Kapitel 10: Datenschutz, Datensicherheit und Cybersecurity

10.1 Relevanz des Themas für die Graubündner Kantonalbank und die Beteiligungsgesellschaften

Banken und Vermögensverwalter verfügen aufgrund ihrer Geschäftstätigkeit über besonders schützenswerte Informationen ihrer Kundinnen und Kunden, ihrer Mitarbeitenden wie auch ihrer Geschäftspartner und Lieferanten. Insbesondere zählen dazu die Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Rechtlich unterstehen Banken und Vermögensverwalter deshalb in der Schweiz dem per 1. September 2023 revidierten Datenschutzgesetz. Banken unterstehen zusätzlich spezifischen Vorgaben, insbesondere dem Bankkundengeheimnis.

Der Schutz vor unbefugten Zugriffen sowie die Transparenz über den Zweck der Datenbearbeitung sind Teil des Datenschutzes, also eines verantwortungsbewussten Umgangs mit Personendaten. Datensicherheit ist die praktische Umsetzung des Schutzes digitaler Informationen gegen unbefugten Zugriff, Beschädigung oder Diebstahl während des gesamten Lebenszyklus. Die Cybersecurity befasst sich hauptsächlich mit dem Schutz der Computersysteme, Netzwerke und Daten vor Cyberangriffen, Datenschutzverletzungen und anderen Arten von Cyberbedrohungen aus dem Internet.

Mit einer allfälligen Datenschutzverletzung, einem allfälligen Datensicherheits- oder Cybersecurityvorfall sind für jede Bank wie auch jeden Vermögensverwalter sehr hohe Reputations-, finanzielle und regulatorische Risiken verbunden. Gemäss dem Risikomonitor 2023 der Eidgenössischen Finanzmarktaufsicht FINMA wurden der FINMA in den Jahren 2022/23 je mehr als 50 Cyberattacken gemeldet. Entsprechend hoch ist die Relevanz des Themas auch für die Graubündner Kantonalbank sowie ihre Beteiligungsgesellschaften und entsprechend umfassend sind die ergriffenen präventiven Schutzmassnahmen. Das Thema betrifft die Graubündner Kantonalbank selbst, deren IT-Provider Inventx, an den die Graubündner Kantonalbank den IT-Betrieb ausgelagert hat, die Beteiligungsgesellschaften Privatbank Bellerive AG und BZ Bank Aktiengesellschaft, für welche die Graubündner Kantonalbank in unterschiedlichem Umfang als Outsourcing-Partner figuriert resp. figurieren wird, die Beteiligungsgesellschaft Albin Kistler AG, die ebenfalls auf der IT-Plattform von Inventx arbeitet, sowie alle Lieferanten und Geschäftspartner, mit denen Daten ausgetauscht werden.

10.2 Ambition der Graubündner Kantonalbank

Die Graubündner Kantonalbank strebt danach, durch angemessene technische und organisatorische Massnahmen zum einen Angriffe auf die elektronischen Dienstleistungen wie das E-Banking sowie das bankinterne Netzwerk zu vermeiden und gegebenenfalls angemessen zu reagieren, sprich raschestmöglich erfolgreich abzuwehren. Zum anderen gilt es Kundendaten, Vermögenswerte und Transaktionen bestmöglich zu schützen. Dabei soll die aktuelle Bedrohungslage stets im Blick behalten und fortlaufend die eigene Infrastruktur auf Schwachstellen getestet und gegebenenfalls weiterentwickelt werden.

10.3 Aktuelle Herangehensweise der Graubündner Kantonalbank

Die Graubündner Kantonalbank verfügt über eine robuste IT-Infrastruktur. Diese schafft ein sehr gutes, branchenübliches Sicherheitsniveau, das den regulatorischen Anforderungen sowie der aktuellen Ambition der Graubündner Kantonalbank Rechnung trägt.

