Die FINMA hat am Dienstag, 5.12.2017, das langerwartete revidierte Outsourcing-Rundschreiben zusammen mit dem Bericht über die Anhörung veröffentlicht (vgl. die Meldungen bei swissblawg und auf dataprotection.ch und unseren früheren Beitrag).
Das Rundschreiben wird am 1. April 2018 in Kraft treten und das heutige Rundschreiben 2008/7 Outsourcing Banken ersetzen. Dazu wird für bestehende Outsourcings neu eine fünfjährige Anpassungsfrist vorgesehen. Weitere Informationen finden sich auf der Website der FINMA.
Besonders hervorzuheben sind folgende Punkte:
Ausdehnung des Geltungsbereichs
Das Rundschreiben ist nicht mehr nur auf Banken und Effektenhändler anwendbar, sondern neu auch auf Versicherer. Gestrichen aus dem Anwendungsbereich wurden dagegen Gruppen und Konglomerate, weil diese als wirtschaftliche Einheit nicht Partei eines Auslagerungsvertrags sein können.
Streichung der besonderen datenschutzrechtlichen Anforderungen
Bemerkenswert ist u.a. (neben der Ausdehnung des Geltungsbereichs auf Versicherer), dass die datenschutzrechtlichen Anforderungen des heutigen Rundschreibens weitgehend gestrichen wurden, um Doppelspurigkeiten zu vermeiden. Der Erläuterungsbericht zum Entwurf des revidierten Rundschreibens hatte dies wie folgt begründet:
Der Umgang mit Personendaten wird in der Schweiz vom Datenschutzgesetz (DSG; SR 235.1), der Datenschutzverordnung (VDSG; SR 235.11) sowie weiteren Rechtsquellen umfassend geregelt, […]. Für Banken ist bezüglich des Bankkundengeheimnisses ferner Art. 47 BankG zu beachten. Der Umgang von Banken mit elektronischen Kundendaten wird sodann im Anhang 3 des FINMA-RS 08/21 geregelt. Um Doppelspurigkeiten und allfällige Divergenzen zu den Entwicklungen des Datenschutzrechts zu vermeiden und gleichzeitig eine klare Abgrenzung zwischen aufsichtsrechtlichen Anforderungen der Finanzmarktaufsicht und den im Privatrecht angesiedelten Pflichten gemäss Datenschutzgesetz zu gewährleisten, werden die bisherigen Ausführungen im FINMA-RS 08/07 mit Bezug zum Datenschutz (vgl. dessen Rz 31 – 33, Rz 36 und Rz 37 – 39) gestrichen. Aus denselben Gründen wird der ehemalige Grundsatz 6 (Kundenorientierung) aufgehoben, mit dem das FINMA-RS 08/7 über die datenschutzrechtlichen Anforderungen hinaus ging, insbesondere mit Bezug auf die umfassenden Informationspflichten und das ausserordentliche Kündigungsrecht gemäss Rz 39 des FINMA-RS 08/07.
[…]Mit der Streichung der Ausführungen zum Datenschutz sind keine materiellen Verschärfungen oder Erleichterungen verbunden. Die Streichung des Grundsatzes „Kundenorientierung“ stellt eine Erleichterung für Banken dar. Hier entfällt insbesondere das aufsichtsrechtlich angeordnete, ausserordentliche Kündigungsrecht sowie die Informationspflicht, soweit sich eine solche nicht aus anderen Rechtsquellen ergibt.
Diese Streichung wurde in der Anhörung im Grundsatz begrüsst. Interessant ist die Anmerkung von Swissbanking im Rahmen der Anhörung (ähnlich haben sich andere Teilnehmer geäussert):
Wir können den Verzicht auf die Regelung der datenschutzrechtlichen Aspekte nachvollziehen. Dieser Verzicht hat zur Folge, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bezüglich datenschutzrechtlicher Aspekte im Rahmen des Outsourcings eine noch zentralere Rolle spielen wird. Es ist deshalb wichtig, dass sich die FINMA mit dem EDÖB koordiniert, zumal dieser zukünftig allenfalls auch Verfügungen erlassen soll.
