Personendaten im Bankensektor- Rohstoff der Zukunft oder rechtliches Risiko?

11.06.2025 von Fokko Oldewurtel und Roman Meier

Im Mai 2021 hat die schweizerische Bankenvereinigung einen Leitfaden für Banken veröffentlicht. Der Praxisleitfaden zeigt auf, wie Banken Personendaten im täglichen Geschäft rechtskonform und sicher bearbeiten können. Vor dem Hintergrund des Datenschutzgesetzes (nachfolgend «DSG») greift der Leitfaden datenschutzrechtliche Grundlagen erneut auf und veranschaulicht durch die darin enthaltenen Anwendungsbeispiele den Umgang mit Daten im Geschäftsalltag von Bankmitarbeitenden. Zudem beleuchtet der Leitfaden die möglichen Chancen einer datenbasierten Strategie, macht aber auf allfällige datenschutzrechtliche Problemstellungen aufmerksam und dient den Banken somit als Orientierungshilfe.

Grundlagen

Klassifizierung von Daten

Im Leitfaden wird vor dem Hintergrund des Datenschutzgesetzes bei Daten zwischen drei verschiedenen Klassifizierungen unterschieden:

  1. Sachdaten: Daten, welche aufgrund ihres fehlenden Personenbezugs nicht individuellen Personen zugeordnet werden können. Zu dieser Gruppe sind auch die anonymisierten Daten hinzuzuzählen.

  2. Personendaten: Zu dieser Gruppe zahlen sämtliche Daten, welche einen Personenbezug aufweisen. Dazu gehören beispielsweise auch Transaktionsdaten oder Geodaten, da diese Rückschlüsse auf das Verhalten der Personen zulassen.

  3. Besonders schützenswerte Daten: Es handelt sich hierbei um ein durch den Gesetzgeber abstrakt und abschliessenden Katalog von Personendaten. Beispielsweise sind hier biometrische Daten und weltanschauliche Daten

Profiling

Das DSG definiert «Profiling» als jede Art der automatisierten Bearbeitung von Personendaten, bei der persönliche Aspekte einer natürlichen Person – wie etwa die Arbeitsleistung, wirtschaftliche Lage, Gesundheit oder persönliche Interessen  bewertet und mit anderen Daten verknüpft werden. Ziel ist es, bestimmte Merkmale oder Verhaltensweisen von Personen oder Personengruppen zu analysieren oder vorherzusagen, etwa im Rahmen zielgerichteter Marketingmassnahmen.

 Für Finanzinstitute ist insbesondere relevant, dass das neue DSG ein konzernweites Profiling zulässt, ohne dass Konzerngesellschaften als datenschutzrechtlich „Dritte“ gelten. Diese sogenannte Konzernprivilegierung  vereinfacht gruppeninterne Datenbearbeitungen. Einschränkend ist jedoch zu beachten, dass das Bankkundengeheimnis weiterhin zusätzliche Anforderungen an die Weitergabe und Bearbeitung von besonders schützenswerten Kundendaten stellen kann.

Neben dem «normalen» Profiling, sieht das DSG als Variante das Profiling mit hohem Risiko vor. Dieses liegt insbesondere dann vor, wenn die automatisierte Bewertung zu erheblichen Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person führen kann – etwa durch diskriminierende Entscheidungsprozesse oder tiefgreifende Eingriffe in die Privatsphäre. Die gesetzliche Abgrenzung zwischen „gewöhnlichem“ und risikobehaftetem Profiling bleibt jedoch vage, sodass eine differenzierte Einzelfallbeurteilung in der Praxis erforderlich ist.

Möchte ein Finanzdienstleister Profiling mit hohem Risiko vornehmen, ist zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Zudem müssen entsprechende Bearbeitungen durch geeignete technische und organisatorische Massnahmen (TOM) abgesichert werden, um das Risiko für die betroffenen Personen zu minimieren.

Rechtfertigungsformen

Wenn eine Bank in der Schweiz Daten bearbeiten möchte, kann sie dies in den meisten Fällen ohne Zustimmung des Kunden tun. Der Grund dafür ist, dass das Schweizer Datenschutzrecht für die Bearbeitung von Personendaten grundsätzlich keine Einwilligung oder andere gesetzliche Rechtfertigungsgründe verlangt, sofern keine Persönlichkeitsverletzung vorliegt bzw. droht.

