Data Governance im Family Office: Ein Praxisleitfaden

Warum Data Governance für Family Offices keine Kür ist

Family Offices nehmen im Finanzökosystem eine besondere Stellung ein: Sie verwalten einige der sensibelsten persönlichen und finanziellen Daten überhaupt – wirtschaftliche Eigentümerstrukturen, medizinische Informationen für die Nachlassplanung, politische Exponiertheit im Rahmen von Risikobeurteilungen sowie generationenübergreifende Vermögensdaten. Dennoch sind sie häufig von der regulatorischen Aufsicht ausgenommen, der Vermögensverwalter und Banken unterliegen. Eine Erhebung eines europäischen Family-Office-Verbands aus dem Jahr 2023 ergab, dass weniger als 40 Prozent der Single-Family-Offices mit einem verwalteten Vermögen von unter 500 Millionen Euro über eine dokumentierte Datenklassifizierungsrichtlinie verfügten. Diese Lücke ist keine blosse administrative Nachlässigkeit. Sie ist ein materielles Governance-Risiko, das Treuepflichten, regulatorische Compliance und Reputationsrisiken tangiert.

Das regulatorische Umfeld hat sich merklich verschärft. Die EU-Datenschutz-Grundverordnung (DSGVO), seit Mai 2018 in Kraft, gilt für jede Organisation, die personenbezogene Daten von EU-Ansässigen verarbeitet – unabhängig davon, wo die verarbeitende Stelle ihren Sitz hat. Das revidierte Schweizer Bundesgesetz über den Datenschutz (revDSG), in Kraft seit dem 1. September 2023, orientiert sich weitgehend an den DSGVO-Grundsätzen, weist jedoch wesentliche Abweichungen auf: darunter eine engere Definition besonderer Datenkategorien und unterschiedliche Regelungen zu den Betroffenenrechten. Family Offices mit Domizil auf den Cayman Islands, in Singapur oder im US-Bundesstaat Delaware, die jedoch EU-ansässige Familienmitglieder beschäftigen oder Begünstigtendaten von EU-Staatsangehörigen verarbeiten, fallen gemäss Artikel 3 Absatz 2 DSGVO klar in deren territorialen Anwendungsbereich.

Ein Family Office, das kein Datenverzeichnis, keine Aufbewahrungsfristen und keine dokumentierten Zugriffskontrollen vorweisen kann, ist nicht nur administrativ unvollständig – es riskiert die Verletzung der DSGVO, des revDSG sowie jedes Geldwäscherechtsrahmens, der nachvollziehbare Prüfpfade vorschreibt.

Ein dreistufiges Klassifizierungsmodell aufbauen

Die Datenklassifizierung bildet die Grundlage jeder Governance-Struktur. Ohne sie sind Aufbewahrungsfristen beliebig, Zugriffsentscheidungen reaktiv und das Incident-Management improvisiert. Das in der Praxis bewährteste Modell für ein Family Office gliedert sich in drei Stufen: öffentlich, vertraulich und streng vertraulich.

Öffentliche Daten

Öffentliche Daten sind Informationen, deren externe Offenlegung keinen Schaden verursachen würde. Im Family-Office-Kontext ist diese Kategorie typischerweise dünn besetzt: allgemeiner Marktkommentar, öffentlich eingereichte Gesellschaftsdokumente und Kommunikationsmaterial einer allfälligen Familienstiftung. Der Governance-Aufwand ist hier gering, aber die Klassifizierung selbst ist bedeutsam: Sie bestätigt explizit, dass diese Daten geprüft und als nicht sensibel eingestuft wurden – und vermindert so das Risiko, dass übertriebene Schutzreflexe den Betriebsablauf behindern.

Vertrauliche Daten

Vertrauliche Daten bilden den operativen Kern der meisten Family Offices. Dazu gehören Jahresabschlüsse, Anlageportfolios, Gegenparteivereinbarungen, Korrespondenz mit Beratern und Personalakten. Die Offenlegung vertraulicher Daten würde einen erheblichen Schaden verursachen – in reputativer, finanzieller oder wettbewerblicher Hinsicht –, konstituiert für sich allein aber nicht zwingend einen Regulierungsverstoss. Für diese Kategorie sind verpflichtende Zugriffskontrollen, Verschlüsselung im Ruhezustand und bei der Übertragung sowie restriktive Weitergabeprotokolle vorzusehen. Jede externe Übermittlung vertraulicher Daten – an einen Administrator, Wirtschaftsprüfer oder Rechtsberater – sollte durch einen Auftragsverarbeitungsvertrag gemäss Artikel 28 DSGVO bzw. dem entsprechenden Instrument unter Artikel 9 revDSG geregelt sein.

