Regulatory & Compliance Financial Services

Datenschutz – aktuelle Entwicklungen

Von:
Boris Hofer,
Yasmine Schwager,
Linn Ehrbar
17. Dezember 2025Lesezeit 6 Min.
insight featured image
Etwas über zwei Jahre nach Inkrafttreten der revidierten Datenschutzgesetzgebung und um entsprechende Implementierungserfahrung reicher, ist das Bewusstsein für die Komplexität der Materie mehrheitlich geschärft. Der vorliegende Beitrag zeigt auf, wo seitens Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter (EDÖB) im Rahmen seiner Aufsichtstätigkeit Handlungsbedarf identifiziert wurde, welche datenschutzrechtlichen Risiken sich aus dem soeben veröffentlichten FINMA-Risikomonitor 2025 herauslesen lassen und welche Herausforderungen sich hieraus für Finanzinstitute ergeben. Sodann wird kurz auf datenschutzrechtliche Aspekte bei der Benutzung von künstlicher Intelligenz («KI») eingegangen.
Inhalt

Einordnung1

Ausgangslage

Für sämtliche Finanzinstitute, die Personendaten verarbeiten und damit wohl realistischerweise für sämtliche Unternehmen in diesem Sektor, war und ist die Umsetzung des revidierten Datenschutzgesetzes mit erheblichem Aufwand verbunden. Der Umfang der erforderlichen Massnahmen richtet sich hierbei nach dem individuellen Risikoprofil und der Risikobereitschaft des Finanzinstituts. Bei Letzterer war mit der Einführung der neuen Datenschutzgesetzgebung bei einer Vielzahl von Instituten eine Tendenz zu risikoaverserem Verhalten zu beobachten.

Seitens (datenschutzrechtlicher) Aufsicht liess die Medienmitteilung betreffend Veröffentlichung des jährlichen Tätigkeitsberichtes des EDÖB von Mitte Jahr aufhorchen, dies insbesondere im Vergleich zum Vorjahr. 2024 stand in dieser Medienmitteilung noch die digitale Transformation im Fokus. 2025 zeichnete sich dann eine inhaltliche Verschiebung ab: Im Zentrum stand nun das verstärkte Einschreiten gegen Rechtsverstösse.

Der kürzlich veröffentlichte FINMA-Risikomonitor 2025 erwähnt Datenschutz sodann nicht direkt als eines der Hauptrisiken. Das Management der Risiken «Outsourcing», «Cyber» und «Informations- und Kommunikationstechnologie (IKT)» hat aber datenschutzrechtliche Vorgaben zu berücksichtigen.

Die datenschutzrechtlichen Prinzipien und Vorschriften gelten schliesslich auch bei der Benutzung von künstlicher Intelligenz (KI), was zumindest eines vertieften Verständnisses für deren Funktionieren bedarf.

 

EDÖB: Verstärkte Aufsicht und Tendenzen

Der Tätigkeitsbericht 2024/2025 (Tätigkeitsbericht) verdeutlicht eine Intensivierung der datenschutzrechtlichen Aufsicht. Mit über 1’000 neu registrierten Datenschutzfällen, darunter mehr als 360 Meldungen zu Verletzungen der Datensicherheit, ist ein deutlicher Anstieg gegenüber dem Vorjahr festzustellen. Der EDÖB reagierte darauf mit über 100 Interventionen sowie der Einleitung mehrerer formeller Untersuchungen. Auffällig ist sodann die Praxis des EDÖB, Verfügungen und Namen betroffener Organisationen auf seiner Webseite zu veröffentlichen. Hiermit handelt es sich um ein Vorgehen, das für die Betroffenen mit erheblichen Reputationsrisiken behaftet ist.

Der EDÖB macht zudem deutlich, dass in der Praxis weiterhin häufig Unsicherheiten bestehen respektive Datenschutzvorgaben oftmals nicht vollständig eingehalten werden. Nachfolgend wird anhand zweier Beispiele aufgezeigt, welche Risiken (auch) bei Finanzinstituten bestehen können und wie z.B. organisatorische Massnahmen diese Risiken begrenzen können:

  • Meldung von Verletzungen der Datensicherheit
    Datensicherheitsverletzungen sind dem EDÖB zu melden, wenn ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen besteht. Betroffene Personen sind z.B. dann zu informieren, wenn es zu ihrem Schutz erforderlich ist. Unsicherheiten bestehen gemäss Tätigkeitsbericht bezüglich des Begriffes «hohes Risiko», und der «Schutzbedürftigkeit», die eine Information der Betroffenen erforderlich macht. Konsequenzen hatte eine Nichtinformation der betroffenen Personen in zwei Fällen, in denen Untersuchungen gegen Institute eröffnet wurden. Um den Verantwortlichen mehr Klarheit bei der Wahrnehmung ihrer Pflichten zu schaffen, hat der EDÖB einen Leitfaden4 zum Umgang mit Datensicherheitsverletzungen publiziert.

