Aus dem Unterricht des CAS Digital Finance mit Cornelia Stengel berichten Roger Pahud und Nicola Engelke.

Cornelia Stengel ist Rechtsanwältin für Finanzdienstleistungs- und Datenschutzrecht mit spezieller Erfahrung in der rechtlichen Analyse neuer Produkte, Systeme und Technologien auf dem Finanzmarkt (Fintech). Sie berät Unternehmen bei der Prüfung und Umsetzung betriebswirtschaftlicher und regulatorischer Anforderungen über die vertragliche Ausgestaltung bis hin zur Gestaltung interner Prozesse.

Der Tag fing schon mal gut an: Cornelia bzw. die HWZ überraschten uns mit Grittibänz! Vielen Dank! Frisch gestärkt haben wir uns mit den Themen Regulierung und Datenschutz beschäftigt.

1. Regulierung

1.1 Die Schweizer Finanzmarktinfrastruktur

Die Schweizer Finanzmarktinfrastruktur beruht hauptsächlich auf vier Gesetzen:

  • Finanzmarktaufsichtsgesetz (FINMAG)
  • Finanzmarktinfrastrukturgesetz (FinfraG)
  • Finanzdiensteleistungsgesetz (FIDLEG)
  • Finanzinstitutsgesetz (FINIG)

Das FINMAG bestimmt die Organisation und Zuständigkeit der Aufsicht sowie die Grundlagen der Zusammenarbeit mit in- und ausländischen Behörden.

Das FinfraG legt die Anforderungen an die Organisation und den Betrieb von Finanzmarktinfrastrukturen fest und stellt Regeln für den Handel von Effekten und Derivaten auf, die für alle Finanzmarktteilnehmer gelten (Marktverhaltensregeln).

Das FIDLEG regelt die Erbringung von Finanzdienstleistungen sowie das Anbieten von Finanzinstrumenten und erleichtert Kunden die Durchsetzung ihrer Rechtsansprüche gegenüber Finanzdienstleistern. Demgegenüber werden mit dem FINIG Aufsichtsregeln für Finanzinstitute eingeführt.

1.2 Wer braucht eigentlich eine Banklizenz?

Grundsätzlich braucht eine  Bankbewilligung, wer gewerblich (dauernd mehr als 20 Publikumseinlagen)  Verbindlichkeiten gegenüber Kunden hat  (Art 5 BankV).

1.2.1 Werden Einlagen entgegengenommen?

Nicht als Einlagen gelten:

a. Gelder, die eine Gegenleistung aus einem Vertrag auf Übertragung des Eigentums oder aus einem Dienstleistungsvertrag darstellen oder als Sicherheitsleistung übertragen werden (Bäcker);

b. Anleihensobligationen und andere vereinheitlichte und massenweise ausgegebene Schuldverschreibungen oder nicht verurkundete Rechte mit gleicher Funktion (Wertrechte), wenn die Gläubigerinnen und Gläubiger in einem dem Artikel 1156 des Obligationenrechts (OR) entsprechenden Umfang informiert werden;

c. Habensaldi auf Kundenkonti von Effekten- oder Edelmetallhändlern, Vermögensverwaltern oder ähnlichen Unternehmen, die einzig der Abwicklung von Kundengeschäften (z.B. Crowdlending) dienen, wenn dafür kein Zins bezahlt wird und, sofern es sich nicht um Kundenkonti von Effektenhändlern handelt, die Abwicklung innert 60 Tagen erfolgt;

d. Gelder, deren Entgegennahme in einem untrennbaren Zusammenhang mit einem Lebensversicherungsvertrag, der beruflichen Vorsorge oder anderen anerkannten Vorsorgeformen nach Artikel 82 des Bundesgesetzes vom 25. Juni 1982 über die berufliche Alters-, Hinterlassenen- und Invalidenvorsorge steht;

e. Gelder, die in geringem Umfang einem Zahlungsmittel oder Zahlungssystem zugeführt werden und einzig dem künftigen Bezug von Waren oder Dienstleistungen dienen und für die kein Zins bezahlt wird;

f. Gelder, deren Rückzahlung und Verzinsung durch eine Bank garantiert werden (Ausfallgarantie).

1.2.2 Liegt eine gewerbliche Tätigkeit vor?

Gewerbsmässig im Sinne des BankG handelt, wer dauernd mehr als 20 Publikumseinlagen entgegennimmt oder sich öffentlich zur Entgegennahme von Publikumseinlagen empfiehlt, selbst wenn daraus weniger als 20 Einlagen resultieren.

