Wie man den Datenschutz im Wealth Management aufrechterhält

Der Datenschutz hat sich von den Checklisten für die Einhaltung der Vorschriften im Backoffice zu den Strategiediskussionen in den Vorstandsetagen entwickelt. Vorschriften wie die Allgemeine Datenschutzverordnung, das revidierte Schweizer Bundesgesetz über den Datenschutz, das im September 2023 in Kraft tritt, die SEC-Verordnung S-P und die FINRA-Vorschriften schreiben nun ausdrücklich vor, wie Vermögensverwaltungsfirmen mit Kundendaten umgehen. Vermögensverwalter verfügen über einige der sensibelsten Daten in der Finanzdienstleistungsbranche, darunter KYC-Dateien, Steuerdokumente, Portfolioauszüge und detaillierte Familienstrukturen, was sie zu bevorzugten Zielen für Cyberangriffe und ausgeklügelte Datenschutzverletzungen macht. Dieser Artikel bietet einen praktischen Rahmen, den Banken, Privatbanken und externe Vermögensverwalter in den nächsten 12 Monaten anwenden können, um den Datenschutz in den Bereichen Governance, technische Kontrollen und Mitarbeiterverhalten zu stärken.

Wichtigste Erkenntnisse

• Der Datenschutz in der Vermögensverwaltung ist heute ein Thema für die Geschäftsleitung, angetrieben durch Vorschriften wie GDPR, Swiss FADP 2023, SEC Reg S-P und FINRA-Regeln, die erhebliche Strafen nach sich ziehen.
• Vermögensverwalter verwalten äußerst sensible Kundendaten wie Reisepässe, Adressnachweise, Unterlagen über die Herkunft des Vermögens und Portfoliopositionen, die bei einer Verletzung ganze Familienstrukturen offenlegen können.
• Ein wirksamer Datenschutz setzt sich aus einem Governance-Rahmen, technischen Kontrollen wie Verschlüsselung und rollenbasiertem Zugriff sowie einem konsequenten Verhalten der Mitarbeiter zusammen, anstatt sich ausschließlich auf Cybersicherheits-Tools zu verlassen.
• Das Hosting in der Schweiz und die Vor-Ort-Installationen von InvestGlass helfen Finanzinstituten, die Datensouveränität zu bewahren und grenzüberschreitende Datenschutzrisiken zu reduzieren.
• Der praktische Rahmen in diesem Artikel befasst sich mit Dateninventaren, Datenschutz-Folgenabschätzungen, technischen Sicherheitsvorkehrungen, Reaktionen auf Vorfälle und laufenden Mitarbeiterschulungen, die Unternehmen systematisch umsetzen können.

Warum der Datenschutz im Wealth Management strategisch geworden ist

Ab 2020 wird die Beschleunigung der digitales Onboarding hat die Art und Weise verändert, wie Vermögensverwaltungsfirmen persönliche Daten erfassen und speichern. Die Verlagerung auf die Fernbetreuung von Kunden während der Pandemie zwang die Berater dazu, Pässe, Adressnachweise und Unterlagen über die Herkunft des Vermögens über digitale Kanäle in noch nie dagewesenem Umfang zu erfassen. Parallel zu diesem digitalen Wandel haben Aufsichtsbehörden weltweit einen starken Anstieg von Datenschutzverletzungen im Finanzsektor gemeldet, wobei die Cyber-Bedrohungen in der Vermögensverwaltung zwischen 2020 und 2024 um rund 300 Prozent zunehmen werden.

Vermögensverwalter speichern heute routinemäßig sensible Dokumente, die weit über die grundlegenden Kontodaten hinausgehen. Dazu gehören vollständige Ausweisdokumente, detaillierte Anlagepositionen, Risikoprofile, Informationen über den steuerlichen Wohnsitz und Kommunikationshistorien, die Aufschluss über Familienstrukturen, Geschäftsinteressen und bedeutende Vermögenswerte geben können. Wenn diese sensiblen Informationen in die falschen Hände geraten, können Identitätsdiebe Betrug begehen, auf Finanzkonten zugreifen oder Kunden für Social-Engineering-Angriffe ins Visier nehmen.

Datenschutzverstöße haben Konsequenzen, die weit über Bußgelder hinausgehen. Untersuchungen zeigen, dass 71 Prozent der vermögenden Privatpersonen nach einem Datenschutzverstoß ihren Finanzberater wechseln würden, was für jedes Vermögensverwaltungsunternehmen ein massives Abwanderungspotenzial bedeutet. Reputationsschäden können zum Verlust grenzüberschreitender Geschäftslizenzen, zum Entzug institutioneller Partnerschaften und zur dauerhaften Beeinträchtigung des Rufs des Unternehmens auf Wettbewerbsmärkten führen.

Konkrete rechtliche Rahmenbedingungen erlegen nun ausdrückliche Datenschutzverpflichtungen auf. Die Datenschutz-Grundverordnung verlangt eine Einwilligung, die Durchsetzung der Rechte der Betroffenen und 72-Stunden-Meldungen bei Datenschutzverletzungen, wobei die Strafen bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen können. Das revidierte Schweizer Bundesgesetz über den Datenschutz orientiert sich eng an den Grundsätzen der GDPR, wobei die Schweizer Rechtstraditionen beibehalten werden. Die SEC-Verordnung S-P und die FINRA-Vorschriften schaffen zusätzliche Compliance-Ebenen für Firmen, die US-Kunden bedienen. Hohe Bußgelder aus der Durchsetzung der DSGVO, die sich bis Anfang 2025 auf 2,7 Milliarden Euro beliefen, wovon 20 Prozent auf den Finanzsektor entfielen, zeigen, dass die Durchsetzung des Datenschutzes mittlerweile Routine und nicht mehr nur Theorie ist.

Verständnis des Datenschutzes im Kontext der Vermögensverwaltung

Beim Datenschutz in der Vermögensverwaltung geht es darum, wie die Unternehmen entscheiden, welche Kundendaten sie sammeln, warum sie sie sammeln, wo sie sie speichern und wer Zugang zu ihnen erhält. Im Gegensatz zu allgemeinen Verbrauchergeschäften stehen Vermögensverwalter unter verschärfter Beobachtung, da sie personenbezogene Daten in Kombination mit detaillierten Finanzdaten verarbeiten, die den Kunden bei Missbrauch erheblichen Schaden zufügen könnten.

Datenschutz und Sicherheit dienen unterschiedlichen, aber sich ergänzenden Zwecken. Der Datenschutz regelt die rechtmäßige, faire und minimale Nutzung von Kundendaten und stellt sicher, dass die Unternehmen nur das sammeln, was sie brauchen, und es nur für die angegebenen Zwecke verwenden. Die Sicherheit konzentriert sich auf den Schutz sensibler Kundendaten vor unbefugtem Zugriff durch technische Kontrollen wie Verschlüsselung und Zugangsverwaltung. Eine Firma kann eine ausgezeichnete Sicherheit, aber schlechte Datenschutzpraktiken haben, wenn sie übermäßig viele Daten ohne angemessene Begründung sammelt oder Informationen unangemessen weitergibt.

Zu den wichtigsten Kategorien persönlicher und finanzieller Daten, die von Vermögensverwaltern gespeichert werden, gehören:

Daten-Kategorie	Beispiele
Identifizierung	Reisepässe, nationale Personalausweise, Adressnachweise
Finanzielle Konten	Kontonummern, Portfoliopositionen, Transaktionsverlauf
Risiko und Eignung	Risikoprofile, Anlageziele, Zeithorizonte
Steuerliche Informationen	Status der steuerlichen Ansässigkeit, Steuerunterlagen, Meldeformulare
Aufzeichnungen zur Kommunikation	E-Mails, Besprechungsnotizen, aufgezeichnete Anrufe
Verhaltensbasierte Daten	Portalnutzungsmuster, Präferenzen, Service-Interaktionen

Die grenzüberschreitende Vermögensverwaltung führt zu sich überschneidenden Datenschutzverpflichtungen, die bewusst angegangen werden müssen. Eine Schweizer Firma, die in der EU ansässige Personen betreut, muss sowohl das Schweizer DSG als auch die DSGVO einhalten und dabei potenziell widersprüchliche Anforderungen in Bezug auf Datenübertragungen, Kundenrechte und Fristen für die Meldung von Datenschutzverletzungen beachten. Unternehmen, die in Asien tätig sind, sehen sich mit zusätzlicher Komplexität durch das PDPA in Singapur und die PDPO in Hongkong konfrontiert, die jeweils unterschiedliche Anforderungen an die Einwilligung und Aufbewahrung von Daten stellen.

InvestGlass hilft bei der Strukturierung von Datenmodellen und -feldern, so dass persönlich identifizierbare Informationen und sensible Finanzattribute in allen CRM- und Portfoliomanagement-Tools einheitlich gekennzeichnet werden. Diese konsistente Klassifizierung ermöglicht es Unternehmen, Datenschutzregeln systematisch anzuwenden, anstatt sich auf die manuelle Beurteilung jedes einzelnen Kundendatensatzes zu verlassen.

Grundprinzipien für die Wahrung des Datenschutzes von Kunden

Ein klarer Satz von Grundsätzen dient als Leitfaden für die täglichen Datenschutzentscheidungen der Beratungs-, Compliance- und IT-Teams. Diese Grundsätze übersetzen die regulatorischen Anforderungen in praktische Leitlinien, die von Kundenbetreuern und operativen Mitarbeitern konsequent befolgt werden können.

Minimierung der Datenmenge verlangt von den Unternehmen, dass sie nur die Informationen sammeln, die für die Eignungsregeln, die KYC-Anforderungen und die Anlageberatung erforderlich sind. Vermögensverwalter sollten es vermeiden, beiläufige Notizen zu machen, die irrelevante persönliche Details über die Familie, den Gesundheitszustand oder persönliche Beziehungen der Kunden erfassen, sofern sie nicht unmittelbar für die Finanzplanung relevant sind. Jeder zusätzliche Datenpunkt stellt ein zusätzliches Risiko dar, wenn das Computersystem kompromittiert wird.