Für den Fall einer Persönlichkeitsverletzung werden im DSG namentlich die folgenden Rechtfertigungsgrunde erwähnt:

  • Die Einwilligung der betroffenen Person,

  • ein überwiegendes privates oder öffentliches Interesse oder

  • eine gesetzliche Pflicht zur Datenbearbeitung.

Von einer drohenden Persönlichkeitsverletzung ist dann die Rede, wenn eine Verarbeitung gegen die Datenschutzgrundsätze verstösst. Dabei handelt es sich um die Gebote der Zweckbindung, Transparenz, Rechtsmässigkeit oder Verhältnismässigkeit.

Beispiel:

Die Bank erhebt vor dem Hintergrund ihrer vertraglichen Verpflichtung Kundendaten. In einem solchen Fall darf die Bank die Daten nur dann ohne Einwilligung der Kunden für anderweitige Zwecke weiterverwenden, wenn sich dafür eine andere Rechtfertigung findet. Einerseits wäre beispielsweise die Verwendung der Kundendaten zur Bekämpfung der Geldwäscherei erlaubt, weil die Bank dazu gesetzlich verpflichtet ist. Andererseits wäre ein rechtfertigendes überwiegendes privates Interesse zu bejahen, wenn die Bank ohne Einwilligung des Kunden die Personendaten zu dessen Einladung an ein Kundenevent verwendet.

Grundsätzlich gilt: Je höher das Risiko einer Datenbearbeitung für die betroffene Person ist, desto strenger sind die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung. Dabei wird zwischen der konkludenten und der ausdrücklichen Einwilligung differenziert.

  • Eine konkludente Einwilligung liegt vor, wenn die betroffene Person durch schlüssiges Verhalten der Bearbeitung ihrer Daten zustimmt – beispielsweise durch das aktive Nutzen eines Online-Dienstes, bei dem klar kommuniziert wurde, dass bestimmte Daten zu definierten Zwecken bearbeitet werden.

  • Eine ausdrückliche Einwilligung setzt eine bewusste und klare Willensäusserung voraus, etwa durch das Anklicken einer Checkbox mit entsprechendem Hinweistext oder eine digitale Signatur. Schriftlichkeit ist im Datenschutzrecht nicht zwingend erforderlich – entscheidend ist die Dokumentierbarkeit.

Bei einsprechender Vertragsarchitektur und transparenter Informationen ist eine ausdrückliche Einwilligung somit auf digitalem Weg (z.B. durch das Anklicken eines entsprechenden Buttons) oder durch «Allgemeine Geschäftsbedingungen» (AGB) zu erreichen.

Technische und organisatorische Massnahmen (TOM)

Technische und organisatorische Massnahmen (nachfolgend: «TOM») dienen der Einhaltung der gesetzlichen Pflichten in Bezug auf den Datenschutz. Ziel ist es, die gesetzlichen Vorgaben, insbesondere die Grundsätze der Datenbearbeitung (Zweckbindung, Verhältnismässigkeit, Transparenz und Rechtmässigkeit), effektiv umzusetzen.

Die TOM-Vorgaben ermöglichen es den Besonderheiten der Bank in Bezug auf deren Aufbau und Ablauforganisation Rechnung zu tragen. Die TOM-Vorgaben orientieren sich an dynamischen und der dem Wandel der Zeit unterworfenen Parametern wie namentlich den Regeln der Berufskunde, dem Stand der Technik sowie Branchenstandards oder Usanzen. Folglich ist es vor dem Hintergrund der neu eingeführten Prinzipien «Privacy by Design» und «Privacy by Default» essenziell die TOM-Vorgaben regelmässig auf ihre Eignung, Wirksamkeit, Aktualität und Angemessenheit zu überprüfen. Damit die Bearbeitungsgrundsätze Zweckbindung, Transparenz, Rechtmässigkeit und Verhältnismässigkeit eingehalten werden, muss die Datenbearbeitung in technischer und organisatorischer Hinsicht entsprechend ausgestaltet sein.

Als Beispiel für technische und organisatorische Massnahmen werden die folgenden drei Massnahmen genannt:

  • Anonymisierung: Durch die Anonymisierung von Daten werden die Merkmale der Daten, welche Rückschlüsse auf eine Person zulassen (wie bspw. der Name und andere Identifikationsmerkmale), unwiederbringlich und irreversibel verändert. Erfolgt die Anonymisierung erfolgreich, sind die Daten keine Personendaten mehr.

