22.11.2010 – 14:46

Hammer Hosig Herzog & Associates AG

Datensicherheit ist Chefsache, nicht nur im Schadensfall

Zürich (ots)

Viele Unternehmensverantwortliche sind sich ihrer
Verantwortung und Haftung im Zusammen¬hang mit Daten- und 
Informationssicherheit nicht bewusst. Dabei können die Konsequenzen 
eines "Datendiebstahls" für die Bank straf-, verwaltungs- und 
zivilrechtlicher Natur sein und somit auch die 
Unternehmensverantwortlichen treffen. Damit die Datensicherheit nicht
erst im Schadensfall zur Chefsache wird, sollte ein Verwaltungsrat 
und die Geschäftsführung sich seiner Aufgaben und Bedeutung bewusst 
sein.

Jede Bank - und somit auch der jeweils verantwortliche Mitarbeiter
- hat die Aufgabe, im Bereich der Informations- und Datensicherheit 
aktiv möglichen Risiken wie "Datendiebstahl" oder anderen 
Notfallsituationen entgegenzuwirken. Dies muss durch organisatorische
und technische Massnahmen sowie datenschutzrechtlich erforderliche 
Massnahmen geschehen. Vielen Unternehmensverantwortlichen - gleich ob
Verwaltungsrat, Geschäftsführer oder angestellter IT-Administrator - 
sind aber Inhalt und Umfang ihrer Verantwortung und damit ihrer 
Haftung gegenüber ihren Unternehmen bzw. Dritten nicht bewusst.
Die Folgen des "Datendiebstahls" treffen neben dem Kunden auch die 
Bank, und zwar mit möglichen straf-, verwaltungs- und 
zivilrechtlichen Konsequenzen, ganz zu schweigen von den damit 
verbundenen Reputationsschäden. Hierunter sind Image- und 
Glaubwürdigkeitsschäden zu verstehen, die eine Folge des 
Vertrauensverlustes der Kunden sind. Durch den unzureichenden Schutz 
der Privatsphäre bzw. einer verspäteten Benachrichtigung über den 
Missbrauch von Bankkundendaten sehen Kunden ihre Interessen nicht 
gewahrt. Dies führt in dem entstehenden Teufelskreis dazu, dass die 
Geschäftsbeziehungen zwischen der Bank und den Kunden beendet werden.
Damit wird wiederum Kundenvermögen abgezogen, womit sich die 
operativen Erträge eines Institutes verringern. Dies ist die Folge 
davon, dass die Kundendaten in den Augen des Kunden unsicher 
aufbewahrt wurden. Damit verliert die Bank gegenüber Ihren Kunden an 
Glaubwürdigkeit, die Kundeninteressen (Schutz der Privatsphäre) auch 
in Zukunft zu wahren. Einen weiteren Faktor bilden die 
verwaltungsrechtlichen Konsequenzen. Dies können insbesondere 
Sonderuntersuchungen des Eidgenössischen Datenschutzbeauftragten und 
der Eidgenössische Finanzmarktaufsicht (FINMA) sowie entsprechende 
Bussen sein. Bei einer unzureichenden Organisation hat die FINMA 
sogar die Kompetenz, der Bank die Bewilligung nach dem Bankengesetz 
(BankG) zu entziehen. Gegenstand der Untersuchungen werden 
strafbewehrte Verletzungen des Bankgeheimnisses (Art. 47 BankG) sein.
Bereits das Ausserachtlassen der erforderlichen Sorgfalt im 
Zusammenhang mit dem Bankgeheimnis kann mit einer Busse von bis zu 
250'000 Franken bestraft werden. Zivilrechtlich kann der Kunde 
Ansprüche geltend machen, die von der Vertragsauflösung bis hin zum 
Schadenersatz wegen Vertragsverletzung oder unerlaubter Handlung 
reichen. Auslöser solcher Ansprüche kann die Pflicht der Bank zur 
Information des Kunden über den "Datenklau" sein.
Vorsorge ist Chefsache
Nicht "nur" die rechtlichen Konsequenzen, auch der drohende 
wirtschaftliche Schaden und die mit der Datenschutzverletzung 
verbundenen Reputationsschäden führen dazu, dass eine entsprechende 
Vorsorge zur Chefsache zu erklären ist. Ebenso verpflichten bereits 
das Datenschutzgesetz und die Organisationsvorschriften für Banken 
und Sparkassen die Unternehmensleitung dazu, Bankkundendaten zu 
sichern.
Die Geschäftsleitung hat die Pflicht, das Tagesgeschäft 
ordnungsgemäss auszuüben und damit die gesetzlichen Pflichten zur 
Datensicherheit nach dem Datenschutzgesetz (Art. 7 DSG) und gemäss 
anderen bankenspezifischen Vorgaben zu erfüllen. So müssen 