Zweckbindung bedeutet, dass für jede Datenkategorie dokumentiert wird, warum sie erhoben wird und wie sie verwendet wird. Eine Firma könnte Unterlagen über die Herkunft von Vermögenswerten für Überprüfungen zur Bekämpfung von Geldwäsche, Fragebögen zur Risikotoleranz für die Beurteilung der Eignung und Informationen über die steuerliche Ansässigkeit für aufsichtsrechtliche Meldungen sammeln. Wenn Daten für einen bestimmten Zweck erhoben werden, können sie für einen anderen Zweck verwendet werden, z. B. für Marketing Kampagnen, erfordert eine gesonderte Begründung und oft die ausdrückliche Zustimmung des Kunden.

Beschränkung der Speicherung müssen Aufbewahrungsfristen festgelegt und konsequent durchgesetzt werden. Typische Aufbewahrungsfristen in der Schweiz und in der EU liegen zwischen fünf und zehn Jahren, je nach Art der Daten und den gesetzlichen Anforderungen. Nach Ablauf der Aufbewahrungsfristen sollten die Unternehmen eine automatische Löschung vornehmen, anstatt sensible Daten auf unbestimmte Zeit in Archiven anzusammeln, die möglicherweise keine aktuellen Sicherheitskontrollen aufweisen.

Transparenz und Kundenrechte sicherzustellen, dass die Kunden verstehen, wie ihre Daten verwendet werden, und dass sie ihre Rechte nach geltendem Recht ausüben können. In vielen Rechtsordnungen können Kunden den Zugang zu ihren Daten, die Berichtigung von Ungenauigkeiten und die Löschung von nicht mehr benötigten Informationen verlangen. Vermögensverwalter sollten bei der Aufnahme ihrer Tätigkeit klare Datenschutzhinweise geben und Selbstbedienungsportale anbieten, in denen die Kunden ihre Einstellungen überprüfen und verwalten können.

InvestGlass-Workflows und Prüfprotokolle können diese Prinzipien beim Onboarding, bei Portfolioüberprüfungen und Marketingkampagnen durchsetzen. Automatisierte Regeln können Datenerhebungen kennzeichnen, die definierte Parameter überschreiten, Zustimmungsanfragen durch die richtigen Genehmigungskanäle leiten und Retentionsprüfungen auslösen, wenn Kundenbeziehungen enden.

Entwurf eines praktischen Datenschutz-Governance-Rahmens

Durch Governance werden abstrakte Grundsätze in klare Verantwortlichkeiten, Richtlinien und regelmäßige Überprüfungen umgesetzt. Ohne formale Governance-Strukturen hängt der Datenschutz von individuellen Einschätzungen und einer uneinheitlichen Durchsetzung in den Teams ab.

Ernennung eines Datenschutzbeauftragten oder eines Verantwortlichen für den Datenschutz sorgt auch in mittelgroßen Unternehmen für Verantwortlichkeit. Diese Person sollte die Koordination zwischen der Rechtsabteilung, der IT-Abteilung, der Compliance-Abteilung und den Front-Office-Teams übernehmen, um sicherzustellen, dass die Datenschutzanforderungen verstanden und konsequent umgesetzt werden. In größeren Instituten kann die Rolle des Datenschutzbeauftragten eine Vollzeitstelle sein; in Boutique-Vermögensverwaltern kann sie mit einer anderen Compliance-Funktion kombiniert werden, sollte aber klare Befugnisse und direkte Berichtslinien zur Geschäftsleitung haben.

Erstellung eines Dateninventars zeigt auf, in welchen Systemen Kundendaten gespeichert sind und wie die Informationen zwischen diesen Systemen fließen. In einem typischen Vermögensverwaltungsunternehmen sind die Kundendaten möglicherweise über mehrere Systeme verteilt:

• CRM-Systeme
• Plattformen für die Portfolioverwaltung
• Dokumenten-Repositories
• Kundenportale
• E-Mail-Server
• Marketing-Automatisierungstools
• Verwahrer von Dritten

Das Verständnis dieser Datenströme ist von entscheidender Bedeutung für die Bewertung von Datenschutzrisiken, die Beantwortung von Kundenanfragen und den Nachweis der Einhaltung der Vorschriften gegenüber den Aufsichtsbehörden bei Kontrollen.

Durchführung von Datenschutz-Folgenabschätzungen bei der Einführung neuer Dienste wie mobiler Anwendungen oder neuer digitaler Onboarding-Journeys hilft, Risiken zu erkennen, bevor sie sich verwirklichen. Die Bewertung sollte dokumentieren, welche personenbezogenen Daten der neue Dienst erheben wird, wie sie geschützt werden, wer Zugriff darauf hat und welche Abhilfemaßnahmen für erkannte Risiken vorgesehen sind.

Entwicklung einer umfassenden Politik sollten die akzeptable Nutzung von Kundendaten, den sicheren Umgang mit Dokumenten, die Erwartungen an den Fernzugriff und die Eskalation von mutmaßlichen Datenschutzvorfällen abdecken. Diese Richtlinien sollten so praxisnah sein, dass die Mitarbeiter sie bei ihrer täglichen Arbeit befolgen können, und keine abstrakten Erklärungen, die ungelesen in Compliance-Handbüchern stehen.

InvestGlass als integrierte CRM- und Portfolio-Plattform reduziert die Fragmentierung durch die Zentralisierung sensibler Daten und die Bereitstellung konsistenter Berechtigungsmodelle für alle Funktionen. Anstatt Datenschutzkontrollen in fünf oder sechs separaten Systemen zu verwalten, können Unternehmen den Zugriff über eine einheitliche Schnittstelle konfigurieren und überwachen.

