Total­re­vi­si­on des FINMA RS “Out­sour­cing Ban­ken“: Strei­chung der daten­schutz­recht­li­chen Bestimmungen

In der Medi­en­mit­tei­lung vom 6. Dezem­ber 2016 ver­öf­fent­lich­te die FINMA ihren Ent­wurf für ein total­re­vi­dier­tes RS 17/xx “Out­sour­cing – Ban­ken und Ver­si­che­rer“. Die Ver­nehm­las­sung dau­ert bis zum 31. Janu­ar 2017, die Inkraft­set­zung ist auf den 1. Juli 2017 angesetzt.

Die daten­schutz­recht­li­chen Bestim­mun­gen in Rz. 31 – 33, Rz. 36 und Rz. 37 – 39 des RS 2008/7 “Out­sour­cing Ban­ken“ wur­den gestri­chen. Der Erläu­te­rungs­be­richt zum revi­dier­ten RS weist dar­auf hin, dass der Umgang mit Per­so­nen­da­ten durch die Daten­schutz­ge­setz­ge­bung schon umfas­send gere­gelt sei.

Um Dop­pel­spu­rig­kei­ten und all­fäl­li­ge Diver­gen­zen zu den Ent­wick­lun­gen des Daten­schutz­rechts zu ver­mei­den und gleich­zei­tig eine kla­re Abgren­zung zwi­schen auf­sichts­recht­li­chen Anfor­de­run­gen der Finanz­markt­auf­sicht und den im Pri­vat­recht ange­sie­del­ten Pflich­ten gemäss Daten­schutz­ge­setz zu gewähr­lei­sten, wer­den die bis­he­ri­gen Aus­füh­run­gen im FINMA-RS 08/07 mit Bezug zum Daten­schutz (…) gestrichen.

Gemäss Rz. 37 des revi­dier­ten RS ist die FINMA ausser­dem vor­gän­gig über eine Aus­la­ge­rung von Mas­sen-Kun­den­iden­ti­fi­ka­ti­ons­da­ten (Cli­ent Iden­ti­fy­ing Data) ins Aus­land zu informieren.

Der Erläu­te­rungs­be­richt betont des Wei­te­ren, dass die Gewähr­lei­stung der Ein­sichts­rech­te von Bank- und Ver­si­che­rungs­kun­den auch bezüg­lich der aus­ge­la­ger­ten Daten erhal­ten blei­ben muss.