Einst und Jetzt im Fokus

Zürich (ots) - Der Publikumsrat SRG.D beschäftigte sich in der August-Sitzung einerseits mit «Tama ...

Hammer Hosig Herzog & Associates AG

Datensicherheit ist Chefsache, nicht nur im Schadensfall

    Zürich (ots) - Viele Unternehmensverantwortliche sind sich ihrer Verantwortung und Haftung im Zusammen¬hang mit Daten- und Informationssicherheit nicht bewusst. Dabei können die Konsequenzen eines "Datendiebstahls" für die Bank straf-, verwaltungs- und zivilrechtlicher Natur sein und somit auch die Unternehmensverantwortlichen treffen. Damit die Datensicherheit nicht erst im Schadensfall zur Chefsache wird, sollte ein Verwaltungsrat und die Geschäftsführung sich seiner Aufgaben und Bedeutung bewusst sein.

    Jede Bank - und somit auch der jeweils verantwortliche Mitarbeiter - hat die Aufgabe, im Bereich der Informations- und Datensicherheit aktiv möglichen Risiken wie "Datendiebstahl" oder anderen Notfallsituationen entgegenzuwirken. Dies muss durch organisatorische und technische Massnahmen sowie datenschutzrechtlich erforderliche Massnahmen geschehen. Vielen Unternehmensverantwortlichen - gleich ob Verwaltungsrat, Geschäftsführer oder angestellter IT-Administrator - sind aber Inhalt und Umfang ihrer Verantwortung und damit ihrer Haftung gegenüber ihren Unternehmen bzw. Dritten nicht bewusst. Die Folgen des "Datendiebstahls" treffen neben dem Kunden auch die Bank, und zwar mit möglichen straf-, verwaltungs- und zivilrechtlichen Konsequenzen, ganz zu schweigen von den damit verbundenen Reputationsschäden. Hierunter sind Image- und Glaubwürdigkeitsschäden zu verstehen, die eine Folge des Vertrauensverlustes der Kunden sind. Durch den unzureichenden Schutz der Privatsphäre bzw. einer verspäteten Benachrichtigung über den Missbrauch von Bankkundendaten sehen Kunden ihre Interessen nicht gewahrt. Dies führt in dem entstehenden Teufelskreis dazu, dass die Geschäftsbeziehungen zwischen der Bank und den Kunden beendet werden. Damit wird wiederum Kundenvermögen abgezogen, womit sich die operativen Erträge eines Institutes verringern. Dies ist die Folge davon, dass die Kundendaten in den Augen des Kunden unsicher aufbewahrt wurden. Damit verliert die Bank gegenüber Ihren Kunden an Glaubwürdigkeit, die Kundeninteressen (Schutz der Privatsphäre) auch in Zukunft zu wahren. Einen weiteren Faktor bilden die verwaltungsrechtlichen Konsequenzen. Dies können insbesondere Sonderuntersuchungen des Eidgenössischen Datenschutzbeauftragten und der Eidgenössische Finanzmarktaufsicht (FINMA) sowie entsprechende Bussen sein. Bei einer unzureichenden Organisation hat die FINMA sogar die Kompetenz, der Bank die Bewilligung nach dem Bankengesetz (BankG) zu entziehen. Gegenstand der Untersuchungen werden strafbewehrte Verletzungen des Bankgeheimnisses (Art. 47 BankG) sein. Bereits das Ausserachtlassen der erforderlichen Sorgfalt im Zusammenhang mit dem Bankgeheimnis kann mit einer Busse von bis zu 250'000 Franken bestraft werden. Zivilrechtlich kann der Kunde Ansprüche geltend machen, die von der Vertragsauflösung bis hin zum Schadenersatz wegen Vertragsverletzung oder unerlaubter Handlung reichen. Auslöser solcher Ansprüche kann die Pflicht der Bank zur Information des Kunden über den "Datenklau" sein. Vorsorge ist Chefsache Nicht "nur" die rechtlichen Konsequenzen, auch der drohende wirtschaftliche Schaden und die mit der Datenschutzverletzung verbundenen Reputationsschäden führen dazu, dass eine entsprechende Vorsorge zur Chefsache zu erklären ist. Ebenso verpflichten bereits das Datenschutzgesetz und die Organisationsvorschriften für Banken und Sparkassen die Unternehmensleitung dazu, Bankkundendaten zu sichern. Die Geschäftsleitung hat die Pflicht, das Tagesgeschäft ordnungsgemäss auszuüben und damit die gesetzlichen Pflichten zur Datensicherheit nach dem Datenschutzgesetz (Art. 7 DSG) und gemäss anderen bankenspezifischen Vorgaben zu erfüllen. So müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die entsprechenden Mindestanforderungen hat der Gesetzgeber in den Art. 8 bis 12 der Verordnung zum Datenschutzgesetz (VDSG) aufgestellt. Den Verwaltungsrat einer Bank trifft zwar nicht die Pflicht zur Geschäftsführung, ihm verbleiben aber die Pflichten nach Art. 716a des Obligationenrechts. So ist er unter anderem für die Oberleitung der Bank verantwortlich. Damit ist die strategische Führung des Unternehmens und der Geschäftstätigkeiten gemeint. Somit ist der Verwaltungsrat auch für die Informationsstrategie, welche auch die Datensicherheit beinhaltet, verantwortlich. Fehlen ihm diesbezüglich die Fachkenntnisse, ist er verpflichtet, Berater hinzuzuziehen. Die Pflicht zur Organisation und Oberaufsicht heisst auch, dass ein zweckmässiges System zur Berichterstattung eingerichtet sein muss, über das sich der Verwaltungsrat bezüglich der Umsetzung seiner Vorgaben informieren kann. Datensicherheit wird in der Regel vernachlässigt Der Grossteil der Führungskräfte misst der Daten- bzw. Informationssicherheit zwar eine wichtige Rolle im Unternehmen bei, jedoch befassen sich die wenigsten umfassend mit dem Thema und vernachlässigen dieses bei der Prioritätensetzung. Risikovermeidung, Schadensvorbeugung und die entsprechenden Massnahmen sollten jedoch für jeden, der für Kundendaten Verantwortung trägt, ein prioritär zu behandelndes Thema sein - sowohl im Interesse des Kunden, des Unternehmens als auch aus Eigeninteresse im Hinblick auf eine mögliche persönliche Inanspruchnahme. Durch eine Investition in die Datensicherheit erhöht sich nicht nur die Sicherheit vor künftigen Datenschutzverletzungen, sondern es verbessert zugleich auch die Reputation der Bank am Markt. Ein Institut trägt soziale Verantwortung, die als Teil der Corporate Governance anzusehen ist. So gilt es auch für eine Bank, Datensicherheit herzustellen und wirksame Datenschutzprogramme/Verhaltensrichtlinien zu kommunizieren, zu verbreiten und durchzusetzen sowie das Risikobewusstsein der Mitarbeiter zu fördern, um das Vertrauen der Kunden zu gewinnen. Dies führt zu einer Stärkung der Kundenbeziehungen und Wettbewerbsposition des Finanzinstitutes. Ein effektives Management von Bankkundendaten soll also nicht nur eine Pflicht sein und sich auf den Mindestanforderungen an Datenschutz und Sicherheit ausruhen. Vielmehr müssen diese Massnahmen auch angemessen und demnach aktuell sein. Ein Geschäftsführer oder Verwaltungsrat muss folglich in der Lage sein, die Frage zu beantworten, was für seine Bank ein angemessener Schutz ist. Jeder Verantwortliche sollte sich daher einige Fragen stellen: - Was hat mein Unternehmen, was habe ich aus den Missbrauchsskandalen von Bankkundendaten gelernt? - Wurden Sicherungsmassnahmen eingeführt? - Hat die Unternehmensleitung ihre eigene Verantwortlichkeit dafür überhaupt erkannt? - Wird versucht, das Risiko Mensch zu bewältigen?

    Mittels einer Studie zur Informations- und Datensicherheit in Schweizer Banken - durchgeführt von der Unternehmensberatung Hammer Hosig Herzog & Associates AG - werden erste Lehren der Bankenlandschaft aus dem Missbrauch der Bankkundendaten in Liechtenstein und der Schweiz gezogen. Hammer Hosig Herzog & Associates AG ist eine Schweizer Unternehmensberatung mit Fokussierung auf Business Consulting für Finanzdienstleistungsunternehmen. Ihr Themen-Portfolio umfasst die Competence Center Client Facing Solutions, Risk Management & Compliance sowie Business Performance Management.

Kontakt:
Hammer Hosig Herzog & Associates AG
Patrick Gregorkiewicz
Seestrasse 520
CH-8038 Zürich
Tel. +41 (0)44 480 12 00
Fax +41 (0)44 480 12 06
E-Mail pgregorkiewicz@hhh-associates.com
Internet www.hhh-associates.com



Das könnte Sie auch interessieren: