Zusammenfassung des Unterrichts von Dr. iur. Cornelia Stengel im CAS Digital Finance durch lic.rer.pol. Emmanuel Ullmann

Teil 1: Regulierung

A. Finanzmarktarchitektur

Der Gesetzgeber aktualisiert aktuell die Finanzmarktarchitektur, welche aus folgenden Elementen besteht:

  • Infrastruktur (wie Börse); Beispiel: Finanzmarktinfrastrukturgesetz
  • Dienstleistungen, Beispiel: FIDLEG
  • Beaufsichtigte (Finanzinstitutgesetz), neu z.B. für Vermögensverwalter
  • Aufsicht (Finanzmarktaufsichtsgesetz) inkl. Sanktionen

Die Idee des Gesetzgebers ist, dass die Finanzmarktarchitektur ungefähr gleich ausgestaltet sein wird wie MiFiD II. Inkrafttreten ist voraussichtlich 2020.

B. Bewilligung und Überwachung

Es gibt verschiedene Bewilligungsformen und Überwachungsintensitäten, welche sich wie folgt darstellen lassen (Quelle: FINMA):

Merke: Die höchste Bewilligungsstufe (=FINMA-Bewilligung) hat gleichzeitig auch die höchste Überwachungsintensität, wobei die Überwachung nach Geldwäschereigesetz darin auch enthalten ist.

C. Bankbewilligung

Benötigt wird eine Bankbewilligung, wenn man

  • Publikumseinlagen entgegen nimmt und
  • dies gewerbsmässig erfolgt (Definition: mehr als 20 Publikumseinlagen).

Es gibt allerdings verschiedene Ausnahmen zu diesen Regeln. So ist bspw. keine Einlage, wenn eine Gegenleistung erfolgt (typischerweise der Bäcker, der für das erhaltene Geld Brot ausgibt).

Lex Fintech

Mit dem Aufkommen der Fintech wollte man verschiedene Erleichterungen vorsehen, die in drei Säulen dargestellt werden können.

Im der ersten Säule hat man seit dem 1. August 2017 Ausnahmen zur Einlage statuiert (wenn Abwicklungskonto Geld weniger als 60 Tage hält = keine Einlage) sowie auf die Definition Gewerbsmässigkeit verzichtet, wenn es u.a. Einlagen von weniger als CHF 1 Mio. sind.

In der zweiten Säule sind ab 1. April 2019 (gleichzeitig mit der Revision des Konsumkreditgesetzes (KKG)) diese Ausnahmen auch aufgedehnt auf natürliche Personen. Mit dem Aufkommen von Crowdlending wurde dies auch notwendig, weil ansonsten ohne Ausnahme eine natürliche Person eine Bankbewilligung hätte einholen müssen bei einem typischen Crowdlending-Verfahren mit mehr als 20 Spender.

Mit der Revision des KKG werden ausserdem die Crowdlending-Plattformen ein Überschuldungstest machen können beim Kreditnehmer. Die Dozentin geht davon aus, dass die Plattformen dadurch einen Dämpfer erleiden könnten.

Ab dem 1. Januar 2019 gibt es mit der FinTech-Lizenz eine dritte Säule. Die Idee ist, tiefere Voraussetzungen als eine Banklizenz zu statuieren, um die Fintechs zu fördern. So kann mit der Fintech Lizenz bis zu CHF 100 Mio. an Einlagen entgegen genommen werden und/oder Crowdfunding darf mehr als 60 Tage dauern. Weiterhin darf aber nicht (z.B. in Fonds) angelegt werden, sodass die Dozentin nicht erwartet, dass das Fintech Geschäft mit dieser neuen Lizenz stark gefördert wird.

D. Geldwäschereiaufsicht

Grundsätzlich sind alle Player verpflichtet, das Geldwäschereigesetz einzuhalten (es gibt ganz wenige Ausnahmen). Dabei müssen Aufgaben vor Vertragsabschuss und während der Vertragsbeziehung durchgeführt werden. Empfehlenswert ist eine Geldwäschereifachstelle sowie internen Regeln, Monitoring und Weiterbildungen.

E. Exkurs: PSD2

Zahlungsdienstrichtlinie (Payment Service Directive), Inkraft PSD2 seit 2016, Umsetzung bis 13.1.2018. Ziel und Zweck sind:

  • Förderung eines übergreifenden, effizienten Payments Market in Europa
  • Verbesserung des Level-Playing-Fields für Payment Service Provider
  • Förderung von Innovation im Online-Payment Markt
  • Erhöhung der Sicherheit im Zahlungsverkehr
  • Senkung der Preise im Zahlungsverkehr
  • Konsumentenschutz (erreicht, indem Vorschriften zu Authentifikation gemacht werden: zwei Faktor-Schutz)

==> Es wurden neue Rollen definiert.

  • Zahlungsauslösedienste ZAD übernehmen Mittelfunktion zwischen Bank, Kunde und Zahlungsempfänger. Idee: Zahlung soll extrem schnell bei Empfänger der Zahlung (Händler) ankommen, anders als bei einer Banküberweisung. Zahlungsauslösedienste können Händler schon sagen, dass Geld kommt und Händler kann bereits zu diesem Zeitpunkt Waren schicken.
  • Kontoinformationsdienste KID (z.B. PensionBee) erfassen und aggregieren für den Kunden elektronisch dessen Kontoinformationsdaten, welche vom kontoführenden Zahlungsdienstleister abgerufen werden. Die Banken müssen dies den KID jedoch nicht gratis zur Verfügung stellen.

