Die FINMA hat am Diens­tag, 5.12.2017, das lang­erwar­te­te revi­dier­te Out­sour­cing-Run­d­­schrei­­ben zusam­men mit dem Bericht über die Anhö­rung ver­öf­fent­licht (vgl. die Mel­dun­gen bei swiss­blawg und auf dataprotection.ch und unse­ren frü­he­ren Bei­trag).

Das Rund­schrei­ben wird am 1. April 2018 in Kraft tre­ten und das heu­ti­ge Rund­schrei­ben 2008/7 Out­sour­cing Ban­ken erset­zen. Dazu wird für bestehen­de Out­sour­cings neu eine fünf­jäh­ri­ge Anpas­sungs­frist vor­ge­se­hen. Wei­te­re Infor­ma­tio­nen fin­den sich auf der Web­site der FINMA.

Beson­ders her­vor­zu­he­ben sind fol­gen­de Punkte:

Aus­deh­nung des Geltungsbereichs

Das Rund­schrei­ben ist nicht mehr nur auf Ban­ken und Effek­ten­händ­ler anwend­bar, son­dern neu auch auf Ver­si­che­rer. Gestri­chen aus dem Anwen­dungs­be­reich wur­den dage­gen Grup­pen und Kon­glo­me­ra­te, weil die­se als wirt­schaft­li­che Ein­heit nicht Par­tei eines Aus­la­ge­rungs­ver­trags sein können.

Strei­chung der beson­de­ren daten­schutz­recht­li­chen Anforderungen

Bemer­kens­wert ist u.a. (neben der Aus­deh­nung des Gel­tungs­be­reichs auf Ver­si­che­rer), dass die daten­schutz­recht­li­chen Anfor­de­run­gen des heu­ti­gen Rund­schrei­bens weit­ge­hend gestri­chen wur­den, um Dop­pel­spu­rig­kei­ten zu ver­mei­den. Der Erläu­te­rungs­be­richt zum Ent­wurf des revi­dier­ten Rund­schrei­bens hat­te dies wie folgt begründet:

Der Umgang mit Per­so­nen­da­ten wird in der Schweiz vom Daten­schutz­ge­setz (DSG; SR 235.1), der Daten­schutz­ver­ord­nung (VDSG; SR 235.11) sowie wei­te­ren Rechts­quel­len umfas­send gere­gelt, […]. Für Ban­ken ist bezüg­lich des Bank­kun­den­ge­heim­nis­ses fer­ner Art. 47 BankG zu beach­ten. Der Umgang von Ban­ken mit elek­tro­ni­schen Kun­den­da­ten wird sodann im Anhang 3 des FINMA-RS 08/21 gere­gelt. Um Dop­pel­spu­rig­kei­ten und all­fäl­li­ge Diver­gen­zen zu den Ent­wick­lun­gen des Daten­schutz­rechts zu ver­mei­den und gleich­zei­tig eine kla­re Abgren­zung zwi­schen auf­sichts­recht­li­chen Anfor­de­run­gen der Finanz­markt­auf­sicht und den im Pri­vat­recht ange­sie­del­ten Pflich­ten gemäss Daten­schutz­ge­setz zu gewähr­lei­sten, wer­den die bis­he­ri­gen Aus­füh­run­gen im FINMA-RS 08/07 mit Bezug zum Daten­schutz (vgl. des­sen Rz 31 – 33, Rz 36 und Rz 37 – 39) gestri­chen. Aus den­sel­ben Grün­den wird der ehe­ma­li­ge Grund­satz 6 (Kun­den­ori­en­tie­rung) auf­ge­ho­ben, mit dem das FINMA-RS 08/7 über die daten­schutz­recht­li­chen Anfor­de­run­gen hin­aus ging, ins­be­son­de­re mit Bezug auf die umfas­sen­den Infor­ma­ti­ons­pflich­ten und das ausser­or­dent­li­che Kün­di­gungs­recht gemäss Rz 39 des FINMA-RS 08/07.

[…]

Mit der Strei­chung der Aus­füh­run­gen zum Daten­schutz sind kei­ne mate­ri­el­len Ver­schär­fun­gen oder Erleich­te­run­gen ver­bun­den. Die Strei­chung des Grund­sat­zes „Kun­den­ori­en­tie­rung“ stellt eine Erleich­te­rung für Ban­ken dar. Hier ent­fällt ins­be­son­de­re das auf­sichts­recht­lich ange­ord­ne­te, ausser­or­dent­li­che Kün­di­gungs­recht sowie die Infor­ma­ti­ons­pflicht, soweit sich eine sol­che nicht aus ande­ren Rechts­quel­len ergibt.

