Datenschutz, Datensicherheit und Cybersecurity
Relevanz des Themas für die GKB und die Beteiligungen
Banken und Vermögensverwalter verfügen aufgrund ihrer Geschäftstätigkeit über besonders schützenswerte Informationen ihrer Kundinnen und Kunden, ihrer Mitarbeitenden wie auch ihrer Geschäftspartner und Lieferanten. Insbesondere zählen dazu die Personendaten, also alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Rechtlich unterstehen Banken und Vermögensverwalter in der Schweiz dem Datenschutzgesetz. Banken unterstehen zusätzlich spezifischen Vorgaben, insbesondere dem Bankkundengeheimnis sowie den Anforderungen der Eidgenössischen Finanzmarktaufsicht FINMA.
Der Schutz vor unbefugten Zugriffen sowie die Transparenz über den Zweck der Datenbearbeitung sind Teil des Datenschutzes, also eines verantwortungsbewussten Umgangs mit Personendaten. Datensicherheit ist die praktische Umsetzung des Schutzes digitaler Informationen gegen unbefugten Zugriff, Beschädigung oder Diebstahl während des gesamten Lebenszyklus. Die Cybersecurity befasst sich hauptsächlich mit dem Schutz der Computersysteme, Netzwerke und Daten vor Cyberangriffen, Datenschutzverletzungen und anderen Arten von Cyberbedrohungen aus dem Internet.
Mit einer allfälligen Datenschutzverletzung, einem allfälligen Datensicherheits- oder Cybersecurity-Vorfall sind für jede Bank wie auch jeden Vermögensverwalter sehr hohe Reputationsrisiken sowie finanzielle und regulatorische Risiken verbunden. Gemäss dem Risikomonitor 2025 der FINMA hat sich die Anzahl an gemeldeten Cyberattacken gegenüber dem Vorjahr wiederum erhöht. Der Risikomonitor weist neben den Cyberrisiken auch das Drittparteienrisiko als eines der zentralen Risiken bei Banken aus. Beinahe die Hälfte der Cybervorfälle, die der FINMA gemeldet wurden, hatten ihren Ursprung in einem Cyberangriff auf eine Drittpartei. Die GKB stellt fest, dass insbesondere IT-Dienstleister ihre Daten vermehrt in Cloud-Lösungen speichern und ihre Dienstleistungen überwiegend als «Software as a Service»-Modell anbieten wollen. Dies führt mitunter zu einer stärkeren Abhängigkeit und gestaltet das Risikomanagement entlang der Lieferkette zunehmend komplexer.
Die Themen betreffen die GKB selbst, deren IT-Provider Inventx AG, an den die GKB den IT-Betrieb ausgelagert hat, die Beteiligungen Privatbank Bellerive AG und BZ Bank Aktiengesellschaft, für welche die GKB in unterschiedlichem Umfang als Outsourcing-Partner figuriert, die Beteiligung Albin Kistler AG, die ebenfalls auf der IT-Plattform der Inventx AG arbeitet, sowie alle Lieferanten und Geschäftspartner, mit denen Daten ausgetauscht werden. Entsprechend umfassend sind die ergriffenen präventiven Schutzmassnahmen.
Ambition der GKB
Die GKB strebt einerseits danach, durch angemessene technische und organisatorische Massnahmen Angriffe auf die elektronischen Dienstleistungen wie das E-Banking sowie das bankinterne Netzwerk zu vermeiden und im Fall eines Angriffs angemessen zu reagieren, sprich diesen so rasch wie möglich erfolgreich abzuwehren. Andererseits gilt es Kundendaten, Vermögenswerte und Transaktionen bestmöglich zu schützen. Dabei soll die aktuelle Bedrohungslage stets im Blick behalten werden, und die eigene Infrastruktur soll fortlaufend auf Schwachstellen getestet und gegebenenfalls weiterentwickelt werden.
