Finma ebnet Banken und Versicherungen den Weg in die Cloud

6. Dezember 2017, 11:03
  • cloud
  • outsourcing
  • finma
image

Nach Anhörung der Branche trägt die Finma den neuen Realitäten wie RZs und Cloud Rechnung.

Nach Anhörung der Branche trägt die Finma den neuen Realitäten wie RZs und Cloud Rechnung.
Die Finanzmarktaufsicht Finma hat soeben ein Rundschreiben publiziert, das Banken wie Versicherern den Weg in die Cloud erleichtern soll.
Dieses Rundschreiben formuliert die künftig geltenden aufsichtsrechtlichen Anforderungen ans Outsourcing von Banken und Versicherungen, soll diese konkretisieren und mindestens teilweise harmonisieren.
Eine erste Fassung dieses Rundschreibens ging vor einem Jahr in eine "Vernehmlassung" in der Branche und die Reaktionen waren nicht durchwegs positiv.
Speziell die Finma-Idee eines jederzeitigen Einsichts- und Prüfrechts wurde als "Cloud-feindlich" kritisiert. Die UBS protestierte, dieses Recht sei unverhältnismässig und argumentierte, dass RZs dezentral verteilt seien, gross und die Clouds von unterschiedlichen Firmen beherbergen. Entsprechend müsse ein Prüfling die Möglichkeit haben, sich vorzubereiten, beziehungsweise sei eine Inspektion aus technischen wie Security-Gründen "weder zielführend noch praktikabel", wie es im Prüfbericht heisst.
Kleinere Banken ihrerseits wollten es leichter haben, "ihre Wertschöpfungsketten selbständig und z.B. unter Einbezug von Fintechs zusammenzusetzen". Auch dies beinhaltet Optionen für Cloud-Lösungen.
Finma präferiert nun Prinzipien statt Technologien
Diese Argumente akzeptiert die Finma und basiert die künftigen Anforderungen in Sachen Prüfrechte primär auf Prinzipien und weitgehend technologieneutral. Das heisst im gleichen Zuge, dass eigenverantwortliche Selbsteinschätzungen höher gewichtet werden.
Auch die Auslagerung von Client Identifying Data (CID) wie Name, Vorname, Telefonnummern, Post- und E-Mail-Adressen oder Passnummer gab zu Diskussionen Anlass. Eine Meldepflicht für Auslagerungen von CID ins Ausland wurde von der Branche abgelehnt, die Definition des Begriffs "Massen-CID" wurde als unpräzise kritisiert. Und wären Remote-Access oder Datenspiegelung zulässig oder nicht? Dies sei zu präzisieren, denn Datenspiegelung wäre extrem teuer, wurde moniert.
Fazit der Debatte: "Auch auf das Erfordernis einer vorgängigen Information bei der Auslagerung von Massen-CID ins Ausland wird im Sinne der Anhörungsteilnehmenden verzichtet", so die Finma. Doch für den Fall, dass eine Bank saniert oder liquidiert wird, muss es möglich sein, auf alle notwendigen Daten in der Schweiz zuzugreifen und dies jederzeit.
Nicht zuletzt wurde die Übergangsfrist wie von den Firmen gewünscht, von zwei auf fünf Jahre verlängert. Das Rundschreiben tritt per 1. April 2018 in Kraft. (Marcel Gamma)

Loading

Mehr zum Thema

image

Drei Viertel der Cloud-Ausgaben in Europa fliessen in die USA

Die amerikanischen Tech-Giganten dominieren den europäischen Cloud-Markt. Daran ändert auch das Wachstum der hiesigen Anbieter nichts.

publiziert am 4.10.2022
image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

Microsoft erhöht in der Schweiz Zahl der Mitarbeitenden

100 zusätzliche Angestellte will Schweiz-Chefin Catrin Hinkel im nächsten Jahr einstellen. Gebraucht werden sie vor allem im Cloud-Bereich.

publiziert am 3.10.2022
image

Edöb: "Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen"

Der Eidgenössische Datenschützer kritisiert Anwaltskanzleien, die Behörden beim Einsatz von US-Cloud-Diensten Sicherheit versprechen. Im Interview schildert Adrian Lobsiger seine Sicht.

publiziert am 28.9.2022 3