Streng vertrauliche Daten

Streng vertrauliche Daten bilden die höchste Sensibilitätsstufe. Sie umfassen Transparenzregister zu wirtschaftlich Berechtigten, Treuhandurkunden, Gesundheits- und Medizindaten für die Nachfolgeplanung, Beurteilungen politischer Exposition sowie sämtliche Daten, die unter die besonderen Kategorien von Artikel 9 DSGVO fallen – genetische Daten, biometrische Daten, Religionszugehörigkeit. Die Offenlegung streng vertraulicher Daten kann regulatorische Sanktionen, zivilrechtliche Haftung und in bestimmten Jurisdiktionen auch strafrechtliche Konsequenzen nach sich ziehen. Der Zugang ist auf namentlich benannte Personen mit dokumentiertem Sachbedarf zu beschränken und erfordert eine Mehrfaktorauthentifizierung. Jedes Zugriffsereignis ist mindestens drei Jahre lang in einem Protokoll festzuhalten.

Aufbewahrungsfristen: Konkurrierende Pflichten in Einklang bringen

Die Aufbewahrungspolitik eines Family Office muss drei überschneidende Rechtsrahmen navigieren: GwG- und steuerrechtliche Aufzeichnungspflichten, wertpapier- und fondsverwaltungsrechtliche Anforderungen sowie das Speicherbegrenzungsprinzip der DSGVO gemäss Artikel 5 Absatz 1 Buchstabe e, das verlangt, personenbezogene Daten nicht länger als für den Verarbeitungszweck erforderlich aufzubewahren.

Der praktische Zielkonflikt ist erheblich. Die EU-Geldwäscherichtlinien (4. und 5. AMLD) schreiben vor, Sorgfaltspflicht-Unterlagen und Transaktionsdokumentationen fünf Jahre nach dem Ende einer Geschäftsbeziehung aufzubewahren – in einigen Mitgliedstaaten bis zu zehn Jahre für Hochrisiko-Beziehungen. FATCA und der OECD-Common Reporting Standard (CRS) verpflichten Finanzinstitute – eine Kategorie, unter die viele Family Offices je nach Struktur fallen – zur Aufbewahrung von Kontoinhaberdaten und Sorgfaltsprüfungsdokumentation für mindestens fünf, in der Praxis oft sieben Jahre, um nationalen Steuerstatuten zur Verjährung zu entsprechen. Das Speicherbegrenzungsgebot der DSGVO wiederum verlangt eine aktive Rechtfertigung für die Aufbewahrung personenbezogener Daten über den ursprünglichen Verarbeitungszweck hinaus.

Die Lösung ist ein gestaffelter Aufbewahrungsplan, der dort die längste Pflichtfrist ansetzt, wo eine gesetzliche Verpflichtung besteht, und dort die kürzeste vertretbare Frist, wo dies nicht der Fall ist. Ein praxiserprobtes Rahmenwerk: GwG- und CRS-Dokumentation zehn Jahre ab Beziehungsende; unterzeichnete Anlageberatungsverträge zehn Jahre ab Kündigung; Personalakten einschliesslich Lohnunterlagen sieben Jahre ab Beschäftigungsende (entsprechend den meisten europäischen Steuerstatuten); allgemeine Beraterkorrespondenz fünf Jahre; Marketing- und Kommunikationsunterlagen zwei Jahre, sofern keine erneuerte Einwilligung vorliegt. Jede Aufbewahrungsfrist ist im Datenverzeichnis mit einer spezifischen Rechtsgrundlage zu verknüpfen, sodass bei Fristablauf die Lösch- oder Anonymisierungspflicht automatisch durch einen geplanten Überprüfungsprozess ausgelöst wird – und nicht durch eine Ad-hoc-Entscheidung.

Aufbewahrungsfristen sind nur so nützlich wie die dahinterstehende Löschdisziplin. Ein Family Office, das eine Sieben-Jahres-Frist für Personalakten festlegt, aber nie tatsächlich Daten bei Fristablauf löscht, verfügt über ein Governance-Dokument – nicht über ein Governance-Programm.

