Das müsst ihr als Tech-Firma über die FINMA wissen | Xelon AG

Wofür steht FINMA? Welche Ziele verfolgt diese unabhängige Behörde und was ist ihre Rolle am Schweizer Finanzmarkt? Was hat es mit der Fintech-Bewilligung der FINMA auf sich? Und was bedeutet FINMA-konform (FINMA-compliant) in Bezug auf Hosting? In diesem Blogbeitrag haben wir zusammengefasst, was für Tech-Unternehmen in der Schweiz in Bezug auf die FINMA relevant ist.

Was ist die Rolle der FINMA?

FINMA steht für Eidgenössische Finanzmarktaufsicht. Wie der Name besagt, beaufsichtigt und kontrolliert die FINMA alle Bereiche des Finanzwesens. Die FINMA ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit und Hauptsitz in Bern. Grundlage ihrer Tätigkeit bildet das Finanzmarktaufsichtsgesetz. Dieses Gesetz wurde am 22. Juni 2007 von den eidgenössischen Räten verabschiedet. Der Bundesrat hat das Gesetz auf den 1. Januar 2009 vollständig in Kraft gesetzt.

Als unabhängige Behörde über den schweizerischen Finanzmarkt hat die FINMA hoheitliche Befugnisse über Banken, Versicherungen, Börsen, Finanzinstitute, kollektive Kapitalanlagen plus deren Vermögensverwalter und Fondsleitungen sowie Versicherungsvermittler. Die FINMA setzt sich für den Schutz der Gläubiger, Anleger und Versicherten sowie für den Schutz der Funktionsfähigkeit der Finanzmärkte ein. Die FINMA versteht sich somit in erster Linie als Aufsichtsbehörde, deren Hauptaufgabe es ist, die Einhaltung der von Parlament und Bundesrat erlassenen Gesetze und Verordnungen zu kontrollieren. Die Behörde untersteht der parlamentarischen Oberaufsicht und hat den Aufsichtskommissionen des Parlaments Rede und Antwort zu stehen.

Was macht die FINMA?

Die FINMA hat den gesetzlichen Auftrag, Finanzmarktkunden – namentlich Gläubiger, Anleger und Versicherte – sowie die Funktionsfähigkeit der Finanzmärkte zu schützen.

Gut zu wissen: Seit dem 1. Mai 2013 reichen die Kompetenzen der FINMA über die beaufsichtigte Finanzbranche hinaus. Im Rahmen der allgemeinen Marktaufsicht hat das Unternehmen unter anderem Marktmissbrauch zu ahnden, insbesondere Insiderhandel und Marktmanipulation.

Die Finanzmarktaufsicht hat primär das Ziel, die Funktionsfähigkeit der Finanzmärkte zu erhalten und das Kollektiv der Kunden vor Insolvenzen zu schützen. In den nächsten Abschnitten gibt es einen Überblick über die Ziele der FINMA.

Welche Ziele verfolgt die FINMA?

Die Ziele der FINMA sind Funktionsschutz, Individualschutz und Reputationsförderung.

• Funktionsschutz: «Erste und wichtigste Voraussetzung für ein stabiles und funktionierendes Finanzsystem ist die Solvenz der beaufsichtigten Institute. Die FINMA zielt mit ihrer Aufsichtstätigkeit unter anderem darauf ab, dass die Beaufsichtigten ihre Risiken beherrschen, die einzelne Institute und in der Folge auch die Funktionsfähigkeit des Systems gefährden können», schreibt die FINMA. Ziel ist es, die Stabilität des Finanzsystems zu gewährleisten und das Vertrauen in das geordnete Funktionieren der Finanzmärkte zu fördern.
• Individualschutz: Wie oben beschrieben sollen Gläubiger, Anleger und Versicherte vor Insolvenzen von Instituten, vor unlauteren Geschäftspraktiken und vor Ungleichbehandlung im Börsenbereich bewahrt werden. Dieses Schutzziel der FINMA ist kollektiv zu verstehen. Aus Sicht des Kollektivs ist es von zentraler Bedeutung, dass die Finanzinstitute jederzeit zahlungsfähig sind. Dies sicherzustellen, ist eines der Hauptziele des Unternehmens.
• Reputationsförderung: Mit ihrer Aufsichtstätigkeit leistet die FINMA einen Beitrag zur Stärkung der Wettbewerbsfähigkeit und des Ansehens des Finanzplatzes Schweiz.

