Der Bundesrat hat an seiner Sitzung vom 2. Februar 2022 den Bericht zu Digital Finance verabschiedet, der Chancen und Risiken der fortschreitenden Digitalisierung des Finanzplatzes Schweiz identifizieren will. Weiter legt der Bericht zwölf Handlungsfelder mit spezifischen Massnahmen fest und beauftragt das EFD, diese in enger Zusammenarbeit zwischen Politik, Behörden, Privatwirtschaft und Wissenschaft auszuführen.
Neue digitale Technologien führen auch auf dem Finanzplatz Schweiz zu tiefgreifenden Veränderungen durch neue Finanzprodukte und Akteure, die traditionelle Finanzdienstleister herausfordern und die herkömmlichen Standortfaktoren – wie wirtschaftliche, finanzielle und politische Stabilität, Sicherheit und Vertrauen – um weitere Elemente ergänzen. Dieser Veränderungsprozess durch digitale Technologien (wie die Ausweitung von digitaler Speicherkapazität und Rechenleistung, neue Verschlüsselungstechniken, besseren Analysemethoden grosser Datenmengen, verstärkte Vernetzung durch das Internet, Entstehung vernetzter Rechenzentren (Cloud-Computing), Distributed Ledger Technology (DLT) und mobile Kommunikation) wird im Bericht unter dem Begriff «Digital Finance» zusammengefasst.
Der Bund sieht seine Rolle im Bereich Digital Finance darin, bestehende rechtliche Rahmenbedingungen laufend an neue Technologien anzupassen, Innovationen zu fördern und Finanzstabilität und Kundeschutz zu gewährleisten. Dazu wurden die folgenden zwölf Handlungsfelder mit spezifischen Massnahmen identifiziert:
Chancen sieht der Bericht hauptsächlich in den Bereichen der Automatisierung und flexibler Zusammenlegung von Prozessen, die effizienzsteigernd und kostensenkend wirken, und bei der direkten Interaktion mit Kundinnen und Kunden, die Transparenz erhöhen und Informationsasymmetrien verringern kann.
Im Gegensatz dazu können neue Technologien das Risiko für Cyberangriffe und Marktmanipulationen steigern, aber auch von Geldwäscherei oder der Finanzierung krimineller Aktivitäten. Die Nutzung grosser Mengen an Daten ist dabei Teil der Kerngeschäfts fast aller Akteure des Finanzplatzes, weshalb sich insbesondere auch im Bereich Datenschutz neue Herausforderungen stellen. Dem Schutz und der Kontrolle über persönliche Informationen kommen daher auch im Bereich Digital Finance grosse Bedeutung zu.
Das Staatssekretariat für internationale Finanzfragen (SIF) hatte im vergangenen Jahr den Umgang mit Daten auf dem Finanzmarkt untersucht:
- Bei der unter Experten, Verbänden und Unternehmen im Finanzmarktbereich zum Thema «Data Driven Business in Finance» durchgeführten Studie waren zwei Drittel der Teilnehmer der Ansicht, dass die Schweiz im Vergleich zu anderen global führenden Finanzplätzen wie New York, London, Frankfurt oder Singapur grossen Nachholbedarf hat, sowohl bei der optimalen Datennutzung in den Unternehmen selbst als auch bei der Datennutzung ausserhalb der Unternehmen (in den Bereichen Finanzbranche, gemeinschaftliche Datennutzung (Data Pooling, Open Finance), Nutzung von Behördendaten oder Daten spezialisierter Datenanbieter).
- Den grössten Handlungsbedarf sahen die Teilnehmenden aber bei den Behörden und den in der Schweiz geltenden Rahmenbedingungen, insb. betreffend die Aufsicht durch den EDÖB, die Verbesserung der Cybersicherheit oder den Bereich internationaler Vereinbarungen zur Verbesserung der Rechtssicherheit u.a. im Zusammenhang mit dem Zugriff ausländischer Behörden auf Daten. Im Zusammenhang mit Clouds wurden dabei auch wiederholt die Geheimnispflichten nach Art. 47 BankG und Art. 69 FINIG genannt. Die Ergebnisse dieser Studie flossen in den Bericht des Bundesrates ein.