Aktuelle Herangehensweise der GKB
Die GKB verfügt über eine robuste IT-Infrastruktur. Diese schafft ein branchenübliches Sicherheitsniveau, das den regulatorischen Anforderungen sowie der aktuellen Ambition der GKB Rechnung trägt.
Umfassende Regelungen in internen Weisungen
Der Verhaltenskodex sowie interne Weisungen der GKB zu den Themen Datenschutz, IT-Sicherheit, Klassifizierung von Daten und Informationen, Geheimhaltungsverpflichtung, Outsourcing, Bankgeheimnis, allgemeine Anstellungsbedingungen, Daten-Governance sowie künstliche Intelligenz (KI) definieren den betrieblichen Rahmen, der sicherstellt, dass die aktuell gültigen regulatorischen Vorgaben im Bereich Datenschutz und -sicherheit eingehalten werden. Gültig sind diese internen Weisungen grundsätzlich für alle Personen mit Zugang zu oder Zugriff auf die IT-Systeme und Daten der Bank. Ergänzende Dokumente und Zusammenfassungen vertiefen die Inhalte dieser Weisungen und bieten den Mitarbeitenden Unterstützung. Die geltenden Regelungen sind in der Weisungsbibliothek mittels einer KI-gestützten Lösung einfach auffindbar. Die erwähnten Weisungen und die Hilfsdokumente sind auch Bestandteil der internen Datenschutzschulung.
Datenschutztechnisch besonders relevant sind die elektronischen Kommunikationskanäle als Schnittstellen zwischen dem Banknetzwerk und externen Netzwerken. Spezifische Vorgaben zum Verhalten im Internet, zur Definition von Passwörtern sowie für einen sicheren E-Mail-Verkehr sind deshalb für alle Mitarbeitenden in einer internen Weisung der Bank festgehalten. Damit Unbefugte innerhalb oder ausserhalb der Bank nicht Zugang zu sensiblen Bankkundendaten oder anderen Informationen erhalten, gibt es weiterführende Massnahmen und Handlungsanweisungen. Bei Gesprächen oder bei Bildschirmarbeiten sind die Mitarbeitenden der Bank angewiesen, auf ihre Umgebung zu achten. Kundinnen und Kunden sind am Telefon oder bei Kontakten über andere Kommunikationskanäle zweifelsfrei zu identifizieren, bevor ihnen Informationen bekannt gegeben werden.
Umfassende Sensibilisierung und Schulungen
Alle Mitarbeitenden der GKB werden mindestens jährlich zu den Themen Datenschutz, KI sowie IT- und Datensicherheit geschult. Personen mit weitergehenden Zugriffsrechten werden vertiefter geschult. Im Rahmen des jährlichen Datenschutz-Weiterbildungskurses für alle Mitarbeitenden lag im Berichtsjahr ein Schwerpunkt auf dem Bankkunden- und Geschäftsgeheimnis, dem Vorgehen bei einer Verletzung der Datensicherheit und dem FINMA Rundschreiben 2023/1 Operationelle Risiken und Resilienz – Banken. Der Fokus der diesjährigen IT-Sicherheitsschulung lag auf dem Thema E-Mail-Security. Lieferanten und Beauftragte der Bank verpflichten sich vertraglich zur entsprechenden Ausbildung ihrer Mitarbeitenden. Die Einhaltung dieser Verpflichtung wird von der GKB bei strategischen Partnern im Rahmen von Auditberichten (z.B. ISAE 3402 oder SOC 2 Typ 2) geprüft. Ausserdem ist der Zugriff der Mitarbeitenden der GKB und externer Dienstleister auf Systeme und Informationen der Bank nach Massgabe des Need-to-know- und Need-to-do-Prinzips eingeschränkt. Externe Personen mit erweiterten Zugriffsrechten sind dazu verpflichtet, die jährliche GKB IT-Sicherheitspflichtschulung zu absolvieren.