  • Auskunftsrecht
    Der Tätigkeitsbericht weist sodann darauf hin, dass teilweise das datenschutzrechtliche Auskunftsrecht nicht ordnungsgemäss umgesetzt wurde. In mehreren Fällen wurden Auskunftsbegehren nicht beantwortet oder es wurde lediglich auf allgemeine Inhalte der Datenschutzrichtlinien zu verweisen. Der EDÖB forderte dazu auf, Auskunftsbegehren zu beantworten und mit Massnahmen für eine gesetzeskonforme Handhabung des Auskunftsrechts zu sorgen.  

Bei der, aufgrund einer Verletzung der Datensicherheit allfällig notwendig werdenden Meldung wie auch bei der Beantwortung eines Auskunftsbegehrens, gibt es Fristen zu beachten. Beiden Themenbereichen ist sodann gemein, dass die Beurteilung in der Regel technisches und datenschutzrechtliches Spezialwissen erfordert und mehrere interne Funktionen in die Beurteilung (z.B. ob bei einer Datenschutzverletzung im Einzelfall ein hohes Risiko vorliegt) und Entscheidung einbezogen werden. Gerade bei komplexeren Fällen sind sodann allenfalls Externe beizuziehen.

Will sich ein Finanzinstitut auf solche Vorkommnisse vorbereiten, so sind die entsprechenden Prozesse und Zuständigkeiten im Voraus festzulegen und zu kommunizieren. Sichergestellt werden sollte insbesondere, dass eine zentrale und hierfür qualifizierte Stelle für die Koordination zuständig ist.

 

FINMA-Risikomonitor 2025: Erweiterte Aufsichtsfelder

Der aktuelle FINMA-Risikomonitor 2025 nennt mehrere operationelle Risiken als Hauptrisiken. Nachfolgend werden zwei dieser Risiken mit Relevanz für sämtliche Finanzinstitute sowie einem Datenschutz-Nexus erläutert und mögliche Handlungsempfehlungen skizziert.

  • Outsourcing:
    Die FINMA stellt eine kontinuierlich zunehmende Auslagerung kritischer Funktionen von Finanzinstituten an Drittparteien fest. Dies birgt Risiken sowohl für die einzelnen Institute wie auch für den gesamten Finanzmarkt. Auf Ebene Institut ist z.B. die Sicherstellung der Informationssicherheit der Drittpartei zu nennen. Auf Ebene Finanzmarkt hebt die FINMA z.B. die starke Abhängigkeit von wenigen Cloud-Dienstleistern hervor, die zu erheblichen Klumpenrisiken führen kann. Die FINMA reagiert mit einer Verschärfung ihrer Aufsichtspraxis: Sie führt vermehrt Vor-Ort-Kontrollen nicht nur bei Beaufsichtigten, sondern auch bei deren Dienstleistern durch.

    Auslagerungen sind nicht primär ein datenschutzrechtliches Thema, bedürfen aber, aus datenschutzrechtlicher Optik, besonderer Aufmerksamkeit, wobei als nicht-wesentlich klassifizierte Auslagerungen ebenso zu berücksichtigen sind wie wesentliche Auslagerungen. Es bedarf eines vertieften Verständnisses, ob personenbezogene Daten «ausgelagert» werden, wie das geschieht, wo diese verarbeitet werden, welche technischen und organisatorischen Massnahmen bestehen etc. Sodann sind insbesondere Informationspflichten des Outsourcingpartners, z.B. im Falle einer Verletzung der Datensicherheit zu regeln und es muss beispielsweise sichergestellt werden, dass rechtzeitig über Verstösse informiert wird.