Ausnahmen von der Gewerbsmässigkeit:

a. die Publikumseinlagen betragen höchstens 1 Million Franken;

b. kein Zinsdifferenzgeschäft. Ein Zinsdifferenzgeschäft liegt vor, wenn ein Anleger einen Geldbetrag als Kredit aufnimmt und dieses Kapital in eine festverzinsliche Kapitalanlage investiert, deren Zinserlös höher ist als die Kosten der Kreditaufnahme.

c. Die Kunden werden schriftlich darüber informiert, dass das Unternehmen nicht von der FINMA beaufsichtigt wird und dass die Einlage nicht von der Einlagensicherung erfasst wird.

1.3 Gibt es für Fintechs Erleichterungen?

Zur Förderung von innovativen Finanzunternehmen hat der Gesetzgeber die so genannte Fintech-Bewilligung, eine Bewilligung mit erleichternden Anforderungen, geschaffen.

1.3.1 Voraussetzungen für eine Fintech Bewilligung

Die Fintech-Bewilligung erlaubt Publikumseinlagen in der Höhe von maximal hundert Millionen Schweizer Franken entgegenzunehmen, wobei die Publikumseinlagen weder angelegt noch verzinst werden dürfen. Außerdem muss das Unternehmen eine Kapitalgesellschaft (AG, KGaA, GmbH) mit Sitz in der Schweiz sein.

1.3.2 Bankbewilligung vs Fintech Bewilligung

Vorteil für Inhaber einer Fintech Bewilligung ist, dass die Pflicht zur Einlagensicherung und Liquiditäts- und Eigenmittelanforderungen entfällt. Allerdings müssen Fintechs wie Banken Corporate Governance sicherstellen und Geldwäsche verhindern.

1.4 Fazit

Die Fintech Gesetzgebung ist eine Gratwanderung zwischen etablierten Banken und innovativen Fintech-Unternehmen.

Mögliche Anwendungsfälle für Fintech Lizenzen sind Unternehmen, die pre-paid Zahlungssysteme, Kontoführung, Crowdlending, Tokenverwahrung (Wallet Provider) anbieten.

1. 5 Zahlungsdiensterichtlinie (Payment Services Directive, PSD)

1.5.1 PSD I

PSD schuf die Grundlage für einen EU-weiten Zahlungsverkehr und den einheitlichen Euro-Zahlungsverkehrsraum (Single Euro Payment Area, SEPA). Die Richtlinie gilt grundsätzliche für alle Zahlungsdienste (Ein-und Auszahlungen auf / von einem Bankkonto, Lastschriften, Überweisungen etc.), Kartenzahlungen.

1.5.2 Ziele PSD II

  • Förderung eines übergreifenden, effizienten Payment Markts in Europa
  • Verbesserung des Level-Playing-Fields für Payment Service Provider
  • Förderung von Innovationen im Online-Payment Markt
  • Erhöhung der Sicherheit im Zahlungsverkehr
  • Konsumentenschutz

1.5.3 Zahlungsauslösedienste (ZAD, engl. PISP)

  • Mittlerfunktion zwischen Bank, Kunde und Zahlungsempfänger
  • Lösen im Auftrag des Kunden, in dessen Namen Zahlungsaufträge von seinem Bankkonto aus und teilen dies dem Zahlungsempfänger umgehend mit
  • Zahlungsempfänger kann Gegenleistung erbringen, bevor Zahlung bei ihm eingetroffen ist

Auswirkung: Es braucht keine Kreditkarten mehr

1.5.4 Kontoinformationsdienste (KID, eng. AISP)
  • Erfassen für den Kunden elektronisch dessen Kontoinformationsdaten, welche vom kontoführenden Zahlungsdienstleister abgerufen werden
  • Aggregation von Kontodaten

Anwendungsbereich: Dienstleistungen, z.B. im Bereich von Bonitätsprüfungen, Personal Finance Management

1.5.5 Third Party Access

Banken müssen ZAD und KID auf Wunsch des Kunden den erforderlichen Zugang zu den im Online Banking geführten Zahlungskonten gewähren:

  • Diskriminierungsfreier Zugang zu den Kundenkonten
  • Schnittstellen zur Anwendungsprogrammierung (APIs)
  • Ausarbeitung technischer Standards (RTS) an Europäische Bankenaufsicht (EBA) delegiert
  • Streit um technische Standards, Performance und Screen Scraping

Dafür müssen sich ZAD und KID bei der lokalen Bankenaufsicht registrieren lassen. Sie benötigen eine Berufshaftpfichtversicherung und müssen ggf weitere Vorschriften bezüglich Datenschutz und IT-Sicherheit (z.b. 2-Faktor Authentifizierung) erfüllen. Das Mindestkapital für ein ZAD beträgt EUR 50’000.

