FINMA konkretisiert Anforderungen an den Kundendatenschutz bei Banken und Effektenhändlern

in Advisory, Financial Services, 24.05.2013

Im teilrevidierten Rundschreiben “OperationeIle Risiken Banken” konkretisiert die FINMA ihre Erwartungen an die Umsetzung der bestehenden Regulationen zum Schutz von Kundendaten. Handlungsbedarf besteht sowohl bei Banken und Effektenhändlern als auch bei deren Outsourcing-Dienstleistern.

Handlungsbedarf aufgrund der Konkretisierung bestehender gesetzlicher Anforderungen

Grundlage bilden das Bankengesetz (BankG, SR 952.0), Börsengesetz (BEHG, SR 954.1) und Datenschutzgesetz (DSG, SR 235.1) sowie das FINMA Rundschreiben 08/7 “Outsourcing Banken”. Anhang 3 des Rundschreibens beschreibt neun Grundsätze, die den Banken und Effektenhändlern als Umsetzungshilfe dienen sollen, um Kundendaten, insbesondere im Privatkundensegment, zu schützen. Obwohl aus Sicht der FINMA keine über die bereits bestehenden Regulationen herausgehenden Anforderungen gestellt werden, dürften die meisten Banken und Effektenhändler die FINMA Erwartungen nicht vollständig erfüllen. “Kleine” Banken sind von der Erfüllung einer Vielzahl der Bestimmungen ausgenommen. Notabene auch von Bestimmungen, die sowohl bei Banken als auch in weniger sensitiven Industrien als Teil des Grundschutzes betrachtet werden (z.B. Mitarbeiterschulung oder Need-to-know-Grundsatz).

Um das von der FINMA geforderte “umfassende Rahmenkonzept zum Schutz der Kundendatenvertraulichkeit” umzusetzen, werden die betroffenen Organisationen ihre bestehenden Massnahmen auf ihre Angemessenheit hin überprüfen und in vielen Fällen anpassen müssen. Insbesondere die folgenden Erwartungen der FINMA verdienen eine erhöhte Aufmerksamkeit, da diese über den marktüblichen Stand hinausgehen:

  • Explizite Zuweisung der Verantwortung für den Kundendatenschutz an die Geschäftsleitung und entsprechende Berichterstattung über die Kundendatenschutz-Risiken
  • Detaillierte, auf die Organisation abgestimmte Kategorisierung der bearbeiteten Kundendaten und Festlegung des entsprechenden Schutzbedarfs (“Client Identifying Data”)
  • Klare Aufgabenbezeichnung und Benennung der für die Kundendaten verantwortlichen Personen (“Data Owner”)
  • Differenzierte Sicherheitsüberprüfung von Mitarbeitern (inkl. Mitarbeiter von Drittfirmen)
  • Engere Auslegung und Umsetzung des Need-to-Know-Prinzips; Transparenz über die Personen (Mitarbeiter und Dritte) mit privilegierten Berechtigungen und / oder Zugriff auf Kundendaten
  • Festlegung einer Kommunikationsstrategie für Sicherheitsvorfälle mit Kundendaten, inklusive Form und zeitlicher Ablauf der Kommunikation mit der FINMA

Abstimmung mit dem Kontrollframework der Outsourcing-Dienstleister

Die Outsourcing-Dienstleister von Banken und Effektenhändlern werden üblicherweise nicht durch die FINMA reguliert. Nichtsdestotrotz wird aus dem Rundschreiben ersichtlich, dass die FINMA mehr Transparenz und eine wirkungsvolle Abstimmung zwischen den Kontrollframeworks der auslagernden Organisation und dem Outsourcing-Dienstleister erwartet. Massnahmen, die diesem Zweck dienen sind u.a.:

  • Explizite Bewertung des Kundendatenschutzes bei der Auswahl von Outsourcing-Dienstleistern unter Einbezug von unabhängigen Assessments
  • Einsetzung von internen Mitarbeitern, die für die Einhaltung der Kundendatenschutzanforderungen bei den Outsourcing-Dienstleistern verantwortlich sind und die eine zeitgerechte Kommunikation von Sicherheitsvorfällen gewährleisten müssen
  • Kenntnis und Verständnis der durch den Outsourcing-Dienstleister umgesetzten Massnahmen zum Schutz der Kundendaten und Identifizierung / Behebung entsprechender Mängel
  • Stetige Überwachung der Einhaltung der vereinbarten Schutzmassnahmen und regelmässige Audits der Outsourcing-Dienstleister mit Zugang zu Kundendaten

Klarere Spielregeln für den Schweizer Finanzplatz ermöglichen optimierte Betriebsmodelle

Neben besonders wirkungsvollen Massnahmen (z.B. Festlegung der zu schützenden Daten, engere Auslegung des Need-to-know-Prinzips etc.) enthält der FINMA Entwurf auch einige Massnahmen, deren Kosten/Nutzen Verhältnis sich noch zeigen muss (z.B. Unterhalt einer Liste aller Jurisdiktionen und juristischen Einheiten der Organisation und Dritter mit Zugriff auf Kundendaten). Der im Rundschreiben propagierte risikobasierte Ansatz erlaubt es einer Organisation jedoch, Fokus und Ressourcen auf die besonders wirkungsvollen Massnahmen zu legen. Der externe Auditor sollte dies in den regulatorischen Prüfungen entsprechend berücksichtigen.

Ein wichtiger Nutzen des FINMA Rundschreibens liegt zudem in den geklärten Spielregeln, die Organisationen dabei unterstützen, die nach wie vor wertvollen Kundendaten angemessen zu schützen und gleichzeitig ihr Betriebsmodell mittels Shared Services, Outsourcing, Offshoring etc. weiter zu optimieren. Die verbindlichere Einbindung des Kontrollframeworks der Outsourcing Dienstleister verhindert dabei, dass “regulatory arbitrage” betrieben wird und stärkt die Wirksamkeit des Datenschutzes im Verhältnis mit Dritten.

Was ist zu tun?

Wir empfehlen folgendes Vorgehen:

  1. Analyse der Einhaltung der neun Grundsätze des FINMA Rundschreibens
  2. Beurteilung der Datenschutz-Risiken insbesondere in Bezug auf die nicht / teilweise umgesetzten Grundsätze unter Berücksichtigung des spezifischen Gefährdungspotentials der Organisation
  3. Identifizierung und Umsetzung von Massnahmen zur Behandlung der nicht akzeptablen Datenschutz-Risiken
  4. Besprechung der Analyse, Risikobeurteilung und getroffenen Massnahmen mit dem externen Auditor

 

Weitere Infos:

 

FINMA specifies client protection requirements for banks and securities dealers

In the partially amended circular 08/21 “Operational Risks – Banks”, the FINMA clarifies its expectations on the implementation of existing regulations to protect client data. Banks and securities dealers as well as their outsourcing providers need to act now.

Article in English

 

La FINMA concrétise les exigences en matière de protection des données clients auprès des banques et négociants en valeurs mobilières

Dans le cadre de la révision partielle de la circulaire “Risques opérationnels − banques”, La FINMA concrétise ses attentes quant à l’application des règles actuelles sur la protection des données. Les banques, les négociants en valeurs mobilières et leurs prestataires d’outsourcing se doivent d’agir dès maintenant.

Article in French


Leave a Reply

Your email address will not be published.