Unter "Outsourcing" versteht man im allgemeinen Sprachgebrauch die Auslagerung von Unternehmensaufgaben und -strukturen an externe oder interne Dienstleister.
Für die Tätigkeit von Schweizer Banken hat die Eidgenössische Finanzmarktaufsicht (FINMA) den Outsourcing-Begriff im Rahmen eines Rundschreibens weiter präzisiert. Outsourcing (Auslagerung von Geschäftsbereichen) im Sinne des FINMA-Rundschreibens 2008/7 "Outsourcing Banken" liegt dann vor, wenn eine Bank eine andere Unternehmung (Dienstleister) beauftragt, dauerhaft eine für die Geschäftstätigkeit der Bank wesentliche Dienstleistung wahrzunehmen. "Wesentlich" im Sinne des Rundschreibens sind Dienstleistungen, welche sich insbesondere auf die Erfassung, Begrenzung und Überwachung von für die Bank zentrale Risiken auswirken. Dazu zählen gemäss Rundschreiben vorab Markt-, Kredit-, Liquiditäts-, und Imagerisiken sowie operationellen und rechtliche Risiken.
Die Eidgenössische Finanzmarktaufsicht (FINMA) ist eine öffentlich-rechtliche Anstalt mit eigener Rechtspersönlichkeit. Sie ist für den Vollzug des Finanzmarktaufsichtsgesetzes (FINMAG) sowie der verschiedenen in der Schweiz geltenden Finanzmarktgesetze zuständig. Als unabhängige Aufsichtsbehörde setzt sich die FINMA für den Schutz der Gläubiger, Anleger und Versicherten sowie für den Schutz der Funktionsfähigkeit der Finanzmärkte ein. In ihrer Funktion als Aufsichtsbehörde überwacht die FINMA unter anderem die Geschäftstätigkeit von sämtlichen in der Schweiz als Banken zugelassenen Finanzinstituten.
Die FINMA ist gesetzlich ermächtigt, unter anderem mittels Rundschreiben präzisierende Vorgaben für die Geschäftstätigkeit der von ihr beaufsichtigten Institute zu erlassen. In Bezug auf "Outsourcing" und "Schutz von Massenkundendaten" hat die FINMA zwei Rundschreiben erlassen, welche von den beaufsichtigten Banken zu befolgen sind (vgl. dazu auch oben zu Frage 1 und unten zu Frage 5).
Die Auslagerung von gewissen Geschäftsbereichen im Rahmen von Outsourcing-Lösungen ist auch für Schweizer Banken wie die Cembra Money Bank grundsätzlich ohne Bewilligung durch die FINMA zulässig. Damit eine solche Outsourcing-Lösung zulässig ist und bleibt, muss die auslagernde Bank jederzeit die anwendbaren gesetzlichen und regulatorischen Vorgaben einhalten, d.h. mit Bezug auf den Schutz von Kundendaten insbesondere die Bestimmungen des Datenschutzgesetzes sowie die bankenspezifischen regulatorischen Vorgaben. Hinsichtlich der regulatorischen Vorgaben muss die auslagernde Bank beispielsweise den jeweils auszulagernden Geschäftsbereich genau definieren. Weiter sind die Outsourcing-Partner sorgfältig auszuwählen, zu instruieren und zu kontrollieren.
Nein. Durch eine Auslagerung von bestimmten Geschäftsprozessen an Outsourcing-Partner kann sich eine Schweizer Bank ihrer Verantwortung nicht entziehen, insbesondere nicht für den rechtmässigen und sicheren Umgang mit Kundendaten.
Das FINMA-Rundschreiben 2008/7 hält denn auch ausdrücklich fest, dass die auslagernde Bank gegenüber der FINMA weiterhin die Verantwortung für den ausgelagerten Geschäftsbereich trägt. Die Unternehmung ist gegenüber der FINMA auch für die ausgelagerten Geschäftsbereiche verantwortlich, wie wenn sie diese selbst betreiben würde. Die Bank bleibt ihren Kunden gegenüber jederzeit vollumfänglich für die Einhaltung der entsprechenden vertraglichen, gesetzlichen und regulatorischen Vorgaben verantwortlich.
Im Rahmen der FINMA-Rundschreiben (siehe dazu oben unter Frage 2) sind unter Kundendaten Personendaten von natürlichen Personen ("Privatkunden") zu verstehen, deren Geschäftsbeziehungen in oder von der Schweiz aus betreut oder geführt werden. Personendaten sind dabei alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, wie dies in Artikel 3 Buchstabe a des Datenschutzgesetzes definiert ist. Für Sie als Kundin oder Kunde der Cembra Money Bank zählen insbesondere die folgenden Angaben zu den geschützten Personendaten: Name, Adresse(n), Geburtsdatum, Zivilstand, Titel, Unterschrift, Telefonnummer(n), Kundennummer, Konto-/Depotnummer, Kreditkartennummer(n).
Als Schweizer Bank steht auch die Cembra Money Bank unter der Aufsicht der FINMA. Die Cembra Money Bank setzt in diesem Zusammenhang sämtliche Vorgaben der FINMA im Rahmen der Organisation ihrer Geschäftstätigkeit um. Von besonderer Bedeutung sind hier für die Cembra Money Bank insbesondere auch die oben erwähnten Rundschreiben betreffend "Outsourcing" und "Schutz von Massenkundendaten".
Im Bereich Outsourcing und Schutz von Kundendaten hat die Cembra Money Bank zahlreiche interne Weisungen erlassen, welche die gesetzlichen und regulatorischen Vorgaben, insbesondere jene der FINMA, für die Bank und deren Geschäftstätigkeit wie auch für beigezogene Outsourcing-Partner weiter präzisieren. Zur Einhaltung von Weisungen und regulatorischen Vorgaben hat die Cembra Money Bank umfassende technische, personelle und organisatorische Massnahmen gemäss anerkanntem Stand der Technik getroffen. Die Einhaltung der Weisungen wird bankintern strikte durchgesetzt. In den Outsourcing-Verträgen verpflichtet die Cembra Money Bank ihre Vertragspartner zudem, die für die Bank in der Schweiz geltenden Datenschutzstandards und Schutzmassnahmen ebenfalls einzuhalten, was die Bank jederzeit auch vor Ort bei den entsprechenden Partnern überprüfen kann. Darüber hinaus prüfen interne und externe Revision die entsprechenden Massnahmen der Cembra Money Bank regelmässig. Die Tatsache, dass es im Rahmen der Outsourcing-Lösungen der Cembra Money Bank in der Vergangenheit nie zu Datenlecks kam, zeigt, dass die Bank über ein effektives Risiko- und IT-Sicherheitsmanagement zur Überwachung und Kontrolle ihrer Outsourcing-Vertragspartner verfügt und dass damit die Kundendaten einen umfassenden Schutz geniessen.