10.3.1 Umfassende Regelungen in internen Weisungen

Interne Weisungen der Graubündner Kantonalbank zu den Themen Datenschutz, IT-Sicherheit, Klassifizierung von Daten und Informationen, Geheimhaltungsverpflichtung, Outsourcing, Bankgeheimnis und allgemeine Anstellungsbedingungen definieren den betrieblichen Rahmen, um die aktuell gültigen regulatorischen Vorgaben im Bereich Datenschutz und -sicherheit einzuhalten. Gültig sind diese internen Weisungen grundsätzlich für alle Personen mit Zugang oder Zugriff zu IT-Systemen und Daten der Bank. Für die Einhaltung der Weisungen sind die erwähnten Personen selbst verantwortlich. Ergänzende Dokumente sowie Zusammenfassungen im Intranet sollen den Mitarbeitenden Unterstützung bieten. Die erwähnten Weisungen und die Hilfsdokumente finden auch in der internen Datenschutzschulung Beachtung.

Datenschutztechnisch besonders relevant sind die elektronischen Kommunikationskanäle als Schnittstellen zwischen dem Banknetzwerk und externen Netzwerken. Spezifische Vorgaben zum Verhalten im Internet, zur Definition und Aktualisierung von Passwörtern sowie zum sicheren E-Mail-Verkehr sind deshalb für die Mitarbeitenden in einer internen Weisung der Bank definiert. Damit Unbefugte im Rahmen der Kommunikation innerhalb oder ausserhalb der Bank nicht Zugang zu sensiblen Bankkundendaten oder anderen Informationen erhalten, gibt es sodann weiterführende Massnahmen und Handlungsanweisungen. Bei Gesprächen oder bei Bildschirmarbeiten sind die Mitarbeitenden der Bank angewiesen, auf ihre Umgebung zu achten. Kundinnen und Kunden müssen am Telefon zweifelsfrei identifiziert werden bevor ihnen Informationen bekannt gegeben werden.

10.3.2 Umfassende Sensibilisierung und Schulungen

Alle Mitarbeitenden der Graubündner Kantonalbank mit Zugang zu Bankkundendaten werden zum Thema Datenschutz sowie zu IT- und Datensicherheit geschult. Lieferanten und Beauftragte der Bank verpflichten sich vertraglich zur entsprechenden Ausbildung ihrer Mitarbeitenden. Die Einhaltung dieser Verpflichtung wird von der Graubündner Kantonalbank im Rahmen des Kontrollberichts gemäss Prüfungsstandard «International Standard on Assurance Engagements 3402» (ISAE 3402) und bei fehlenden Anhaltspunkten via Stichproben geprüft. Ausserdem ist der Zugriff der Mitarbeitenden der Graubündner Kantonalbank und externer Dienstleister auf Systeme und Informationen der Bank nach Massgabe des «Need-to-know-Prinzips» eingeschränkt.

10.3.3 Datenschutz- und Sicherheitsaspekte bei IT-Projekten

Gemäss den etablierten Branchenstandards «Privacy by Default» und «Privacy by Design» werden bei der Graubündner Kantonalbank Datenschutz- und Sicherheitsaspekte bei IT-Projekten (inklusive IT-Lösung und IT-Services) in allen Projektphasen berücksichtigt – von der Anforderungsanalyse über Evaluation und Entwicklung sowie den Test der umgesetzten Lösung bis hin zur Definition von technischen und organisatorischen Massnahmen und Inbetriebnahme.

10.3.4 Weiterentwicklung der Standards

Ihre IT-Sicherheitsstandards entwickelt die Graubündner Kantonalbank laufend in Abstimmung mit internen und externen Sicherheitsexperten weiter. Schwachstellen werden als Teil des Sicherheitsdispositivs entweder mehrmals jährlich oder risikoorientiert manuell und automatisiert geprüft, Auffälligkeiten analysiert und, wo notwendig, neue Massnahmen definiert. Zur Prüfung der Systeme auf mögliche Schwachstellen zieht die Bank spezialisierte externe IT-Firmen bei.

Im Umfeld IT, Datenschutz und Cybersecurity nutzt die Graubündner Kantonalbank für ihre Governance, das Management der Systeme, der Bearbeitungstätigkeiten, der Risiken und der Kontrollen ein spezifisches Tool. Als eine wesentliche Grundlage im Umgang mit Cyberrisiken dient der Bank das NIST Cybersecurity Framework.

Alle wesentlichen IT-Partner verfügen über eine ISO-Zertifizierung und über ein ISAE-Kontroll-Framework. Dieses wird jährlich durch einen externen Partner überprüft. Es erfolgt jeweils eine standardisierte Risikoanalyse bei neuen Produkten/Partnern sowie bei Reorganisationen und Prozessänderungen.