Die­se Strei­chung wur­de in der Anhö­rung im Grund­satz begrüsst. Inter­es­sant ist die Anmer­kung von Swiss­ban­king im Rah­men der Anhö­rung (ähn­lich haben sich ande­re Teil­neh­mer geäussert):

Wir kön­nen den Ver­zicht auf die Rege­lung der daten­schutz­recht­li­chen Aspek­te nach­voll­zie­hen. Die­ser Ver­zicht hat zur Fol­ge, dass der Eid­ge­nös­si­sche Daten­­­schutz- und Öffent­lich­keits­be­auf­trag­te (EDÖB) bezüg­lich daten­schutz­recht­li­cher Aspek­te im Rah­men des Out­sour­cings eine noch zen­tra­le­re Rol­le spie­len wird. Es ist des­halb wich­tig, dass sich die FINMA mit dem EDÖB koor­di­niert, zumal die­ser zukünf­tig allen­falls auch Ver­fü­gun­gen erlas­sen soll.

Strei­chung der Aus­füh­run­gen zum Bankgeheimnis

Mit der Strei­chung der beson­de­ren daten­schutz­recht­li­chen Anfor­de­run­gen im neu­en Rund­schrei­ben ist auch die Anfor­de­rung gestri­chen, Kun­den vor einer Aus­la­ge­rung ins Aus­land mit beson­de­rem Schrei­ben zu infor­mie­ren. Die Beur­tei­lung auch der Aus­lands­be­kannt­ga­be wird damit dem Daten­­­schutz- und Ban­ken­recht über­las­sen. Eini­ge Stel­lung­nah­men äussern daher die Sor­ge, dass das straf­recht­lich geschütz­te Bank­kun­den­ge­heim­nis (Art. 47 BankG) einer Aus­la­ge­rung ins Aus­land ent­ge­gen­ste­hen könn­te (eine Ansicht, die zwar ver­brei­tet, aber nicht zwin­gend ist). Der Ver­band Schwei­ze­ri­scher Kan­to­nal­ban­ken VSKB hat sich dazu aus­führ­lich geäussert:

Wie oben ein­lei­tend in Ziff. A.4 erwähnt, besteht ein kla­rer Man­gel […] durch den gänz­li­chen Ver­zicht auf die Rege­lung des Ver­hält­nis­ses zwi­schen Out­sour­cer und sei­nen Kunden. […] 

Gera­de zur Ver­hin­de­rung von sol­chen Diver­gen­zen und Abgren­zungs­schwie­rig­kei­ten drängt es sich zudem auf, den Kern der Anfor­de­run­gen gemäss Bank­kun­den­ge­heim­nis (Art. 47 BankG) ins neue FINMA-RS zu über­füh­ren. Die der­zeit gemäss FINMA-RS 2008/7, Rz 37 – 39 gel­ten­de Rege­lung ist näm­lich für die Ope­ra­tio­na­li­sie­rung des Mas­sen­ge­schäfts sehr hilf­reich und not­wen­dig. Ins­be­son­de­re for­dert sie im Ver­hält­nis zwi­schen Bank und Kun­den zu Recht nur eine recht­zei­ti­ge Infor­ma­ti­ons­pflicht, wel­che den­je­ni­gen Kun­den, wel­che mit dem Out­sour­cing nicht ein­ver­stan­den sind, die vor­gän­gi­ge Kün­di­gung der Geschäfts­be­zie­hun­gen ermög­licht (FINMA-RS 2008/7, Rz 39). Damit wer­den Grund­sät­ze zur Anwen­dung gebracht, wel­che z.B. auch im Arbeits­recht von Leh­re und Recht­spre­chung aner­kannt sind, wenn grö­sse­re Unter­neh­men legi­ti­mer­wei­se all­ge­mei­ne arbeits­recht­li­che Rege­lun­gen mit gleich­zei­ti­ger Wir­kung für sämt­li­che Mit­ar­bei­ten­den ein­füh­ren wollen […].

Ent­spre­chend den Grund­re­geln zum Bank­kun­den­ge­heim­nis vor­gän­gig zum Out­sour­cing von jedem betrof­fe­nen Kun­den eine aus­drück­li­che Zustim­mung mit­tels Unter­schrift ein­ho­len zu müs­sen, wäre dem­ge­gen­über im – bei Out­sou­cing regel­mä­ssig betrof­fe­nen – Mas­sen­ge­schäft nicht ope­ra­tio­na­li­sier­bar und objek­tiv auch nicht rich­tig. Es darf ins­be­son­de­re nicht sein, dass die Bank das geplan­te Out­sour­cing nicht vor­neh­men darf, nur weil nicht sämt­li­che betrof­fe­nen Kun­den vor­gän­gig aus­drück­lich zuge­stimmt haben.

