Der Verwaltungsrat wird von der Abteilung Nachhaltigkeit/ESG unterstützt, die der Generaldirektion unterstellt ist und folgende Aufgaben erfüllt:

• Ausarbeitung und Ausführung der Nachhaltigkeitsstrategie
• Formalisierung einer operativen Roadmap zu deren Umsetzung
• Kontrollierte Abstimmung der strategischen Ziele und Ergebnisse durch quantitative Indikatoren und regelmäßige Überprüfungen

• Generaldirektion: beaufsichtigt die Berücksichtigung von Nachhaltigkeitsaspekten in Unternehmensstrategie und Organisationsstruktur
• Risikokomitee: genehmigt die doppelte Wesentlichkeitsanalyse und unterstützt den Verwaltungsrat beim ESG-Risikomanagement
• Komitee der unabhängigen Verwaltungsräte: prüft die Kohärenz zwischen Anreizsystem und ESG-Zielen
• Abteilung Planung, Verwaltung und Bilanz: koordiniert mit Unterstützung der Abteilung Nachhaltigkeit/ESG die Erstellung der Nachhaltigkeitsberichte und den Umgang mit ESG-Kriterien

Das Nachhaltigkeitskonzept der Volksbank spiegelt sich in den Zielen des Strategieplans „I‑mpact 2026“ wider. Damit soll der strategische Anspruch der Volksbank an Umwelt, Soziales und Unternehmensführung (Environmental, Social, Governance, kurz „ESG“) in konkrete Grundsätze und Leitlinien überführt werden.

Das vom Verwaltungsrat genehmigte Konzept ist der Maßstab für ein verantwortungsbewusstes, transparentes und langfristig ausgerichtetes Geschäftsmodell.

Das Konzept wird bereichsübergreifend auf alle Unternehmensprozesse angewendet.

Die Volksbank will die ökologische und soziale Nachhaltigkeit auf allen Ebenen fördern: für die Bank, die Gesellschaft, die Kundinnen und Kunden, die Mitarbeitenden und das Wirtschaftssystem. Dies soll im Einklang mit dem hochdynamischen europäischen Rechtsrahmen und ihrem Tätigkeitsgebiet erfolgen.

In puncto Nachhaltigkeit folgt die Volksbank dem Fahrplan des Strategieplans „I‑mpact 2026“ sowie einer ganzheitlichen, bereichsübergreifenden Herangehensweise an ESG-Fragen. ESG-Faktoren werden dabei im allgemeinen Risk Management Framework und insbesondere im Risk Appetite Framework berücksichtigt. In Letzterem ist ein Abschnitt speziell für derartige Risiken, insbesondere im Zusammenhang mit dem Klimawandel, vorgesehen.

Das ESG-Risikomanagement der Volksbank durchläuft folgende Phasen:

• Ermittlung: Erfassung und Beschreibung von ESG-Risikofaktoren und damit verbundenen Risiken, auch in Bezug auf Übertragungswege, unter besonderer Berücksichtigung von Klima- und Umweltrisiken.
• Bewertung und Messung: Bestimmung der ESG-Risikoexposition für bestimmte Portfoliokategorien mit Immobiliensicherheiten.
• Überwachung und Kontrolle: Kontrolle der fortlaufenden Entwicklung der ESG-Risikoexposition mit Überwachung der RAF/RAS-Indikatoren.
• Minderung: Eindämmung der ESG-Risiken durch geeignete (auch präventive) Maßnahmen und Strategien zur Abschwächung der Risikofolgen inkl. Sensitivitäts- und Szenarioanalysen mit besonderem Augenmerk auf die wichtigsten Geschäftsbereiche.
• Kommunikation: Bereitstellung geeigneter Informationsflüsse zur Herstellung von Transparenz und Wissen über die ESG-Risikoexposition und den Stand der Anpassung an die gesetzlichen Anforderungen.

