// Financial Law Update
Neues FINMA Outsourcing-Rundschreiben für Banken und Versicherer
Die Eidgenössische Finanzmarktaufsicht FINMA hat ein neues Rundschreiben 2018/3 “Outsourcing – Banken und Versicherer“ veröffentlicht (“Rundschreiben“), welches am 1. April 2018 in Kraft trat und das bisherige Rundschreiben 2008/7 “Outsourcing Banken“ ersetzt. Das Rundschreiben enthält aufsichtsrechtliche Bestimmungen für schweizerische Banken, Effektenhändler und neu auch Versicherungsunternehmen, welche wesentliche Funktionen an einen Dienstleister auslagern (sog. outsourcen). Die Revision des Rundschreibens stand unter dem Leitgedanken einer verstärkt prinzipienbasierten Regulierung sowie der individuellen Verantwortung der Unternehmen. Die entsprechenden Bestimmungen tangieren auch die Prüfgesellschaften der auslagernden Unternehmen bzw. der übernehmenden Dienstleister.
1. Überblick der wesentlichen Änderungen
Das Rundschreiben trat am 1. April 2018 in Kraft und gilt für schweizerische Banken, Effektenhändler und neu auch für schweizerische Versicherungsunternehmen. Banken und Effektenhändler erhalten eine fünfjährige Übergangsfrist bis zum 1. April 2023, um bestehende Outsourcingverhältnisse an die Anforderungen gemäss dem neuen Rundschreiben anzupassen. Für neue Outsourcingverhältnisse von Banken und Effektenhändlern gilt das Rundschreiben ab sofort. Für Versicherungsunternehmen gibt es keine eigentliche Übergangsfrist, da bisher kein entsprechendes Rundschreiben bestand und die neuen Regelungen weitestgehend der etablierten Praxis entsprechen. Für Neubewilligungen und für zu genehmigende Geschäftsplanänderungen von Versicherungsunternehmen gilt das Rundschreiben daher ab sofort.
Nachfolgend werden die wesentlichen Änderungen zum bisherigen Rundschreiben aufgeführt:
- – Die Wesentlichkeit der ausgelagerten Funktion, eine Voraussetzung der Anwendung des Rundschreibens, wird neu institutsspezifisch definiert und soll vom Unternehmen selbst vorgenommen werden. Die nicht abschliessende und teilweise überholte Aufzählung von wesentlichen Auslagerungen im Anhang des alten Rundschreibens wurde nicht übernommen.
- – Die Unternehmen sind verpflichtet ein aktuell zu haltendes Inventar über die ausgelagerten Funktionen zu führen. Für Banken und Effektenhändler handelt es sich dabei um eine neue Pflicht. Hinsichtlich Versicherungsunternehmen entspricht dies der bisherigen Praxis.
- – Neu müssen die Unternehmen nicht nur für sich selbst und ihre Prüfgesellschaft, sondern auch für die FINMA vertraglich ein jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht mit dem Dienstleister vereinbaren.
- – Bei konzern- bzw. gruppeninternen Auslagerungen gelten punktuell erleichterte Anforderungen.
- – Sodann sieht das Rundschreiben im Vergleich zu den bisherigen Regelungen folgende Erleichterungen für Auslagerungen ins Ausland vor: (i) Die Unternehmen tragen zwar wie bisher die Verantwortung, dass die Einsichts- und Prüfrechte gewährleistet sind. Bei Auslagerungen ins Ausland ist jedoch neu kein vorgängiger Nachweis der Einsichts- und Prüfrechte mehr erforderlich. (ii) Eine Prüfgesellschaft eines Unternehmens kann bei einer Delegation neu auch auf die Prüfung einer ausländischen Prüfgesellschaft des Dienstleisters abstellen. (iii) Abschliessend wurde auch auf das Formerfordernis eines “besonderen Schreibens“ für die Kundenorientierung bei der Auslagerung von Kundendaten ins Ausland inkl. dem ausserordentlichen Kündigungsrecht verzichtet. Dies ändert jedoch nichts daran, dass ein betroffener Kunde weiterhin angemessen informiert und seine Zustimmung eingeholt werden muss.
- Um Doppelspurigkeiten zu vermeiden, wurden die Bestimmungen betreffend Bankkundengeheimnis und Datenschutz im Vergleich zum bisherigen Rundschreiben gestrichen. Materiell sind diese Bestimmungen gestützt auf andere Rechtsgrundlagen jedoch weiterhin anwendbar. Die im Rundschreiben ursprünglich vorgesehenen speziellen Anforderungen für systemrelevante Banken wurden nach der Anhörung ersatzlos gestrichen.