  • Pseudonymisierung: Im Unterschied zur Anonymisierung bleibt bei der Pseudonymisierung ein Personenbezug potenziell erhalten – jedoch nur über eine gesondert gespeicherte Zuordnungsregel (z. B. einen Schlüssel). Ohne diesen Schlüssel ist eine Identifikation nicht möglich. Für den Datenempfänger bleiben pseudonymisierte Daten anonym; für den Datenverantwortlichen hingegen sind sie grundsätzlich wieder einer Person zuordenbar. Deshalb gelten pseudonymisierte Daten weiterhin als Personendaten, sofern der Zugriff auf den Schlüssel möglich ist.

  • Verschlüsselung: Bei der Verschlüsselung hingegen werden die ganzen personenbezogen Daten und nicht nur die einzelnen Merkmale durch einen Schlüssel in einen sozusagen «geheimen Text» umgewandelt. Auch hier sind die Personendaten nur durch einen entsprechenden Schlüssel lesbar. Die Bank sollte die Kontrolle über den Schlüssel behalten und ihn von unberechtigtem Zugriff schützen. Entsprechend ist es essenziell bei der Wahl der Stärke des Verschlüsselungsschlüssels sowie dem Verschlüsselungsverfahren die aktuellen Sicherheitsstandards als heranzuziehen. Unter dem Strich kann hierbei von einer Anwendungsform der Pseudonymisierung gesprochen werden.

KI – Governance

Der Einsatz von Künstlicher Intelligenz (nachfolgend: «KI») im Rahmen der Bearbeitung von Personendaten erfordert besondere Sorgfalt und Aufmerksamkeit. Um den gesetzlichen Anforderungen des Datenschutzgesetzes gerecht zu werden, sind folgende Grundprinzipien verbindlich einzuhalten:

  • die verwendeten Datensätze müssen eine hohe Qualität und Differenziertheit aufweisen.

  • Bei Prozessen, welche auf KI basieren, ist der Fokus auf Transparenz und Nachvollzierbarkeit zu setzen.

  • Für Mitarbeitende ist eine entsprechende KI-Schulung vorzusehen, damit sie im Umgang mit der KI ausgebildet und so im gegebenen Fall beurteilen können, ob in einen der Prozesse eingegriffen werden muss.

Beim Einsatz von Künstlicher Intelligenz (KI) ist neben der allgemeinen Informationspflicht zu prüfen, ob zusätzliche Hinweise gegenüber Kundinnen und Kunden erforderlich sind – etwa gestützt auf den Transparenzgrundsatz und das besondere Vertrauensverhältnis im Bankwesen. Eine klare und frühzeitige Information kann Reputationsrisiken wirksam minimieren.

Entscheidungen, die durch KI vorbereitet werden, sollten grundsätzlich von Mitarbeitenden überprüft werden. Erfolgen Entscheidungen vollständig automatisiert, handelt es sich um automatisierte Einzelentscheidungen im Sinne von Art. 21 DSG. In solchen Fällen sind die Betroffenen zu informieren und erhalten ein Recht auf menschliches Eingreifen.

Kommt es zu einer Weitergabe von Daten an Dritte – etwa bei externer KI-Nutzung – ist zudem das Bankkundengeheimnis (Art. 47 BankG) zu wahren.

Anwendungsfälle

Nutzung von künstlicher Intelligenz für Compliance-Zwecke

Die Banken sind zum Zweck der Bekämpfung der Geldwäscherei und der Terrorfinanzierung dazu angehalten grosse Mengen an Kundendaten zu analysieren. Um die schiere Datenmenge nachhaltiger und effizienter zu analysieren, können die Banken den Einsatz von KI vorsehen. Die Vorteile beim Einsatz von Künstlicher Intelligenz liegen insbesondere in deren Lernfähigkeit und Geschwindigkeit. Anwendungsmöglichkeiten sind sowohl im Onboarding und Know your Custumor (KYC) als auch bei der Transaktionsüberwachung denkbar. Rechtliche Fragestellungen sind vornehmlich in Bezug auf die jeweilige Anwendbarkeit der KI und der damit verbundenen Risiken für die Bank festzustellen. Folglich ist eine entsprechende Dokumentierung, welche TOM’s im konkreten Fall angemessen sind, notwendig. Dies gilt umso mehr, wenn es sich um besonders schützenswerte Personendaten handelt oder Profiling darstellt. Da bei ausschliesslich automatisierten Entscheiden Art. 21 nDSG zur Anwendung kommt, ist es sinnvoll, dass dem involvierten Bankmitarbeiter Entscheidungskompetenzen eingeräumt werden. Dies hat zur Folge, dass es sich eben gerade nicht mehr um einen vollautomatisierten Entscheid handelt, worauf die Anwendung von Art. 21 nDSG entfällt.