Unser ganzheitliches Verständnis von Nachhaltigkeit wurde bereits im Strategieplan von 2020 angestoßen, dann weiter ausgearbeitet und schließlich in den aktuellen Strategieplan „I‑mpact 2026“ eingegliedert. Demzufolge stellt diese in all ihren Komponenten (Umwelt, Soziales und Unternehmensführung) einen der Grundpfeiler des täglichen Bankbetriebs dar. Nur auf dieser Grundlage können wir nachhaltige Projekte entwickeln und finanzieren und unseren Kundinnen und Kunden die nachhaltige und umweltfreundliche Ausrichtung der Volksbank vermitteln.

Daher wurde das ESG-Risiko in die Risikotaxonomie der Volksbank aufgenommen. Es gilt als aktuelles oder zu erwartendes Risiko eines Gewinn- oder Kapitalrückgangs, der direkt oder indirekt infolge von ESG-verwandten Ereignissen eintritt. Auslösende Faktoren hierfür sind demnach Umwelt (mit Schwerpunkt auf Klimawandel), Soziales und Unternehmensführung.

Besondere Aufmerksamkeit widmet die Volksbank den Klima- und Umweltrisiken als einer Teilmenge der „Environmental“-Kategorie innerhalb der ESG-Risikofaktoren, was auch den aufsichtsrechtlichen Vorgaben und Erwartungen entspricht.

Insbesondere hat die Volksbank formal Umweltrisiken für folgende Fälle definiert:

• Nicht klimabezogene Umweltrisiken: Gefahr für ein Unternehmen, bei der Ausübung seiner Geschäftstätigkeit aufgrund von Umweltschäden direkt oder indirekt finanzielle Verluste zu erleiden.
• Klimabezogenes Übergangsrisiko: Risiko für ein Unternehmen, infolge des Anpassungsprozesses hin zu einer kohlenstoffarmen und ökologisch nachhaltigeren Wirtschaft direkt oder indirekt finanzielle Verluste zu erleiden. Eine solche Situation könnte zum Beispiel durch die relativ plötzliche Einführung von Klima- und Umweltkonzepten, durch technologische Fortschritte oder durch veränderte Marktpräferenzen entstehen.
• Physische Klimarisiken: Finanzielle Belastungen, die einem Unternehmen infolge des Klimawandels drohen können. Dazu zählen häufiger auftretende Extremwetterereignisse und allmähliche Veränderungen des Klimas sowie Umweltzerstörung (Luft-, Wasser- und Bodenverschmutzung, Wasserknappheit, Verlust der biologischen Vielfalt und Entwaldung).

Die Volksbank hat sich dazu verpflichtet, eine führende und entscheidende Rolle bei der Finanzierung von Umstiegsvorhaben auf nachhaltige Lösungen zu übernehmen. Dazu gewährt sie unterstützenswerten Gegenparteien bzw. Projekten Kredite, wenn diese – im Einklang mit der EU-Taxonomie und den Zielen der Agenda 2030 – einen positiven Beitrag in den ESG-Bereichen leisten. Daher wurden in der Kreditvergabestrategie neben den (weiterhin vorrangigen) finanziellen Elementen auch ESG-Faktoren und Kriterien definiert. Diese müssen einfach und objektiv messbar sein, um ihre Entwicklung im Zeitverlauf überwachen und so die Risiken weiter mindern zu können.

Am 8. April 2022 hat die Banca d’Italia ihre aufsichtsrechtlichen Erwartungen in Bezug auf Klima- und Umweltrisiken veröffentlicht. Zur schrittweisen und kontinuierlichen Annäherung an diese Vorgaben der Aufsichtsbehörde verfolgte die Volksbank auch 2025 ihren Interventionsplan. Dessen Umsetzung wird regelmäßig kontrolliert, damit der ursprüngliche Zeitrahmen eingehalten wird.

Die Risk-Management-Abteilung hat Sensitivitäts-, Szenario- und Klimastresstest-Analysen durchgeführt, um zu ermitteln, wie sich die wichtigsten physischen Risiken und das Übergangsrisiko auf das Finanzierungsportfolio für die Kundschaft auswirken. Darüber hinaus hat die Volksbank die Folgen der Klima- und Umweltgefahren für das Liquiditätsrisiko analysiert.