Der Bank ist es auch nicht zumut­bar, für die­je­ni­gen Kun­den, wel­che vor­gän­gig nicht aus­drück­lich zuge­stimmt haben, die betref­fen­de Dienst­lei­stung wei­ter­hin wie bis­her ohne Out­sour­cing aus eige­ner Hand anzu­bie­ten. […] Da im Mas­sen­ge­schäft immer mit ein­zel­nen Kun­den zu rech­nen ist, wel­che einem Out­sour­cing nicht aus­drück­lich zustim­men wür­den, und sei es auch nur zur Ein­spa­rung des Auf­wands von Unter­schrift und Rück­sendung der Erklä­rung, wür­de mit sol­chen Anfor­de­run­gen Out­sour­cing prak­tisch ver­un­mög­licht […]. Man­gels aus­drück­li­cher Regu­lie­rung durch die FINMA wür­de aber im Ein­zel­fall der Rechts­streit dar­über ent­bren­nen, wel­che Regeln in Zusam­men­hang mit dem – immer­hin straf­be­wehr­ten – Bank­kun­den­ge­heim­nis effek­tiv gel­ten.

Die Rege­lung gemäss aktu­el­lem FINMA-RS 2008/7, Rz 37 – 39 ist dem­zu­fol­ge auch ins revi­dier­te RS aufzunehmen. […] 

Der Anhö­rungs­be­richt ist zu die­sem The­ma von bemer­kens­wer­ter Knappheit:

An der Strei­chung der Bestim­mun­gen zum Daten­schutz bzw. zum Bank­ge­heim­nis wird fest­ge­hal­ten. Sie ergibt sich aus der Abgren­zung der Anfor­de­run­gen des Finanz­markt­rechts zu jenen des übri­gen öffent­li­chen Rechts und des Pri­vat­rechts (insb. DSG) sowie mit Bezug zu Art. 47 BankG zum Straf­recht (vgl. Art. 6 Abs. 1 und Art. 7 Abs. 1 Bst. b FINMAG).

Für den Umgang von Ban­ken mit elek­tro­ni­schen Kun­den­da­ten bleibt nach wie vor Anhang 3 des FIN­­MA-Run­d­­schrei­­bens 2008/21 „Ope­ra­tio­nel­le Risi­ken – Ban­ken” einschlägig.

Wesent­lich­keit” des Outsourcings

Vor dem Hin­ter­grund der Eigen­stän­dig­keit der daten­schutz­recht­li­chen Betrach­tung ist es kon­se­quent, dass das revi­dier­te Rund­schrei­ben nicht jedes Out­sour­cing, bei dem der Anbie­ter Zugang zu Kun­den­da­ten (“CID” für “Custo­mer Iden­ti­fy­ing Data”) erhält, als wesent­lich qua­li­fi­ziert, son­dern nur dann, wenn Zugang zu Mas­sen-CID besteht. Der Anhörungsbericht:

Gegen­über dem Erläu­te­rungs­be­richt zu prä­zi­sie­ren ist die Ver­mu­tung der Wesent­lich­keit im Zusam­men­hang mit Mas­sen-CID: Falls ein Dienst­lei­ster im Rah­men eines Out­sour­cings Zugang zu Mas­sen-CID (und nicht bloss ein­zel­nen CID) erhält, gilt das Out­sour­cing grund­sätz­lich als wesentlich.

Was Mas­sen-CID heisst, ist bei Ban­ken und Ver­si­che­rern nicht dasselbe:

  • Für Ban­ken defi­niert Rz. 53 des Rund­schrei­bens 2008/21 Ope­ra­tio­nel­le Risi­ken – Ban­ken Mas­sen-CID als “Men­ge von CID, wel­che im Ver­gleich zur Gesamt­zahl der Konten/Gesamtgrösse des Pri­vat­kun­den­port­fo­li­os bedeu­tend ist.”
  • Für Ver­si­che­rer ist laut Anhö­rungs­be­richt mass­geb­lich, wie stark das Inter­es­se der Ver­si­cher­ten betrof­fen ist (vgl. Art. 6 Abs. 1 VAG).

Anson­sten gilt bei der Beur­tei­lung der Wesent­lich­keit ein viel stär­ker prin­zi­pi­en­ba­sier­ter Ansatz. Die Wesent­lich­keit wird nicht mehr, wie im heu­ti­gen Rund­schrei­ben, durch ver­schie­de­ne Kon­kre­ti­sie­run­gen umschrie­ben (“Dienst­lei­stun­gen, wel­che sich ins­be­son­de­re auf die Erfas­sung, Begren­zung und Über­wa­chung von Markt‑, Kre­dit‑, Aus­fall‑, Abwick­lungs‑, Liqui­di­täts‑, und Image­ri­si­ken sowie ope­ra­tio­nel­len und recht­li­chen Risi­ken aus­wir­ken”; mit Bei­spie­len im Anhang), son­dern wie folgt:

Wesent­lich sind jene Funk­tio­nen, von denen die Ein­hal­tung der Zie­le und Vor­schrif­ten der Finanz­markt­auf­sichts­ge­setz­ge­bung signi­fi­kant abhängt.