2. Inhalt des Rundschreibens im Detail
Begriffe
Die verwendeten Begriffe wurden an die aktuelle Aufsichtspraxis der FINMA angepasst, jedoch ohne damit eine Verschärfung der Aufsichtspraxis herbeizuführen. Ein Outsourcing liegt gemäss Rundschreiben vor, wenn ein Unternehmen (d.h. Banken, Effektenhändler oder Versicherungsunternehmen) einen Dienstleister beauftragt, selbständig und dauernd eine für die Geschäftstätigkeit des Unternehmens wesentliche Funktion ganz oder teilweise zu übernehmen. Selbständigkeit und Dauerhaftigkeit wurden bereits unter dem alten Rundschreiben vorausgesetzt. Hingegen verwendet das Rundschreiben neu den Begriff Funktion anstelle von Dienstleistung. Dabei handelt es sich jedoch nur um eine terminologische und keine inhaltliche Änderung. Weiterhin soll das Rundschreiben nur auf die Auslagerung von wesentlichen Funktionen Anwendung finden. Gemäss dem Rundschreiben sind neu diejenigen Funktionen wesentlich, von denen die Einhaltung der Ziele und Vorschriften der Finanzmarktaufsichtsgesetzgebung signifikant abhängt. Dabei handelt es sich um eine prinzipienbasierte, institutsspezifische Definition, wodurch letztlich die auslagernden Unternehmen für die Bestimmung der Wesentlichkeit stärker in die Verantwortung genommen werden. Vor diesem Hintergrund wurde auch auf eine beispielhafte Aufzählung von wesentlichen Auslagerungen in einem Anhang verzichtet. Etwas systemfrend erwähnt der Anhörungsbericht der FINMA trotzdem explizit, dass die Wesentlichkeit vermutet wird, falls ein Dienstleister im Rahmen eines Outsourcings durch eine Bank Zugang zu Massen CID (“Client Identifying Data“, d.h. Kundendaten), und nicht bloss einzelnen Kundendaten, erhält.
Geltungsbereich
Wie bis anhin ist das Rundschreiben auf Banken und Effektenhändler mit Sitz in der Schweiz sowie schweizerische Zweigniederlassungen ausländischer Banken und Effektenhändler anwendbar. Neu gilt es jedoch auch für Versicherungsunternehmen mit Sitz in der Schweiz und Zweigniederlassungen von ausländischen Versicherungsunternehmen, welche die Bewilligung zum Geschäftsbetrieb (Erstbewilligung) oder eine Bewilligung für einzelne Elemente des Geschäftsplans (Änderungsbewilligung) benötigen. Das alte Rundschreiben wurde von der FINMA zum Teil analog auch auf Outsourcingverhältnisse von anderen Finanzdienstleistern wie bspw. von Vermögensverwaltern von kollektiven Kapitalanlagen angewendet (z.B. hinsichtlich dem Inhalt der Outsourcing-Verträge). Es ist anzunehmen, dass die FINMA diese Praxis auch bezüglich des neuen Rundschreibens weiterführen wird.
Zulässigkeit
Die Auslagerung von wesentlichen Funktionen im Sinne des Rundschreibens ist grundsätzlich zulässig. Von einer Auslagerung ausgenommen sind wie bis anhin (i) die Oberleitung, Aufsicht und Kontrolle durch das Oberleitungsorgan, (ii) zentrale Führungsaufgaben der Geschäftsleitung sowie (iii) Entscheide über die Aufnahme und den Abbruch von Geschäftsbeziehungen. Dem Umstand, dass das Rundschreiben es neu als nicht zulässig erklärt, Funktionen auszulagern, die das Fällen von strategischen Entscheiden umfassen, kommt wohl keine eigenständige Bedeutung zu, da dies bereits in der Ausnahme der Auslagerung der Oberleitung enthalten sein dürfte.
Für Versicherungsunternehmen stellt dies gegenüber der bisherigen Aufsichtspraxis eine Liberalisierung dar (vgl. Erläuterungsbericht, Ziff. 4.3.1). Versicherungscaptives dürfen Führungs- und Kontrollfunktionen teilweise sogar in einem noch weitergehenden Umfang auslagern, sofern der Dienstleister eine spezialisierte Captive-Management-Gesellschaft ist. Damit wurde die bisherige Praxis der FINMA für Versicherungscaptives im Rundschreiben verankert.
