Die Einhaltung der DSGVO ist kein Endzustand. Sie ist lediglich die Grundlage für das vorausschauende Finanzdienstleistungsunternehmen, das bereits die nächste Stufe im Datenschutz im Blick hat. Zumindest sollte es das, angesichts der Ausweitung – und Fragmentierung – verbindlicher Datenschutzregelungen in der Schweiz, Europa und darüber hinaus.
Zentrale Datenschutzvorschriften für Finanzdienstleister im Jahr 2025
|
EU-Verordnung, die Finanzinstitute und ihre Technologieanbieter verpflichtet, umfassendes ICT-Risikomanagement, Vorfallmeldungen und Massnahmen zur Überwachung von Drittparteien umzusetzen. |
|
|
Umfassendes Schweizer Datenschutzgesetz, das sich an die DSGVO anlehnt und einen „Swiss Finish“ ergänzt – darunter Bussen bis zu CHF 250’000, obligatorische Meldung von Verletzungen sowie erweiterte Schutzmassnahmen für genetische und biometrische Daten. |
|
|
Schreibt Cybersecurity-Anforderungen und Meldepflichten für Betreiber kritischer Infrastrukturen (einschliesslich Finanzdienstleistungen) vor; eine Revision 2025 dürfte den Geltungsbereich erweitern und eine Meldung von Cyberangriffen innerhalb von 24 Stunden zur Angleichung an EU-NIS2 verlangen. |
|
|
Verbindliche regulatorische Vorgaben der Eidgenössischen Finanzmarktaufsicht, die detaillierte Anforderungen an Banken, Versicherungen und andere Finanzinstitute für die Umsetzung des Schweizer Finanzmarktrechts festlegen. |
|
|
Das Consumer Financial Protection Bureau verpflichtet Finanzinstitute, persönliche Finanzdaten der Verbraucher auf deren Wunsch kostenlos an andere Anbieter zu übertragen. Dies ermöglicht Open Banking und gibt Konsumenten mehr Kontrolle über ihre Finanzinformationen. |
|
|
EU-weite Cybersecurity-Regelung, die den Geltungsbereich auf 18 kritische Sektoren (einschliesslich Finanzdienstleistungen) ausweitet. Sie verpflichtet Unternehmen, umfassendes Risikomanagement einzuführen, Vorfälle innerhalb von 24 Stunden zu melden und die Sicherheit der Lieferketten zu gewährleisten. |
|
|
Erster international rechtsverbindlicher Vertrag des Europarats zu KI (von der Schweiz im März 2025 unterzeichnet). Er legt Standards für Entwicklung und Nutzung von KI fest, um Menschenrechte, Demokratie und Rechtsstaatlichkeit zu schützen. |
Die Schweizer Datenschutzanforderungen sind besonders streng und gehen weit über die regulatorischen Mindestanforderungen hinaus, um unerschütterliches Vertrauen aufzubauen. Im Finanzdienstleistungsbereich ist Vertrauen das A und O – deshalb priorisieren so viele Unternehmen ihren Ansatz zum Datenschutz.
Regulatorische Lawine, Verbrauchervertrauen und die hohen Kosten des Nichtstuns
In „Datensouveränität in unsicheren Zeiten“ haben wir zwei kritische Aspekte von Cloud-Risiken untersucht: Datenvertraulichkeit und Datenverfügbarkeit. Diese Risiken haben für Finanzdienstleistungsunternehmen besonders schwerwiegende Konsequenzen.
Ein einziger Verstoss gegen sensible Daten kann den verantwortlichen Parteien Kosten in Millionenhöhe verursachen. Ausfälle in der Verfügbarkeit können Kundentransaktionen blockieren, regulatorische Strafen nach sich ziehen und das hart erarbeitete Vertrauen der Kunden untergraben.
Dank einer der strengsten regulatorischen Umgebungen weltweit bleibt das Vertrauen in europäische Finanzdienstleister vergleichsweise hoch. Doch dasselbe Vertrauen, das Jahre zum Aufbau braucht, kann durch nur einen einzigen Verstoss, ein Versäumnis oder eine Regelverletzung zunichtegemacht werden.
Bedenken Sie: Ein Verstoss gegen die EU-NIS2-Richtlinie zieht eine Strafe von bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes nach sich.
Die neuen Anforderungen einer KI-zentrierten Welt
Eine der alarmierendsten Erkenntnisse aus IBMs „Cost of a Data Breach Report 2025“: 97 % der Unternehmen, die einen KI-bezogenen Sicherheitsvorfall erlebten, verfügten nicht über angemessene KI-Zugriffsrechte.
Noch besorgniserregender: 63 % der Unternehmen haben keine Richtlinien zur KI-Governance implementiert, um KI zu steuern oder Mitarbeitende daran zu hindern, sogenannte „Shadow AI“ – nicht autorisierte KI-Tools aus dem Internet ohne IT-Aufsicht – einzusetzen.
Diese Governance-Lücke vergrössert sich, während Finanzdienstleister ihre Nutzung von KI über die gesamte Organisation hinweg ausweiten, darunter:
- Generative KI im Vermögens- und Asset-Management
- Automatischer Handel und Bonitätsbewertung
- Identifizierung potenzieller Kundenrisiken
- KI-gestütztes Marketing
- Betrugsreduzierung
…was alles potenzielle Angriffsflächen vergrössert.
