Finma ebnet Banken und Versicherungen den Weg in die Cloud

Nach Anhörung der Branche trägt die Finma den neuen Realitäten wie RZs und Cloud Rechnung.
 
Die Finanzmarktaufsicht Finma hat soeben ein Rundschreiben publiziert, das Banken wie Versicherern den Weg in die Cloud erleichtern soll.

Dieses Rundschreiben formuliert die künftig geltenden aufsichtsrechtlichen Anforderungen ans Outsourcing von Banken und Versicherungen, soll diese konkretisieren und mindestens teilweise harmonisieren.
 
Eine erste Fassung dieses Rundschreibens ging vor einem Jahr in eine "Vernehmlassung" in der Branche und die Reaktionen waren nicht durchwegs positiv.
 
Speziell die Finma-Idee eines jederzeitigen Einsichts- und Prüfrechts wurde als "Cloud-feindlich" kritisiert. Die UBS protestierte, dieses Recht sei unverhältnismässig und argumentierte, dass RZs dezentral verteilt seien, gross und die Clouds von unterschiedlichen Firmen beherbergen. Entsprechend müsse ein Prüfling die Möglichkeit haben, sich vorzubereiten, beziehungsweise sei eine Inspektion aus technischen wie Security-Gründen "weder zielführend noch praktikabel", wie es im Prüfbericht heisst.
 
Kleinere Banken ihrerseits wollten es leichter haben, "ihre Wertschöpfungsketten selbständig und z.B. unter Einbezug von Fintechs zusammenzusetzen". Auch dies beinhaltet Optionen für Cloud-Lösungen.
 
Finma präferiert nun Prinzipien statt Technologien
Diese Argumente akzeptiert die Finma und basiert die künftigen Anforderungen in Sachen Prüfrechte primär auf Prinzipien und weitgehend technologieneutral. Das heisst im gleichen Zuge, dass eigenverantwortliche Selbsteinschätzungen höher gewichtet werden.
 
Auch die Auslagerung von Client Identifying Data (CID) wie Name, Vorname, Telefonnummern, Post- und E-Mail-Adressen oder Passnummer gab zu Diskussionen Anlass. Eine Meldepflicht für Auslagerungen von CID ins Ausland wurde von der Branche abgelehnt, die Definition des Begriffs "Massen-CID" wurde als unpräzise kritisiert. Und wären Remote-Access oder Datenspiegelung zulässig oder nicht? Dies sei zu präzisieren, denn Datenspiegelung wäre extrem teuer, wurde moniert.
 
Fazit der Debatte: "Auch auf das Erfordernis einer vorgängigen Information bei der Auslagerung von Massen-CID ins Ausland wird im Sinne der Anhörungsteilnehmenden verzichtet", so die Finma. Doch für den Fall, dass eine Bank saniert oder liquidiert wird, muss es möglich sein, auf alle notwendigen Daten in der Schweiz zuzugreifen und dies jederzeit.
 
Nicht zuletzt wurde die Übergangsfrist wie von den Firmen gewünscht, von zwei auf fünf Jahre verlängert. Das Rundschreiben tritt per 1. April 2018 in Kraft. (Marcel Gamma)