10.3.5 Datensicherheit und Schutz vor ungewollten Zugriffen

Die Graubündner Kantonalbank sowie ihre Partner setzen auf bestmögliche technische Lösungen, um die Datensicherheit zu gewährleisten und sich vor ungewollten Zugriffen zu schützen. Auffälliges Verhalten wird automatisch identifiziert und gemeldet. Ergänzend gilt eine Meldepflicht für die Mitarbeitenden im Verdachtsfall. Erkennen sie einen Zugriff durch Unberechtigte oder einen Datenverlust, so ist dies unverzüglich der IT-Security, dem Chief Information Security Officer oder dem Data Protection Officer zu melden. Diese bearbeiten die Vorfälle fachkundig, prüfen die Meldepflicht, beispielsweise an die FINMA oder den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, und initiieren – nach Massgabe der rechtlichen Vorgaben (insbesondere Finanzmarktaufsichts- und Datenschutzgesetz) und im Rahmen des internen Prozesses – eine allfällige Meldung. Mitarbeitende können verdächtige E-Mails automatisiert an die zuständige Stelle in der IT weiterleiten.

10.3.6 Kategorisierung schützenswerter Informationen

Die Graubündner Kantonalbank kategorisiert schützenswerte Informationen in drei Stufen, als «geheim», «vertraulich» oder «intern». Je nach Stufe gelten unterschiedliche Sicherheitsvorkehrungen. Die Einstufung erleichtert den Mitarbeitenden wie auch der Bank die Informationen vom Erhalt über die Bearbeitung bis zur Entsorgung oder Löschung korrekt zu handhaben. Bei der Graubündner Kantonalbank gilt eine Clear Desk Policy. Verlassen die Mitarbeitenden den Arbeitsplatz auch nur für kurze Zeit, so müssen sie sensible Daten vor einfachen Zugriffen schützen. Zum einen stehen dafür verschliessbare Büromöbel zur Verfügung, zum anderen ist am Computer die Bildschirmsperre zu aktivieren. Die Clean Desk Policy gilt bei der Arbeit im Homeoffice genauso wie im Büro. Die allgemeinen Anstellungsbedingungen enthalten entsprechende verpflichtende Anweisungen für alle Mitarbeitenden.

10.3.7 Transparente Information über Datenverwendung

Insbesondere mit der allgemeinen Datenschutzerklärung bzw. der Datenschutzerklärung für Mitarbeitende informiert die Graubündner Kantonalbank verständlich und transparent über die Verwendung von Personendaten. Die allgemeine Datenschutzerklärung der Graubündner Kantonalbank steht allen Kundinnen und Kunden auf der Webseite der Bank jederzeit öffentlich zur Verfügung und gilt für alle Geschäftsbereiche. Wie dort festgehalten, verwendet die Graubündner Kantonalbank die Daten von Kundinnen und Kunden im Rahmen der rechtlichen Vorgaben insbesondere zur Erfüllung von vertraglichen Pflichten, im Rahmen ihres berechtigten Interesses, aufgrund von Einwilligungen oder aufgrund gesetzlicher Vorgaben oder im öffentlichen Interesse. Sie vermietet oder verkauft keinerlei persönliche Daten an Dritte. Kundinnen und Kunden haben hinsichtlich der sie betreffenden Daten im Rahmen des anwendbaren Datenschutzrechts das Recht auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Bearbeitung, auf Widerspruch sowie das Recht auf Datenübertragbarkeit. Darüber hinaus haben sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde.

Die Graubündner Kantonalbank achtet auf Datensparsamkeit. Die Aufbewahrungsdauer von Daten bzw. die Datenlöschung richtet sich nach den rechtlichen Vorgaben und den betrieblichen Bedürfnissen der Graubündner Kantonalbank.

10.3.8 Verantwortlichkeiten und Ressourcen

Insbesondere die nachfolgend aufgeführten Personen sind bei der Graubündner Kantonalbank für den Datenschutz und die Datensicherheit verantwortlich:

Die Graubündner Kantonalbank hat im Berichtsjahr die Ressourcen für Datenschutz- und -sicherheit weiter ausgebaut und die Stellen des Data Protection Officers und des Stellvertreters des Chief Information Security Officers wurden neu geschaffen.

