FAQ > Beaufsichtigte > Outsourcing bei Banken drucken

Outsourcing bei Banken

Rundschreiben 2008/7 „Outsourcing Banken“

(Letzte Änderung vom 1. April 2009)

1. Nach welchen Kriterien beurteilt sich die Anwendbarkeit des Rundschreibens 2008/7?

Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn eine Unternehmung einen Dienstleister beauftragt, für sie selbständig und dauernd eine Dienstleistung wahrzunehmen. Um ein Outsourcing zu bejahen, muss es sich um die Auslagerung einer wesentlichen Dienstleistung handeln. Wesentlich im Sinne des Rundschreibens sind Dienstleistungen, welche sich auf die Erfassung, Begrenzung und Überwachung von Risiken der Bank auswirken (vgl. Rz 2). Bei der Risikobetrachtung sind namentlich auch operationelle Risiken und Reputationsrisiken zu berücksichtigen. Ein wesentliches Kriterium bildet zudem die Frage, ob es sich beim ausgelagerten Bereich um eine typische Bank- bzw. Effektenhändlertätigkeit handelt. Schliesslich liegt nach Rz 1 der Zweck des Rundschreibens unter anderem darin, bei einer Auslagerung eines Geschäftsbereiches an einen Dienstleister den Schutz sensibler Daten im Sinne des Bankgeheimnisses und des Datenschutzes sicherzustellen. Erhält der Dienstleister bei einer Auslagerung Zugang zu schützenswerten Daten (insbesondere Kundendaten), ist ein Outsourcing im Sinne des Rundschreibens in der Regel zu bejahen.

2. Fällt der Beizug von Hilfspersonen (auxiliaires) unter das Rundschreiben?

Mit dem Begriff der Selbstständigkeit wird klar zwischen dem Beizug von Hilfspersonen und einem Outsourcing an einen selbstständigen Dienstleister unterschieden.

3. Stellt die Einrichtung eines Raumes für den Katastrophenfall (ausgestattet mit PCs, Servers usw. und getrennt von den Büroräumlichkeiten) ein Outsourcing im Sinne des Rundschreiben dar?

Nein, denn es wird kein Geschäftsbereich auf ein anderes Unternehmen ausgelagert. Die Regeln des Rundschreibens finden keine Anwendung.

4. Eine international tätige Gruppe beabsichtigt, die gesamte Datenverarbeitung zu zentralisieren und die Kontoauszüge bzw. Transaktionsbestätigungen für die Kunden der Tochterbank in der Schweiz aus dem Ausland zu betreiben. Ist dies zulässig?

Die Auslagerung der Bearbeitung von Kundendaten ins Ausland stellt gemäss dem Rundschreiben ein Outsourcing dar. Die Grundsätze des Rundschreibens sind somit zu beachten. Bei Auslagerungen innerhalb der Gruppe ergibt sich aus Rz 6 bis 8 eine teilweise Anwendbarkeit des Rundschreibens. Hingegen gelten Rz 37 bis 39, wonach die Kunden über die Auslagerung zu informieren sind, unverändert. 

5. Die Firma X gedenkt ihre Buchhaltungsdaten bei ihrer Muttergesellschaft im Ausland zu halten.

Die Auslagerung der Aufbewahrung von Buchhaltungsdaten an die Muttergesellschaft gemäss Ziffer 3 des Anhangs (Datenaufbewahrung) stellt ein Outsourcing dar. Das Rundschreiben ist gemäss Rz 8 nur teilweise anwendbar.

6. Stellt die Auslagerung des Drucks und Versands von Zahlungsformularen ein Outsourcing dar?

Ja, die Auslagerung dieses Bereichs ist Ziffer 6 des Anhangs zuzuordnen.

7. Eine Bank beabsichtigt, für ihre Kunden Wertgegenstände entgegenzunehmen, um diese bei einem Dritten verwahren zu lassen. Stellt dies ein Outsourcing im Sinne des Rundschreibens dar?

Ein Outsourcing im Sinne des Rundschreibens liegt vor, wenn eine Unternehmung einen Dienstleister beauftragt, selbstständig und dauernd eine für die Geschäftstätigkeit der Unternehmung wesentliche Dienstleistung wahrzunehmen. Wesentlich im Sinne des Rundschreibens sind u.a. Dienstleistungen, welche sich auf Imagerisiken und rechtliche Risiken auswirken. Darunter fällt auch die von Banken typischerweise erbrachte Dienstleistung der Vermietung von Safes und Schrankfächern. Um diese Risiken im Rahmen der Anwendung von Sicherheitsstandards zu begrenzen, sind die Grundsätze des Rundschreibens bei der Auslagerung der Verwahrung von Wertgegenständen anwendbar.

8. Was ist bei Rz 4a mit konsolidierungspflichtigen Gruppengemeinschaften gemeint?

Sämtliche konsolidierte Unternehmungen einer Gruppe müssen das Rundschreiben einhalten (d.h. sowohl Mutter- wie auch Schwestergesellschaften), es sei denn, sie würden einer Aufsicht unterstehen, welche eine eigene Outsourcing-Regelung vorsieht. Dasselbe gilt für konsolidierte ausländische Gruppengesellschaften gemäss Rz 5.