Datenschutz- und Sicherheitsaspekte bei IT-Projekten
Gemäss den etablierten Branchenstandards «Privacy by Default» und «Privacy by Design» werden bei der GKB Datenschutz- und Sicherheitsaspekte bei IT-Projekten in allen Projektphasen berücksichtigt – von der Anforderungsanalyse über die Evaluation und die Entwicklung sowie den Test der umgesetzten Lösung bis hin zur Inbetriebnahme.
Im Finanzsektor, in welchem sensible Kundendaten verarbeitet werden, ist es entscheidend, dass alle Beteiligten entlang der Lieferkette hohe Datensicherheitsstandards einhalten. Für die GKB sind die Themen Datenschutz und Datensicherheit bereits bei der Auswahl von Drittparteien wichtige Kriterien. Jeder Lieferant und Geschäftspartner der GKB wird verpflichtet, eine Geheimhaltungserklärung zu unterzeichnen. Beauftragt die GKB eine Drittpartei, im Rahmen einer Dienstleistung Personendaten zu bearbeiten, regelt sie die Datenbearbeitung in einem separaten Auftragsdatenbearbeitungsvertrag (ADV). In diesem wird der Dienstleister mitunter verpflichtet, die Daten zweckmässig zu bearbeiten, angemessene technische und organisatorische Massnahmen zu implementieren, allfällige Datensicherheitsvorfälle der GKB unverzüglich zu melden, der GKB Auditrechte einzuräumen und die GKB bei Betroffenenbegehren zu unterstützen. Die GKB hat im Berichtsjahr den Prozess für die Risikobeurteilung von Cloud-Lösungen ausgeweitet.
Weiterentwicklung der Standards
Ihre IT-Sicherheitsstandards entwickelt die GKB laufend in Abstimmung mit internen und externen Sicherheitsexperten weiter. Systeme werden kontinuierlich risikoorientiert manuell und automatisiert auf Schwachstellen überprüft. Die Bank analysiert Auffälligkeiten und definiert neue Massnahmen, wenn notwendig. Zur Prüfung der Systeme auf mögliche Schwachstellen zieht die Bank spezialisierte externe IT-Firmen bei.
Im Umfeld IT, Datenschutz und Cybersecurity nutzt die GKB für ihre Governance sowie für das Management der Systeme, der Bearbeitungstätigkeiten, der Risiken und der Kontrollen ein spezifisches Tool. Als eine wesentliche Grundlage im Umgang mit Cyberrisiken dient der Bank das NIST Cybersecurity Framework.
Wesentliche IT-Partner verfügen über eine ISO-Zertifizierung 27001 und ein internes Kontrollsystem. Die GKB erhält jährlich einen Auditbericht, der durch einen externen Wirtschaftsprüfer erstellt wurde und Rechenschaft über die Prüfung des internen Kontrollsystems des Partners ablegt.
Datensicherheit und Schutz vor ungewollten Zugriffen
Die GKB und ihre Partner setzen auf bestmögliche technische und organisatorische Massnahmen, um die Datensicherheit zu gewährleisten und sich vor ungewollten Zugriffen zu schützen. Auffälliges Verhalten wird automatisch identifiziert und gemeldet. Ergänzend gilt eine Meldepflicht für die Mitarbeitenden im Verdachtsfall. Erkennen sie einen Zugriff durch Unberechtigte oder einen Datenverlust, so ist dies unverzüglich der IT-Security, dem Chief Information Security Officer oder dem Data Protection Officer zu melden. Diese bearbeiten die Vorfälle fachkundig, prüfen die Meldepflicht, beispielsweise gegenüber der FINMA, dem Bundesamt für Cybersicherheit oder dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten, und initiieren eine allfällige Meldung. Eine solche Meldung erfolgt nach Massgabe der rechtlichen Vorgaben (insbesondere Finanzmarktaufsichts- und Datenschutzgesetz) und im Rahmen des internen Prozesses. Mitarbeitende können verdächtige E-Mails automatisiert an die zuständige Stelle in der IT weiterleiten.