Technische Kontrollen zur Unterstützung des Datenschutzes

Technische Kontrollen setzen Datenschutzregeln in großem Umfang durch und verringern die Abhängigkeit von manueller Disziplin. Ohne systematische technische Unterstützung können selbst die gutwilligsten Mitarbeiter die Datenschutzregeln nicht konsequent auf Tausende von Kundendatensätzen anwenden.

Zugangskontrollen sollten einen rollenbasierten Zugang einrichten, bei dem nur autorisierte Personen bestimmte Kundeninformationen einsehen können. Relationship Manager sehen nur die ihnen zugewiesenen Kunden. Compliance-Mitarbeiter haben zu Überwachungszwecken nur Lesezugriff. Marketing-Teams arbeiten mit anonymisierten oder pseudonymisierten Daten, die keine Rückschlüsse auf bestimmte Personen zulassen. Die Zugriffskontrolle auf Feldebene ermöglicht eine weitere Granularität, z. B. das Verbergen von Kreditkartendetails oder Steuerdokumenten vor Mitarbeitern, die sie nicht benötigen.

Verschlüsselung schützt Kundendokumente, Kommunikation und Datenexporte sowohl bei der Übertragung als auch im Ruhezustand. Moderne Standards wie AES 256 machen Daten ohne geeignete kryptografische Schlüssel unlesbar. Dieser Schutz gilt auch für Backups, Archive und Daten, die zwischen Systemen übertragen werden. In den Schweizer Rechenzentren von InvestGlass wird die Verschlüsselung aller gespeicherten Kundendaten als Standardverfahren eingesetzt.

Protokollierung und unveränderliche Prüfpfade aufzeichnen, wer Kundendaten angesehen, exportiert oder geändert hat. Diese Protokolle sind bei behördlichen Inspektionen, internen Untersuchungen und der Reaktion auf Zwischenfälle von entscheidender Bedeutung. Die Prüfer erwarten Nachweise dafür, dass der Zugriff auf das zuständige Personal beschränkt war und dass ungewöhnliche Aktivitäten erkannt und untersucht wurden.

Sichere Portalkonfiguration sollten eine Mehrfaktor-Authentifizierung für den gesamten Kunden- und Mitarbeiterzugang ermöglichen, Sitzungszeitüberschreitungen einführen, die die Gefährdung durch unbeaufsichtigte Geräte begrenzen, und das Herunterladen vollständiger Datensätze aus öffentlichen Netzen beschränken. Kunden sollten in der Lage sein, sicher auf ihre Informationen zuzugreifen, ohne das Unternehmen unnötigen Risiken durch persönliche Geräte auszusetzen, die sich über ungesicherte Verbindungen verbinden.

InvestGlass bietet in der Schweiz gehostete und vor Ort installierte Optionen, so dass die kryptografischen Schlüssel und die Zugriffskontrollrichtlinien unter der direkten Kontrolle des Finanzinstituts bleiben. Damit werden Bedenken ausgeräumt, dass Drittanbieter in der Cloud Zugang zu sensiblen Kundendaten haben könnten.

Einbettung des Datenschutzes in Onboarding, KYC und Tagesgeschäft

Onboarding- und KYC-Prozesse sind die intensivsten Momente der Datenerfassung im Kundenlebenszyklus und bergen daher das größte Datenschutzrisiko. Die richtige Gestaltung dieser Arbeitsabläufe bildet die Grundlage für den Schutz von Kundendaten während der gesamten Geschäftsbeziehung.

Sicheres digitales Onboarding sollten spezielle Kundenportale anstelle von E-Mail-Anhängen für die Erfassung von Pässen, Wohnsitznachweisen und Unterlagen über die Herkunft von Vermögenswerten verwenden. E-Mails sind in den meisten Fällen nicht verschlüsselt, erstellen Kopien auf mehreren Servern und erschweren die Kontrolle darüber, wer letztendlich auf die Anhänge zugreift. Sichere Portale bieten kontrollierten Zugang, automatische Verschlüsselung und klare Prüfpfade.

Standardisierung der Dokumentensammlung reduziert unnötige Risiken, indem es genau definiert, welche Dokumente für jeden Kundentyp und jede Gerichtsbarkeit erforderlich sind. In Freitextfeldern, die Berater dazu auffordern, “sonstige relevante Informationen” hinzuzufügen, sammeln sich oft sensible, aber irrelevante persönliche Daten an, die ein Risiko ohne geschäftlichen Nutzen darstellen. Durch automatisierte Prüfungen kann sichergestellt werden, dass die erforderlichen Dokumente vorhanden und richtig formatiert sind, wodurch sich der Zeitraum, in dem sensible Dokumente unterwegs sind, verlängert.

Workflow-Routing stellt sicher, dass KYC-Dateien nur bestimmte Prüfer mit entsprechender Freigabe erreichen. Die Workflow-Tools von InvestGlass können die Dokumentation durch definierte Genehmigungspfade leiten, den Zugriff auf Compliance-Analysten während der Überprüfung beschränken und die Sichtbarkeit automatisch einschränken, sobald die Überprüfung abgeschlossen und genehmigt ist. Dadurch wird das häufige Problem vermieden, dass sensible KYC-Dateien für breite Gruppen zugänglich bleiben, lange nachdem sie benötigt wurden.

