Der Gesetzgeber regelt die Vorgaben zur Datensicherheit im Datenschutzgesetz und der Verordnung zum Datenschutzgesetz allgemein und offen. Daher erlässt die Finanzmarktaufsicht (FINMA) für Banken zusätzliche Vorgaben für den Umgang mit elektronischen Kundendaten. Inwiefern ist dieser Ansatz zielführend? Wäre eine strengere Formulierung der Datensicherheit im Datenschutzgesetz besser? Hier eine kurze Analyse.
Gesetzliche Grundlagen zur Datensicherheit für Banken
Das Bankengesetz gilt für alle Schweizer Banken. In Art. 47 des Bankengesetzes ist das Bankkundengeheimnis festgehalten. Dieses besagt, dass keine Bankkundenbeziehung an nicht berechtigte Dritte offenbart werden darf. Das Gesetz geht jedoch nicht weiter darauf ein, durch welche Massnahmen (z.B. Datensicherheit) das Bankkundengeheimnis geschützt werden soll. Die Vorgaben an die Datensicherheit finden sich im Datenschutzgesetz wieder.
Gemäss dem Art. 7 im Datenschutzgesetz müssen Personendaten durch angemessene organisatorische und technische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Weitere Bestimmungen erlässt der Bundesrat in der Verordnung zum Datenschutzgesetz (4. Abschnitt: Technische und organisatorische Massnahmen). Jedoch sind diese Bestimmungen an die Datensicherheit oberflächlich.
Aufgrund der oberflächlichen Regelungen auf Gesetzesebene erlassen Regulierungsbehörden zusätzliche branchenspezifische Vorgaben an die Datensicherheit. Im Bankenumfeld gibt es dazu zusätzliche Anforderungen der Finanzmarktaufsicht.
Regulierung durch Finanzmarktaufsicht (FINMA)
Als unabhängige Aufsichtsbehörde ist die FINMA im Bankenbereich für den Vollzug des Bankengesetzes zuständig. Die Aufsichtsaufgaben der FINMA sind die Bewilligung, Überwachung und Durchsetzung des Aufsichtsrechts. Daneben kann die FINMA auf untergeordneter Stufe auch regulieren. Dies erfolgt über Verordnungen und Rundschreiben.
Im Rundschreiben «2008/21 Operationelle Risiken – Banken» regelt die FINMA im Anhang 3 den Umgang mit elektronischen Kundendaten. Darin werden verschärfte Vorgaben für den Umgang mit elektronischen Kundendaten beschrieben. Die Einhaltung dieser Vorgaben ist für Banken verpflichtend. Diese Vorgaben sind deutlich konkreter beschrieben als die Vorgaben im Datenschutzgesetz sowie der dazugehörigen Verordnung.
Analyse
Der Gesetzgeber hält die Inhalte zur Datensicherheit im Datenschutzgesetz bewusst allgemein und offen. Dieser Ansatz stellt sicher, dass das Datenschutzgesetz aufgrund des schnellen technologischen Wandels nicht laufend angepasst werden muss. Daher erlässt die FINMA als Aufsichtsbehörde weitere Regulierungen zur Datensicherheit für Banken.
Die FINMA muss somit konkretere Vorgaben zur Datensicherheit in zusätzlichen Regulierungen erlassen und sicherstellen, dass diese Vorgaben mit dem technologischen Wandel mithalten können. Somit hat die FINMA dieselbe Herausforderung wie der Gesetzgeber. Man könnte sich hier Fragen wieso der Gesetzgeber dann den Weg über die Aufsichtsbehörde geht und die konkreteren Vorgaben zur Datensicherheit nicht selber in den Gesetzen regelt. Die Antwort darauf liegt in der Flexibilität. Denn die Regulierungsbehörden sind deutlich flexibler und schneller in der Anpassung ihrer Regulierungen als der Gesetzgeber mit der Anpassung von Gesetzen. Weiter können die Regulierungsbehörden in ihren Regulationen die Vorgaben branchenspezifisch ausrichten. Unter Berücksichtigung dieses Gesichtspunktes ist der gewählte Ansatz ein sinnvoller Weg eine angemessene Datensicherheit im Bankenumfeld zu implementieren.
Die Banken erhalten durch die Regulierung eine Hilfestellung zur Sicherstellung einer angemessenen Datensicherheit. Der mit der Umsetzung verbundene Aufwand zur Implementierung sowie die regelmässigen Audits der FINMA sind jedoch nicht zu unterschätzen.
Weiterführende Links
