Aus dem Unterricht des CAS Digital Finance mit Prof. Dr. Cornelia Stengel und Luca Stäuble berichten Thomas Buehler und Daniel Walther zum Thema Regulierung und Datenschutz.

Seit Mitte März 2020 hatten wir aufgrund der Covid-19 Situation nur noch virtuellen Unterricht via Zoom. An diesem 16. Juni 2020 waren wir wieder einmal physisch an der HWZ in Zürich.

1.    Regulierung

1.1 Finanzmarktarchitektur

Die Regulierung des Schweizer Finanzplatzes wurde in den letzten Jahren durch verschiedene neue Anforderungen sowohl ergänzt wie auch angepasst. Dabei entstand eine Finanzmarktarchitektur in der Schweiz bestehend aus vier verschiedenen Elementen:

  • Infrastruktur – Finanzmarktinfrastrukturgesetz (FinfraG)
  • Dienstleistungen – Finanzdienstleistungsgesetz (FIDLEG), seit 1.1.2020.
  • Institute – Finanzinstitutsgesetz (FINIG), seit 1.1.2020
  • Aufsicht – Finanzmarktaufsichtsgesetz (FINMAG)

Nicht alle Formen von FINMA-Zulassungen ziehen eine gleich intensive Aufsicht nach sich. Je nach Zulassung gibt es unterschiedliche Überwachungsintensitäten zu den verschiedenen Bewilligungsformen (Quelle: FINMA).

1.2 Bankbewilligung

Wer gewerbsmässig Verbindlichkeiten gegenüber Kundinnen und Kunden (dauernd mehr als 20 Publikumseinlagen) entgegennimmt braucht grundsätzlich eine Bankbewilligung (Art. 5 & 6 BankV).

Dabei gibt es verschiedene Ausnahmen, welche sich nicht als «Einlage» qualifizieren:

  • Gegenleistung
  • Anleihensobligationen
  • Zinslose Abwicklungskonten (Abwicklung erfolgt innert 60 Tagen)
  • Lebensversicherungen, Vorsorge
  • Zinslose Zahlungsmittel oder Zahlungssystem für den Bezug von Waren und Dienstleistungen (< CHF 3’000)
  • Ausfallgarantie

Des Weiteren gibt es Ausnahmen, welche nicht als «gewerbsmässig» gelten, wenn folgende Kriterien erfüllt sind:

  • Die Publikumseinlagen übersteigen den Betrag von CHF 1 Mio nicht
  • Die Einleger müssen über die fehlende Beaufsichtigung und Einlagensicherung informiert werden
  • «Sandbox»: Weder anlegen noch vezinsen, wie auch kein Zinsdifferenzgeschäft (seit 1. April 2019)

1.3 Fintech-Modell

Zur Förderung der Innovation und der Wettbewerbsfähigkeit der Schweiz wurde eine Fintech-Bewilligung für innovative Finanzunternehmen mit erleichterten Anforderungen geschaffen. Diese Regulierung basiert auf einem drei Säulen-Modell:

(Quelle: aus den Unterlagen im Unterricht)

Die Voraussetzungen für die Fintech-Bewilligung sind unter anderem:

  • Gewerbsmässige Entgegennahme von Publikumseinlagen von bis zu CHF 100 Mio (oder Empfehlung dafür)
  • Kein Anlegen oder Verzinsen der Publikumseinlagen
  • Kapitalgesellschaft (AG, KomAG, GmbH) mit Sitz und Verwaltung in der Schweiz

In der BankV (seit 1. Januar 2019 angepasst) sind weitere Bedingungen definiert.

Anwendungsbereiche für die Fintech-Bewilligung sind unter anderem Geschäftsmodelle wie Prepaid-Zahlungssysteme, Token-Verwahrung (Wallets), einfache Kontoführungen oder die Vermittlung mittels Crowdlending.

Den Inhabern einer Fintech-Bewilligung werden Liquiditäts- und Eigenmittelanforderungen erlassen. Jedoch müssen Vorschriften der Corporate Governance und Geldwäschereigesetzgebung eingehalten werden.

Auf der nachfolgenden Grafik sind die Voraussetzung für eine Bank- beziehungsweise Fintech-Bewilligung ersichtlich:

(Quelle: aus den Unterlagen im Unterricht)

1.4 Geldwäschereiaufsicht

Alle Finanzintermediäre sowie Händler unterstehen der Geldwäschereigesetzgebung. Dazu gehören neben Banken, Fondsleiter und Investmentgesellschaften auch Unternehmen mit Fintech-Bewilligung und seit dem 1.1.2020 die Vermögensverwalter. Zudem unterstehen der Gesetzgebung auch alle Personen, die berufsmässig fremde Vermögenswerte annehmen, aufbewahren oder helfen, sie anzulegen oder zu übertragen.