Betriebliche Datenschutzhygiene erstreckt sich über das Onboarding hinaus auf die täglichen Aktivitäten:

• Bei der gemeinsamen Nutzung von Bildschirmen während Fernsitzungen sollten sensible Kundeninformationen, die in Hintergrundanwendungen sichtbar sind, ausgeschlossen werden.
• Der Export von Tabellenkalkulationen mit Kundendaten sollte genehmigt und protokolliert werden müssen.
• Sicheres Messaging innerhalb zugelassener Plattformen sollte Chat-Anwendungen für sensible Transaktionen ersetzen
• Elektronische Kommunikation mit Finanzinformationen sollte über verschlüsselte Kanäle laufen.

Routineaufgaben wie die Neuausrichtung des Portfolios, Eignungsprüfungen und Marketingkampagnen sollten alle innerhalb von Systemen ablaufen, die dieselben Datenschutz- und Zugriffsregeln einhalten, die für das Onboarding gelten. InvestGlass bietet diese Konsistenz durch die Integration von CRM, Portfoliomanagement und Marketingautomatisierung in einer einzigen Plattform mit einheitlichen Zugriffskontrollen.

Schweizer Datensouveränität und grenzüberschreitende Datenschutz-Compliance

Für viele Privatbanken und externe Vermögensverwalter ist der Ort der Datenspeicherung ebenso wichtig wie die Art der Speicherung. Kundenerwartungen, aufsichtsrechtliche Anforderungen und die Positionierung im Wettbewerb beeinflussen die Hosting-Entscheidungen.

Datenhoheit bedeutet, dass eine Bank oder ein Vermögensverwalter in der Lage ist, Kundendaten innerhalb eines bestimmten Rechtsgebiets aufzubewahren, zu kontrollieren, wer darauf zugreifen kann, und ausländische Datenanfragen nach lokalem Recht und nicht nach ausländischen Rechtsverfahren zu beantworten. Dieses Konzept hat in dem Maße an Bedeutung gewonnen, in dem Regierungen weltweit mehr Befugnisse über die in ihrem Hoheitsgebiet oder von ihren Unternehmensangehörigen gespeicherten Daten geltend machen.

Die Schweiz bietet deutliche Vorteile für das Datenhosting, die für Vermögensverwalter mit internationaler Kundschaft interessant sind:

• Starke Traditionen des Bankgeheimnisses, die in den rechtlichen und kulturellen Rahmen eingebettet sind
• Das revidierte schweizerische Datenschutzgesetz, das im September 2023 in Kraft tritt und sich an internationale Standards anpasst, ohne die schweizerische Rechtshoheit aufzugeben
• Politische Stabilität, die die regulatorische Unsicherheit verringert
• ISO-zertifizierte Rechenzentren mit robusten physischen Sicherheits- und Betriebsstandards
• Klare rechtliche Rahmenbedingungen für die Beantwortung ausländischer Datenanfragen, die den Kundenschutz in den Vordergrund stellen

Globale öffentliche Cloud-Dienste stellen unterschiedliche Überlegungen an. Große Anbieter bieten zwar beträchtliche Sicherheitsinvestitionen und operative Exzellenz, aber sie geben auch Anlass zu Bedenken im Hinblick auf unsichere Garantien für die Datenansässigkeit, den potenziellen Zugriff nach ausländischen Gesetzen wie dem US CLOUD Act und komplexe Bewertungen der grenzüberschreitenden Übertragung, die gemäß der DSGVO erforderlich sind. Für Vermögensverwalter, die europäische Kunden betreuen, können Standardvertragsklauseln und zusätzliche Maßnahmen erforderlich sein, was die Einhaltung der Vorschriften noch komplexer macht.

InvestGlass ermöglicht es den Instituten, zwischen vollständig in der Schweiz gehosteten Installationen in ISO-zertifizierten Rechenzentren oder Installationen vor Ort zu wählen, bei denen das Finanzinstitut die vollständige physische und logische Kontrolle über die Infrastruktur behält. Diese Flexibilität vereinfacht die Gespräche mit den Aufsichtsbehörden über Outsourcing, Datentransfers und den Zugriff durch Dritte.

Grenzüberschreitendes Datenschutzmanagement erfordert eine sorgfältige Planung. Ein praktisches Beispiel: Ein in der EU ansässiger Kunde, dessen Vermögen von der Schweiz aus verwaltet wird, muss die Vorschriften der DSGVO zur Datenübermittlung sorgfältig beachten. Die Firma könnte die Kundendaten in einem Schweizer Rechenzentrum speichern, sich auf die Angemessenheitsbescheinigung der EU für die Schweiz verlassen, zusätzliche technische Maßnahmen wie Verschlüsselung mit lokal gespeicherten Schlüsseln ergreifen und den Übermittlungsmechanismus in Datenschutzhinweisen dokumentieren. Dieser strukturierte Ansatz zeigt, dass die Vorschriften eingehalten werden und gleichzeitig die Vorteile der Schweizer Datensouveränität gewahrt bleiben.

