-
Audit Financial Services
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfung für Banken und andere Finanzunternehmen
-
Audit Industry, Services, Institutions
Mehr Sicherheit, mehr Vertrauen: Wirtschaftsprüfungen für nationale und internationale Geschäftskunden
-
Corporate Tax
Nationale und internationale Steuerberatung und -planung
-
Individual Tax
Individual Tax
-
Indirect Tax/VAT
Unsere Dienstleistungen im Bereich Mehrwertsteuer
-
Transfer Pricing
Verrechnungspreise
-
M&A Tax
Mergers & Acquisitions Steuern – Beratung über den gesamten Transaktionszyklus
-
Tax Financial Services
Tax Financial Services
-
Financial Services
Beratung Finanzindustrie
-
Advisory IT & Digitalisation
Vermittlung von Sicherheit aus der IT.
-
Forensic Services
Heutzutage geht es bei der Aufklärung von Straftaten in Unternehmen immer häufiger auch um digitale Daten und ganze IT-Systeme.
-
Regulatory & Compliance Financial Services
Beratungsdienstleistungen in den Bereichen Finanzmarktrecht und Sustainable Finance.
-
Transaction Services / Mergers & Acquisitions
Gut beraten Transaktionen erfolgreich abwickeln.
-
Legal Services
Persönliche Beratung, die Ihnen Recht gibt.
-
Trust Services
Ihr zuverlässiger Partner in Sachen Vermögensplanung, Trusts und Stiftungen.
-
Business Risk Services
Nachhaltiges Wachstum für Ihr Unternehmen.
-
IFRS Services
Die Rechnungslegung nach den International Financial Reporting Standards (IFRS) und die Finanzberichterstattung stehen ständig vor neuen Herausforderungen durch Gesetzgeber, Regulierungsbehörden und Gremien. Einige IFRS-Rechnungslegungsthemen sind so komplex, dass sie generell schwer zu handhaben sind.
-
Abacus
Grant Thornton Schweiz Liechtenstein ist seit 2020 offizieller Vertriebspartner der Abacus Business Software.
-
Accounting Services
Buchführung ist für uns weit mehr als die Verarbeitung von Zahlen.
-
Payroll Services
Monat für Monat sparen Sie Zeit und Energie, wenn Sie wissen, dass Ihre komplette Lohnadministration sich in den besten Händen befindet.
-
Real Estate Management
Geben Sie Ihrem kompletten Immobilienmanagement ein sicheres Zuhause.
-
Lernende
Karriere mit Lehre?!
Einordnung 1
1Es handelt sich um eine stark vereinfachte Darstellung, welche eine rasche erste Einordnung der Thematik ermöglichen soll. Jedes Institut sollte die Relevanz und den konkreten Handlungsbedarf individuell-konkret bestimmen.
Sich einen Überblick verschaffen
Es ist absolut unerlässlich, dass sich der Finanzdienstleister zu Beginn einen Überblick über die Datenbearbeitungen in seinem Betrieb verschafft und sich entsprechend Gedanken zu Rollen und Verantwortlichkeiten macht. Ohne eine solche generelle Übersicht wird eine regelkonforme Umsetzung der Vorschriften zwangsläufig scheitern. Ob ein formelles Bearbeitungsverzeichnis vorgeschrieben respektive sinnvoll ist, ist im Einzelfall individuell zu entscheiden. In den Projekten hat es sich aber bewährt, bereits bei nur leicht komplexeren Verhältnissen ein Verzeichnis zu erstellen (z.B., wenn mehrere Arten von Dienstleistungen angeboten werden). Das Verzeichnis kann dann als Basis für die weiteren Umsetzungsarbeiten verwendet werden.
Qualifizierung von Beziehungen mit Kooperationspartnern
Die Qualifizierung der Beziehungen zwischen dem Finanzdienstleister und seinen jeweiligen Kooperationspartnern (z.B. Banken, IT, Research-Dienstleister, Corporate Services, Berater) hat sich als besonders herausfordernd erwiesen. Das mit dem revidierten Datenschutzgesetz neu eingeführte Rollenmodell, mit dem «Verantwortlichen» und gegebenenfalls einem «Auftragsbearbeiter», ist nur auf den ersten Blick einfach umzusetzen. So qualifiziert entgegen einem allgemeinen Sprachverständnis folgend, nicht jedes Auftragsverhältnis, welches die Bearbeitung von Personendaten mitbeinhaltet, als Auftragsbearbeitung im Sinne des Datenschutzgesetzes.
