Die FINMA hat bereits anfangs April eine Anhö­rung zum sog. Klein­ban­ken­re­gime begon­nen. Das Klein­ban­ken­re­gime bezweckt pri­mär, bestimm­te Ban­ken von bestimm­ten regu­la­to­ri­schen Anfor­de­run­gen aus­zu­neh­men. Dafür plant die FINMA eine Teil­re­vi­si­on der Rund­schrei­ben

  • 18/3 „Out­sour­cing – Ban­ken und Ver­si­che­rer“
  • 08/21 „Ope­ra­tio­nel­le Risi­ken – Ban­ken“
  • 17/1 „Cor­po­ra­te Gover­nan­ce – Ban­ken“
  • 16/1 „Offen­le­gung – Ban­ken“
  • 19/1 „Risi­ko­ver­tei­lung – Ban­ken“
  • 17/7 „Kre­dit­ri­si­ken – Ban­ken“

Par­al­lel soll die Eigen­mit­tel­ver­ord­nung (ERV) ange­passt wer­den. – Die Anhö­rung dau­ert bis am 12. Juli 2019.

RS Outsourcing

Im Bereich des Out­sour­cing schlägt der Ent­wurf des geän­der­ten RS Out­sour­cing “Kon­kre­ti­sie­run­gen” der Anfor­de­run­gen vor, die aber für Klein­ban­ken und Trä­ger einer Fin­Tech-Bewil­li­gung (Art. 1b BankG) teil­wei­se nicht anwend­bar sind. Dazu gehö­ren die fol­gen­den Punk­te:

  • rev. Rz. 18: Beim Ent­scheid über das Out­sour­cing und bei der Aus­wahl des Dienst­lei­sters sind nicht mehr nur die “Mög­lich­kei­ten und Fol­gen eines Wech­sels” des Dienst­lei­sters zu berück­sich­ti­gen, son­dern ggf. auch jene eines Wech­sels der Unter­ak­kor­d­an­ten, die wesent­li­che Funk­tio­nen erbrin­gen; und auch Unter­ak­kor­d­an­ten müs­sen Gewähr für eine dau­er­haf­te Lei­stungs­er­brin­gung bie­ten.
  • neue Rz. 18.1: “Die geord­ne­te Rück­füh­rung der aus­ge­la­ger­ten Funk­ti­on oder die Über­tra­gung auf einen ande­ren Dienst­lei­ster muss sicher­ge­stellt sein. Der bis­he­ri­ge Dienst­lei­ster muss so lan­ge ver­pflich­tet blei­ben, die Dienst­lei­stung unver­än­dert zu erbrin­gen, bis eine Rück­füh­rung oder eine Über­tra­gung auf einen ande­ren Dienst­lei­ster mög­lich ist.”
  • rev. Rz. 33: Das aus­la­gern­de Unter­neh­men muss sicher­stel­len, dass es von einem bevor­ste­hen­den Bei­zug oder – neu – auch Wech­sel eines wesent­li­chen Unter­ak­kor­d­an­ten in Kennt­nis gesetzt wird und die Mög­lich­keit hat, das Out­sour­cing ggf. zu been­den.

Bei Klein­ban­ken und Ban­ken i.S.v. Art. 1b BankG (Fin­Tech-Bewil­li­gung) ent­schei­det die (beim Out­sour­cing ohne­hin durch­zu­füh­ren­de Risi­ko­ana­ly­se) über “die Rele­vanz und Umset­zung” der Vor­ga­ben von Rz. 17 (unver­än­dert; Anfor­de­run­gen an die Aus­wahl des Dienst­lei­sters), 18 und 18.1 (s. oben). Zudem sind Klein­ban­ken und Fin­Techs von den Anfor­de­run­gen nach Rz. 18.1 befreit, soweit es um die Rück­füh­rung des Out­sour­cings geht, und es ist eine Erleich­te­rung mit Bezug auf das IKS vor­ge­se­hen (Rz. 20; die­se unver­än­dert).

Die Anpas­sun­gen der Anfor­de­run­gen betr. Unter­ak­kor­d­an­ten die­nen der Fle­xi­bi­li­sie­rung, dem Erläu­te­rungs­be­richt der FINMA zufol­ge. Das heu­ti­ge RS Out­sour­cing sieht in Rz. 33 vor, dass der Bei­zug von wesent­li­chen Unter­ak­kor­d­an­ten von der Geneh­mi­gung durch die Bank abhän­gig zu machen ist, was bei grö­sse­ren Cloud.-Anbietern unprak­ti­ka­bel ist. Neu genügt es daher, wenn sich die Bank die recht­zei­ti­ge Vor­ab­infor­ma­ti­on über einen Bei­zug bzw. Wech­sel eines wesent­li­chen Unter­ak­kor­d­an­ten vor­be­hält und die Mög­lich­keit haben muss, das Out­sour­cing ggf. zu been­den. Ein Aus­stieg muss dabei effek­tiv mög­lich sein, etwa indem der Dienst­lei­ster sich vor­ab ver­pflich­tet, die Dienst­lei­stun­gen so lan­ge wei­ter­zu­füh­ren, bis das Out­sour­cing zurück­ge­führt oder auf einen ande­ren Anbie­ter über­tra­gen wor­den ist. Alter­na­tiv kön­nen Ban­ken mit Anbie­tern wei­ter­hin ver­ein­ba­ren, dass eine vor­gän­gi­ge Zustim­mung erfor­der­lich ist.

RS Ope­ra­tio­nel­le Risi­ken

Auch das RS Ope­ra­tio­nel­le Risi­ken soll ange­passt wer­den. Vor­ge­se­hen ist insb., dass Klein­ban­ken und Fin­Techs im Anhang 3 (Umgang mit elek­tro­ni­schen Kun­den­da­ten) nur Rz. 3 umset­zen müs­sen (Gover­nan­ce), wobei die kon­kre­ten Anfor­de­run­gen je nach Grö­sse, Kom­ple­xi­tät, Struk­tur und Risi­ko­pro­fil des Insti­tuts vari­ie­ren (neue Rz. 2.1).

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.