Menschen, Kultur und Bereitschaft für Zwischenfälle

Selbst die beste technische Einrichtung kann durch unvorsichtiges Verhalten oder unklare Verfahren unterminiert werden. Die digitale Sicherheit hängt letztlich von Menschen ab, die in schwierigen Situationen gute Entscheidungen treffen.

Gezielte Ausbildung für Kundenbetreuer, Assistenten und Portfoliomanager sollten eher realistische Vermögensverwaltungsszenarien abdecken als ein allgemeines Bewusstsein für Cybersicherheit. Die Schulung sollte Situationen wie diese behandeln:

• Erhalt von Passkopien oder Steuerdokumenten per persönlicher E-Mail von Kunden, die Portale unbequem finden
• Kundenanfragen zur Übermittlung von Kontoauszügen über WhatsApp oder andere Messaging-Anwendungen für Verbraucher
• Phishing-Versuche, die sich als Treuhänder, Aufsichtsbehörden oder interne Führungskräfte ausgeben
• Social-Engineering-Anrufe, bei denen unter Zeitdruck Kundeninformationen angefordert werden

Datenschutzthemen sollten in die jährlichen Pflichtschulungen und -tests aufgenommen werden, ergänzt durch regelmäßige Simulationen, in denen die Reaktionen der Mitarbeiter auf Phishing-Versuche und Social Engineering getestet werden. Untersuchungen zeigen, dass nur 55 Prozent der Vermögensverwaltungsfirmen jährliche Datenschutzschulungen durchführen, was zu erheblichen Lücken im Bewusstsein der Mitarbeiter führt.

Dokumentierte Verfahren zur Reaktion auf Vorfälle die Unternehmen darauf vorbereiten, wirksam auf Datenschutzvorfälle zu reagieren. Diese Verfahren sollten Folgendes beinhalten:

• Sofortige Eindämmungsmaßnahmen zur Verhinderung eines weiteren unbefugten Zugriffs
• Interne Berichtslinien und Eskalationsschwellen
• Protokolle für die Zusammenarbeit mit den Aufsichtsbehörden unter Berücksichtigung der 72-Stunden-Benachrichtigungspflicht gemäß der Datenschutz-Grundverordnung
• Kommunikationsvorlagen für betroffene Kunden
• Analyse nach einem Vorfall und Abhilfemaßnahmen

Protokolle und Prüfpfade von Plattformen wie InvestGlass beschleunigen die Analyse von Vorfällen, indem sie klare Aufzeichnungen darüber liefern, wer wann auf welche Informationen zugegriffen hat. Diese Aufzeichnungen helfen dabei, den Aufsichtsbehörden gegenüber Rechenschaftspflicht und Kooperation zu demonstrieren, was Strafen und Reputationsschäden verringern kann.

Ermutigung zur frühzeitigen Eskalation eine Kultur schafft, in der sich die Mitarbeiter sicher fühlen, vermutete Datenschutzprobleme anzusprechen, bevor sie sich zu ernsthaften Vorfällen entwickeln. Die Unternehmen sollten sich darüber im Klaren sein, dass eine frühzeitige Erkennung oft verhindert, dass sich kleine Probleme zu größeren Verstößen auswachsen. Mitarbeiter, die eine Bestrafung für das Melden von Fehlern fürchten, versuchen eher, eine stille Lösung zu finden, was die Situation oft verschlimmert.

Wie InvestGlass Vermögensverwaltern bei der Wahrung des Datenschutzes hilft

InvestGlass ist eine souveräne Schweizer CRM- und Automatisierungsplattform, die speziell für regulierte Vermögensverwalter, Privatbanken und andere Finanzinstitute entwickelt wurde. Die Plattform begegnet den Herausforderungen des Datenschutzes durch eine integrierte Architektur, Schweizer Hosting-Optionen und auf Compliance ausgerichtete Funktionen.

Konsolidierte Datenverwaltung reduziert die Komplexität des Datenschutzes, indem es CRM, Onboarding, KYC, Portfoliomanagement und Kundenportale in einer Plattform vereint. Anstatt Datenschutzkontrollen in fünf oder sechs separaten Systemen aufrechtzuerhalten, mit dem damit verbundenen Risiko einer inkonsistenten Konfiguration und fragmentierter Prüfpfade, können Unternehmen sensible Finanzdaten durch einheitliche Governance-Strukturen verwalten.

Datenschutzunterstützende Funktionen umfassen:

Merkmal	Datenschutz Vorteil
Granulare rollenbasierte Berechtigungen	Gewährleistet, dass nur autorisierte Personen auf bestimmte Kundendaten zugreifen
Zugangskontrolle auf Feldebene	Ausblenden sensibler Felder wie Steuerdokumente vor Benutzern, die sie nicht benötigen
Unveränderliche Audit-Protokolle	Liefert Beweise für behördliche Inspektionen und Untersuchungen von Vorfällen
Konfigurierbare Richtlinien zur Datenaufbewahrung	Automatisierte Löschung nach Ablauf der Aufbewahrungsfrist
Verwaltung der Einverständniserklärung	Verfolgung und Durchsetzung der Kommunikationspräferenzen der Kunden

Flexibilität bei der Bereitstellung erfüllt die Anforderungen an die Datensouveränität durch eine in der Schweiz gehostete Cloud in ISO-zertifizierten Rechenzentren und durch Installationen vor Ort. Bei der Vor-Ort-Installation haben die Institutionen die vollständige Kontrolle über ihre Infrastruktur, einschließlich der physischen Sicherheit, der Netzwerkkonfiguration und der Verwaltung der kryptografischen Schlüssel. Diese Flexibilität unterstützt die Planung der Geschäftskontinuität und die Einhaltung gesetzlicher Vorschriften in verschiedenen Rechtsordnungen.

