichtsjahr keine wesentlichen Beschwerden aus dem Bereich Datenschutz identifiziert.