Kreditprüfung

Bei der Kreditprüfung bearbeiten Banken verifizierte Personendaten, um die Bonität potenzieller Kreditnehmer zu beurteilen. Ziel ist es, Kreditrisiken frühzeitig zu erkennen und gezielt zu steuern. Während bei Unternehmen die Kreditprüfung oft durch öffentlich einsehbare Informationen herangezogen werden, müssen bei Privatpersonen teilweise zusätzlich Daten bei Dritten (wie Auskunfteien) eingeholt werden. In beiden Fällen gilt: Die Qualität der verwendeten Daten ist entscheidend. Entsprechend sollte die Bank bei Unsicherheiten an der Qualität (z.B. Herkunft der Daten) im Kreditprüfungsprozess auf deren Verwendung verzichten. Allgemein sollte die Bank den Grad der Datenqualität sowie der Datenherkunft transparent und verständlich kommunizieren. Dies umfasst auch eine Beschreibung der verwendeten Datenquellen.

Bei Unsicherheiten über die Herkunft oder Verlässlichkeit der Daten sollte die Bank im Rahmen der Kreditprüfung auf deren Verwendung verzichten. Ein bewusster Umgang mit zweifelhaften Datenquellen ist nicht nur aus Datenschutzsicht wichtig, sondern auch zur Vermeidung von Fehleinschätzungen im Kreditrisiko.

Banken sollten deshalb den Grad der Datenqualität und die Herkunft der verwendeten Informationen klar und verständlich kommunizieren. Dies umfasst auch eine transparente Beschreibung der genutzten Datenquellen, insbesondere gegenüber Privatkunden.

Trendanalysen und Benchmarking

Trendanalysen und Benchmarking sind für Banken ein zentrales Mittel, um frühzeitig auf verändernde Kundenbedürfnisse reagieren zu können und sich entsprechend im Markt zu positionieren. Datenschutzrechtlich ist jedoch sicherzustellen, dass solche Analysen auf einer klaren Rechtsgrundlage erfolgen. Dies betrifft sowohl die Rechtmässigkeit der Verarbeitung als auch die Transparenz gegenüber betroffenen Personen.

Ein zentrales Element ist dabei der Einsatz technischer und organisatorischer Massnahmen (TOM). Diese müssen so ausgestaltet sein, dass insbesondere bei der Anonymisierung oder Aggregierung von Personendaten eine Rückverfolgung auf einzelne Personen ausgeschlossen ist. Nur so kann sichergestellt werden, dass die Grundsätze der Zweckbindung, Verhältnismässigkeit und Datensicherheit eingehalten werden. Gemäss dem Leitfaden sind Trendanalysen und Benchmarking sodann nachvollzierbar zu gestalten. In Bezug auf die Zusammensetzung der Datensätze und der damit einhergehenden Methoden der Datenverarbeitung wird zudem eine kurze und nachvollziehbare Information empfohlen.

Biometrische Authentifizierung

Im Bankensektor gewinnen biometrische Authentifizierungsverfahren zunehmend an Bedeutung. Zu den gängigen Methoden zählen der Fingerabdruck, die Gesichtserkennung sowie die Stimm- und Spracherkennung. Bei biometrischen Daten handelt es sich naturgemäss um Personendaten, die den Rückschluss auf eine bestimmte Person zulassen.

Im Gegensatz zum Fingerabdruck und der Gesichtserkennung, welche im Regelfall auf den kundeneigenen Mobiltelefonen stattfindet und bei welchen durch die Bank selbst keine Datenspeicherung erfolgt, sind für die Bank bei der Stimm- und Spracherkennung im Zuge der Speicherung dieser biometrischen Daten relevanten Vorschriften des DSG anwendbar und müssen entsprechend eingehalten werden. Folglich sind dem Kunden beispielsweise das Recht auf Einsicht, Recht auf Korrektur sowie auch das Recht auf Löschung der Daten zu gewähren. Es gilt sodann neben den datenschutzrechtlichen Anforderungen auch das Bankgeheimnis sowie die von der FINMA präzisierten Vorschriften zum Umgang mit Kundenidentifikationsdaten (CID) gemäss dem FINMA-Rundschreiben 08/21 «operationelle Risiken – Banken»- zu beachten. Auch hier gilt schlussendlich für eine Bank, dass sie durch eine nachvollziehbare und transparente Kommunikation Reputationsrisiken zuvorkommen und gleichzeitig bei den Kunden vorherrschenden Hemmschwellen abbauen kann.