Streichung der Ausführungen zum Bankgeheimnis
Mit der Streichung der besonderen datenschutzrechtlichen Anforderungen im neuen Rundschreiben ist auch die Anforderung gestrichen, Kunden vor einer Auslagerung ins Ausland mit besonderem Schreiben zu informieren. Die Beurteilung auch der Auslandsbekanntgabe wird damit dem Datenschutz- und Bankenrecht überlassen. Einige Stellungnahmen äussern daher die Sorge, dass das strafrechtlich geschützte Bankkundengeheimnis (Art. 47 BankG) einer Auslagerung ins Ausland entgegenstehen könnte (eine Ansicht, die zwar verbreitet, aber nicht zwingend ist). Der Verband Schweizerischer Kantonalbanken VSKB hat sich dazu ausführlich geäussert:
Wie oben einleitend in Ziff. A.4 erwähnt, besteht ein klarer Mangel […] durch den gänzlichen Verzicht auf die Regelung des Verhältnisses zwischen Outsourcer und seinen Kunden. […]
Gerade zur Verhinderung von solchen Divergenzen und Abgrenzungsschwierigkeiten drängt es sich zudem auf, den Kern der Anforderungen gemäss Bankkundengeheimnis (Art. 47 BankG) ins neue FINMA-RS zu überführen. Die derzeit gemäss FINMA-RS 2008/7, Rz 37 – 39 geltende Regelung ist nämlich für die Operationalisierung des Massengeschäfts sehr hilfreich und notwendig. Insbesondere fordert sie im Verhältnis zwischen Bank und Kunden zu Recht nur eine rechtzeitige Informationspflicht, welche denjenigen Kunden, welche mit dem Outsourcing nicht einverstanden sind, die vorgängige Kündigung der Geschäftsbeziehungen ermöglicht (FINMA-RS 2008/7, Rz 39). Damit werden Grundsätze zur Anwendung gebracht, welche z.B. auch im Arbeitsrecht von Lehre und Rechtsprechung anerkannt sind, wenn grössere Unternehmen legitimerweise allgemeine arbeitsrechtliche Regelungen mit gleichzeitiger Wirkung für sämtliche Mitarbeitenden einführen wollen […].
Entsprechend den Grundregeln zum Bankkundengeheimnis vorgängig zum Outsourcing von jedem betroffenen Kunden eine ausdrückliche Zustimmung mittels Unterschrift einholen zu müssen, wäre demgegenüber im – bei Outsoucing regelmässig betroffenen – Massengeschäft nicht operationalisierbar und objektiv auch nicht richtig. Es darf insbesondere nicht sein, dass die Bank das geplante Outsourcing nicht vornehmen darf, nur weil nicht sämtliche betroffenen Kunden vorgängig ausdrücklich zugestimmt haben.
Der Bank ist es auch nicht zumutbar, für diejenigen Kunden, welche vorgängig nicht ausdrücklich zugestimmt haben, die betreffende Dienstleistung weiterhin wie bisher ohne Outsourcing aus eigener Hand anzubieten. […] Da im Massengeschäft immer mit einzelnen Kunden zu rechnen ist, welche einem Outsourcing nicht ausdrücklich zustimmen würden, und sei es auch nur zur Einsparung des Aufwands von Unterschrift und Rücksendung der Erklärung, würde mit solchen Anforderungen Outsourcing praktisch verunmöglicht […]. Mangels ausdrücklicher Regulierung durch die FINMA würde aber im Einzelfall der Rechtsstreit darüber entbrennen, welche Regeln in Zusammenhang mit dem – immerhin strafbewehrten – Bankkundengeheimnis effektiv gelten.
Die Regelung gemäss aktuellem FINMA-RS 2008/7, Rz 37 – 39 ist demzufolge auch ins revidierte RS aufzunehmen. […]
Der Anhörungsbericht ist zu diesem Thema von bemerkenswerter Knappheit:
An der Streichung der Bestimmungen zum Datenschutz bzw. zum Bankgeheimnis wird festgehalten. Sie ergibt sich aus der Abgrenzung der Anforderungen des Finanzmarktrechts zu jenen des übrigen öffentlichen Rechts und des Privatrechts (insb. DSG) sowie mit Bezug zu Art. 47 BankG zum Strafrecht (vgl. Art. 6 Abs. 1 und Art. 7 Abs. 1 Bst. b FINMAG).
Für den Umgang von Banken mit elektronischen Kundendaten bleibt nach wie vor Anhang 3 des FINMA-Rundschreibens 2008/21 „Operationelle Risiken – Banken” einschlägig.
“Wesentlichkeit” des Outsourcings
Vor dem Hintergrund der Eigenständigkeit der datenschutzrechtlichen Betrachtung ist es konsequent, dass das revidierte Rundschreiben nicht jedes Outsourcing, bei dem der Anbieter Zugang zu Kundendaten (“CID” für “Customer Identifying Data”) erhält, als wesentlich qualifiziert, sondern nur dann, wenn Zugang zu Massen-CID besteht. Der Anhörungsbericht:
Gegenüber dem Erläuterungsbericht zu präzisieren ist die Vermutung der Wesentlichkeit im Zusammenhang mit Massen-CID: Falls ein Dienstleister im Rahmen eines Outsourcings Zugang zu Massen-CID (und nicht bloss einzelnen CID) erhält, gilt das Outsourcing grundsätzlich als wesentlich.