In der praktischen Umsetzung ist somit bei sämtlichen Bearbeitungen von Personendaten, die nicht ausschliesslich durch den Finanzdienstleister durchgeführt werden, zu prüfen, wer «Verantwortlicher » ist, und ob zusätzlich eine Auftragsbearbeitung vorliegt.
In unseren Projekten haben wir gute Erfahrungen damit gemacht, sich direkt mit den Kooperationspartnern auszutauschen, um im Detail zu verstehen, welche Personendaten wie und in welchem Umfang bearbeitet werden.
Zumindest in den Fällen, in denen eine Auftragsbearbeitung vorliegt, ist eine Sichtung und gegebenenfalls Anpassung des Vertrags zwischen dem Finanzdienstleister und seinem Kooperationspartner notwendig. Letzteres kann im Einzelfall wiederum herausfordernd sein, vor allem dann, wenn unterschiedliche Ansichten bezüglich der Notwendigkeit von Anpassungen respektive deren Ausgestaltung bestehen.
Datensicherheit
Finanzinstitute müssen technische und organisatorische Massnahmen treffen um Personendaten angemessen zu schützen. Die Verordnung zum Gesetz enthält einen umfangreichen Katalog solcher technischen und organisatorischen Massnahmen. Abgesehen davon, dass Verletzungen der Datensicherheit gravierende Auswirkungen haben können, zu denken ist hierbei z.B. an den Verlust von Kunden- oder Mitarbeiterdaten: Wer die Mindestanforderungen an die Datensicherheit verletzt, macht sich unter Umständen strafbar.
In der praktischen Umsetzung haben wir in einem ersten Schritt jeweils abgeklärt, welche Massnahmen zur Datensicherheit bereits bestehen und haben diese dokumentiert. Wo IT-Dienstleistungen an Dritte ausgelagert wurden, dies war bei der überwiegenden Anzahl der von uns begleiteten Institute zumindest teilweise der Fall, haben wir diesen Schritt wann immer möglich gemeinsam mit diesen Dienstleistern vorgenommen.
Bei der Beurteilung der Angemessenheit der Massnahmen ist wiederum die Komplexität der Verhältnisse zu berücksichtigen. Auch hier konnten IT-Dienstleister in der Regel wertvollen Input liefern. Der Beizug von Spezialisten ist aber teilweise unabdingbar.
Umsetzung der Informationspflichten
Für Finanzdienstleister, welche einen guten Überblick über die stattfindenden Datenbearbeitungen, den Beizug von Dritten und die vorhandenen Massnahmen zur Datensicherheit haben, ist die Umsetzung der Informationspflichten danach mit vertretbarem Aufwand möglich. Da eine Verletzung der Informationspflichten zu einer Busse führen kann, ist eine sorgfältige Herangehensweise aber unbedingt zu empfehlen.
In Regel werden die Informationspflichten in einer oder mehreren (z.B. separat für Kunden, Mitarbeitende, Besucher der Webseite etc.) Datenschutzerklärungen formalisiert. Falls eine Webseite vorhanden ist, ist es sinnvoll die Datenschutzerklärung dort zu veröffentlichen. Zusätzlich sollte in Verträgen und/oder AGB’s darauf hingewiesen werden, dass die Datenschutzerklärung auf der Webseite des Finanzdienstleiters zu finden ist.
Falls keine Webseite vorhanden ist, muss die Datenschutzerklärung den betroffenen Personen in anderer Art und Weise zur Kenntnis gebracht werden. Die Information, dass die Erklärung beim Unternehmen grundsätzlich vorhanden ist, ist nicht ausreichend.
Fazit
Finanzdienstleister, welche sich noch nicht mit den Bestimmungen des neuen Datenschutzgesetzes auseinandergesetzt haben, sollten dies zeitnah in Angriff nehmen. Abwarten ist keine Option. Die hierzu notwendigen Arbeiten sind zwar mit Aufwand verbunden, können aber durch eine gute Planung, eine klare Zuteilung von Rollen und Verantwortlichkeiten und falls notwendig unter Beizug der notwendigen Fachexpertise effizient umgesetzt werden.
Haben Sie Fragen zum neuen Datenschutzgesetz und/oder zur konkreten Umsetzung? Gerne unterstützen Sie unsere Spezialisten vom Regulatory & Compliance FS Team. Wir freuen uns auf Ihre Kontaktaufnahme.