FINMA: Sinn machen Kundenidentifizierungsdaten (CID)

Im Jahr 2013 hat die Eidgenössische Finanzmarktaufsicht (FINMA) eine Version eines Rundschreiben zum operationellen Risiko bei Banken. Es legt Anforderungen an das Management operationeller Risiken und den Schutz der Vertraulichkeit von Privatkunden fest. Zudem enthält es einen neuen Anhang 3 mit Grundsätzen zum Umgang mit elektronischen Kundendaten und den mit Bankbeziehungen in der Schweiz und im Ausland verbundenen Risiken. Das Rundschreiben trat am 1. Januar 2015 in Kraft.

Warum sind Kundenidentifizierungsdaten (CID) wichtig?

Das Rundschreiben zu operationellen Risiken konzentriert sich auf Finanzinstitute in der Schweiz verantwortlich für die Wahrung des Bankkundengeheimnisses und der Datenintegrität hinsichtlich Datenschutz, Zugriffsbeschränkung und Übertragung bestimmter Daten.

In Bezug auf Kundenidentifikationsdaten (CID) zwingen die Urteile Banken dazu, elektronische Kundendaten zu kategorisieren. Dies erfordert zunächst die Bestimmung von Kundenidentifikationsdaten. Dabei handelt es sich um alle Daten, die die Identifizierung eines Kunden oder seine Beziehung zu einem Finanzinstitut belegen, wie beispielsweise Kreditkartennummern oder Geburtsdaten.

Gemäss Bundesgesetz über den Datenschutz, Artikel 3, gibt es drei Arten von CID:

Direkte CID

Zu allen Kennungen, die eine direkte Identifizierung ermöglichen, gehören die Personenkennung, die Unternehmenskennung, die elektronische Identifikation und die physische Adresse.

• Name
• E-Mail
• Social-Media-IDs
• Name der Firma
• Unterschrift

Indirekte CID

Daten, die eine Identifizierung eines Kunden nur in Kombination mit anderen Informationen ermöglichen, darunter Kundenkennungen, Karrieredaten und persönliche IDs.

• Kreditkartennummern
• Steuernummer, Sozialversicherungsnummer
• Reisepass-ID
• Kontonummer
• Safe-Depot-Nummer
• Benutzer-ID/Passwörter
• IP-Adresse

Potenzielle indirekte Kundenidentifizierungsdaten

Daten, die eine Identifizierung eines Kunden nur in Kombination mit anderen Informationen und anderen besonderen Umständen ermöglichen, einschließlich Geburtsdaten, Familiendaten, Daten zu persönlichen Beziehungen und Lebenssituationen.

• Geburtsjahr
• Alter
• Geschlecht
• Nationalität
• PLZ
• Bonität
• Clubmitgliedschaften

Von den Organisationen wird verlangt, dass sie die Praxis übernehmen, kundenidentifizierende Daten mit höheren Vertraulichkeits- und Schutzstufen zu klassifizieren.

BigID inventarisiert alle personenbezogenen Daten in der gesamten IT-Landschaft, um diese ersten Schritte zum Datenschutz und zur Datensicherheit zu unternehmen. Darüber hinaus decken die BigID-Erkennungsmethoden verschiedene Datentypen ab – von der Erkennung von Datenbeständen bis hin zur Erkennung von CID durch vollständige, detaillierte Scans. Die Datenerkennungsfunktionen von BigID ermöglichen es Organisationen, Daten zu inventarisieren, abzubilden, zu klassifizieren und an regulatorische Richtlinien, insbesondere an die Regulierungsrichtlinien der FINMA, anzupassen.

Die Herausforderung der CID-Compliance

Die Einhaltung der CID-Vorschriften ist mit strengen Anforderungen verbunden. Gemäß den Grundsätzen der Verordnung ist das Top-Management für das Management operativer Datenschutzrisiken verantwortlich. Die Grundsätze verlangen von Finanzinstituten einen standardisierten Ansatz für das Datenmanagement mit der erforderlichen IT-Infrastruktur, um Risiken korrekt zu identifizieren, zu begrenzen und zu überwachen.

Hier sind die spezifischen Herausforderungen:

• Datenermittlung und -verwaltung: Identifizieren, Klassifizieren und Katalogisieren aller direkten, indirekten und potenziellen CIDs in allen Anwendungen und Systemen.
• CID-Regulierungsrisiko: Der Umgang mit indirekten CIDs und potenziellen CIDs kann zu Kombinationen führen, die als Identifikatoren dienen könnten, wodurch diese Daten riskant werden.
• Datenwachstum und -eigentum: Es muss ein etablierter Rahmen für den Schutz der Vertraulichkeit von Daten geben, der eine unabhängige Aufsichtsbehörde erfordert, die mit der Verwaltung der internen und externen Verarbeitung elektronischer Kundendaten beauftragt ist.
• Grenzüberschreitender Datentransfer: Alle CIDs aus der Schweiz müssen datei- und objektübergreifend als Schweizer Datenresidenzdaten zugewiesen werden. Dies erfordert auch die Verwaltung von Datenflüssen und die Durchsetzung von Datenresidenzanforderungen.