9. Was versteht man unter einer „zentralen Organisation“ gemäss Rz 8?

Beispiele dafür sind Gruppenstrukturen wie die RBA-Banken und der Raiffeisenverband.

10. Die Firma X hat bisher ausschliesslich Leistungen für ihre Aktionärsbanken er-bracht und konnte damit die teilweise Anwendbarkeit des Rundschreibens in Anspruch nehmen. Neu bietet die X auch für wenige Dritte ihre Leistungen an. Kommt Rz 9 immer noch zur Anwendung?

Sofern die Geschäftstätigkeit der X nicht mehr ausschliesslich darin besteht, für die Gruppe der Aktionärsbanken Dienstleistungen zu erbringen, ist Rz 9 nicht mehr einschlägig. Das heisst, dass das Rundschreiben vollumfänglich anwendbar ist.

11. Was ist mit finanziellen Ressourcen gemäss Rz 22 gemeint?

Der Dienstleister muss die finanziellen Möglichkeiten haben, um den Auftrag im Sinne des Rundschreibens auszuführen. Die Frage des Haftungssubstrats kann dabei eine Rolle spielen. Siehe insbesondere auch Rz 23, wonach die Zuständigkeiten von Unternehmung und Dienstleister genau festzulegen und abzugrenzen sind.

12. Wie ist das Verhältnis zwischen einer Bank und einem Subakkordanten?

Die auslagernde Unternehmung ist nicht Partei des Vertrages zwischen dem Dienstleister und dem Subakkordanten. Vielmehr werden zwei Verträge abgeschlossen: ein Vertrag zwischen der auslagernden Unternehmung und dem Dienstleister sowie ein Vertrag zwischen dem Dienstleister und dem Subakkordanten. Letzterer bedarf der Zustimmung der Bank, die jedoch dadurch nicht Vertragspartei wird. Gemäss Rz 23 sind die Schnittstellen, Verantwortlichkeiten, Zuständigkeiten und Haftungsfragen vertraglich zu regeln. Dies gilt auch für das Verhältnis zwischen dem Dienstleister und dem Subakkordanten.

13. Welche Informationen müssen in den AGB enthalten sein? Muss der Name des Dienstleisters explizit erwähnt werden?

Ein einfacher Hinweis auf die Möglichkeit des Outsourcing in den Allgemeinen Geschäfts-bedingungen reicht nicht. Die Finanzintermediäre müssen diejenigen Geschäftsbereiche nennen, in denen sie eine Outsourcing-Lösung vorsehen, sofern diese Bereiche mit den Dienstleistungen an den Kunden im Zusammenhang stehen. Angaben über den Dienstleister (beispielsweise Name der Gesellschaft) werden nicht verlangt.

14. Reicht die Klausel in den AGB „Vorbehalten sind Auslagerungen wie zum Beispiel...“?

Eine beispielhafte Aufzählung von ausgelagerten Dienstleistungen ist dann ausreichend, wenn die aufgeführten Dienstleitungen repräsentativ sind und die wesentlichen ausgelagerten Dienstleistungen umfassen.

15. Müssen bei einer Datenverarbeitung im Ausland, die anonymisiert erfolgt, die Bankkunden in den AGB explizit darauf hingewiesen werden, dass die Datenverarbeitung im Ausland erfolgt oder genügt der Hinweis auf die Auslagerung der Datenverarbeitung an einen Dritten?

Bei der allgemeinen Informationspflicht gemäss Rz 38 ist es wichtig, dass die Informationen nähere Angaben über die ausgelagerten Bereiche enthalten. Nicht notwendig ist dabei, dass die Kunden in den AGB ausdrücklich über die Datenverarbeitung im Ausland informiert werden, sofern im Rahmen der Auslagerung keine Rückschlüsse auf Kundendaten möglich sind.

16. Wenn eine Bank einen bestimmten Bereich an ein schweizerisches Unternehmen auslagert, darf dann auf die allgemeine Informationspflicht gemäss Rz 38 verzichtet werden, wenn feststeht, dass die Daten keine Rückschlüsse auf die Identität der Kunden zulassen?

Rz 38 sieht keine solche Erleichterung vor. Die allgemeine Informationspflicht bleibt in jedem Fall bestehen.

17. Kann die Revisionsstelle der auslagernden Unternehmung die Prüfung mit der externen Revisionsstelle des Dienstleisters koordinieren?

Dies ist zulässig, solange sie die Voraussetzungen von Rz 40 bis 47 einhält.

18. Einige Banken haben einen Outsourcing-Vertrag mit der Firma X abgeschlossen. Diese wiederum lagert einen Teil weiter an die Firma Y aus. Genügt es, wenn die X einen Vertrag mit der Y abschliesst oder muss jede einzelne Bank einen Vertrag mit der Y abschliessen?

Ein Vertrag zwischen der X und der Y ist ausreichend (vgl. auch Frage 13).

19. An wen kann ich mich bei zusätzlichen Fragen wenden?

policy@finma.ch oder Tel. +41 31 327 94 40