Fähigkeiten zur Automatisierung Datenschutzregeln in betriebliche Arbeitsabläufe einbetten. Digitale Onboarding-Abläufe erfassen nur die erforderlichen Unterlagen über sichere Portale. Genehmigungsworkflows leiten sensible Entscheidungen an die entsprechenden Prüfer weiter. Die Marketing-Segmentierung berücksichtigt automatisch den Einwilligungsstatus, die Abonnementpräferenzen und länderspezifische Datenschutzregeln.

InvestGlass arbeitet mit Compliance-Teams zusammen, um die Plattformkonfigurationen mit den lokalen regulatorischen Anforderungen abzustimmen, einschließlich GDPR, Swiss FADP und branchenspezifischen Richtlinien wie FINMA-Rundschreiben. Diese Zusammenarbeit stellt sicher, dass die technischen Kontrollen die spezifischen regulatorischen Verpflichtungen jeder Institution unterstützen.

Den neuen Bedrohungen für Datenschutz und Sicherheit einen Schritt voraus sein

Da sich die Cyber-Bedrohungen weiterentwickeln, müssen Vermögensverwalter ihre Datenschutz- und Sicherheitspraktiken kontinuierlich anpassen. Zu den neuen Bedrohungen gehören Deepfake-Identitätsbetrug, der die Videoverifizierung umgehen kann, KI-gestützte Phishing-Kampagnen, die sehr überzeugende Identitäten schaffen, und zunehmend aggressive Datenerpressungsmethoden, die auf vermögende Familien abzielen.

Regelmäßige Bewertungen sollte mindestens einmal jährlich erfolgen und Folgendes umfassen:

• Penetrationstests von Kundenportalen und internen Systemen
• Konfigurationsprüfungen für Zugriffskontrollen und Verschlüsselungseinstellungen
• Aktualisierte Datenschutzfolgenabschätzungen für neue Produkte und Dienstleistungen
• Überprüfung der Sicherheit von Drittanbietern, die Kundendaten verarbeiten

Fortgeschrittene Analytik und maschinelles Lernen können ungewöhnliche Zugriffsmuster oder Datenexporte erkennen, die auf Missbrauch durch Insider oder kompromittierte Konten hindeuten könnten. Systeme zur Erkennung von Anomalien zeigen Verhaltensweisen wie Massendownloads von Kundendatensätzen, Zugriff außerhalb der normalen Arbeitszeiten oder Abfragen einer ungewöhnlichen Anzahl von Kundendateien an. Diese Warnungen ermöglichen eine schnelle Untersuchung, bevor ein größerer Schaden entsteht.

Beteiligung der Industrie hält die Unternehmen über neue Bedrohungen auf dem Laufenden. Gruppen für den Informationsaustausch, Briefings der Aufsichtsbehörden und von Anbietern geleitete Sicherheitsupdates liefern Bedrohungsinformationen, die speziell für die Vermögensverwaltungsbranche relevant sind. Der Finanzsektor sieht sich mit hochentwickelten Gegnern konfrontiert, die Techniken und Werkzeuge austauschen, was eine gemeinsame Verteidigung wertvoll macht.

InvestGlass aktualisiert laufend die Sicherheitskontrollen der Plattform, um aufkommende Schwachstellen zu beheben, und arbeitet mit den Kunden zusammen, um neue Datenschutzfunktionen zu implementieren, wenn sich die Vorschriften und Bedrohungen weiterentwickeln. Dieser proaktive Ansatz hilft Unternehmen, über die Entwicklungen in der Branche auf dem Laufenden zu bleiben, ohne dass spezielle Sicherheitsforschungsteams erforderlich sind.

Auch das regulatorische Umfeld entwickelt sich weiter. Das KI-Gesetz der EU stuft bestimmte KI-Anwendungen für die Vermögensverwaltung als hochriskant ein, was Folgenabschätzungen und eine laufende Überwachung erfordert. Zero Knowledge Proofs und Technologien zur Verbesserung der Privatsphäre gewinnen an Bedeutung, um Vermögen oder Identität zu verifizieren, ohne die zugrunde liegenden Daten offenzulegen. Die Fortschritte im Quantencomputing könnten die aktuellen Verschlüsselungsstandards bedrohen, so dass vorausschauende Institute frühzeitig auf quantensichere Kryptografie setzen.

FAQ

Wie oft sollte eine Vermögensverwaltungsfirma ihren Datenschutzrahmen überprüfen?