DSGVO und revDSG: Was Family Offices häufig falsch einschätzen

Ein verbreitetes Missverständnis unter Family-Office-Verantwortlichen – insbesondere jenen, die aus Nicht-EU-Jurisdiktionen operieren – ist die Annahme, die DSGVO sei eine europäische Compliance-Angelegenheit, die ausschliesslich europäische Unternehmen betrifft. Der territoriale Anwendungsbereich der Verordnung ist jedoch erheblich weiter gefasst. Artikel 3 Absatz 2 macht die DSGVO auf jeden Verantwortlichen oder Auftragsverarbeiter ausserhalb der EU anwendbar, der personenbezogene Daten von EU-Ansässigen im Zusammenhang mit der Anbahnung oder dem Angebot von Waren oder Dienstleistungen verarbeitet oder deren Verhalten innerhalb der EU beobachtet. Ein auf den Cayman Islands domiziliertes Family Office, das Vermögen für eine Familie mit EU-ansässigen volljährigen Kindern verwaltet oder Performance-Reporting für Begünstigte in Deutschland oder Frankreich erstellt, verarbeitet personenbezogene Daten von EU-Ansässigen im Rahmen einer Dienstleistung. Die DSGVO ist anwendbar.

Das revidierte revDSG gilt für jede Verarbeitung personenbezogener Daten mit Auswirkungen in der Schweiz, unabhängig vom Ort der Verarbeitung. Im Vergleich zur DSGVO schränkt das revDSG die Definition besonderer Datenkategorien ein – so fällt beispielsweise die Gewerkschaftszugehörigkeit nicht darunter, während die DSGVO diese als besondere Kategorie behandelt. Das revDSG verpflichtet zudem zur Meldung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nur bei Verarbeitungen, die ein hohes Risiko für die Persönlichkeit oder Grundrechte der betroffenen Personen mit sich bringen – während die DSGVO für Organisationen mit mehr als 250 Mitarbeitenden ein umfangreicheres Verarbeitungsverzeichnis vorschreibt, mit Ausnahmen für risikoreiche oder systematische Verarbeitungen, die die meisten Family-Office-Aktivitäten erfassen.

Für grenzüberschreitende Datentransfers verlangen beide Rechtsrahmen geeignete Übermittlungsmechanismen. Überträgt ein Family Office Begünstigtendaten aus der Schweiz in ein Drittland ohne Angemessenheitsbeschluss – etwa in die USA, sofern kein spezifischer Übermittlungsmechanismus besteht –, müssen Standardvertragsklauseln gemäss Artikel 16 revDSG bzw. Kapitel V DSGVO vorliegen. Das EU-US Data Privacy Framework, das im Juli 2023 verabschiedet wurde, eröffnet einen Weg für DSGVO-konforme Übermittlungen an zertifizierte US-Unternehmen. Family Offices sollten jedoch durch unabhängige Rechtsberatung bestätigen lassen, dass ihre konkreten Übermittlungsarrangements die Anforderungen erfüllen.

Zugriffskontrollen und das Problem der Personalfluktuation

Personalfluktuation ist das strukturell am stärksten unterschätzte Datensicherheitsrisiko in Family Offices. Anders als bei institutionellen Vermögensverwaltern mit automatisierter HR-IT-Integration verlassen sich die meisten Family Offices auf manuelle Offboarding-Prozesse. Eine Analyse von Datenschutzvorfällen bei Privatvermögensverwaltungen durch eine britische Cybersicherheitsberatung aus dem Jahr 2022 ergab, dass 34 Prozent der unberechtigten Datenzugriffe auf ehemalige Mitarbeitende zurückzuführen waren, die im Schnitt noch 47 Tage nach ihrem Ausscheiden über aktive Zugangsdaten verfügten. Im Family-Office-Kontext, wo ein ausscheidender Spezialist für Nachlassplanung möglicherweise Zugang zu streng vertraulichen Treuhandstrukturen und Gesundheitsdaten hatte, ist dieses Risiko nicht bloss ein IT-Problem – es ist ein potenzieller Verstoss gegen Artikel 32 DSGVO und ein treuhänderisches Risiko.