Wie unabhängig ist die FINMA?

Die FINMA ist funktionell, institutionell und finanziell unabhängig. Nachfolgend erklären wir kurz, was dies bedeutet:

1. Institutionelle Unabhängigkeit: Um die institutionelle Unabhängigkeit zu sichern, hat der Gesetzgeber die FINMA als öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit konzipiert. Ihre Organe sind der Verwaltungsrat und die Geschäftsleitung.
2. Funktionelle Unabhängigkeit: Die Unabhängigkeit von politischen Behörden verhindert, dass Parlament oder Regierung der FINMA Weisungen zu ihrer Aufsichtstätigkeit erteilen.
3. Finanzielle Unabhängigkeit: Die FINMA wird nicht über Steuergelder finanziert, sondern über Aufsichtsabgaben und Gebühren. Die FINMA erhebt Gebühren für Aufsichtsverfahren und für Dienstleistungen. Zudem erhebt sie von den Beaufsichtigten pro Aufsichtsbereich jährlich eine Aufsichtsabgabe für die Kosten der FINMA, die durch die Gebühren nicht gedeckt sind. Die Rechnung der FINMA wird von der Eidgenössischen Finanzkontrolle revidiert.

Was ist die Fintech-Bewilligung der FINMA?

FinTech (Finanztechnologie) bietet der globalen Finanzindustrie neue Möglichkeiten, sich an die veränderten Kundenbedürfnisse anzupassen, Kosten zu senken, Zeit zu sparen und ihre Produkte grösseren Teilen der Weltbevölkerung zugänglich zu machen. Der innovative Einsatz von FinTech ermöglicht es Finanzinstituten, ihre Produkte und Dienstleistungen kundenorientiert und effizient zu gestalten und anzubieten. Zur Förderung von innovativen Finanzunternehmen hat der Gesetzgeber die so genannte Fintech-Bewilligung, eine Bewilligung mit erleichternden Anforderungen, geschaffen. Die FINMA ist für die Erteilung dieser Bewilligung zuständig. Die Fintech-Bewilligung erlaubt Publikumseinlagen in der Höhe von maximal hundert Millionen Schweizer Franken oder Krypto-basierte Vermögenswerte entgegenzunehmen, wobei die Publikumseinlagen oder Vermögenswerte weder angelegt noch verzinst werden dürfen.

Was bedeutet FINMA-konform in Bezug auf Hosting?

Das FINMA-Rundschreiben 2018/3 bezüglich der Auslagerung von Hosting-Dienstleistungen bei Banken und Versicherungsunternehmen schreibt vor, dass Outsourcing von Geschäftsprozessen nur dann zulässig ist, wenn das auslagernde Unternehmen gewährleisten kann, dass seine Prüfgesellschaft und die FINMA ihre Einsichts- und Prüfrechte wahrnehmen sowie durchsetzen können. Das auslagernde Unternehmen muss also sicherstellen, dass ihm diejenigen Informationen, die nur beim IT-Dienstleister verfügbar sind, bekannt gegeben werden. Für die Dienstleister bedeutet dies, dass sie gegenüber dem Auftraggeber Transparenz gewährleisten müssen.