Dabei unterscheidet man zwei Phasen: Die Pflichten (i) vor dem Vertragsabschluss (z.B. Identifikationspflicht der Vertragspartei) und (ii) während der Vertragsbeziehung (z.B. Transaktionsüberwachung).

1.5 Zahlungsdienstrichtline (PSD II)

Die Zahlungsdienstrichtlinie (PSD) schafft die rechtliche Grundlage für die Regulierung eines europaweiten Zahlungsverkehr und den einheitlichen Euro-Zahlungsverkehrsraum (Single Euro Payment Area (SEPA)). Das heisst, die Richtlinie gilt grundsätzlich für alle Zahlungsdienste inkl. Zahlungsvorgänge mit Karten und Geräte.

Ziel und Zweck der revidierten PSD II ist dabei:

  • Förderung eines übergreifenden, effizienten Payments Market in Europa
  • Verbesserung des Level-Playing-Fields für Payment Service Provider
  • Förderung von Innovation im Online-Payment Markt
  • Erhöhung der Sicherheit
  • Senkung der Preise
  • Konsumentenschutz

Dies führte zu neuen Möglichkeiten von Lizenzen für Drittdienstanbieter.

Zahlungsauslösedienste (ZAD, engl.: PISP)

  • Mittlerfunktion welche zwischen Bank, Kunde und Zahlungsempfänger agiert
  • Lösen im Auftrag des Kunden in dessen Namen Zahlungsaufträge von dessen Bankkonto aus und teilen dies dem Zahlungsempfänger umgehend mit
  • Zahlungsempfänger kann Gegenleistung erbringen, bevor Zahlung bei ihm eingetroffen ist
  • Beschleunigung Geschäftsabwicklung vor allem im e-Commerce (ohne Kreditkarte)

Der Prozess für ZAD ist nachfolgend zum besseren Verständnis grafisch dargestellt:

(Quelle: aus den Unterlagen im Unterricht)

Kontoinformationsdienste (KID, engl.: AISP)

  • Erfassen für den Kunden elektronisch dessen Kontoinformationsdaten, welche vom kontoführenden Zahlungsdienstleister abgerufen werden
  • Aggregierung von Kontodaten
  • Dienstleistungen v.a. im Bereich «Personal Finance Management», aber auch Bonitätsprüfungen etc.

Der Prozess für KID ist nachfolgend zum besseren Verständnis grafisch dargestellt:

(Quelle: aus den Unterlagen im Unterricht)

1.6 Open Banking

Unter der PSD II Regulierung müssen Banken den ZAD und KID auf Wunsch der Bankkunden den erforderlichen Zugang «Third Party Access» zu den im Online-Banking geführten Zahlungskonten gewähren. Dabei sind folgende Punkte hervorzuheben:

  • Diskriminierungsfreier Zugang zu Kundenkonten
  • Schnittstellen zur Anwendungsprogrammierung (APIs)
  • Ausarbeitung technischer Standards (RTS) wird an die Europäische Bankenaufsicht (EBA) delegiert
  • Schwierigkeiten und Streit um technische Standards, Performance und «Screen Scraping»

Andererseits haben ZAD und KID unter der PSD II eine Zulassungs- und Registrierungspflicht, Mindestkapitalvorschriften, eine Berufshaftpflichtversicherung und je nach Geschäftsmodell weitere Vorschriften.

Diese Form von Third Party Access bietet eine Einladung traditionelles Banking zu überdenken. Dabei wird die Möglichkeit für «Open Banking» geschaffen.

Open Banking bringt potenzielle Vorteile, aber auch Risiken und Herausforderungen für Kunden, Banken und die Bankenaufsicht. Dies sind unter anderem:

  • Anpassung von Geschäftsmodellen
  • Gewährleistung der Daten- und Cybersicherheit
  • Erstellung und Wartung von Schnittstellen sowie Fehlen von allgemein anerkannten Standards
  • Eingeschränkte Übersicht und Aufsicht über eine Vielzahl von Drittanbietern
  • Komplexe Haftungsregelung, da mehr Parteien beteiligt
  • Reputationsrisiko, selbst bei gesetzlicher Haftungsregelung

2.    Datenschutz
2.1 Gesetzgebung

Für einen Datenbearbeiter in der Schweiz (z.B. Schweizer Bank) gibt es verschiedene potenziell anwendbare Datenschutzbestimmungen. Die folgende Übersicht zeigt die möglichen anwendbaren Datenschutzbestimmungen (Regulierung) auf:

(Quelle: aus den Unterlagen im Unterricht)

Im internationalen Umfeld prägt die Regulierung des Datenschutz sowohl der Beschluss im Europarat mit der Verordnung SEV 108 (2019) als auch die Revision des EU-Datenschutzgesetzes (2016).