Insbesondere im Hinblick auf das Finanzierungsportfolio für die Kundschaft wurden 2024 folgende Maßnahmen durchgeführt:

• Sensitivitätsanalyse zu potenziellen Klimawandelfolgen (Temperaturanstieg und Rückgang des Schneefalls) für Sektoren, deren Geschäftstätigkeit mit dem Winter- und Skitourismus zusammenhängt. Besonderes Augenmerk lag dabei auf der Tourismusbranche, Skiliften und damit verbundenen Tätigkeiten/Dienstleistungen.
• Sensitivitätsanalyse mit Unterstützung eines externen Informationsdienstes zur Bewertung des Einflusses von Preisänderungen bei den wichtigsten Primärgütern (Erdöl, Rohstoffe, Gas usw.) auf nichtfinanzielle Gegenparteien des Finanzierungsportfolios.
• Klimastresstest-Analysen: Fortführung der bisherigen Auswertungen mit Aktualisierung des Frameworks um neue Klimaszenarien des „Network for Greening the Financial System“ (NGFS) sowie methodische Optimierungen und bewährte Marktpraktiken.
• Überprüfung und Bestätigung des ESG-Frameworks der Wesentlichkeitsanalyse zur Umsetzung der „Guidelines on the management of ESG risks“ der EBA (veröffentlicht im Januar 2025, Umsetzung ab 2026).
• Bestätigung und Erweiterung der ESG-Risikoindikatoren im RAF/RAS-Framework.
• Planung seit 2025: Integration von Klima- und Umweltrisikobewertungen in die Kreditvergabephase, inkl. Analyse der Auswirkungen verschiedener Klimagefahren auf finanzierungsbesichernde Immobilien und Produktionsstätten von Unternehmen.

2024 hat die Risk-Management-Abteilung anhand von Klimastresstests das physische Risiko und das Übergangsrisiko des Firmen- und Sicherheitenportfolios abhängig von verschiedenen, spezifischen kurz- und langfristigen Gefahrenereignissen ermittelt. So ließen sich sowohl die „akuten“ als auch die „chronischen“ Auswirkungen von Klimaphänomenen auswerten.

Das Analysepaket umfasst sowohl Szenario‑/​Klimaresilienzanalysen als auch Klimastresstest-Analysen:

• Die bereits im Vorjahr durchgeführten Klimastresstest-Analysen wurden wiederholt, um den inzwischen vorgenommenen methodischen Optimierungen und Anpassungen (z. B. Anzahl der Klimagefahren, Szenarien usw.) Rechnung zu tragen. Insbesondere wurden das physische Risiko für Immobiliensicherheiten sowie die physischen und Übergangsrisiken analysiert.
• Die Szenario‑/ Klimaresilienzanalysen zeichneten sich durch eine stärkere Geschäftsorientierung aus. Sie betrafen das Finanzierungsportfolio der Volksbank für nichtfinanzielle Gegenparteien. So sollte ermittelt werden, welchen Einfluss das Risiko eines Schneemangels auf die Tourismusbranche hat und was Primärgüter, die für den Umstieg auf „grüne“ Lösungen notwendig sind, für die Fertigungsbranche bedeuten.

Das Schema der Klimastresstest-Analysen basiert auf den NGFS-Szenarien mit sieben Makroklimaszenarien. Diese wurden von den Engines und in der Methodik des externen Informationsdienstes berücksichtigt, um die „akuten“ Risiken zu bewerten.

Um zu bewerten, welche Auswirkungen das physische Risiko auf Immobiliensicherheiten hat, wurden Hochwasser-, Erdrutsch- und Brandgefahren als Risikofaktoren berücksichtigt. Wie erwartet zeigte die Stressanalyse entsprechende Zusammenhänge auf: Die langfristigen Effekte (Zeithorizont: 2050) belegten eine marginale jährliche Wertminderung für jede der Gefahren, also ein chronisches Risiko. Und auch kurzfristig wurde für jedes Jahr eine Wertminderung durch ein Extremereignis mit Wiederkehrintervall von 500 Jahren festgestellt, also ein akutes Risiko.

