Bun­des­rats­be­richt: Digi­tal Finan­ce – Hand­lungs­fel­der 2022+

Der Bun­des­rat hat an sei­ner Sit­zung vom 2. Febru­ar 2022 den Bericht zu Digi­tal Finan­ce ver­ab­schie­det, der Chan­cen und Risi­ken der fort­schrei­ten­den Digi­ta­li­sie­rung des Finanz­plat­zes Schweiz iden­ti­fi­zie­ren will. Wei­ter legt der Bericht zwölf Hand­lungs­fel­der mit spe­zi­fi­schen Mass­nah­men fest und beauf­tragt das EFD, die­se in enger Zusam­men­ar­beit zwi­schen Poli­tik, Behör­den, Pri­vat­wirt­schaft und Wis­sen­schaft auszuführen.

Neue digi­ta­le Tech­no­lo­gien füh­ren auch auf dem Finanz­platz Schweiz zu tief­grei­fen­den Ver­än­de­run­gen durch neue Finanz­pro­duk­te und Akteu­re, die tra­di­tio­nel­le Finanz­dienst­lei­ster her­aus­for­dern und die her­kömm­li­chen Stand­ort­fak­to­ren – wie wirt­schaft­li­che, finan­zi­el­le und poli­ti­sche Sta­bi­li­tät, Sicher­heit und Ver­trau­en – um wei­te­re Ele­men­te ergän­zen. Die­ser Ver­än­de­rungs­pro­zess durch digi­ta­le Tech­no­lo­gien (wie die Aus­wei­tung von digi­ta­ler Spei­cher­ka­pa­zi­tät und Rechen­lei­stung, neue Verschlüsselungs­techniken, bes­se­ren Ana­ly­se­me­tho­den gro­sser Daten­men­gen, ver­stärk­te Ver­net­zung durch das Inter­net, Ent­ste­hung ver­netz­ter Rechen­zen­tren (Cloud-Com­pu­ting), Dis­tri­buted Led­ger Tech­no­lo­gy (DLT) und mobi­le Kom­mu­ni­ka­ti­on) wird im Bericht unter dem Begriff «Digi­tal Finan­ce» zusammengefasst.

Der Bund sieht sei­ne Rol­le im Bereich Digi­tal Finan­ce dar­in, bestehen­de recht­li­che Rah­men­be­din­gun­gen lau­fend an neue Tech­no­lo­gien anzu­pas­sen, Inno­va­tio­nen zu för­dern und Finanz­sta­bi­li­tät und Kun­de­schutz zu gewähr­lei­sten. Dazu wur­den die fol­gen­den zwölf Hand­lungs­fel­der mit spe­zi­fi­schen Mass­nah­men identifiziert:

Chan­cen sieht der Bericht haupt­säch­lich in den Berei­chen der Auto­ma­ti­sie­rung und fle­xi­bler Zusam­men­le­gung von Pro­zes­sen, die effi­zi­enz­stei­gernd und kosten­sen­kend wir­ken, und bei der direk­ten Inter­ak­ti­on mit Kun­din­nen und Kun­den, die Trans­pa­renz erhö­hen und Infor­ma­ti­ons­asym­me­trien ver­rin­gern kann.

Im Gegen­satz dazu kön­nen neue Tech­no­lo­gien das Risi­ko für Cyber­an­grif­fe und Markt­ma­ni­pu­la­tio­nen stei­gern, aber auch von Geld­wä­sche­rei oder der Finan­zie­rung kri­mi­nel­ler Akti­vi­tä­ten. Die Nut­zung gro­sser Men­gen an Daten ist dabei Teil der Kern­ge­schäfts fast aller Akteu­re des Finanz­plat­zes, wes­halb sich ins­be­son­de­re auch im Bereich Daten­schutz neue Her­aus­for­de­run­gen stel­len. Dem Schutz und der Kon­trol­le über per­sön­li­che Infor­ma­tio­nen kom­men daher auch im Bereich Digi­tal Finan­ce gro­sse Bedeu­tung zu.