Kategorisierung schützenswerter Informationen
Die GKB kategorisiert Dokumente in vier Stufen, als «geheim», «vertraulich», «allgemein» und «öffentlich». Den Mitarbeitenden stehen technische Hilfsmittel für die Dokumentenklassifizierung zur Verfügung. Je nach Stufe gelten unterschiedliche Sicherheitsvorkehrungen. Die Einstufung erleichtert es, die Informationen korrekt zu handhaben – vom Erhalt über die Bearbeitung bis zur Entsorgung oder Löschung. Bei der GKB gilt eine Clean-Desk-Policy. Verlassen die Mitarbeitenden den Arbeitsplatz auch nur für kurze Zeit, so müssen sie sensible Daten vor einfachen Zugriffen schützen. Zum einen stehen dafür verschliessbare Büromöbel zur Verfügung, zum anderen ist am Computer die Bildschirmsperre zu aktivieren. Die Mitarbeitenden wurden im Berichtsjahr gezielt im Hinblick auf das Thema Clean-Desk sensibilisiert, und die Einhaltung der Clean-Desk-Policy in den Büroräumlichkeiten der GKB wird periodisch überprüft. Die allgemeinen Anstellungsbedingungen enthalten entsprechende verpflichtende Anweisungen für alle Mitarbeitenden.
Transparente Information über Datenverwendung
Insbesondere mit der allgemeinen Datenschutzerklärung, der Datenschutzerklärung Web, der Datenschutzerklärung Vorsorgestiftung Sparen 3 und Freizügigkeitsstiftung sowie der Datenschutzerklärung für Mitarbeitende informiert die GKB verständlich und transparent über die Verwendung von Personendaten. Zusätzlich zu den Datenschutzerklärungen enthält die Webseite der GKB eine Cookie-Policy, welche Informationen zum Einsatz von Cookies auf www.gkb.ch gibt. Die allgemeine Datenschutzerklärung der GKB gilt für alle Geschäftsbereiche. Wie dort festgehalten, verwendet die GKB die Daten von Kundinnen und Kunden im Rahmen der rechtlichen Vorgaben, insbesondere zur Erfüllung von vertraglichen Pflichten, im Rahmen ihres berechtigten Interesses, aufgrund von Einwilligungen und gesetzlichen Vorgaben sowie im öffentlichen Interesse. Sie vermietet oder verkauft keinerlei persönliche Daten an Dritte. Kundinnen und Kunden haben in Bezug auf die sie betreffenden Daten im Rahmen des anwendbaren Datenschutzrechts das Recht auf Auskunft, auf Berichtigung, auf Löschung, auf Einschränkung der Bearbeitung, auf Widerspruch und auf Datenübertragbarkeit. Auskunftsbegehren von Kundinnen und Kunden werden von der Bank unter Einhaltung der gesetzlichen Pflichten beantwortet. Diese Praxis wird über bewährte interne Prozesse gesteuert. Darüber hinaus haben sie ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. Die Beantwortung von Begehren Betroffener erfolgt zentral durch den Data Protection Officer.
Die GKB achtet auf Datensparsamkeit. Die Aufbewahrungsdauer von Daten bzw. die Datenlöschung richtet sich nach den rechtlichen Vorgaben und den betrieblichen Bedürfnissen.
Verantwortlichkeiten und Ressourcen
Insbesondere die nachfolgend aufgeführten Rollen sind bei der GKB Anlaufstelle für die Themen Datenschutz und Datensicherheit:
- Das Information Security Office ist basierend auf den Grundsätzen der Risikopolitik gesamtverantwortlich für die IT-Sicherheit. Das Office macht entsprechende Vorgaben, unterstützt Projekte und die Mitarbeitenden in Fragen zur IT-Sicherheit und überwacht risikoorientiert die Einhaltung und die Effektivität der Sicherheitsmassnahmen.
- Die IT-Security ist zuständig für die Benutzer- und Zugriffsverwaltung in den zentralen IT-Systemen und ist die zentrale Ansprechstelle für alle Mitarbeitenden bei IT-Security-Fragen (zum Beispiel Phishing). Sie ist auch verantwortlich für die regelmässige Sensibilisierung der Mitarbeitenden in Bezug auf die IT-Sicherheit.