Achtung: Im Gegenzug braucht es für neue Rollen ZAD und KID eine Zulassungs- und Registrierungspflicht mit Mindestkapitalvorschriften, Berufshaftpflichtversicherung, möglicherweise weitere Bedingungen und müssen entsprechenden Bewilligungsweg eingehen.

Die Schweiz hat dies nicht eingeführt. Aus der Diskussion heraus wurde eingeschätzt, dass man dadurch eher einen Standortnachteil hat, da die europäischen Player eine spezielle Auflagen in der Schweiz benötigen, wenn der Marktdruck es durchsetzen wird, dass auch Schweizer Banken ihre Daten über API’s öffnen werden.

Teil 2: Datenschutz (DSG)

Grundsatz: Der Datenschutz ist auf gleicher Höhe sicherzustellen wie die Einhaltung der Finanzmarktgesetzgebung!

Internationale Entwicklung

  • Im Europarat gab es anfangs 2017 ein Übereinkommen, welches aber noch nicht umgesetzt wurde
  • April 2016 DSGVO (engl. GDPR) in der EU
  • Richtlinie Schutz natürlicher Personen (Schengen-Richtlinie), welche bindend für die Schweiz ist, was Auslöser für Reform DSG in der Schweiz war.

Gemäss aktuellem Fahrplan sollte das Inkrafttreten des neuen Datenschutzgesetzes der Schweiz nicht vor dem Jahre 2020 erfolgen.

A. EU-DSGVO

Man ist grundsätzlich unterstellt, wenn man eine Niederlassung in der EU hat. Aber auch ohne Niederlassung in der EU ist man unterstellt, wenn:

  • Die Firma Waren und Dienstleistungen betroffenen Personen anbietet, die sich in EU befindet ODER
  • Wenn die Firma aus der Schweiz heraus Verhalten dieser betroffenen Personen in der EU beobachten (z.B. Onlinegeschäft und tracking Cookies). Gegenmassnahmen: kein analytics oder geofencing

Es gibt auch Fälle, in denen der Vertragspartner darauf besteht, dass EU-DSGVO eingehalten werden soll.

Fazit: EU-DSGVO gilt für viele Firmen in der Schweiz.

B. Was sind Personendaten?

Was sind Personendaten?

Personendaten sind Daten, die eine Person bestimmbar machen. Im Unterschied zur EU sind unter Personen auch juristische Personen in der Schweiz gemeint (wobei mit E-DSG dies abgeschafft werden soll).

Beispiel IP-Adresse: für Provider Personendaten, weil er damit Person identifizieren kann. Für natürliche Person sind es keine Personendaten, weil er nichts damit machen kann.

Es gibt auch besonders schützenswerte Personendaten:

  • religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten
  • Gesundheit, Intimsphäre oder Rassenzugehörigkeit
  • Massnahmen der sozialen Hilfe
  • administrative oder strafrechtliche Verfolgungen und Sanktionen
  • E-DSG: auch genetische und biometrische (identifizierende) Daten

Es ist gut zu überlegen, ob eine Firma solche Daten sammeln will (z.B. Essensgewohnheiten (kein Schweinefleisch), oder Strafregisterauszug).

Grundsätze der Datenbearbeitung in der Schweiz
  • Bearbeitung von Personendaten grundsätzlich erlaubt, wenn Grundsätze eingehalten sind. In der EU ist es umgekehrt!
  • Bearbeitungsgrundsätze (Art. 4 DSG)
  • Rechtmässig, nach Treu & Glauben und verhältnismässig (d.h. nur solange man es braucht, kein Big Data)
  • Zweckgebunden: wie angegeben, aus den Umständen ersichtlich oder gesetzlich vorgesehen (gemäss E-DSG: «wie vereinbar»)
  • Transparent; für die betroffene Person erkennbar
  • Sicherstellung der Richtigkeit der Daten (Art. 5 DSG)
  • Sicherheit: Angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten (Art. 7 DSG)

Die Pflichten in der Schweiz ähneln sich stark an die EU. Ausnahme sind die Sanktionen: strafbar wird in der Schweiz die natürliche Person und nicht das Unternehmen. Die Sanktionen betragen bis zu CHF 10’000 (neu mit E-DSG: bis CHF 250’000). Zum Vergleich: in der EU werden die Unternehmen gebüsst mit bis zu EUR 20 Mio. oder 4% des weltweiten Konzernumsatzes.

C. Ausgewählte Gebiete: Newsletterversand

Der Datenschutz führt dazu, dass sich eine Firma auch bei vergleichsweise “harmlosen” Tätigkeiten wie ein Newsletterversand genau überlegen muss, mit wem sie die Daten teilt und ob eine Einwilligung des Empfängers zum Datenversand an einem Dritten (der Versender) benötigt wird. In der EU lauft gegenwärtig die Erarbeitung einer E-Privacy-Verordnung (mehr Infos hier), wodurch der Versand von Newslettern (mit oder ohne Tracking-Cookies) voraussichtlich nur noch mit ausdrücklicher Einwilligung (z.B. mittels Double-Opt-in) gemäss den Anforderungen nach Art. 7 DSGVO möglich sein.