In der Schweiz ist der Fahrplan für die Datenschutzbestimmungen mit dem revidierten Bundesgesetz über den Datenschutz (DSG) noch offen.

(Quelle: aus den Unterlagen im Unterricht)

Ein besonderer Aspekt in der Schweiz stellt das Bankkundengeheimnis dar. Hierdurch werden alle bankrelevanten Informationen aus der Geschäftsbeziehung mit dem Kunden geschützt (Bankengesetz; BankG).

2.2 Europäische Datenschutz-Grundverordnung (EU-DSGVO): Geltung in der Schweiz

Die EU-Datenschutz-Grundverordnung (DSGVO) findet Anwendung auf die Verarbeitung personenbezogener Daten auch für viele Schweizer Unternehmen.

So ist zum Beispiel das «Marktortprinzip» auch anwendbar für Schweizer Unternehmen:

  • Anbieten von Waren oder Dienstleitungen gegenüber Personen der EU
  • Verhaltensbeobachtung von Personen in der EU

In diesem Sinne dienen folgende Anwendungsbeispiele:

  • Webseiten mit Preisangaben in Euro oder beispielsweise in Spanisch sowohl mit spanischer Domain
  • Angebot für Lieferung in die EU
  • Verarbeitung von Personendaten im Auftrag von EU-Unternehmen
  • Website, welche Cookies oder Google Analytics benutzt

Die Anwendung des Gesetzes führt jedoch immer wieder zu Irrtümern. Im folgenden sind zwei erklärende Beispiele aufgeführt, welche im Unterricht besprochen wurden:

  • Auch bei einer Anwendbarkeit der EU-DSGVO ist das DSG immer noch zu beachten
  • Nicht alle Cookies auf einer Webseite oder Newsletter führen zur Anwendbarkeit, sondern nur Tracking – und Targeting-Cookies. Funktionalitäts- und Performance Cookies sind davon nicht betroffen.

(Quelle: aus den Unterlagen im Unterricht)

2.3 Unterschiede beim Datenschutz in der Schweiz und der EU

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (z.B. Name, Adresse, usw.). Besonders schützenswerte Personendaten sind zum Beispiel Rassenzugehörigkeit, politische Ansichten oder Gesundheitsdaten.

Im Unterschied zur Schweiz gelten Daten juristischer Personen im EU-DSGVO nicht als Personendaten.

In der Schweiz ist die Bearbeitung von Personendaten unter Einhaltung von definierten Grundsätzen erlaubt. Im Gegensatz dazu besteht in der EU ein grundsätzliches Verbotsprinzip für die Bearbeitung von Personendaten. Die Bearbeitung ist nur dann erlaubt, wenn die betroffene Person ihre Einwilligung dazu gegeben hat und definierte Grundsätze eingehalten werden.

2.4 Sanktionen bei Verletzung des Datenschutzgesetzes

Die Sanktionierung bei einer Verletzung des Datenschutzgesetzes fallen zwischen EU-DSGVO und der Schweiz auch unterschiedlich aus:
In der Schweiz sind dies Bussen von max. CHF 10‘000 für vorsätzliche Verletzung bestimmter Pflichten. Neu nach E-DSG sind Bussen gegen natürliche Personen bis max. CHF 250‘000 möglich.
Im Gegensatz dazu können in der EU die Bussen bis zu EUR 20 Millionen oder 4% des gesamten weltweiten Jahresumsatzes (Bussen auch bei Fahrlässigkeit) gegen fehlbare Unternehmen verhängt werden.

2.5 Fazit

Die Bedeutung der Compliance Anforderungen nimmt für das Unternehmen mit der Menge und der Sensibilität der Personendaten zu.

Laisse-faire ist auf Grund der Sanktionen keine Option mehr!!!

Darum ist es wichtig, dass Unternehmen Massnahmen für die Einhaltung von Datenschutzbestimmungen treffen:

  • Stelle/Abteilung mit der nötigen Datenschutzkompetenz
  • Dokumentation wie zum Beispiel das Verzeichnis von Verarbeitungstätigkeiten
  • Prüfung der Anwendbarkeit von DSG, E-DSG und EU-DSGVO
  • Überprüfung der Rechtmässigkeit der Verarbeitung sowohl als auch die Einhaltung der Bearbeitungsgrundsätze
  • Überarbeitung von Verträgen (ADV) und Datenschutzerklärungen, sowie die Prüfung von Einwilligungen
  • Interne Prozesse und Richtlinien überarbeiten (z.B. bezüglich Auskunftsrechte und ggf. Datenportabilität)
  • Ggf. Bestellung eines Vertreters in der EU