Personalisierte Angebote und Beratung

Eine den individuellen Bedürfnissen des Kunden angepasste und zielgerichtete Beratung bedingt eine entsprechende Abklärung durch die Bank bezüglich der Interessen, der gelebten Werte und der Lebensumstände des Kunden. Eine solche Datenerhebung erfolgt heutzutage durch automatisierte Datenanalysen umfassender, effizienter sowie präziser. Es ist beispielsweise möglich, durch im vornherein erhobene Kundepräferenzen beim Kunden spezifische Produkte - z.B. ein neues Anlageprodukt der Bank - gezielt zu Bewerben.

Die Datenanalyse ist immer dann ohne Weiteres zulässig, wenn die folgenden Voraussetzungen kumulativ erfüllt sind:

  • Die Daten, auf welchen die Analyse basiert wurden vom Kunden selbst zur Verfügung gestellt bzw. mit Wissen des Kunden bei Dritten erhoben.

  • Zudem müssen die Daten im Zusammenhang mit einer für die Bank typischen Tätigkeit (Konto- und Zahlungsverkehr, Finanzierungsgeschäfte und Anlagegeschäft) erhoben werden.

Basierend auf der datenschutzrechtlichen Pflicht zur Zweckbindung und der Verhältnismässigkeit sowie dem Grundsatz von Treu und Glauben muss die Bank prüfen, ob bezüglich der Nutzung der Daten zu Marketing Zwecken Transparenz geschaffen werden muss, wenn die Bank die Erhebung der Daten ausserhalb ihrer typischen Banktätigkeit vorgenommen hat.

Loyalitätsprogramme

Loyalitätsprogramme zielen darauf ab, die Kundenbindung langfristig zu stärken, beispielsweise durch Cashback-Angebote, Prämien bei Weiterempfehlungen oder Vorteile beim Abschluss neuer Produkte. Datenschutzrechtlich sind solche Programme kritisch zu beurteilen, wenn die Personendaten für Zwecke verwendet werden, die nicht dem ursprünglichen Bearbeitungszweck (z. B. Kontoführung oder Vermögensverwaltung) entsprechen. Insbesondere die Verwendung zur Bewerbung von Produkten Dritter stellt eine Zweckänderung dar, die nur unter bestimmten Voraussetzungen zulässig ist. Vor dem Beitritt zu einem personalisierten Loyalitätsprogramm muss die Bank die Kundschaft vollumfänglich, klar und verständlich informieren. Idealerweise erfolgt diese Information bereits im Rahmen der Kontoeröffnung, sodass der Kunde weiss, dass seine Daten auch zu personalisierter Werbung für Drittprodukte verwendet und Dritten offengelegt werden können. Wiederum muss auch in diesem Zusammenhang neben den Informationspflichten das Bankkundegeheimnis gewahrt werden und allfällig eine Einwilligung für die Weitergabe der Daten an Dritte eingeholt werden. Eine frühzeitige und transparente Kommunikation über Datenverwendungen schafft nicht nur rechtliche Sicherheit, sondern fördert auch das Vertrauen zwischen Bank und Kundschaft – ein zentraler Erfolgsfaktor im digitalen Banking.

Ratgeber Weitere Themen

Alle Themen anzeigen
Kontakt

Schildere uns Deinen Fall. Unsere Datenschutzexpert*innen beraten Dich gerne!

Christian Mitscherlich, MLaw, Rechtsanwalt, Partner

subscribe

Melde Dich für unseren Newsletter an, um auf dem Laufenden zu bleiben!

datenschutz.law logo

Domenig & Partner
Rechtsanwälte AG
Laupenstrasse 1
Postfach
CH-3001 Bern

Tel: +41 31 380 11 00
Fax: +41 31 380 11 09

datenschutz@domenig.law
www.domenig.law

Beiträge

Gesetzgebungen

Behördeninformationen

Rechtsprechung

Ratgeber

News

Ratgeber

Datenschutz Schweiz

Datenschutz Unternehmen

Datenschutz online

Die Personendaten

Datenschutz international

Glossar

News

Gesetze

Beratung

Datenschutzerklärung

Impressum