Das Staats­se­kre­ta­ri­at für inter­na­tio­na­le Finanz­fra­gen (SIF) hat­te im ver­gan­ge­nen Jahr den Umgang mit Daten auf dem Finanz­markt untersucht:

  • Bei der unter Exper­ten, Ver­bän­den und Unter­neh­men im Finanz­markt­be­reich zum The­ma «Data Dri­ven Busi­ness in Finan­ce» durch­ge­führ­ten Stu­die waren zwei Drit­tel der Teil­neh­mer der Ansicht, dass die Schweiz im Ver­gleich zu ande­ren glo­bal füh­ren­den Finanz­plät­zen wie New York, Lon­don, Frank­furt oder Sin­ga­pur gro­ssen Nach­hol­be­darf hat, sowohl bei der opti­ma­len Daten­nut­zung in den Unter­neh­men selbst als auch bei der Daten­nut­zung ausser­halb der Unter­neh­men (in den Berei­chen Finanz­bran­che, gemein­schaft­li­che Daten­nut­zung (Data Poo­ling, Open Finan­ce), Nut­zung von Behör­den­da­ten oder Daten spe­zia­li­sier­ter Datenanbieter).
  • Den gröss­ten Hand­lungs­be­darf sahen die Teil­neh­men­den aber bei den Behör­den und den in der Schweiz gel­ten­den Rah­men­be­din­gun­gen, insb. betref­fend die Auf­sicht durch den EDÖB, die Ver­bes­se­rung der Cyber­si­cher­heit oder den Bereich inter­na­tio­na­ler Ver­ein­ba­run­gen zur Ver­bes­se­rung der Rechts­si­cher­heit u.a. im Zusam­men­hang mit dem Zugriff aus­län­di­scher Behör­den auf Daten. Im Zusam­men­hang mit Clouds wur­den dabei auch wie­der­holt die Geheim­nis­pflich­ten nach Art. 47 BankG und Art. 69 FINIG genannt. Die Ergeb­nis­se die­ser Stu­die flos­sen in den Bericht des Bun­des­ra­tes ein.

Der Bericht des Bun­des­ra­tes kommt zum Schluss, dass

  • der Daten­schutz in der Schweiz als grund­sätz­lich zweck­mä­ssig und rela­tiv unter­neh­mer­freund­lich beur­teilt wird. Hand­lungs­be­darf wird aber ins­be­son­de­re im Bereich der Auf­sicht fest­ge­stellt. Auf­grund der unter­schied­li­chen Wei­sun­gen und Infor­ma­tio­nen des EDÖB bestehe Rechts­un­si­cher­heit, bei­spiels­wei­se weit Per­so­nen­da­ten anony­mi­siert wer­den müs­sen um nicht mehr als Per­so­nen­da­ten im Sin­ne des DSG zu gelten:

    Neben Daten­schutz­fra­gen im inter­na­tio­na­len Ver­hält­nis […] wird jedoch in ver­schie­de­nen Berei­chen Hand­lungs­be­darf auf Behör­den­sei­ten moniert. Mit Bezug auf unter­schied­li­che Wei­sun­gen und Infor­ma­tio­nen des Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­ten (EDÖB) arti­ku­lie­ren ver­schie­de­ne Bran­chen­teil­neh­men­de einen Bedarf an einer nuan­cier­ten Daten­schutz­auf­sicht. Bei­spiels­wei­se soll der EDÖB kla­rer auf­zei­gen, wie neue Geschäfts­mo­del­le mit daten­schutz­recht­li­chen Vor­ga­ben ver­ein­bart wer­den kön­nen anstatt aus­schliess­lich auf recht­li­che Risi­ken hin­zu­wei­sen. Im Rah­men der SIF-Umfra­ge […]wird ganz­all­ge­mein von Rechts­un­si­cher­heit und Klä­rungs­be­darf gespro­chen. Ein Bei­spiel betrifft die Anony­mi­sie­rung von Per­so­nen­da­ten. Hier gilt es abzu­klä­ren, wel­ches Vor­ge­hen im kon­kre­ten Fall hin­rei­chend sein könn­te, damit anony­mi­sier­te Per­so­nen­da­ten nicht mehr als Per­so­nen­da­ten gel­ten und deren Bear­bei­tung damit nicht mehr dem DSG untersteht.