  • Cyberrisiken:
    In der vergangenen Berichtsperiode wurde eine Zunahme der Meldung von Cyberangriffen festgestellt. Bei den Cyberangriffen der vergangenen Berichtsperiode handelt es sich bei rund 47 % um Cyberangriffe auf Drittparteien. Die FINMA geht davon aus, dass diese Attacken weiter zunehmen werden und reagiert und überwacht das Cyberrisiko beispielsweise durch gezielte Vor-Ort-Kontrollen und weiteren Massnahmen. Für Fondsleitungen und Verwalter von Kollektivvermögen hat die FINMA sodann Prüfpunkte zum Management von Cyberrisiken veröffentlicht.

    Cyberrisiken werden von Finanzinstituten insbesondere mit einem Informationssicherheits-Dispositiv respektive mit technischen und organisatorischen Massnahmen begrenzt. Zusätzlich sind entsprechende Schulungen und die Sensibilisierung der Mitarbeitenden mittlerweile Standard, wobei deren Bedeutung aufgrund der technischen Fortschritte bei gewissen Arten von Cyberattacken, beispielsweise das Phishing, noch weiter zunehmen wird. Cyberkriminelle können es bewusst auf Personendaten abgesehen haben. Wie bereits bei der Darstellung des Tätigkeitsberichts ausgeführt, sind Verletzungen der Datensicherheit, eine solche liegt bei einem Cyberangriff wohl in der Regel vor, sodann unter gewissen Umständen meldepflichtig. Die Grenzen zwischen Informationssicherheit und Datenschutz sind fliessend und zwischen den beiden Disziplinen ist eine enge Abstimmung unerlässlich.

 

Künstliche Intelligenz

Die Nutzung von Programmen und Applikationen, welche gemeinhin unter dem Begriff «KI - Künstliche Intelligenz» zusammengefasst werden, ist auf dem Vormarsch und bietet unbestritten grosse Vorteile. Wenn Personendaten unter Beizug von KI bearbeitet werden, sind die datenschutzrechtlichen Grundsätze und Vorschriften genau gleich wie bei der manuellen Bearbeitung von Personendaten einzuhalten. Bevor Personendaten mit einer KI bearbeitet werden oder einer KI-Zugriff auf Personendaten gewährt wird, ist abzuklären ob alle Anforderungen an den Datenschutz eingehalten werden können. Im Besondern ist zu berücksichtigen, welche allfälligen externen Parteien in den Bearbeitungsprozess einbezogen werden und/oder ob es sich tatsächlich um eine KI handelt, welche vollständig kontrolliert werden kann. Sodann muss das Finanzinstitut sich im Klaren darüber sein, welche Personendaten bearbeitet werden, wie die KI diese Daten bearbeitet, wo diese gespeichert werden, wie Entscheidungen getroffen werden etc. Mit anderen Worten man muss wissen, wie die KI arbeitet. In der Folge sind entsprechende Massnahmen zu definieren, um Risiken zu mindern. Notwendig sein können so unterschiedliche Dinge wie z.B. eine vertragliche Abdeckung, Anpassungen bei der Datenschutzerklärung und/oder Einwilligungen, technische Massnahmen, interne Schulungen etc.   

 

Fazit

Datenschutzrechtliche Themen erfordern ständige Aufmerksamkeit und laufende Überprüfung der getroffenen Massnahmen. Datenschutz ist hierbei keine isolierte Compliance-Thematik, es bestehen diverse Schnittstellen zu anderen Risiken und die Umsetzung hat entsprechend ganzheitlich zu erfolgen. Dies bedarf grundsätzlich eines Zusammenarbeitens verschiedener Funktionen. Sollten die unbestrittenen Vorteile von «KI» genutzt werden, ist sodann zu überlegen, ob Personendaten durch «KI» bearbeitet werden und es sind folglich entsprechende Massnahmen zu ergreifen.

 

 

1 Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
2 Von der Relevanz zu unterscheiden ist die Notwendigkeit von Umsetzungsmassnahmen. Da es sich nicht um eine neue Thematik handelt, wird ein Grossteil der Institute bereits über ein Dispositiv verfügen.  
3 Bei Vermögensverwaltern von Kollektivvermögen, die zugleich auch individuelle Vermögensverwaltung anbieten, wird die Relevanz ebenfalls als hoch beurteilt.
4 Leitfaden des EDÖB betreffend die Meldung von Datensicherheitsverletzungen und Information der Betroffenen nach Art. 24 DSG.

TAGS  
AUTOREN