Die Kundendaten der Zürcher Kantonalbank (nachfolgend «Bank») unterliegen in der Schweiz dem schweizerischen Bankkundengeheimnis sowie Datenschutzrecht und werden von der Bank vertraulich behandelt.
Innerhalb der Bank erhalten nur diejenigen Stellen Zugriff auf Kundendaten, welche diese zur Aufnahme, zum Abschluss oder zur Durchführung eines Vertrags bzw. einer Geschäftsbeziehung oder aufgrund gesetzlicher und regulatorischer Pflichten benötigen.
Um konzerneigene oder -fremde Produkte sowie Dienstleistungen anbieten zu können, kann die Bank Dienstleister beiziehen. Diese bearbeiten Kundendaten im Auftrag und für die Zwecke der Bank, z.B. für Zahlungsverkehr, Zeichnung und Rücknahme von Fondsanteilen, Druck und Versand von Bankdokumenten, Entwicklung und Betrieb von Informations- und Kommunikationstechnologien (z.B. IT-Infrastrukturen, Plattformen oder Applikationen), Marketing-, Vertriebs- oder Kommunikationsdienste, Inkasso, Betrugsbekämpfung, Kreditauskunft oder Beratungen.
Findet eine Bekanntgabe von Kundendaten an einen solchen Dienstleister statt, darf er die erhaltenen Daten nur so bearbeiten wie die Bank selbst. Die Bank wählt ihre Dienstleister sorgfältig aus und verpflichten sie vertraglich dazu, die Vertraulichkeit mit technischen und organisatorischen Massnahmen zu gewährleisten.
Aufgrund des Betriebsmodells der Bank und der eingesetzten Technologien kann es sein, dass die von der Bank beigezogenen Dienstleister einen Auslandsbezug aufweisen. Ein solcher kann z.B. vorliegen, wenn ein Dienstleister zu einem ausländischen Mutterkonzern gehört, sein Sitz im Ausland liegt oder wenn er Daten im Ausland bearbeitet.
Dienstleister mit Auslandsbezug können insbesondere für die Entwicklung und den Betrieb von IT-Infrastrukturen, Plattformen und Applikationen beigezogen werden, um z.B. cloudbasierte Services wie Microsoft-Office-Applikationen zu nutzen, Filter gegen Viren einzusetzen oder Angriffe gegen die IT-Infrastruktur (sogenannte DDos-Attacken) abzuwehren.
Auch in solchen Fällen vereinbart die Bank technische und organisatorische Massnahmen, um die Vertraulichkeit der Kundendaten bei den Dienstleistern zu gewährleisten und z.B. vor Cyber-Kriminellen zu schützen. Es verbleibt jedoch die Möglichkeit, dass ausländische Behörden aufgrund des Auslandsbezugs und des dadurch anwendbaren ausländischen Rechts eine Herausgabe von Kundendaten anordnen dürfen. Das schweizerische Bankkundengeheimnis kann eine solche Herausgabe nicht verhindern und die Daten können von den ausländischen Behörden nach Massagabe ihres anwendbaren ausländischen Rechts bearbeitet werden, z.B. für eigene Untersuchungen oder Verfahren. Je nach anwendbarem ausländischen Recht kann es sein, dass im Vergleich zur Schweiz kein angemessenes Datenschutzniveau herrscht und vergleichbare Rechte (z.B. Zugriffs- bzw. Weitergabebeschränkungen) fehlen.