Das strukturelle Gegenmittel ist ein rollenbasiertes Zugriffssteuerungssystem (Role-Based Access Control, RBAC), das direkt mit dem HR-Status verknüpft ist und die Deaktivierung des Zugangs automatisch bei Eingang der Austrittsmeldung auslöst. Zugriffsrechte sind nach Rolle statt nach Person zu vergeben, wobei das Prinzip der minimalen Rechtevergabe systematisch anzuwenden ist: Jede Rolle erhält nur die Berechtigungen, die zur Erfüllung ihrer definierten Aufgaben erforderlich sind. Eine Funktion im Bereich Rechtsberatung sollte beispielsweise Lesezugang zu streng vertraulichen Trust- und Nachlassdokumenten erhalten, jedoch kein Schreibrecht und keinen Zugang zu Anlageportfoliodaten, es sei denn, diese Funktion ist ausdrücklich im Aufgabenprofil vorgesehen.

Regelmässige Zugriffsüberprüfungen als Governance-Disziplin

Über das Offboarding hinaus sollten Family Offices halbjährliche Zugriffsüberprüfungen durchführen, bei denen Datenverantwortliche – typischerweise der Chief Operating Officer oder eine benannte Datenschutzverantwortliche – bestätigen, dass das Zugriffsniveau jedes Nutzers seiner aktuellen Funktion entspricht. Dies ist besonders wichtig in Family Offices, in denen informelle Rollenerweiterungen verbreitet sind: Eine Vertrauensperson in einer persönlichen Assistenzfunktion, die schrittweise Zugang zu Finanz- und Rechtssystemen akkumuliert, ohne dass eine formale Rollendefinition angepasst wurde, ist ein Governance-Versäumnis, das zum Governance-Vorfall werden kann. Halbjährliche Überprüfungen schaffen einen dokumentierten Nachweis, der sowohl internen Governance-Standards als auch dem Rechenschaftsprinzip gemäss Artikel 5 Absatz 2 DSGVO genügt.

Datenzugang für Familienmitglieder: Eine eigenständige Governance-Ebene

Familienmitglieder, die nicht beim Office angestellt sind, aber ein berechtigtes Interesse an bestimmten Daten haben – etwa volljährige Kinder als Trust-Begünstigte –, erfordern eine Governance-Ebene, die sich klar von den Mitarbeiter-Zugangsprotokollen unterscheidet. Ihre Zugriffsrechte leiten sich aus ihrer rechtlichen Stellung als Begünstigte ab, nicht aus einem Arbeitsverhältnis, und sind entsprechend mit ausdrücklichen Umfangsbeschränkungen zu dokumentieren. Die Rechtsgrundlage für die Verarbeitung ihrer personenbezogenen Daten ist nach DSGVO typischerweise Artikel 6 Absatz 1 Buchstabe c (rechtliche Verpflichtung) oder Buchstabe b (Vertragserfüllung); in bestimmten Fällen kann Buchstabe f (berechtigte Interessen) zur Anwendung kommen, was eine Abwägungsprüfung erfordert.

Das Datenverzeichnis als operatives Rückgrat

Alle Elemente eines Data-Governance-Programms – Klassifizierung, Aufbewahrungsfristen, Zugriffskontrollen, Übermittlungsmechanismen – laufen in einem einzigen operativen Dokument zusammen: dem Datenverzeichnis, in der DSGVO als Verzeichnis von Verarbeitungstätigkeiten (Artikel 30) bezeichnet. Für ein Family Office sollte dieses Verzeichnis mindestens folgende Angaben enthalten: Datenkategorie und Klassifizierungsstufe, Verarbeitungszweck und Rechtsgrundlage, Datenverantwortlichen (die namentlich genannte Person, die für diese Datenkategorie zuständig ist), Aufbewahrungsfrist und Löschauslöser, Empfänger oder Empfängerkategorien einschliesslich Drittverarbeiter sowie allfällige grenzüberschreitende Übermittlungsmechanismen.

Die DSGVO befreit Organisationen mit weniger als 250 Mitarbeitenden von der Pflicht gemäss Artikel 30, es sei denn, sie führen risikoreiche, systematische oder nicht gelegentliche Verarbeitungen durch – ein Vorbehalt, der in der Praxis auf kaum ein Family Office zutrifft, da die Verarbeitung finanzieller Daten und Gesundheitsdaten von Begünstigten per Definition systematisch und kontinuierlich ist. Das revDSG statuiert eine vergleichbare Pflicht durch sein Rechenschaftsprinzip gemäss Artikel 8. Die Führung eines aktuellen, präzisen Datenverzeichnisses ist in der Praxis eine regulatorische Mindestanforderung und keine freiwillige Best Practice.