«Da die Einhaltung von aufsichtsrechtlichen Bestimmungen sowie von Schweizer Datenschutzanforderungen bei ausländischen Anbieter nur schwer zu prüfen ist, haben Schweizer Banken bisher zurückhaltend auf ausländische Cloud-Services reagiert», so das Fazit eines Blogbeitrags der Hochschule Luzern zum Thema Cloud-Banking. Bei der Wahl eines IT-Infrastruktur-Providers sollte also aus Datenschutzgründen auch der Unternehmensstandort berücksichtigt werden. In Zeiten von Datenlecks und immer perfideren Hackerangriffen möchten wohl die meisten Unternehmen – und deren Endkunden – wissen, wo ihre Daten gespeichert werden. Die meisten Hyperscaler wie Amazon oder Microsoft haben ihren Hauptsitz in den USA, wo der Zugriff auf Unternehmensdaten mittels des Patriot Acts ohne richterliche Kontrolle praktiziert wird. In der Schweiz hingegen ist dies nicht erlaubt.

Möchtet ihr ein sicheres und FINMA-konformes Zuhause für eure IT-Umgebung? Kontaktiert uns für ein unverbindliches Beratungsgespräch oder eine Gratis-Demo.

Wann muss ein Hacker-Angriff der FINMA gemeldet werden?

Die Beaufsichtigten und die Prüfgesellschaften von Unternehmen müssen der FINMA unverzüglich Vorkommnisse melden, die für die Aufsicht von wesentlicher Bedeutung sind. Dazu gehören auch Hacker-Angriffe, Datendiebstahl und Datenlecks. Das Kriterium der Wesentlichkeit ist laut dem Datenschutzteam der Rechtsanwaltskanzlei Walder Wyss dann gegeben, wenn der Schutz der Gläubiger, der Anleger und der versicherten Personen und/oder die Funktionsfähigkeit der Finanzmärkte beeinträchtigt wird.

«Die Gefahr von Cyber-Attacken auf den Schweizer Finanzplatz erachtet die FINMA als weiterhin sehr hoch. Dabei stehen beaufsichtigte Institute der FINMA im Visier von Cyber-Kriminellen, die es nebst monetären Interessen auch auf die Beeinträchtigung der Verfügbarkeit, Vertraulichkeit und Integrität von kritischer Technologieinfrastruktur und sensitiven Informationen abgesehen haben», schrieb die FINMA in einer Aufsichtsmitteilung im Mai 2020.

Was müssen Tech-Firmen bei der Speicherung von Kundendaten beachten?

Wie oben beschrieben müssen Unternehmen die Sicherheit aller gespeicherten personenbezogenen Daten garantieren. Sowohl Mitarbeiter- als auch Kundendaten gilt es bestmöglich zu schützen. Werden diese Daten versehentlich oder absichtlich kompromittiert und stellt sich nach dem Cyberangriff oder dem Datenleck heraus, dass das betroffene Unternehmen keine geeigneten Sicherheitsmassnahmen ergriffen hatte, drohen möglicherweise Bussen und Sanktionen. Das Schweizer Datenschutzgesetz (DSG) sieht Strafbestimmungen vor bei vorsätzlichen Verletzungen der Auskunfts-, Melde und Mitwirkungspflichten sowie der beruflichen Schweigepflicht.

Das DSG wird momentan überarbeitet. Mit der Revision sollen mehr Transparenz geschaffen und die Mitbestimmungsrechte von betroffenen Personen gestärkt werden. Der Entwurf zur Revision lehnt sich stark an die EU-Datenschutz-Grundverordnung (DSGVO) an. Unternehmen mit Kunden im EU-Raum unterstehen bereits heute der DSGVO, wobei für die effektive Durchsetzung des Datenschutzrechts seit 2018 weitaus höhere Bussgelder als zuvor möglich sind.

Im Xelon Blog findet ihr weitere Gratis-Ressourcen zum Thema Datenschutz:

• Darum sollten eure Daten in der Schweiz bleiben
• Backups: So sichert ihr eure Daten richtig
• Cyber-Security und der Schutz von Kundendaten

Habt ihr Fragen rund um FINMA-konformes Hosting? Seid ihr auf der Suche nach einer zuverlässigen Cloud-Infrastruktur-Lösung, bei der eure Daten in ISO-zertifizierten Datacenter der Schweiz gespeichert werden? Wärt ihr froh um Feedback zu eurem Datenschutz-Konzept? Kontaktiert uns für ein Beratungsgespräch.