Zugriff auf Zero Trust für CID-Compliance

Zu den strengsten Datenschutzanforderungen gehören die Zugriffsebenen der Kundendaten. Kundendaten müssen während des gesamten Datenlebenszyklus durch organisatorische und technologische Schutzmaßnahmen jederzeit geschützt werden:

• Erhöhung der Sicherheitsanforderungen für privilegierte und unterprivilegierte Benutzer
• Zugriffsrichtlinien, -kontrollen und -prozesse zur Gewährleistung der richtigen Zugriffsrechte
• Beschränkung des elektronischen und physischen Zugriffs auf Kundendaten
• Löschung von Daten aufgrund gesetzlicher Verbote, Aufbewahrung und Minimierung
• Implementieren Sie Vertraulichkeits- und Datenschutzstandards für externe Dritte (Outsourcing, Partnerschaften), die Zugriff auf Kundendaten haben.
• Eine Organisation muss außerdem die Datennutzung durch Dritte überwachen und durchsetzen, wie CID verwaltet und geschützt werden soll.

FINMA CID vs. DSGVO-Standards für personenbezogene Daten

Die Vorgaben der FINMA-Verordnung zu CIDs ähneln den Datenschutzstandards der DSGVO für personenbezogene und sensible Daten – und für Daten, die als direkt oder indirekt identifizierbare Daten gelten.

Artikel 9 der DSGVO enthält eine einzigartige Anforderung für „besondere Kategorien personenbezogener Daten“, die indirekt einen Verbraucher identifizieren. Dies ist verboten, da für die Verarbeitung der Daten bestimmte Bedingungen erfüllt sein müssen.

Personenbezogene Daten und Kennungen gemäß DSGVO:

• PI (Persönliche Informationen): Name, Geburtsdatum, Gesundheitsinformationen, sexuelle Orientierung, Personalakten

• PII (persönlich identifizierbare Informationen): Name, Telefonnummer, Sozialversicherungsnummern, Ausländerregistrierungsnummern oder Führerscheinnummern, Standortdaten, IP-Adresse
• Sonderkategorien: Genetische Daten, Biometrie, religiöse, ethnische/rassische, politische Zugehörigkeit

Aufgrund ähnlicher Nuancen zwischen FINMA CID & GDPR Daten, Implementierung einer gleichwertigen Datenschutz und Schutzstrategie denn beide Regelungen werden die Einhaltung gewährleisten.

Wie BigID bei der Identifizierung von Kundendaten (CID) hilft

BigID ermöglicht es Unternehmen, die Anforderungen an Kundenidentifizierungsdaten (CID) zu erfüllen und zu verwalten. Der automatisierte, skalierbare Ansatz ermöglicht die Erkennung, Klassifizierung und Erfassung personenbezogener Daten, die in den CID-Bereich fallen. Mit BigID erhalten Unternehmen:

• Gezielte Datenermittlung: Die FINMA reguliert Kundenidentifikatoren, ob direkt oder indirekt. BigID hilft beim Aufbau eines umfassenden Datenbestands, um entdecken, kartieren und klassifizieren CID-bezogene Daten zur besseren Vorbereitung auf behördliche Prüfungen.
• Genaue Klassifizierung: Mit exakter Werteübereinstimmung, BigID Graphenbasierte Technologie dürfen identifizieren und klassifizieren CIDs in jeder Datenumgebung wie E-Mail, freigegebenen Laufwerken, Datenbanken, Datenseen und mehr.
• ML-basiertes Datenzugriffsmanagement: Für die vollständige Einhaltung der FINMA-Vorschriften hilft BigID Minimieren Sie das Risiko durch erhebliche Open-Access-Anforderungen zu sanieren Dateizugriffsverletzungen auf CIDs in allen Datenumgebungen.
• Validierte Datenübertragungen: Erstellen Sie Richtlinien und weisen Sie den Schweizer Wohnsitz zu Datenquellen und Einzelpersonendaten, um die Anforderungen an den Datenspeicherort durchzusetzen, zu überwachen und zu warnen grenzüberschreitende Datenübertragungen.
• Wirksame Abhilfe: BigID hilft bei der Definition der Sanierung Maßnahmen im Zusammenhang mit CID-Daten, um Prüfdatensätze mit Integration in Ticketsysteme wie Jira für nahtlose Abhilfe-Workflows bereitzustellen.

Können Sie die Erwartungen der FINMA-Entscheidung erfüllen? Erfahren Sie, wie BigID hilft Unternehmen, kritische Kundenkennungen zu finden, den Zugriff auf CID-Daten zu begrenzen oder einzuschränken und mithilfe von Prüfprotokollen Abhilfe zu schaffen, um die Einhaltung der sich ändernden Datenschutzbestimmungen der Schweiz zu gewährleisten. Holen Sie sich eine 1:1-Demo mit Datenschutzexperten.

Autor

Verrion Wright

Strategie und Entwicklung von Inhalten

Verrion Wright ist ein sehr erfahrener und ehrgeiziger Vermarkter mit mehr als 20 Jahren Erfahrung in den Bereichen Produktmarketing, Inhaltsentwicklung und digitale Strategie. Mit dem Schwerpunkt auf datengesteuerten Erkenntnissen und integriertem Marketing hatte er leitende Positionen in verschiedenen Branchen inne, darunter IT-Dienstleistungen, Datenschutz, Marketing und Werbung (Medienplanung). Bei BigID ist Verrion Director of Content Strategy and Development und trägt dazu bei, Inhalte über alle Säulen, Regionen und Käufer hinweg zu verbessern, indem er durchgängig überzeugende Inhalte über verschiedene Medien erstellt - darunter Videos, Artikel, Checklisten, Whitepaper und Leitfäden.