Abschluss der Sachverhaltsabklärung zum Risikomanagement-System bei einem Finanzdienstleister

Das Verfahren zur Abklärung des Sachverhalts betreffend den Betrieb des Risikomanagement-Systems eines Finanzinstituts wurde im Berichtsjahr abgeschlossen. Sämtliche von uns ausgesprochenen Empfehlungen wurden angenommen.

Im Jahr 2012 hatten wir ein Verfahren eröffnet zur Feststellung des Sachverhalts im Zusammenhang mit dem Betrieb des Risikomanagement-Systems eines im internationalen Bereich tätigen Finanzinstituts. Am Ende der Sachverhaltsabklärung (vgl. unseren 20. Tätigkeitsbericht 2012/2013, Ziff. 1.8.7 und unseren 21. Tätigkeitsbericht 2013/2014, Ziff. 1.9.1) sind wir zu dem Schluss gelangt, dass die operative Umsetzung des genannten Systems den auf dem Bankenrecht beruhenden Verpflichtungen entspricht. Die Datenbearbeitung ist im vorliegenden Fall somit gerechtfertigt. Datenschutzrechtlich waren allerdings gewisse Unregelmässigkeiten festzustellen.

Diese betreffen insbesondere die fehlende Transparenz bei der Datenbearbeitung. Wir haben daher dem Finanzinstitut empfohlen, die Öffentlichkeit generell auf den Zweck und die Nutzung des Systems aufmerksam zu machen und die von einer Bearbeitung betroffenen Personen spezifisch zu informieren. Es muss zudem gewisse Änderungen am System vornehmen, um bei der Datenbearbeitung den Grundsatz der Verhältnismässigkeit in zeitlicher Hinsicht einzuhalten, d.h. für die Löschung der Daten nach einer gewissen Zeitspanne zu sorgen.

Unsere Empfehlungen wurden am 28. August 2014 angenommen. Der Schlussbericht befindet sich auf unserer Website (www.derbeauftragte.ch, Datenschutz - Handel und Wirtschaft - Finanzwesen).

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/abschluss-der-sachverhaltsabklaerung-zum-risikomanagement-system.html