- Der Data Protection Officer ist Ansprechpartner für die betroffenen Personen, deren Daten von der GKB bearbeitet werden, sowie für den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Er ist zentraler Zuständiger für die Datenschutz-Compliance sowie die operationellen Risiken im Umgang mit Daten (zum Beispiel für Schlüsselrisiken in Sachen Datenschutz). Dies umfasst unter anderem die Schulung der Mitarbeitenden, die Erstellung und Pflege von Datenschutz-Dokumenten, die Beratung der Mitarbeitenden bei Projekten sowie die Durchführung von risikobasierten Kontrollen und Ad-hoc-Kontrollen.
Die für Datenschutz und Datensicherheit zuständigen Personen verfügen über grosse Erfahrung und umfassendes Fachwissen in den Bereichen Netzwerksicherheit, Verschlüsselungstechnologien, Risikomanagement, Datenschutz und Compliance. Die ganzheitliche Sicht und die übergreifende Steuerung sind durch eine enge Zusammenarbeit der genannten Personen und regelmässigen Austausch sichergestellt.
Der Fachausschuss IT-Security setzt sich aus über zehn Personen verschiedener relevanter Bankbereiche zusammen. Er trifft sich mindestens halbjährlich und befasst sich mit IT-Sicherheitsthemen. Er genehmigt wesentliche Massnahmen bzw. stellt der Geschäftsleitung diesbezüglich Anträge. Der Ausschuss berichtet der Geschäftsleitung regelmässig über die Cyberrisikosituation sowie die wesentlichen Massnahmen im Bereich Cybersicherheits- und Datenschutzmanagement.
Der im Berichtsjahr neu implementierte Fachausschuss Daten, Analytics und KI figuriert als Aufsichtsgremium für die Themen Daten, Analytics und künstliche Intelligenz. Der Fachausschuss berichtet der Geschäftsleitung regelmässig über die Risiken im Zusammenhang mit Datenmanagement und KI, und er überwacht neue regulatorische, technologische oder organisatorische Anforderungen.
Zertifizierte externe IT-Provider, insbesondere die Inventx AG, stellen sicher, dass die Systeme, Applikationen, Datenbanken und Netzwerk-Komponenten gemäss den regulatorischen Vorgaben sowie den Anforderungen der Bank geschützt sind, zuverlässig arbeiten, laufend aktualisiert und regelmässig überprüft werden. Identifizierte Cyberangriffe werden gemäss den definierten Prozessen bearbeitet und der GKB unverzüglich gemeldet. Die IT-Provider stellen ausserdem sicher, dass die IT-Infrastruktur, inklusive der Daten nach einem Angriff, wiederhergestellt werden kann.
Kontrollen, Reportings und laufende Anpassung des Managementansatzes und der Systeme
Vorfälle, Entwicklungen des Risikoprofils und allfällige Änderungen der regulatorischen Anforderungen werden mindestens quartalsweise mit dem Risk Controlling besprochen. Die konsolidierte Berichterstattung des Risk Controllings wird der Geschäftsleitung und dem Bankrat quartalsweise vorgelegt. Durch das Information Security Office erfolgt halbjährlich ein dediziertes Reporting zu Informationssicherheitsrisiken an die Geschäftsleitung und den Bankrat. Während die Geschäftsleitung für die Implementierung von wirksamen Massnahmen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist, kommt dem Bankrat eine Überwachungsfunktion zu.
Unabhängige zertifizierte externe Security-Dienstleister beraten die GKB bei Bedarf in Security-Fragen, führen im Auftrag der GKB Reviews von Sicherheitskonzepten, Solution-Designs und Penetrationstests der Endgeräte, Server und Applikationen sowie des E-Bankings und des Mobile Bankings durch. Basierend auf den internen und externen Prüfungen sowie Erkenntnissen der Fachbereiche werden die Schutzmassnahmen der Bank laufend an das sich wandelnde interne und externe Umfeld angepasst.