Angesichts der Ergebnisse der Stresstest-Analyse hat sich die Volksbank entschieden, das physische Risiko für Immobilien, die das Kreditportfolio besichern, in den Eigenmittelanforderungen zu berücksichtigen.

Die Volksbank hat die Auswirkungen von Klima- und Umweltrisiken auf den Ertrags‑/​Substanzwert der Bank analysiert und bewertet. Dazu wurde im Rahmen des ICAAP‑/​ILAAP-Prozesses eine Szenarioanalyse durchgeführt, um zu ermitteln, welchen Einfluss das Übergangsrisiko auf die Volksbank und ihr Portfolio für Gegenparteien hat. Dabei wurden verschiedene NGFS-Szenarien analysiert, die mit Informationen aus Klimastresstest-Engines ergänzt wurden. So lassen sich sowohl die Übergangseffekte als auch die physischen Effekte, die spezifisch für die von der Volksbank finanzierten Unternehmen gelten, in die Szenarien einbeziehen. Zweck der Analyse ist es, die Analysen des physischen Risikos zu ergänzen und die Exposition der Volksbank gegenüber Klima- und Umweltrisiken umfassend und vollständig zu bewerten.

Um eine möglichst umfangreiche Bewertung zu liefern, wurden in der Analyse unterschiedliche Klimaszenarien angenommen, die jeweils ein anderes Übergangsverfahren beschreiben und durchlaufen. So sollten je nach Risikominderungsmaßnahmen der verschiedenen internationalen Akteure und Akteurinnen unterschiedliche Auswirkungen simuliert werden.

Bewertet wurden in den verschiedenen Szenarien die Auswirkungen auf die Indikatoren Wirtschaftlichkeit, Rentabilität, Aktivaqualität, Vermögen und Liquidität.

Im Rahmen der Maßnahmen zur Beobachtung und Bewältigung möglicher Klimarisikofolgen hat die Risk-Management-Abteilung eine weitere Analyse durchgeführt: Dabei wurden die potenziellen Einbußen mangelnden Schneefalls für die von der Volksbank finanzierten Unternehmen analysiert, deren Geschäft von der Dauer und Qualität der Winterskisaison abhängt. Insbesondere sollte eingeschätzt werden, wie sich die Länge der Skisaison auf den Umsatz von Betrieben auswirkt, die in (direkt/​indirekt) vom Wintertourismus betroffenen Gebieten tätig sind.

Ausreichender Schneefall ist in der Tat ein äußerst wichtiger Klimafaktor in einigen Bereichen, die für das Finanzierungsportfolio der Volksbank und das Einzugsgebiet besonders relevant sind (Tourismus, Skilifte, Sportangebote und verwandte gewerbliche Tätigkeiten). Insbesondere kann der potenzielle Schneemangel aufgrund der globalen Erwärmung und der Temperaturentwicklung langfristig einen erheblichen Risikofaktor für einige Betriebe, die Region und folglich auch die Volksbank darstellen.

2024 hat die Risk-Management-Abteilung Tests durchgeführt, um die potenziellen Auswirkungen von ESG-Phänomenen auf das Liquiditätsrisiko der Volksbank zu ermitteln. Ziel war es, statistisch auszuwerten, ob sich physisch, meteorologisch oder klimatisch widrige ESG-Ereignisse auf den Vermögensbestand der Kundschaft in Gebieten auswirken, in denen Schadensfälle im Zusammenhang mit solchen Ereignissen gemeldet wurden (Datenquelle war der Versicherungsverband ANIA).

Bei der Kundschaft wurde zwischen Privatpersonen und nichtlandwirtschaftlichen Betrieben unterschieden.

In den Tests wurde ermittelt, ob nach dem ESG-Ereignis statistisch signifikante Einlagenrückgänge festzustellen waren. Zur Kontrolle wurde analog dazu ein Test bezüglich der Ausleihungen durchgeführt. So sollte festgestellt werden, ob nach dem ESG-Ereignis mehr Schulden (in Form von Finanzierungen oder Krediten) aufgenommen wurden.