1.5.6 Herausforderungen für Banken und Aufsicht
  • Herausforderung bei der Anpassung von Geschäftsmodellen
  • Herausforderungen bei der Gewährleistung der Daten- und Cybersicherheit
  • Erstellung und Wartung von APIs
  • Fehlen allgemeine anerkannter API Standards
  • Eingeschränkte Übersicht und Aufsicht über eine Vielzahl von Dritten, die mit der Bank interagieren
  • Komplexere Haftungsregelung (mehrere Parteien beteiligt)
  • Reputationsrisiko, selbst bei gesetzlicher Haftungsregelung

2. Datenschutz

2.1 Internationales Umfeld

Die gesetzgeberischen Institutionen für die Grundlagen des Datenschutzes sind einerseits die Beschlüsse des Europarats sowie die Verordnung und (Schengen-)Richtlinie der EU. Durch die im Mai 2018 in Kraft getretene EU-DSGVO soll der Schutz personenbezogener Daten innerhalb der EU gewährleistet werden.

Die Schweiz als nicht-EU Mitglied ist aktuell daran, ihr Datenschutzgesetz (DSG) in zwei Etappen zu überarbeiten. Die vollständige Umsetzung soll voraussichtlich bis Ende 2020 abgeschlossen sein.

Wer muss die EU-DSGVO anwenden?

Zentral für die Beantwortung dieser Frage ist dabei Art. 3 der EU-DSGVO:

  • Unternehmen mit einer Niederlassung in der EU;
  • In der Schweiz niedergelassene Unternehmen, die Personen in der EU Waren oder Dienstleistungen anbieten;
  • Unternehmen, die das Verhalten von Personen beobachten, wenn das Verhalten in der EU erfolgt.

Exkurs: Das Schweizer Bankkundengeheimnis

Unabhängig vom Datenschutzgesetz ist in der schweizerischen Gesetzgebung (Bankgesetz; BankG) das Bankkundengeheimnis fest verankert. Vorsätzliche Verletzungen können mit einer Geld- oder Freiheitsstrafe von bis drei Jahren bestraft werden. Keinen Anwendungsbereich findet das Bankkundengeheimnis allerdings u.a. bei Straf- und Zivilprozessen, Verfahren internationaler Rechtshilfe, dem automatischen Informationsaustausch (AIA) oder FATCA.

2.2 Personendaten

Die EU als auch die Schweiz unterscheiden zwischen Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen (z.B. Name, Adresse, Geburtsdatum) und besonders schützenswerte Personendaten (z.B. Religionszugehörigkeit, politische Einstellung, Daten zur Gesundheit).

Zwischen den Datenschutzbestimmungen der EU und der Schweiz besteht ein zentraler Unterschied. Während in der Schweiz die Bearbeitung von Personendaten grundsätzlich erlaubt ist, besteht in der EU ein grundsätzliches Verbotsprinzip was die Bearbeitung von Personendaten anbelangt. 

Exkurs: “Cookies”

Ein weit verbreiteter Irrtum ist, dass Cookies auf einer Webseite oder in Newslettern zwingend zur Anwendbarkeit der EU-DSGVO führen. Wichtig ist hier die Unterscheidung zwischen Tracking- und Targeting-Cookies vs. “harmlosen” Funktionalitäts- und Performance-Cookies. Letztere sind vom Datenschutzgesetz nicht betroffen.

2.3 Sanktionen

Ein weiterer wesentlicher Unterschied zwischen den beiden Datenschutzbestimmungen sind die Strafbestimmungen.

  • CH: Ausschliesslich Sanktionierung natürlicher Personen mit bis zu CHF 250’000;
  • EU: Ausschliesslich Sanktionierung juristischer Personen mit bis EUR 20’000’000 oder 4% des gesamten weltweiten Jahresumsatzes.

2.4 Fazit und To do’s

Grundsätzlich lässt sich sagen, dass für Schweizer Unternehmen die Anforderungen an die Compliance je nach Menge und Sensibilität der Personendaten steigen.

Mögliche Massnahmen:

  • Stelle / Abteilung mit Datenschutzkompetenz
  • Dokumentation (ggf. Verzeichnis von Verarbeitungstätigkeiten)
  • Prüfung der Anwendbarkeit von DSG, E-DSG und EU-DSGVO
  • Überprüfung der Rechtmässigkeit der Verarbeitung resp. Einhaltung der Bearbeitungsgrundsätze
  • Überarbeitung von Verträgen (ADV) und Datenschutzerklärungen, insb. Prüfung von Einwilligungen
  • Interne Prozesse und Richtlinien überarbeiten (z.B. bezüglich Auskunftsrechte und/oder Datenportabilität)
  • Bestellung eines Vertreters in der EU

Aufgrund der happigen Sanktionen stellt “Laisser-faire” keine Option mehr dar!

Wir danken Cornelia Stengel für einen spannenden und aufschlussreichen Tag.