Der Notfall-Service einer externen Security-Firma würde die GKB und ihre IT-Provider unter anderem bei einem grösseren Sicherheitsvorfall mit Kenntnissen, Ressourcen und forensischen Untersuchungen unterstützen. Die IT-Sicherheit und der Datenschutz werden regelmässig durch die interne Revision überprüft.
Aktiver Austausch über Mitarbeit in Expertengremien
Den bilateralen Informationsaustausch mit Expertinnen und Experten, anderen Branchenvertretern und Behörden pflegt die GKB unter anderem in diversen Arbeitsgruppen. Im Sektor Finanzen des Bundesamtes für Cybersicherheit wird jeweils die aktuelle Bedrohungslage erörtert. Als Mitglied der Arbeitsgruppe «Sicherheit in der Informationstechnologie» des Verbands Schweizerischer Kantonalbanken tauscht sich die GKB mehrmals jährlich mit den IT-Sicherheitsorganisationen anderer Schweizer Kantonal- und Grossbanken aus. Die Bank ist Mitglied des von der Schweizerischen Bankiervereinigung gegründeten Vereins «Swiss Financial Sector – Cyber Security Centre» (FS-CSC), um die Prävention, die Resilienz und das Krisenmanagement des Schweizer Finanzmarkts gemeinsam mit den anderen Mitgliedern weiter zu stärken. Darüber hinaus ist sie Mitglied des Vereins Unternehmens-Datenschutz (VUD), in dessen Zentrum der Austausch zu den Best Practices bei der Umsetzung des Datenschutzes, unabhängige Meinungsbildung zu aktuellen Fragen des Datenschutzes und die Weiterentwicklung des Datenschutzes stehen.
Weiterentwicklung und nächste Schritte
Datenschutz – umgesetzte technische und organisatorische Massnahmen
Zur weiteren Verbesserung des Datenschutzes sowie der Transparenz gegenüber ihren Anspruchsgruppen hat die GKB im Berichtsjahr verschiedene Massnahmen umgesetzt. Die Datenschutzerklärung Vorsorgestiftung Sparen 3 und Freizügigkeitsstiftung wurde aktualisiert. Durch regelmässige News im Intranet wurden die Mitarbeitenden zudem für Risiken im Bereich Datenschutz sensibilisiert. Des Weiteren wurden Datenschutz-Folgenabschätzungen und -Löschkonzepte verfeinert. Die Prozesse für die Meldepflichten wurden erweitert, insbesondere in Bezug auf die neue Meldepflicht gemäss Informationssicherheitsgesetz (ISG), die gegenüber dem Bundesamt für Cybersicherheit (BACS) besteht. Es erfolgten Datensicherheitsüberprüfungen, und das bankweite Verzeichnis der Bearbeitungstätigkeiten wurde aktualisiert.
Die GKB hat im Berichtsjahr diverse IT-Projekte unter Berücksichtigung der Grundsätze «Privacy by Default» und «Privacy by Design» vorangetrieben bzw. abgeschlossen, darunter einige sicherheitsspezifische Projekte. Die im Berichtsjahr neu konzipierten Arbeitsplätze erfüllen die neuesten Sicherheitsanforderungen. Im Weiteren wurden neue technische Hilfsmittel für die Dokumentenklassifizierung eingeführt. Zudem wurde die Sensorik zur Erkennung von Sicherheitsvorfällen ausgeweitet.