KI kann zwar die Betrugserkennung verbessern, erschwert es Analysten jedoch gleichzeitig, Entscheidungen zu vertrauen, zu validieren und zu verfeinern – was Herausforderungen für Compliance, Betrugserklärung und Abwehrmassnahmen schafft.
Tatsächlich wird jedes KI-Modell zu einem potenziellen Einfallstor für hochentwickelte Angriffe: Datenvergiftung, die Trainingssätze verfälscht, adversariale Eingaben, die Ergebnisse manipulieren, und Modellinversionsangriffe, die sensible Trainingsdaten extrahieren.
Die 3 R des verantwortungsvollen KI-Einsatzes
EY skizziert die 3 R des verantwortungsvollen KI-Einsatzes und bietet damit einen nützlichen Ansatz, um diese Fallstricke zu vermeiden:
- Regulierung: Überwachung und Einhaltung der neuesten Vorschriften
- Reputation: Einen soliden Ruf für Fairness und Transparenz wahren
- Realisierung: Wert aus KI durch verantwortungsvolle Praktiken schöpfen
Warum Finanzdienstleister auf Datenschutz nach Schweizer Standard setzen
Die Schweizer Datenschutzgesetze gelten vielen als die strengsten weltweit. Das revDSG (Bundesgesetz über den Datenschutz) spielt eine zentrale Rolle für diesen Ruf. Ein Unternehmen, das die Vorgaben des revDSG einhält, macht den Zugriff durch ausländische oder Drittparteien deutlich unwahrscheinlicher.
Schweizer Anbieter arbeiten in einem einzigartigen rechtlichen und politischen Rahmen, der ein „digitales Schutzzentrum“ für sensible Informationen schafft. Dieser Ansatz basiert auf mehreren Kernprinzipien, die insbesondere für Finanzdienstleister attraktiv sind:
- Robuster Rechtsrahmen: Das revDSG wurde kürzlich überarbeitet, um sich stärker an die DSGVO anzulehnen. Es schreibt strikte Prinzipien wie Transparenz, Verhältnismässigkeit und Zweckbindung vor und etabliert ein unabhängiges Datenschutzrecht, das nicht leicht durch ausländische Gesetze verdrängt werden kann.
- Politische Neutralität und Souveränität: Die Schweiz ist weder EU- noch EWR-Mitglied und unterliegt keinem verpflichtenden Datenaustausch zwischen Mitgliedstaaten. Das Land ist rechtlich abgeschirmt – ein entscheidender Vorteil für Finanzdienstleister.
- Kultur der Privatsphäre: Diskretion und Vertraulichkeit sind insbesondere im Schweizer Finanz- und Bankensektor zentrale Werte. Hier gilt Privatsphäre als Grundrecht.
Das ist ein überzeugendes Bild für Finanzinstitute, die mit einigen der sensibelsten Daten überhaupt umgehen, darunter personenbezogene Informationen (PII), Transaktionshistorien, Vermögensdetails und proprietäre Handelsstrategien.
Mit der Wahl von Datenschutz nach Schweizer Standard und Drittanbietern mit Servern in der Schweiz, können Finanzunternehmen ihren Kunden zusichern, dass deren sensible Informationen vor den teuersten Datenschutzrisiken von heute geschützt sind.
BLEIBEN SIE INFORMIERT
Der Vorteil des vertrauenswürdigen Anbieters
Auch wenn der Schweizer Rechtsrahmen eine starke Grundlage für Datensicherheit bietet, entscheidet letztlich die Wahl des Technologiepartners darüber, wie diese Prinzipien umgesetzt werden. Für Finanzinstitute, die Cloud-Kommunikations- und Contact-Center-Lösungen evaluieren, sind die Infrastruktur, die Richtlinien und die rechtliche Stellung des Anbieters entscheidend.
Der Anfang liegt bei dedizierten europäischen Rechenzentren.
So bietet etwa Bucher + Suter private, gehostete Cloud-Lösungen an, die im alleinigen Eigentum der jeweiligen Kundenorganisationen stehen und ausschliesslich für sie betrieben werden. Das bedeutet: Die Daten unserer Kunden (und deren Kunden) verbleiben innerhalb europäischer Rechtsräume, sind vollständig konform mit den oben genannten Vorgaben zur Datensouveränität und vor dem Zugriff durch ausländische Gesetze wie den US CLOUD Act geschützt.
Neben der Erfüllung höchster Industriestandards – darunter HIPAA, DSGVO und ISO 270001 – ist Bucher + Suter nun auch im EU–US Data Privacy Framework gelistet. Das stellt sicher, dass die Daten unserer Kunden rechtskonform und sicher zwischen Europa und den USA übertragen werden.
In einer Zeit, die von regulatorischer Komplexität und neuen KI-getriebenen Risiken geprägt ist, ist der Auftrag für Finanzinstitute eindeutig: über die reine Einhaltung hinausgehen und echte digitale Resilienz aufbauen.
Eine vorausschauende Datenschutzstrategie, die auf den höchsten Prinzipien von Sicherheit und Datensouveränität basiert, ist nicht länger nur eine Massnahme des Risikomanagements. Sie bildet das Fundament dafür, dass das Vertrauen der Kundschaft – das wertvollste Gut überhaupt – unangreifbar bleibt.
Fragen zur Datenschutzstrategie Ihres Unternehmens im Hinblick auf Cloud-Kommunikation und Contact Center? → Kontaktieren Sie unser Expertenteam, um Optionen zu besprechen.