Die für Datenschutz- und -sicherheit zuständigen Personen verfügen über grosse Erfahrung und über ein umfassendes Fachwissen in den Bereichen Netzwerksicherheit, Verschlüsselungstechnologien, Risikomanagement, Datenschutz und Compliance. Die ganzheitliche Sicht und die übergreifende Steuerung sind durch eine enge Zusammenarbeit der genannten Personen und regelmässigen Austausch sichergestellt.

Der Fachausschuss IT-Security setzt sich aus über zehn Personen verschiedener relevanter Bankbereiche zusammen. Er trifft sich mindestens halbjährlich und befasst sich mit IT-Sicherheitsthemen und genehmigt wesentliche Massnahmen bzw. stellt der Geschäftsleitung diesbezüglich Anträge. Der Ausschuss berichtet der Geschäftsleitung regelmässig zur Risikosituation.

Zertifizierte externe IT-Provider, insbesondere Inventx, stellen sicher, dass die Systeme, Applikationen, Datenbanken und Netzwerk-Komponenten gemäss den Vorgaben geschützt sind, zuverlässig arbeiten, laufend aktualisiert und regelmässig überprüft werden. Identifizierte Cyberangriffe werden gemäss den definierten Prozessen bearbeitet und der Graubündner Kantonalbank gemeldet. Die IT-Provider stellen ausserdem sicher, dass die IT-Infrastruktur, inklusive der Daten nach einem Angriff, wiederhergestellt werden kann.

10.3.9 Kontrollen, Reportings und laufende Anpassung des Managementansatzes und der Systeme

Systemausfälle, Sabotage-Versuche, Cyberrisiken, identifizierter fahrlässiger Umgang mit Daten und neue regulatorische Anforderungen werden von der IT halbjährlich an die Risikokontrolle rapportiert. Die konsolidierte Risikoberichterstattung wird der Geschäftsleitung und dem Bankrat vorgelegt. Während die Geschäftsleitung für die Implementierung von wirksamen Massnahmen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist, kommt dem Bankrat eine Überwachungsfunktion zu.

Unabhängige zertifizierte externe Security-Dienstleister beraten die Graubündner Kantonalbank bei Bedarf in Security-Fragestellungen, führen im Auftrag der Graubündner Kantonalbank Reviews von Sicherheitskonzepten, Solution-Designs und Penetrationtests der Endgeräte, Server und Applikationen, E-Banking oder Mobile Banking durch. Basierend auf den internen und externen Prüfungen werden die Schutzmassnahmen der Bank laufend dem sich wandelnden internen und externen Umfeld angepasst.

Der Notfall-Service einer externen Security-Firma würde die Graubündner Kantonalbank und unsere IT-Provider u.a. bei einem grösseren Sicherheitsvorfall mit Kenntnissen, Ressourcen und forensischen Untersuchungen unterstützen.

Die IT-Sicherheit und der Datenschutz werden regelmässig auch durch die interne und externe Revisionsstelle überprüft (z. B. Berechtigungsmanagement oder Bankgeheimniserklärungen Dritter). Die interne Revision führte im Berichtsjahr eine Einhalteprüfung betreffend Sicherheitsbestimmungen durch unseren Provider Inventx sowie eine Systemprüfung betreffend Datenmanagement und eine Systemprüfung betreffend Vertragsmanagement/IT-Controlling durch. Die externe Revisionsstelle Ernst & Young führte im Berichtsjahr eine kritische Beurteilung der logischen und physischen Sicherheit sowie des Informationsschutzes durch. Die Ergebnisse werden voraussichtlich im April 2024 vorliegen.