Kontinuierliche Sensibilisierung
Da die Mitarbeitenden von Angreifern häufig als «Eingangstor» genutzt werden, ist die Sensibilisierung der Mitarbeitenden zentral. Auch im Jahr 2025 hat die GKB deshalb diverse interne Kampagnen zu den Themen Cyberrisiken, IT und Informationssicherheit durchgeführt (zum Beispiel zu den Themen Phishing, Social Media, E-Mail-Sicherheit, Cybersicherheit, Cyberrisiken). Ergänzend zu den jährlichen Pflichtschulungen hatten die Mitarbeitenden die Möglichkeit ihr Wissen zum Thema Informationssicherheit im Rahmen einer spielerischen Weiterbildung zu vertiefen. Diese Möglichkeit wurde von vielen Mitarbeitenden genutzt. Zudem hat im Berichtsjahr die alljährliche Tabletop-Übung stattgefunden, bei der die Reaktionsfähigkeit sowie die Zusammenarbeit zwischen der GKB und ihren IT-Partnern während eines möglichen Cybervorfalls getestet werden. Die Übung hat gezeigt, dass die Verfahren und die Prozesse im Incident-Fall gut funktionieren.
Erweiterung Daten-Governance
Im Berichtsjahr hat die GKB ihre Daten-Governance ausgeweitet; insbesondere wurde hierzu eine neue Weisung erlassen. Um der Daten-Governance genügend Rechnung zu tragen, wurde das Daten-Management mit zusätzlichen Ressourcen ausgestattet. Im Weiteren hat die GKB ihr Dateninventar sowie die Massnahmen zur Einhaltung der Vertraulichkeit, der Integrität und der Verfügbarkeit bei der Verwaltung von kritischen Daten bzw. Systemen weiterentwickelt und aktualisiert.
Verwendung künstlicher Intelligenz
Zum Thema KI hat die GKB im Berichtsjahr eine neue Weisung erlassen, welche die Governance und das Risikomanagement in Sachen KI regelt sowie den Einsatz potenziell missbräuchlicher oder gefährlicher KI-Anwendungen verbietet. Zudem hat die Bank ihre Merkblätter erweitert und ihren Mitarbeitenden zur Verfügung gestellt. Alle Mitarbeitenden besuchten die erstmals durchgeführte interne Pflichtschulung zum Thema KI. In zusätzlichen KI-Schulungen auf freiwilliger Basis hatten die Mitarbeitenden die Möglichkeit, ihr Wissen in diesem Thema weiter zu vertiefen. Diese Möglichkeit wurde von vielen Mitarbeitenden genutzt. Zudem wurde ein KI-Verzeichnis erstellt, welches unter anderem die IT-Systeme mit KI-Komponenten, die Verantwortlichkeiten sowie die Risiken festhält.
Keine Vorfälle im Berichtsjahr
Bei der GKB ging im Berichtsjahr ein datenschutzrechtliches Auskunftsbegehren ein, das fristgerecht beantwortet wurde. Beschwerden in Bezug auf die Verletzung des Schutzes von Kundendaten gingen im Berichtsjahr keine ein. Wie bereits im Vorjahr gab es auch in diesem Berichtsjahr nach Auslegung der Bank insgesamt keine IT-Vorfälle oder Verletzungen der Datensicherheit («data breaches»), die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen oder der FINMA hätten gemeldet werden müssen.
Vorfälle – Datenschutz, Datensicherheit und Cybersecurity
2025 | 2024 | 2023 | ||||
Auskunftsbegehren nach Datenschutzgesetz | 1 | 0 | 0 | |||
Beschwerden von Dritten oder Aufsichtsbehörden in Bezug auf die Verletzung des Schutzes von Kundendaten | 0 | 1 | 0 | |||
Meldepflichtige IT-Vorfälle oder Verletzungen der Datensicherheit an den Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), das BACS oder die FINMA | 0 | 0 | 0 |
Geplante Massnahmen
Über die laufenden Prüfungs- und Verbesserungsmassnahmen hinaus sind für das Jahr 2026 zusätzliche standardisierte Prüfungen (Penetrationstests, Sicherheitsanalysen und Security-Reviews) geplant. Die Massnahmen zur Sensibilisierung der Mitarbeitenden werden weitergeführt. Ausserdem werden die Massnahmen gegen unbeabsichtigten Datenabfluss (Data Loss Prevention) erweitert. Zudem ist eine Mitarbeitendenbefragung zu den Themen Cybersicherheit, Datenschutz und physische Sicherheit geplant.