Der Bericht des Bundesrates kommt zum Schluss, dass
- der Datenschutz in der Schweiz als grundsätzlich zweckmässig und relativ unternehmerfreundlich beurteilt wird. Handlungsbedarf wird aber insbesondere im Bereich der Aufsicht festgestellt. Aufgrund der unterschiedlichen Weisungen und Informationen des EDÖB bestehe Rechtsunsicherheit, beispielsweise weit Personendaten anonymisiert werden müssen um nicht mehr als Personendaten im Sinne des DSG zu gelten:
Neben Datenschutzfragen im internationalen Verhältnis […] wird jedoch in verschiedenen Bereichen Handlungsbedarf auf Behördenseiten moniert. Mit Bezug auf unterschiedliche Weisungen und Informationen des Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) artikulieren verschiedene Branchenteilnehmende einen Bedarf an einer nuancierten Datenschutzaufsicht. Beispielsweise soll der EDÖB klarer aufzeigen, wie neue Geschäftsmodelle mit datenschutzrechtlichen Vorgaben vereinbart werden können anstatt ausschliesslich auf rechtliche Risiken hinzuweisen. Im Rahmen der SIF-Umfrage […]wird ganzallgemein von Rechtsunsicherheit und Klärungsbedarf gesprochen. Ein Beispiel betrifft die Anonymisierung von Personendaten. Hier gilt es abzuklären, welches Vorgehen im konkreten Fall hinreichend sein könnte, damit anonymisierte Personendaten nicht mehr als Personendaten gelten und deren Bearbeitung damit nicht mehr dem DSG untersteht.
- als Standortvorteil für die Schweiz werden dagegen nach wie vor die Berufsgeheimnisse wahrgenommen. Für die Datenbewirtschaftung kann dies allerdings als Nachteil gesehen werden, weil dadurch innovative Datenbearbeitungen gebremst und Compliance-Kosten erhöht werden.
- Rechtsunsicherheit besteht in der Frage, wie eine Entbindung von Geheimnispflichten eingeholt werden müsste, da im Bereich von Geheimnispflichten weder der EDÖB noch die FINMA zuständig sind und die Strafbehörden lediglich als Strafverfolgungs‑, nicht aber als Aufsichtsbehörden agieren. Daher verzichten manche Finanzinstitute auf Auslagerungen, wenn diese Zugriff auf Kundendaten aus dem Ausland ermöglichen könnten. Ein Teil der Institute sieht die Geheimhaltungspflichten hingegen als gewahrt an, wenn bei der Auslagerung oder Bearbeitung technische und organisatorische Massnahmen gemäss dem im letzten Jahr publizierten Leitfaden der Schweizer Bankiervereinigung SBVg ergriffen werden. Als weitere Möglichkeit lassen sich Banken teilweise explizit von ihren Kundinnen oder Kunden von den Geheimnispflichten entbinden. Der Bundesrat begrüsst diese Vielfalt, stellt den Nutzen der Geheimnispflichten auf längere Sicht aber in Frage, wo sich die Institute grundsätzlich von ihren Kundinnen und Kunden davon entbinden lassen. Von einer konkreten Handlungsempfehlung sieht der Bundesrat in dieser Hinsicht ab, weist aber das EFD an, die Geheimhaltungspflichten im Hinblick auf die technologischen Entwicklungen regelmässig auf deren Zweckmässigkeit zu überprüfen.
- Der Bundesrat erkennt zudem Handlungsbedarf bei der Nutzung der Daten im Finanzbereich und hat daher das EFD/SIF zusammen mit dem EDÖB und der FINMA angewiesen, die Datennutzung aus datenschutz- und finanzmarktrechtlicher Perspektive zu analysieren und Möglichkeiten zu zeigen, wie die Daten genutzt werden und das Vertrauen bei den Kundinnen und Kunden in die Datensicherheit gestärkt werden kann. Offenbar ergab dieUmfrage des SIF, dass die Aufsicht durch den EDÖB im Empfinden der Branche nicht differenziert, nicht konstruktiv und nicht proaktiv genug ist:
Der Bundesrat beauftragt das EFD/SIF, zusammen mit der Branche, dem EDÖB und der FINMA die Herausforderungen der Datenschutzpraxis und der Aufsichtspraxis hinsichtlich der Datennutzung im Finanzbereich zu analysieren, den Handlungsbedarf zu prüfen und die Zusammenarbeit der Akteure zu fördern.
Dies im Hinblick auf die Entwicklung eines differenzierteren Verständnisses des Schutzes und der Nutzung von Daten aus datenschutz- und finanzmarktrechtlicher Perspektive. Dabei soll auch thematisiert werden, wie Vertrauen und Kontrolle der Kunden bei der Datennutzung im Finanzbereich gestärkt und die breitere Datennutzung gefördert werden kann. Bei konkreten Projekten sollen Unklarheiten angegangen (bspw. bei der Anonymisierung von Personendaten) und dabei die Rechtsicherheit generell gestärkt werden. Sowohl der EDÖB wie auch die FINMA beteiligen sich an diesen Austauschen und stellen unter Berücksichtigung ihrer gesetzlichen Aufgaben die notwendigen Ressourcen zur Verfügung. - Weiter soll im Finanzbereich der grenzüberschreitende Datenfluss sichergestellt werden, welcher die rechtlichen Rahmenbedingungen einhält und dadurch auch im Ausland einen angemessenen Schutz der Daten sicherstellt.