Das Datenverzeichnis ist mindestens jährlich sowie bei jeder wesentlichen Änderung zu überprüfen und zu aktualisieren: wenn eine neue Datenkategorie erhoben wird, ein neuer Drittverarbeiter beauftragt wird oder sich die Beziehung zu einem Begünstigten oder Familienmitglied verändert. Die Zuweisung der Verantwortlichkeit für das Verzeichnis an eine konkrete Person – anstatt es als geteilte Aufgabe zu behandeln – ist die einzelne Governance-Entscheidung, die am stärksten darüber bestimmt, ob das Verzeichnis aktuell bleibt oder zum blossen Artefakt verkommt.

Der Massstab eines Data-Governance-Programms ist nicht seine Ausgefeiltheit bei der Einführung, sondern seine Pflegedisziplin über die Zeit. Ein gut konzipiertes Verzeichnis, das nicht aktualisiert wird, ist schlimmer als gar keines – denn es erzeugt falsches Vertrauen und spiegelt die tatsächliche Verarbeitungssituation nicht mehr wider.

Empfohlene Umsetzungsreihenfolge für Offices ohne bestehendes Framework

Für Family Offices, die noch über kein formales Governance-Framework verfügen, kommt der Implementierungsreihenfolge entscheidende Bedeutung zu. Der Ausgangspunkt ist eine Datenbestandsaufnahme: Welche Datenkategorien werden aktuell gehalten, wo befinden sie sich, wer hat Zugang, und bestehen bereits vertragliche oder regulatorische Aufbewahrungspflichten? Diese Bestandsaufnahme dauert bei einem Single-Family-Office mit zehn bis zwanzig Mitarbeitenden typischerweise vier bis acht Wochen und sollte unter Federführung des COO mit Unterstützung der Rechtsberatung durchgeführt werden. Im zweiten Schritt ist die Klassifizierungsrichtlinie zu erarbeiten und jede identifizierte Datenkategorie einer Stufe zuzuordnen. Drittens ist das Datenverzeichnis auf Basis der Klassifizierungsergebnisse aufzubauen, ergänzt um Rechtsgrundlage, Verantwortlichen, Aufbewahrungsfrist und Übermittlungsmechanismen. Viertens sind die Zugriffskontrollen gemäss dem Prinzip der minimalen Rechtevergabe zu überprüfen und neu zu strukturieren, inklusive automatisierter Deaktivierung beim Austritt. Fünftens ist der halbjährliche Überprüfungszyklus zu etablieren und die Eigentümerschaft explizit zu vergeben.

Das BEPS-Pillar-Two-Rahmenwerk, das in den meisten OECD-Ländern für grosse multinationale Konzerne bereits operativ ist, fügt für Family Offices, die über Mehrgesellschaftsstrukturen tätig sind, eine zusätzliche Dokumentationsdimension hinzu: Die globalen Mindeststeuerregeln verlangen die Aufbewahrung von Finanz- und Gesellschaftsdaten, die zur Erstellung von GloBE-Informationsmeldungen ausreichen, mit Dokumentationsstandards, die sich materiell mit Data-Governance-Best-Practices überschneiden. Family Offices, die Pillar Two unterliegen – also in Konzernstrukturen mit konsolidierten Umsätzen über 750 Millionen Euro eingebettet sind –, sollten sicherstellen, dass ihr Governance-Programm die GloBE-Dokumentationsaufbewahrung explizit adressiert, parallel zu DSGVO- und GwG-Anforderungen.

Data Governance ist kein Compliance-Projekt mit einem Abschlussdatum. Sie ist eine operative Disziplin, die dieselbe treuhänderische Ernsthaftigkeit widerspiegeln sollte, die Anlageentscheidungen und Nachfolgeplanung prägt. Die Family Offices, die sie entsprechend behandeln – klare Eigentümerschaft zuweisen, Verzeichnisse pflegen, Zugriffskontrollen durchsetzen und Aufbewahrungsfristen an die sich wandelnde Regulierungslandschaft anpassen –, sind am besten positioniert, sowohl die Privatsphäre der Familie als auch die institutionelle Glaubwürdigkeit des Offices zu schützen.