Diverse Projekte befassen sich mit der Nutzung zukunftsgerichteter Technologien, die auch den Datenschutz und die Datensicherheit zusätzlich erhöhen werden. Zudem werden im Rahmen der neuen Informationssicherheitsstrategie gezielte Massnahmen in Themenbereichen umgesetzt, die für die GKB von hoher Relevanz sind.
Aktuelle Herangehensweise der Beteiligungen
Die Albin Kistler AG setzt im Bereich IT-Infrastruktur analog der GKB auf die Zusammenarbeit mit der Inventx AG. Die Inventx AG erfüllt insbesondere im Bereich Datensicherheit die hohen Standards von Schweizer Finanzdienstleistern. Die Albin Kistler AG evaluiert Softwarelösungen sorgfältig unter Einbezug von technischen und juristischen Spezialisten. Die Inventx AG fungiert als zentraler Ansprechpartner für die Gestaltung ganzheitlicher Lösungen. Im Risikomanagement wird der Datensicherheit höchste Priorität beigemessen. Die Albin Kistler AG strebt danach, die technischen Möglichkeiten zu nutzen und die Sicherheit stetig weiter zu erhöhen. Datenschutz ist und bleibt für die Albin Kistler AG aufgrund der schützenswerten Kundendaten sehr wichtig. Die Datenschutzerklärung informiert transparent darüber, wie die Albin Kistler AG mit welchen Daten umgeht.
Im Jahr 2026 werden von der Albin Kistler AG gemeinsam mit der Inventx AG zusätzliche Massnahmen evaluiert, um auf Basis neuer organisatorischer und technologischer Möglichkeiten der gestiegenen Komplexität und dem stetigen Wachstum der Organisation Rechnung zu tragen. Weiter sind Grundlagen in Erarbeitung, um den verantwortungsvollen und wirtschaftlich sinnvollen Einsatz von künstlicher Intelligenz unternehmensweit zu ermöglichen.
Die BZ Bank Aktiengesellschaft arbeitet, wie die Albin Kistler AG, auf der Plattform der Inventx AG. Die GKB erbringt als wesentlicher Outsourcing-Partner einen Grossteil der benötigten IT-Services der BZ Bank Aktiengesellschaft. Im Bereich des Datenschutzes und der Datensicherheit (inklusive Cybersecurity) gelten für die BZ Bank Aktiengesellschaft somit grösstenteils die gleichen Anforderungen und die gleiche Herangehensweise wie bei der GKB (siehe oben). Die Datenschutzerklärung der Bank informiert transparent darüber, wie sie mit welchen Daten umgeht.
Auch für die Privatbank Bellerive AG agiert die GKB als Outsourcing-Partner. Die Privatbank Bellerive AG führt jährlich Aus- und Weiterbildungen der Mitarbeitenden zu rechtlichen und regulatorischen Themen durch. Dazu gehört die Sensibilisierung der End-User betreffend IT-Security im Allgemeinen und Cyberrisiken sowie Cyberattacken im Besonderen. Im Jahr 2025 gingen bei der Privatbank Bellerive AG keine Beschwerden wegen Verletzung des Schutzes von Kundendaten ein. Es wurden keine Fälle von Kundendaten-Diebstahl oder -Verlust festgestellt. Zudem gab es keine IT-Vorfälle oder Verletzungen der Datensicherheit, die dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten oder der FINMA hätten gemeldet werden müssen. Die Datenschutzerklärung der Privatbank Bellerive AG informiert transparent darüber, wie sie mit welchen Daten umgeht. Die Datenschutzerklärung ist auf der Website der Privatbank Bellerive AG zu finden. In Zeiten erhöhter geopolitischer Spannungen werden nichtfinanzielle Risiken wie Cyberangriffe gegen kritische Infrastrukturen weiter zunehmen. Für die Privatbank Bellerive AG sind die Daten- und die Cybersicherheit deshalb auch in Zukunft ein wesentlicher Teil der Risikopolitik.