  • als Stand­ort­vor­teil für die Schweiz wer­den dage­gen nach wie vor die Berufs­ge­heim­nis­se wahr­ge­nom­men. Für die Daten­be­wirt­schaf­tung kann dies aller­dings als Nach­teil gese­hen wer­den, weil dadurch inno­va­ti­ve Daten­be­ar­bei­tun­gen gebremst und Com­pli­an­ce-Kosten erhöht werden.
  • Rechts­un­si­cher­heit besteht in der Fra­ge, wie eine Ent­bin­dung von Geheim­nis­pflich­ten ein­ge­holt wer­den müss­te, da im Bereich von Geheim­nis­pflich­ten weder der EDÖB noch die FINMA zustän­dig sind und die Straf­be­hör­den ledig­lich als Strafverfolgungs‑, nicht aber als Auf­sichts­be­hör­den agie­ren. Daher ver­zich­ten man­che Finanz­in­sti­tu­te auf Aus­la­ge­run­gen, wenn die­se Zugriff auf Kun­den­da­ten aus dem Aus­land ermög­li­chen könn­ten. Ein Teil der Insti­tu­te sieht die Geheim­hal­tungs­pflich­ten hin­ge­gen als gewahrt an, wenn bei der Aus­la­ge­rung oder Bear­bei­tung tech­ni­sche und orga­ni­sa­to­ri­sche Mass­nah­men gemäss dem im letz­ten Jahr publi­zier­ten Leit­fa­den der Schwei­zer Ban­kier­ver­ei­ni­gung SBVg ergrif­fen wer­den. Als wei­te­re Mög­lich­keit las­sen sich Ban­ken teil­wei­se expli­zit von ihren Kun­din­nen oder Kun­den von den Geheim­nis­pflich­ten ent­bin­den. Der Bun­des­rat begrüsst die­se Viel­falt, stellt den Nut­zen der Geheim­nis­pflich­ten auf län­ge­re Sicht aber in Fra­ge, wo sich die Insti­tu­te grund­sätz­lich von ihren Kun­din­nen und Kun­den davon ent­bin­den las­sen. Von einer kon­kre­ten Hand­lungs­emp­feh­lung sieht der Bun­des­rat in die­ser Hin­sicht ab, weist aber das EFD an, die Geheim­hal­tungs­pflich­ten im Hin­blick auf die tech­no­lo­gi­schen Ent­wick­lun­gen regel­mä­ssig auf deren Zweck­mä­ssig­keit zu über­prü­fen.
  • Der Bun­des­rat erkennt zudem Hand­lungs­be­darf bei der Nut­zung der Daten im Finanz­be­reich und hat daher das EFD/SIF zusam­men mit dem EDÖB und der FINMA ange­wie­sen, die Daten­nut­zung aus daten­schutz- und finanz­markt­recht­li­cher Per­spek­ti­ve zu ana­ly­sie­ren und Mög­lich­kei­ten zu zei­gen, wie die Daten genutzt wer­den und das Ver­trau­en bei den Kun­din­nen und Kun­den in die Daten­si­cher­heit gestärkt wer­den kann. Offen­bar ergab die­Um­fra­ge des SIF, dass die Auf­sicht durch den EDÖB im Emp­fin­den der Bran­che nicht dif­fe­ren­ziert, nicht kon­struk­tiv und nicht pro­ak­tiv genug ist:

    Der Bun­des­rat beauf­tragt das EFD/SIF, zusam­men mit der Bran­che, dem EDÖB und der FINMA die Her­aus­for­de­run­gen der Daten­schutz­pra­xis und der Auf­sichts­pra­xis hin­sicht­lich der Daten­nut­zung im Finanz­be­reich zu ana­ly­sie­ren, den Hand­lungs­be­darf zu prü­fen und die Zusam­men­ar­beit der Akteu­re zu fördern.
    Dies im Hin­blick auf die Ent­wick­lung eines dif­fe­ren­zier­te­ren Ver­ständ­nis­ses des Schut­zes und der Nut­zung von Daten aus daten­schutz- und finanz­markt­recht­li­cher Per­spek­ti­ve. Dabei soll auch the­ma­ti­siert wer­den, wie Ver­trau­en und Kon­trol­le der Kun­den bei der Daten­nut­zung im Finanz­be­reich gestärkt und die brei­te­re Daten­nut­zung geför­dert wer­den kann. Bei kon­kre­ten Pro­jek­ten sol­len Unklar­hei­ten ange­gan­gen (bspw. bei der Anony­mi­sie­rung von Per­so­nen­da­ten) und dabei die Recht­si­cher­heit gene­rell gestärkt wer­den. Sowohl der EDÖB wie auch die FINMA betei­li­gen sich an die­sen Aus­tau­schen und stel­len unter Berück­sich­ti­gung ihrer gesetz­li­chen Auf­ga­ben die not­wen­di­gen Res­sour­cen zur Verfügung.

  • Wei­ter soll im Finanz­be­reich der grenz­überschreitende Daten­fluss sicher­ge­stellt wer­den, wel­cher die recht­li­chen Rah­men­be­din­gun­gen ein­hält und dadurch auch im Aus­land einen ange­mes­se­nen Schutz der Daten sicherstellt.