Die Beur­tei­lung bleibt damit den ein­zel­nen Insti­tu­ten überlassen:

Die Wesent­lich­keit wird im Rund­schrei­ben prin­zi­pi­en­ori­en­tier­ter gestal­tet. Die Kon­kre­ti­sie­rung der Wesent­lich­keit ist insti­tuts­spe­zi­fisch und soll­te des­halb auch vom Insti­tut selbst vor­ge­nom­men wer­den. Die Insti­tu­te tra­gen somit stär­ker die Ver­ant­wor­tung bei der Beur­tei­lung der Wesent­lich­keit. Die wei­te­re Prä­zi­sie­rung ergibt sich aus der Pra­xis in der Ban­ken- und Versiche-rungsaufsicht.

Strei­chung der Mel­de­pflicht bei der Aus­lan­ge­rung von Mas­sen-CID ins Ausland

Gestri­chen wur­de sodann die in Rz. 37 des Ent­wurfs noch wie folgt vor­ge­se­he­ne Mel­de­pflicht gegen­über der FINMA bei der Aus­la­ge­rung von Mas­sen-CID ins Ausland:

Bei der Aus­la­ge­rung von Mas­sen-Kun­­­den­i­den­ti­­fi­­ka­ti­on­s­­da­ten (Cli­ent Iden­ti­fy­ing Data) ins Aus­land ist die FINMA vor­gän­gig zu informieren.

Nach der defi­ni­ti­ven Fas­sung besteht kei­ne Mel­de­pflicht mehr. Der Anhö­rungs­be­richt hält dazu fol­gen­des fest:

Auch auf das Erfor­der­nis einer vor­gän­gi­gen Infor­ma­ti­on bei der Aus­la­ge­rung von Mas­sen-CID ins Aus­land wird im Sin­ne der Anhö­rungs­teil­neh­men­den ver­zich­tet. Aus der Umschrei­bung der aus­ge­la­ger­ten Dienst­lei­stung bzw. dem Erbrin­ger (gemäss neu Rz 14) im lau­fend zu aktua­li­sie­ren­den Inven­tar muss ersicht­lich sein, ob Mas­sen-CID ins Aus­land aus­ge­la­gert wer­den. Die FINMA kann im Rah­men ihrer Auf­sichts­tä­tig­keit bei Bedarf die­ses Inven­tar bei den Ban­ken einfordern.

Kon­zern­in­ter­ne Auslagerung

Der Ent­wurf des Rund­schrei­bens hat­te vor­ge­schla­gen, die Erleich­te­run­gen bei grup­pen­in­ter­nem Out­sour­cing zu strei­chen (im gel­ten­den RS Out­sour­cing in Rz. ). Dazu hat­te der Erläu­te­rungs­be­richt zum Ent­wurf fol­gen­des festgehalten:

Mit Bezug auf Ban­ken wird der Anwen­dungs­be­reich des Rund­schrei­bens inso­weit aus­ge­wei­tet, als die Aus­nah­men von gewis­sen Bestim­mun­gen, die das Rund­schrei­ben für Out­sour­cings zwi­schen nahe­ste­hen­den Par­tei­en, d.h. im Rah­men von grup­pen­in­ter­nen Out­sour­cings, vor­sah (vgl. Rz 6 – 11 FINMA-RS 08/7), auf­ge­ho­ben wer­den. Grup­pen­in­ter­ne Aus­la­ge­run­gen sind prin­zi­pi­ell nicht mit weni­ger Sorg-falt zu behan­deln und einer nicht weni­ger inten­si­ven Über­wa­chung durch die Bank oder das Ver­si­che­rungs­un­ter­neh­men zu unter­zie­hen. Nament­lich bis­her gül­ti­ge Aus­nah­men wie die Befrei­ung von der Ver­trags­pflicht (Grund­satz 9, FINMA-RS 08/7) sind aus Risi­ko­sicht nicht mehr ver­tret­bar und künf­tig nicht mehr vorgesehen.

Auf­grund der Anhö­rung fand eine Art klei­nes Kon­zern­pri­vi­leg wie­der Ein­gang ins revi­dier­te Rund­schrei­ben. Rz. 22 lau­tet wie folgt:

Bei den Anfor­de­run­gen gemäss den Rz 16 – 21 sowie 32 – 35 kann die Ver­bun­den­heit im Konzern/in der Grup­pe berück­sich­tigt wer­den, sofern die mit der Aus­la­ge­rung typi­scher­wei­se vor­han­de­nen Risi­ken nach­weis­lich nicht bestehen oder gewis­se Anfor­de­run­gen nicht rele­vant oder anders gere­gelt sind.

AI-generierte Takeaways können falsch sein.