Eine formelle Überprüfung von Datenschutzrichtlinien, Datenverzeichnissen und Governance-Strukturen sollte mindestens einmal pro Jahr erfolgen. Diese jährliche Überprüfung stellt sicher, dass die Dokumentation aktuell bleibt, wenn sich das Unternehmen weiterentwickelt. Neben den jährlichen Überprüfungen sollten gezielte Bewertungen stattfinden, wenn neue Märkte erschlossen werden, neue Produkte oder Dienstleistungen auf den Markt gebracht werden, erhebliche personelle Veränderungen bei der Einhaltung der Vorschriften oder in der IT-Abteilung stattfinden oder ein Datenschutzvorfall eintritt. Der kontinuierliche Prozess der Aufrechterhaltung von Datenschutzkontrollen profitiert sowohl von geplanten Überprüfungen als auch von anlassbezogenen Neubewertungen.

Was ist der Unterschied zwischen Datenschutz und Datensicherheit in der Praxis?

Der Datenschutz regelt, warum und wie Kundendaten erhoben, verwendet, weitergegeben und gespeichert werden. Dabei geht es um Fragen wie die, ob das Sammeln bestimmter Informationen notwendig ist, ob die Kunden ihre Zustimmung gegeben haben und ob die Verwendung mit dem angegebenen Zweck übereinstimmt. Die Datensicherheit konzentriert sich auf den Schutz sensibler Daten vor unbefugtem Zugriff, Verlust oder Verfälschung durch technische Kontrollen wie Verschlüsselung, Zugriffsmanagement, Firewalls und Überwachung. Ein Unternehmen kann eine starke Sicherheit, aber einen schwachen Datenschutz haben, wenn es ohne Grund übermäßig viele Daten sammelt. Umgekehrt sind gute Datenschutzrichtlinien ohne Sicherheitskontrollen zu ihrer Durchsetzung unwirksam. Beide Disziplinen sind wesentliche Bestandteile des Schutzes von Kundendaten.

Können kleinere unabhängige Vermögensverwalter realistischerweise die strengen Datenschutzanforderungen erfüllen?

Kleinere Firmen können moderne Datenschutzstandards durchaus erfüllen, indem sie spezialisierte Plattformen nutzen, die Datenschutzkontrollen, souveränes Hosting und Compliance-Workflows einbetten, ohne dass massive interne Infrastrukturinvestitionen erforderlich sind. InvestGlass bietet Boutique-Vermögensverwaltern die gleichen Datenschutzfunktionen wie großen Institutionen, einschließlich rollenbasiertem Zugriff, Verschlüsselung, Prüfpfaden und Schweizer Datenhosting. Der Schlüssel liegt in der Auswahl von Technologiepartnern, die die regulatorischen Anforderungen verstehen und die Systeme von Anfang an angemessen konfigurieren. Dieser Ansatz verschafft Wettbewerbsvorteile, indem er das Vertrauen der Kunden stärkt und Professionalität demonstriert, ohne dass der Aufwand für die Entwicklung kundenspezifischer Lösungen anfällt.

Wie sollten Vermögensverwalter mit der Bitte ihrer Kunden umgehen, persönliche E-Mails oder Messaging-Apps für sensible Dokumente zu nutzen?

Die Unternehmen sollten ihre Kunden höflich, aber bestimmt auf sichere Portale oder verschlüsselte Kanäle verweisen und ihnen die Datenschutzrisiken ungeschützter E-Mail- und Consumer-Messaging-Anwendungen erläutern. Persönliche Geräte und Consumer-Apps verfügen nicht über die Verschlüsselung, Zugangskontrollen und Prüfprotokolle, die für den Schutz sensibler Kundendaten erforderlich sind. Diese Präferenz sollte in Auftragsschreiben, Kundenleitfäden und Einführungsunterlagen dokumentiert werden, damit die Erwartungen von Anfang an klar sind. Die Aufklärung der Kunden darüber, warum diese Maßnahmen ihre Finanzdaten und persönlichen Informationen schützen, führt in der Regel eher zu Verständnis und Wertschätzung als zu Widerstand.

Welche schnellen Schritte kann ein Unternehmen in den nächsten sechs Monaten unternehmen, um den Datenschutz zu verbessern?

Zu den unmittelbaren Prioritäten sollte gehören, dass in allen Systemen erfasst wird, wo Kundendaten gespeichert sind, und dass alle unerwarteten Speicherorte oder Schatten-IT identifiziert werden. Als Nächstes sollten die rollenbasierten Zugriffsrechte überprüft und verschärft werden, um sicherzustellen, dass nur das, was für die jeweilige Rolle erforderlich ist, zugänglich ist. Implementieren oder überprüfen Sie die Verschlüsselung von Daten im Ruhezustand und bei der Übertragung und aktivieren Sie die Mehrfaktor-Authentifizierung für alle Systeme, die Kundendaten enthalten. Aktualisierung der Datenschutzhinweise, um sicherzustellen, dass sie die aktuellen Praktiken und Kundenrechte korrekt wiedergeben. Führen Sie schließlich gezielte Mitarbeiterschulungen durch, bei denen realistische Fallstudien aus dem Bereich der Vermögensverwaltung anstelle von allgemeinem Material zum Sicherheitsbewusstsein verwendet werden. Diese Schritte bieten sinnvolle Verbesserungen innerhalb eines praktischen Zeitrahmens und schaffen gleichzeitig die Grundlage für eine längerfristige Reife des Datenschutzes.