Was Massen-CID heisst, ist bei Banken und Versicherern nicht dasselbe:
- Für Banken definiert Rz. 53 des Rundschreibens 2008/21 Operationelle Risiken – Banken Massen-CID als “Menge von CID, welche im Vergleich zur Gesamtzahl der Konten/Gesamtgrösse des Privatkundenportfolios bedeutend ist.”
- Für Versicherer ist laut Anhörungsbericht massgeblich, wie stark das Interesse der Versicherten betroffen ist (vgl. Art. 6 Abs. 1 VAG).
Ansonsten gilt bei der Beurteilung der Wesentlichkeit ein viel stärker prinzipienbasierter Ansatz. Die Wesentlichkeit wird nicht mehr, wie im heutigen Rundschreiben, durch verschiedene Konkretisierungen umschrieben (“Dienstleistungen, welche sich insbesondere auf die Erfassung, Begrenzung und Überwachung von Markt‑, Kredit‑, Ausfall‑, Abwicklungs‑, Liquiditäts‑, und Imagerisiken sowie operationellen und rechtlichen Risiken auswirken”; mit Beispielen im Anhang), sondern wie folgt:
Wesentlich sind jene Funktionen, von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängt.
Die Beurteilung bleibt damit den einzelnen Instituten überlassen:
Die Wesentlichkeit wird im Rundschreiben prinzipienorientierter gestaltet. Die Konkretisierung der Wesentlichkeit ist institutsspezifisch und sollte deshalb auch vom Institut selbst vorgenommen werden. Die Institute tragen somit stärker die Verantwortung bei der Beurteilung der Wesentlichkeit. Die weitere Präzisierung ergibt sich aus der Praxis in der Banken- und Versiche-rungsaufsicht.
Streichung der Meldepflicht bei der Auslangerung von Massen-CID ins Ausland
Gestrichen wurde sodann die in Rz. 37 des Entwurfs noch wie folgt vorgesehene Meldepflicht gegenüber der FINMA bei der Auslagerung von Massen-CID ins Ausland:
Bei der Auslagerung von Massen-Kundenidentifikationsdaten (Client Identifying Data) ins Ausland ist die FINMA vorgängig zu informieren.
Nach der definitiven Fassung besteht keine Meldepflicht mehr. Der Anhörungsbericht hält dazu folgendes fest:
Auch auf das Erfordernis einer vorgängigen Information bei der Auslagerung von Massen-CID ins Ausland wird im Sinne der Anhörungsteilnehmenden verzichtet. Aus der Umschreibung der ausgelagerten Dienstleistung bzw. dem Erbringer (gemäss neu Rz 14) im laufend zu aktualisierenden Inventar muss ersichtlich sein, ob Massen-CID ins Ausland ausgelagert werden. Die FINMA kann im Rahmen ihrer Aufsichtstätigkeit bei Bedarf dieses Inventar bei den Banken einfordern.
Konzerninterne Auslagerung
Der Entwurf des Rundschreibens hatte vorgeschlagen, die Erleichterungen bei gruppeninternem Outsourcing zu streichen (im geltenden RS Outsourcing in Rz. ). Dazu hatte der Erläuterungsbericht zum Entwurf folgendes festgehalten:
Mit Bezug auf Banken wird der Anwendungsbereich des Rundschreibens insoweit ausgeweitet, als die Ausnahmen von gewissen Bestimmungen, die das Rundschreiben für Outsourcings zwischen nahestehenden Parteien, d.h. im Rahmen von gruppeninternen Outsourcings, vorsah (vgl. Rz 6 – 11 FINMA-RS 08/7), aufgehoben werden. Gruppeninterne Auslagerungen sind prinzipiell nicht mit weniger Sorg-falt zu behandeln und einer nicht weniger intensiven Überwachung durch die Bank oder das Versicherungsunternehmen zu unterziehen. Namentlich bisher gültige Ausnahmen wie die Befreiung von der Vertragspflicht (Grundsatz 9, FINMA-RS 08/7) sind aus Risikosicht nicht mehr vertretbar und künftig nicht mehr vorgesehen.
Aufgrund der Anhörung fand eine Art kleines Konzernprivileg wieder Eingang ins revidierte Rundschreiben. Rz. 22 lautet wie folgt:
Bei den Anforderungen gemäss den Rz 16 – 21 sowie 32 – 35 kann die Verbundenheit im Konzern/in der Gruppe berücksichtigt werden, sofern die mit der Auslagerung typischerweise vorhandenen Risiken nachweislich nicht bestehen oder gewisse Anforderungen nicht relevant oder anders geregelt sind.