Fälle mit statistisch signifikanten Abweichungen wurden zusätzlich qualitativ analysiert. Ziel war nun eine Wesentlichkeitsanalyse (bzw. Schweregradbewertung) des ESG-Ereignisses sowie eine Untersuchung, ob ein plausibler Kausalzusammenhang zwischen Ereignis und Einlagenrückgang besteht. In dieser Phase waren Nachrichten im Internet, Warnungen oder offizielle Berichte über Katastrophen zu finden. Ausgeschlossen wurden Ereignisse geringer Tragweite oder mit einem höchst unwahrscheinlichen kausalen Zusammenhang (z. B. Auswirkungen einer Dürreperiode auf Einlagen der Privatkundschaft).

Die Volksbank erkennt derzeit kein signifikantes Risiko eines Zusammenhangs zwischen ESG-bezogenen Ereignissen/‌​Schadensfällen und Liquiditätsfolgen für das Institut.

Die Volksbank berücksichtigt die ESG-Kriterien bei der Kreditbewertung und Produktgestaltung gemäß EU-Verordnung 2019/2088 (Offenlegungsverordnung). Das Angebot ist mit folgenden Zielen konzipiert:

• Schaffung von Anreizen für unterstützenswerte Verhaltensweisen der Kundschaft
• Unterstützung der Energie- und Digitalwende
• Förderung der gesellschaftlichen Inklusion und wirtschaftlichen Resilienz im Einzugsgebiet

Die Volksbank fördert die regionale Wirtschaftsentwicklung, indem sie Unternehmen unterstützt, die sich für den Umstieg auf ökologische Lösungen und den Schutz der natürlichen Ressourcen einsetzen. Sie schließt die Finanzierung von Tätigkeiten mit negativen Folgen für Menschenrechte, die Umwelt oder ethische Grundsätze aus und zieht sich schrittweise aus kohlenstoffintensiven und technologisch veralteten Sektoren zurück.

Die Volksbank hat einen internen Whistleblowing-Kanal eingerichtet, über den Mitarbeitende und Externe mutmaßliche Verstöße gegen interne Vorschriften und Kodizes schriftlich oder mündlich melden können. Das System garantiert:

• Die vertrauliche Behandlung der Identität der hinweisgebenden Person
• Eine unparteiische und zeitnahe Untersuchung
• Eine sichere Bearbeitung durch die Whistleblowing-beauftragte Person

Die Volksbank hat ein Managementsystem für IT-Sicherheit entwickelt, das auf folgenden Grundlagen basiert:

• Interne Konzepte und Verfahren für Datenklassifizierung, ​‑schutz und ​‑verwaltung
• Zugriffskontrollen gemäß „Need to know“- und „Least privilege“-Prinzipien
• Datenverschlüsselung und ​‑verfremdung in Produktions-, Entwicklungs- und Testsystemen
• Kontinuierliche Protokollüberwachung und Protokollmanagement zur Rückverfolgbarkeit und Vermeidung von Vorfällen
• Sichere Kommunikationsprotokolle und digitale Zertifikate für die Datenübertragung

Im IT-Sicherheitskonzept, das vom Verwaltungsrat genehmigt wurde, sind Grundsätze, Zuständigkeiten und operative Maßnahmen festgelegt, um IT-Risiken in allen Geschäftsbereichen der Volksbank vorzubeugen und zu managen.

Schlüsselbereiche

• Cybersicherheit und die Cloud: fortschrittliche Verteidigung, Verschlüsselung und Zugriffskontrolle
• Betriebskontinuität: Pläne zur Aufrechterhaltung des Geschäftsbetriebs
• Störungsmanagement und Betrugsbekämpfung: schnelle, strukturierte Vorfallreaktion
• Daten-Governance: Datenklassifizierung und ​‑schutz

Die Volksbank investiert kontinuierlich in die innerbetriebliche Aus- und Weiterbildung, um das Bewusstsein für IT-Risiken zu schärfen und sichere Verhaltensweisen zu fördern. Zu den Schulungsmaßnahmen gehören:

• Jährliche Pflichtkurse für die gesamte Belegschaft mit häufigeren Auffrischungen für Mitarbeitende in Schlüsselfunktionen
• Fachweiterbildungen für Mitarbeitende in Technik-, Kontroll- und Sicherheitsfunktionen
• Internationale Zertifizierungen in den Bereichen Informations- und Kommunikationstechnologie (IKT) und IT-Sicherheit
• Kampagnen zur Sensibilisierung unserer Kundinnen und Kunden, um Phishing- und Onlinebetrugsversuche zu erkennen und zu verhindern
• Individuelle Schulungspläne für neue Projekte oder organisatorische Änderungen, die die Verarbeitung personenbezogener Daten beinhalten

Die Volksbank verfolgt im IT-Risiko- und Sicherheitsmanagement einen proaktiven Ansatz:

• Regelmäßige Risikoanalysen und Aktualisierung von Risikominderungsmaßnahmen
• Vorfallreaktionspläne zur Aufrechterhaltung der Betriebskontinuität und des Datenschutzes
• Regelmäßige Sicherheitsprüfungen der Infrastruktur, Anwendungen und externen Dienstleistenden

Die Volksbank verpflichtet sich zu hohen Sicherheitsstandards, die den internationalen Best Practices und geltenden Vorschriften zum Schutz personenbezogener Daten und zur Cybersicherheit entsprechen.

IKT-Sicherheit und Vorfallmanagement

Die Volksbank verfolgt konkrete Konzepte und Verfahren zur Ermittlung, Bewertung und Überwachung von IKT- und Cyberrisiken. So werden eine kontinuierliche Kontrolle und ein konstanter Informationsfluss in Richtung der Leitungsorgane sichergestellt.

Vorfallmanagement

Der Prozess für Incident-Management gewährleistet eine zeitnahe, effektive Reaktion auf kritische Ereignisse und minimiert die Auswirkungen auf den Betrieb. Als Bestandteil der Prozesse für Problem- und Change-Management sichert er die Kontinuität und Qualität der IT-Dienstleistungen.

Funktionen und Zuständigkeiten

Den Incident Manager*innen, Sicherheitsbeauftragten und DPO kommen Schlüsselfunktionen zu: Sie koordinieren alles rund um Vorfallmanagement und ​‑kommunikation, damit geschlossen und unverzüglich Gegenmaßnahmen ergriffen werden können.

Vorfallabschluss und ​‑kommunikation

Jeder Vorfall wird förmlich protokolliert, bearbeitet und abgeschlossen. Die Beteiligten werden über das Vorgehen informiert und die Dienste vollständig wiederhergestellt.

Diese Prozesse sind von wesentlicher Bedeutung, um operationale Resilienz und IT-Sicherheit bei der Volksbank zu gewährleisten.

Dienstleistende und Partnerunternehmen eingehend auf die IT-Sicherheit hin zu prüfen, ist ein entscheidender Aspekt im Outsourcing der Volksbank. Dies erfolgt insbesondere durch:

1. Audits: Dienstleistende werden Prüfungen und Audits unterzogen, um sich zu vergewissern, dass die Sicherheitsmaßnahmen und ​‑verfahren angemessen sind und den Vorschriften entsprechen.
2. Schutz personenbezogener Daten: Verträge mit Dienstleistenden enthalten spezielle Klauseln zum Schutz personenbezogener Daten. Diese Klauseln sind unerlässlich, um sicherzustellen, dass Daten vor Zerstörung, Verlust, Änderung, Zugriff und Weiterverbreitung ohne entsprechende Befugnis geschützt sind.
3. Sicherheitsmaßnahmen: Die Volksbank verlangt von den Dienstleistenden Sicherheitsvorkehrungen und ​‑kontrollen, die mindestens den von der Bank festgelegten Mindeststandards entsprechen. Diese Kontrollen werden anhand einer Checkliste ausgewertet, die von den Dienstleistenden ausgefüllt und anschließend von der prozessverantwortlichen Person (Process Owner) mit Unterstützung der datenschutzbeauftragten Person (Privacy Manager) geprüft wird.
4. Beurteilung des IT-Risikos: Wenn Dienstleistende Zugriff auf Systeme haben, die vertrauliche Daten enthalten, ist eine gründliche Analyse des IT-Risikomanagements erforderlich, um die Kritikalität der erbrachten Dienstleistungen zu beurteilen.
5. Rechenschaftspflicht und Nachvollziehbarkeit: Von Dienstleistenden ausgeführte Vorgänge müssen unbedingt rückverfolgbar sein, insbesondere wenn es sich um kritische Vorgänge handelt oder auf personenbezogene oder sensible Daten zugegriffen wird.