10.3.10 Aktiver Austausch über Mitarbeit in Expertengremien

Den bilateralen Informationsaustausch mit Expertinnen und Experten, anderen Branchenvertretern und Behörden pflegt die Graubündner Kantonalbank unter anderem in diversen Arbeitsgruppen. Im Sektor Finanzen des National Cyber Security Centre Switzerland (NCSC) wird jeweils die aktuelle Bedrohungslage erörtert. Als Mitglied der Arbeitsgruppe «Sicherheit in der Informationstechnologie» des Verbands Schweizerischer Kantonalbanken tauscht sich die Graubündner Kantonalbank mehrmals jährlich mit den IT-Sicherheitsorganisationen anderer Schweizer Kantonal- und Grossbanken aus. Die Bank ist als Mitglied am von der Schweizerischen Bankiervereinigung gegründeten «Swiss Financial Sector – Cyber Security Centre» (FS-CSC) beteiligt, um die Prävention, die Resilienz und das Krisenmanagement des Schweizer Finanzmarkts gemeinsam mit den anderen Mitgliedern weiter zu stärken. Darüber hinaus ist sie Mitglied des Vereins Unternehmens-Datenschutz (VUD), bei dem ein Austausch zu den Best Practices der Umsetzung, eine unabhängige Meinungsbildung zu aktuellen Fragen des Datenschutzes und eine Weiterentwicklung des Datenschutzes erfolgen.

10.4 Weiterentwicklung seitens Graubündner Kantonalbank im Berichtsjahr und nächste Schritte

10.4.1 Umsetzung des revidierten Datenschutzgesetzes

Am 1. September 2023 ist in der Schweiz das revidierte Datenschutzgesetz mitsamt Datenschutzverordnung in Kraft getreten. Die notwendigen Anpassungen wurden von der Graubündner Kantonalbank zeitgerecht umgesetzt. So werden die Anspruchsgruppen der Bank weiterhin über die Nutzung und Bearbeitung von Daten informiert. Auskunftsbegehren von Kundinnen und Kunden werden von der Bank unter Einhaltung der gesetzlichen Pflichten beantwortet. Diese Praxis wird über bewährte interne Prozesse gesteuert. Daneben wurde die Datenschutzweisung revidiert, formelle Dokumente und Prozesse wurden überarbeitet und alle Mitarbeitenden haben eine Datenschutzschulung absolviert. Des Weiteren wurden Datenschutz-Folgenabschätzungen und Löschkonzepte verfeinert. Darüber hinaus wurden Verträge mit Partnern überprüft und erweitert und die Prozesse betreffend der Meldepflichten angepasst. Es erfolgten Datensicherheitsüberprüfungen und es wurde ein bankweites Verzeichnis der Bearbeitungstätigkeiten erstellt.

Im Berichtsjahr wurden diverse IT-Projekte unter Berücksichtigung der Branchenstandards «Privacy by Default» bzw. «Privacy by Design» erfolgreich vorangetrieben bzw. abgeschlossen, darunter einige sicherheitsspezifische Projekte.

10.4.2 Kontinuierliche Sensibilisierung

Die Graubündner Kantonalbank hat im Jahr 2023 diverse interne Kampagnen zu den Themen Cyberrisiken, IT und Informationssicherheit durchgeführt (z.B. zu den Themen Phishing, Social Media, E-Mail-Sicherheit, Cybersicherheit, Cyberrisiken). Da die Mitarbeitenden von Angreifern häufig als «Eingangstor» genutzt werden, ist die Sensibilisierung der Mitarbeitenden zentral. Zudem hat im Berichtsjahr eine Krisensimulation mit einem Cyberrisk-Szenario stattgefunden.

10.4.3 Vorbereitung der Umsetzung des FINMA-Rundschreibens zu operationellen Risiken und Resilienz

Per 1. Januar 2024 trat das FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken»  in Kraft, das unter anderem Anforderungen an das Management der Risiken aus dem Umgang mit kritischen Daten stellt. Die Graubündner Kantonalbank hat in diesem Zusammenhang unter anderem die relevanten Weisungen ergänzt, hat den Prozess zur Identifikation und Kategorisierung der Daten gestartet und geeignete Massnahmen zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit bei der Verwaltung von kritischen Daten geprüft. Im Rahmen der Umsetzung des erwähnten Rundschreibens wurden die neue Cybersecurity-Strategie sowie die Datenstrategie erstellt und abgestimmt mit der IT-Strategie und den Vorgaben aus dem Datenschutzgesetz.