Personendaten durch angemessene technische und organisatorische 
Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die 
entsprechenden Mindestanforderungen hat der Gesetzgeber in den Art. 8
bis 12 der Verordnung zum Datenschutzgesetz (VDSG) aufgestellt.
Den Verwaltungsrat einer Bank trifft zwar nicht die Pflicht zur 
Geschäftsführung, ihm verbleiben aber die Pflichten nach Art. 716a 
des Obligationenrechts. So ist er unter anderem für die Oberleitung 
der Bank verantwortlich. Damit ist die strategische Führung des 
Unternehmens und der Geschäftstätigkeiten gemeint. Somit ist der 
Verwaltungsrat auch für die Informationsstrategie, welche auch die 
Datensicherheit beinhaltet, verantwortlich. Fehlen ihm diesbezüglich 
die Fachkenntnisse, ist er verpflichtet, Berater hinzuzuziehen. Die 
Pflicht zur Organisation und Oberaufsicht heisst auch, dass ein 
zweckmässiges System zur Berichterstattung eingerichtet sein muss, 
über das sich der Verwaltungsrat bezüglich der Umsetzung seiner 
Vorgaben informieren kann.
Datensicherheit wird in der Regel vernachlässigt
Der Grossteil der Führungskräfte misst der Daten- bzw. 
Informationssicherheit zwar eine wichtige Rolle im Unternehmen bei, 
jedoch befassen sich die wenigsten umfassend mit dem Thema und 
vernachlässigen dieses bei der Prioritätensetzung. Risikovermeidung, 
Schadensvorbeugung und die entsprechenden Massnahmen sollten jedoch 
für jeden, der für Kundendaten Verantwortung trägt, ein prioritär zu 
behandelndes Thema sein - sowohl im Interesse des Kunden, des 
Unternehmens als auch aus Eigeninteresse im Hinblick auf eine 
mögliche persönliche Inanspruchnahme.
Durch eine Investition in die Datensicherheit erhöht sich nicht nur 
die Sicherheit vor künftigen Datenschutzverletzungen, sondern es 
verbessert zugleich auch die Reputation der Bank am Markt. Ein 
Institut trägt soziale Verantwortung, die als Teil der Corporate 
Governance anzusehen ist. So gilt es auch für eine Bank, 
Datensicherheit herzustellen und wirksame 
Datenschutzprogramme/Verhaltensrichtlinien zu kommunizieren, zu 
verbreiten und durchzusetzen sowie das Risikobewusstsein der 
Mitarbeiter zu fördern, um das Vertrauen der Kunden zu gewinnen. Dies
führt zu einer Stärkung der Kundenbeziehungen und Wettbewerbsposition
des Finanzinstitutes.
Ein effektives Management von Bankkundendaten soll also nicht nur 
eine Pflicht sein und sich auf den Mindestanforderungen an 
Datenschutz und Sicherheit ausruhen. Vielmehr müssen diese Massnahmen
auch angemessen und demnach aktuell sein. Ein Geschäftsführer oder 
Verwaltungsrat muss folglich in der Lage sein, die Frage zu 
beantworten, was für seine Bank ein angemessener Schutz ist.
Jeder Verantwortliche sollte sich daher einige Fragen stellen:
-	Was hat mein Unternehmen, was habe ich aus den Missbrauchsskandalen
von Bankkundendaten gelernt?
-	Wurden Sicherungsmassnahmen eingeführt?
-	Hat die Unternehmensleitung ihre eigene Verantwortlichkeit dafür 
überhaupt erkannt?
-	Wird versucht, das Risiko Mensch zu bewältigen?

Mittels einer Studie zur Informations- und Datensicherheit in 
Schweizer Banken - durchgeführt von der Unternehmensberatung Hammer 
Hosig Herzog & Associates AG - werden erste Lehren der 
Bankenlandschaft aus dem Missbrauch der Bankkundendaten in 
Liechtenstein und der Schweiz gezogen.
Hammer Hosig Herzog & Associates AG ist eine Schweizer 
Unternehmensberatung mit Fokussierung auf Business Consulting für 
Finanzdienstleistungsunternehmen. Ihr Themen-Portfolio umfasst die 
Competence Center Client Facing Solutions, Risk Management & 
Compliance sowie Business Performance Management.

Kontakt:

Hammer Hosig Herzog & Associates AG
Patrick Gregorkiewicz
Seestrasse 520
CH-8038 Zürich
Tel. +41 (0)44 480 12 00
Fax +41 (0)44 480 12 06
E-Mail pgregorkiewicz@hhh-associates.com
Internet www.hhh-associates.com