In der Medienmitteilung vom 6. Dezember 2016 veröffentlichte die FINMA ihren Entwurf für ein totalrevidiertes RS 17/xx “Outsourcing – Banken und Versicherer“. Die Vernehmlassung dauert bis zum 31. Januar 2017, die Inkraftsetzung ist auf den 1. Juli 2017 angesetzt.
Die datenschutzrechtlichen Bestimmungen in Rz. 31 – 33, Rz. 36 und Rz. 37 – 39 des RS 2008/7 “Outsourcing Banken“ wurden gestrichen. Der Erläuterungsbericht zum revidierten RS weist darauf hin, dass der Umgang mit Personendaten durch die Datenschutzgesetzgebung schon umfassend geregelt sei.
Um Doppelspurigkeiten und allfällige Divergenzen zu den Entwicklungen des Datenschutzrechts zu vermeiden und gleichzeitig eine klare Abgrenzung zwischen aufsichtsrechtlichen Anforderungen der Finanzmarktaufsicht und den im Privatrecht angesiedelten Pflichten gemäss Datenschutzgesetz zu gewährleisten, werden die bisherigen Ausführungen im FINMA-RS 08/07 mit Bezug zum Datenschutz (…) gestrichen.
Gemäss Rz. 37 des revidierten RS ist die FINMA ausserdem vorgängig über eine Auslagerung von Massen-Kundenidentifikationsdaten (Client Identifying Data) ins Ausland zu informieren.
Der Erläuterungsbericht betont des Weiteren, dass die Gewährleistung der Einsichtsrechte von Bank- und Versicherungskunden auch bezüglich der ausgelagerten Daten erhalten bleiben muss.