10.4.4 Keine Vorfälle im Berichtsjahr

Im Berichtsjahr gingen bei der Graubündner Kantonalbank keine begründeten Beschwerden in Bezug auf die Verletzung des Schutzes von Kundendaten ein. Auch wurden im Berichtsjahr keine Fälle von Datendiebstahl oder -verlust von Kundendaten ermittelt. Es gab bei der Graubündner Kantonalbank im Berichtsjahr insgesamt keine IT-Vorfälle oder Verletzungen der Datensicherheit («data breaches»), welche die Bank dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen oder der FINMA hätte melden müssen. Im Berichtsjahr sind sodann bei der Graubündner Kantonalbank keine datenschutzrechtlichen Auskunftsbegehren eingegangen.

10.4.5 Geplante Massnahmen

Über die bisher üblichen laufenden Prüfungs- und Verbesserungsmassnahmen hinaus sind für das Jahr 2024 zusätzliche standardisierte Prüfungen (Penetrationstests, Sicherheitsanalysen und Security Reviews) geplant. Wie bisher werden laufend Sensibilisierungsmassnahmen für die Mitarbeitenden umgesetzt werden.

10.5 Aktuelle Herangehensweise der Beteiligungsgesellschaften

Die Albin Kistler AG arbeitet, wie die Graubündner Kantonalbank, auf der IT-Plattform von Inventx, die bezüglich Datensicherheit die Einhaltung der hohen Standards der Bankbranche sicherstellt. Im Risikomanagement wird der Datensicherheit höchste Priorität beigemessen. Albin Kistler strebt danach, die technischen Möglichkeiten zu nutzen und so die Sicherheit stetig weiter zu erhöhen. Auch bei neuen Projekten und Anwendungen hat die Datensicherheit höchste Priorität. Datenschutz ist und bleibt für Albin Kistler aufgrund der schützenswerten Kundendaten sehr wichtig. Mit Einführung des Datenschutzgesetzes wurde das Setup überprüft und aktualisiert. Während bei der internen Behandlung der Daten aufgrund der neuen Gesetzgebung kaum Anpassungen notwendig waren, mussten bei einzelnen Partnerschaften mit Drittdienstleistern die entsprechenden vertraglichen Regelungen angepasst werden. Ausserdem wurde die bereits seit Jahren bestehende Datenschutzerklärung aktualisiert. Diese Datenschutzerklärung informiert transparent darüber, wie Albin Kistler mit welchen Daten umgeht: https://www.albinkistler.ch/datenschutzerklaerung

Wie die Albin Kistler AG arbeitet die BZ Bank Aktiengesellschaft aktuell auf der Plattform von Inventx. Am 1. Juli 2024 erfolgt die Migration zur Graubündner Kantonalbank, die dann als Outsourcing-Partner agieren wird. Im Bereich des Datenschutzes und der Datensicherheit (inkl. Cybersecurity) gelten somit die gleichen Anforderungen und die gleiche Herangehensweise wie bei der Graubündner Kantonalbank (siehe oben). Die Datenschutzerklärung der Bank informiert transparent darüber, wie sie mit welchen Daten umgeht: https://www.bzbank.ch/files/download/Datenschutzerklaerung-2023-05-24_GER.pdf

Für die Privatbank Bellerive AG agiert heute schon die Graubündner Kantonalbank als Outsourcing-Partner. Die Privatbank führt jährlich eine Aus- und Weiterbildung der Mitarbeitenden zu rechtlichen und regulatorischen Themen durch. Dazu gehört die Sensibilisierung der End-User betreffend IT-Security im Allgemeinen und Cyber-Risiken, Cyber-Attacken im Besonderen. 2023 gingen bei der Privatbank keine Beschwerden wegen Verletzung des Schutzes von Kundendaten ein. Es wurden keine Fälle von Datendiebstahl oder -verlust von Kundendaten festgestellt. Es gab keine IT-Vorfälle oder Verletzungen der Datensicherheit, die dem Eidgenössischen Datenschutz- und Öffentlichkeitbeauftragen oder der eidgenössischen Finanzmarktaufsicht FINMA hätten gemeldet werden müssen. Die Datenschutzerklärung der Privatbank Bellerive AG informiert transparent darüber, wie sie mit welchen Daten umgeht:
https://www.bellerivebanking.ch/wp-content/uploads/2023/04/Datenschutzerklaerung-PBB.pdf

Weitere NachhaltigkeitsthemenCompliance in den Bereichen Geldwäscherei, Wettbewerbsverhalten und Steuerkonformität