Diese Maßnahmen sind Bestandteil eines umfassenderen Risikomanagement- und Compliance-Rahmenwerks der Volksbank. Damit soll gewährleistet werden, dass die von externen Dienstleistenden verarbeiteten Daten sicher und vertraulich behandelt werden.

Die Volksbank ergreift eine Reihe von Maßnahmen zum Schutz personenbezogener Daten gemäß EU-Verordnung 2016/679 vom 27. April 2016 (Datenschutz-Grundverordnung, DSGVO) und gemäß italienischem Datenschutzkodex GvD 196/2003 in seiner später geänderten und ergänzten Fassung. Zu diesen Maßnahmen zählen Unternehmenskonzepte für Datenschutz und Cybersicherheit (beispielsweise Schwachstellenanalysen und Penetrationstests) ebenso wie die Weiterbildung des Personals und der Einsatz von IT-Systemen und Anwendungslösungen, die hinsichtlich der identifizierten Risiken für die Datenverarbeitung geeignet sind.

Die Verarbeitung personenbezogener Daten unterliegt den Grundsätzen der Rechtmäßigkeit, Redlichkeit und Transparenz. Sie erfolgt demnach zu spezifischen, ausdrücklichen Zwecken und gemäß den in der DSGVO vorgesehenen Rechtsgrundlagen. Darüber hinaus verfolgt die Volksbank einen alle Geschäftsbereiche umspannenden Ansatz zur Einhaltung ihrer internen Vorschriften.

Es gelten die Leitlinien und Maßnahmen der italienischen Datenschutzbehörde. Hierzu zählen u. a.:

• Leitlinien für die Verarbeitung der Daten aus dem Verhältnis zwischen Bank und Kundschaft
• Maßnahmen und Vorkehrungen, die von den Verantwortlichen für die Verarbeitung auf elektronischem Wege im Rahmen der Systemadministration erforderlich sind
• Anforderungen an den Informationsaustausch im Bankwesen

Diese Bestimmungen sehen beispielsweise vor, dass Zugriffe durch zuständige Personen auf Bankdaten in „Systemprotokollen“ rechtzeitig aufgezeichnet und diese aufbewahrt werden.

Die Volksbank gewährleistet den Schutz personenbezogener Daten hinsichtlich ihrer Vertraulichkeit, Integrität und Verfügbarkeit über geeignete und angemessene technische, organisatorische und sicherheitsrelevante Maßnahmen. Ähnliche Maßnahmen werden von externen Dienstleistenden und Partnerunternehmen verlangt, um unbefugten Datenzugriff und Datenschutzverstöße zu verhindern. Das gilt für Daten in digitaler/​elektronischer ebenso wie in Papierform.

In entsprechenden Benennungsschreiben hat die Volksbank förmlich bestimmt:

• Zur Ausführung ihrer zugewiesenen Aufgaben bzw. der von der Kundschaft erteilten Anweisungen werden Mitarbeitende der Volksbank befugt, personenbezogene Daten zu verarbeiten und auf Bankdaten zuzugreifen. Dies erfolgt auf der Grundlage angemessener Berechtigungsprofile, die von der Abteilung Sicherheit verwaltet und kontrolliert werden.
• Einige Mitarbeitende der Direktion Operations werden aufgrund ihrer nachweislichen Erfahrung und Professionalität als Systemadministratoren bzw. -administratorinnen bestellt.
• Als Auftragsverarbeitende gemäß Art. 28 DSGVO werden externe Dienstleistende und Partnerunternehmen benannt, die im Auftrag der Volksbank personenbezogene Daten verarbeiten. Die Auswahl erfolgte auf Grundlage von Kriterien wie Kompetenz, Zuverlässigkeit und Erfahrung .

Die Volksbank veröffentlicht Datenschutzerklärungen und stellt sie im dafür vorgesehenen Bereich der öffentlichen Website (https://www.volksbank.it/de/privacy) zur Verfügung. Standardmäßig erhalten und unterzeichnen alle Kundinnen und Kunden unmittelbar bei Erhebung ihrer Daten (d. h. bei Dateneingabe und Erfassung der Position im System) einen Vertrag. Fester Bestandteil dieses Vertrags zwischen Bank und Kundschaft sind Informationen über die Verarbeitung personenbezogener Daten. An dieser Stelle wird freiwillig und auf Grundlage transparenter Informationen die Einwilligung der Kundschaft zur Verarbeitung auf dieser Rechtsgrundlage eingeholt und:

• Alle Kundinnen und Kunden haben jederzeit die Möglichkeit, diese Einwilligungen in der jeweiligen Filiale des Einzugsgebiets zu ändern.
• Alle Kundinnen und Kunden mit Direct Banking können diese Einwilligungen selbstständig im Datenschutzbereich ändern, nachdem sie sich mit ihren Anmeldedaten eingeloggt haben.

Jede betroffene Person kann ihre Rechte gemäß Art. 15–22 DSGVO mittels Antrag ausüben:

• Per Einschreiben mit Rückschein an: Südtiroler Volksbank, Schlachthofstraße 55, 39100 Bozen (BZ)
• Per Posta Elettronica Certificata (PEC) an: segreteriadirezione@pec.volksbank.it
• Per E‑Mail an: dpo@volksbank.it

Weitere Hinweise und ein Formular zur Ausübung der Rechte der betroffenen Person finden Sie im dafür vorgesehenen Bereich der Website (https://www.volksbank.it/de/privacy).

Für die Aufbewahrung personenbezogener Daten gelten spezifische „Data Retention“-Kriterien. Die Aufbewahrungsfrist hängt von verschiedenen Faktoren ab: von Art und Zweck der verarbeiteten Daten und von gesetzlichen Pflichten sowie Fristen aufgrund besonderer gesetzlicher Verfahren und zur Wahrung rechtmäßiger Interessen (zu sog. Verteidigungszwecken) der Volksbank oder Dritter. Nach Ablauf besagter Fristen werden personenbezogene Daten gelöscht bzw. anonymisiert, sofern keine anders lautenden gesetzlichen Pflichten bestehen und der Fristablauf nicht unterbrochen wurde.

Ziele des Transparenzkonzepts:

• Gewährleistung von Transparenz bei den Vertragsbedingungen und bei etwaigen Änderungen
• Bereitstellung klarer und leicht zugänglicher Informationen für die Kundschaft
• Förderung redlicher Verhaltensweisen im Vertriebsnetz
• Angemessene Veröffentlichung von Informationen auch auf der Website

Die kontinuierliche Kontrolle der Dienstleistungsqualität erfolgt durch:

• Analysen der Zufriedenheit und der wahrgenommenen Qualität
• Aktives Zuhören, um Rückmeldungen einzuholen und interne Prozesse zu verbessern

Die Volksbank verfolgt ein strukturiertes Konzept zur Produktgenehmigung, das mit den aktuellen Bestimmungen für Product Oversight and Governance (POG) konform ist. Dabei wird insbesondere den Bedürfnissen, Interessen und Merkmalen der Kundschaft Rechnung getragen. Das Transparenzkonzept und das POG-Konzept gelten für alle von der Volksbank vertriebenen Bank-, Finanz- und Versicherungsprodukte sowie ​‑dienstleistungen. Für die Umsetzung ist der Verwaltungsrat zuständig.

Zudem verfügt die Volksbank über ein IT-Sicherheitskonzept, mit dem Ereignisse verhindert und gemanagt werden sollen, die Unternehmensressourcen gefährden könnten. So werden langfristig die Betriebskontinuität und die Wettbewerbsfähigkeit sichergestellt.