Zusätzlich müssen Unternehmen der Aufsichtskategorien 1 bis 3 der FINMA neu über eine eigenständige und somit nicht auslagerbare Risikokontrolle und Compliance-Funktion als unabhängige Kontrollinstanzen verfügen. Bei Unternehmen der Aufsichtskategorien 4 und 5 können auch diese Funktionen ausgelagert werden, wenn hinsichtlich der Instruktion und Überwachung des Beauftragten eine verantwortliche Person in der Geschäftsleitung bestimmt ist. Demgegenüber sind operative Risikomanagement- und Compliance-Aufgaben bei allen Aufsichtskategorien auslagerbar.
Banken und Effektenhändler bedürfen für Auslagerungen im Anwendungsbereich des Rundschreibens weiterhin keine Genehmigung der FINMA. Die Auslagerung von wesentlichen Funktionen bei Versicherungsunternehmen ist jedoch geschäftsplanrelevant und damit stets genehmigungspflichtig.
Inventarisierung
Die Unternehmen sind gemäss Rundschreiben neu verpflichtet, über die ausgelagerten Funktionen ein aktuell zu haltendes Inventar zu führen, welches eine Umschreibung der ausgelagerten Funktion, den Erbringer und Empfänger sowie die unternehmensintern verantwortliche Stelle nennt. Grundsätzlich sind nur die im Sinne des Rundschreibens wesentlichen Auslagerungen zu inventarisieren. Auch allfällige Unterakkordanten sind im Inventar aufzuführen, sofern diese eine wesentliche Funktion im Sinne des Rundschreibens übernehmen. Die FINMA erwartet jedoch auf Grund allgemeiner Prinzipien zur Dokumentation, dass die Unternehmen auch nicht wesentliche Auslagerungen dokumentieren.
Für Versicherungsunternehmen entspricht dies der bisherigen Praxis. Sie führen dieses Inventar als Beilage zum Geschäftsplanformular J. Änderungen des Inventars für sich alleine lösen jedoch keine Melde- und Genehmigungspflicht des Versicherungsunternehmens aus.
Auswahl, Instruktion und Kontrolle des Dienstleisters
Neu sieht das Rundschreiben explizit vor, dass die Anforderungen an die Leistungserbringung vor Vertragsabschluss festzulegen und zu dokumentieren sind. Dieser Prozess umfasst neu auch eine Risikoanalyse unter Berücksichtigung der wesentlichen ökonomischen und operativen Überlegungen und den damit verbundenen Risiken und Chancen. Dabei ist insbesondere auch einem allfälligen Konzentrationsrisiko bei der Auslagerung von mehreren Funktionen an den gleichen Dienstleister Rechnung zu tragen. Bei der Auswahl eines Dienstleisters müssen seine professionellen Fähigkeiten sowie seine finanziellen und personellen Ressourcen berücksichtigt werden.
Wie bis anhin ist die ausgelagerte Funktion in das interne Kontrollsystem des Unternehmens zu integrieren und es muss von Anfang an auch eine geordnete Rückführung von ausgelagerten Funktionen sichergestellt sein. Neu sieht das Rundschreiben darüber hinaus vor, dass die mit der Auslagerung verbundenen wesentlichen Risiken systematisch zu identifizieren, zu überwachen, zu quantifizieren und zu steuern sind. Unternehmensintern ist wie bis anhin eine verantwortliche Stelle zu definieren, welche die fortlaufende Überwachung und Kontrolle des Dienstleisters übernimmt.
Konzern-/Gruppeninterne Auslagerung
Für Banken und Effektenhändler neu und für Versicherungsunternehmen wie bis anhin sind grundsätzlich sämtliche Anforderungen des Rundschreibens auch bei konzern-/gruppeninternen Auslagerungen zu erfüllen. Bei den Anforderungen an die Auswahl, Instruktion und Kontrolle des Dienstleisters (siehe oben) und den Bestimmungen zum Outsourcing-Vertrag (siehe unten) kann die besondere Verbundenheit der Unternehmen berücksichtigt werden, sofern (i) die mit der Auslagerung typischerweise vorhandenen Risiken nachweislich nicht bestehen oder (ii) gewisse Anforderungen nicht relevant oder (iii) anders geregelt sind. Gemäss dem Anhörungsbericht kann dies z.B. ein weniger umfangreiches Auswahlverfahren ermöglichen, da die Dienstleistungsqualität des Dienstleisters im Konzern bereits bekannt ist.
Sicherheit
Die Bestimmungen im alten Rundschreiben zum Sicherheitsdispositiv wurden gekürzt, bleiben inhaltlich aber unverändert, insbesondere aufgrund des geltenden Datenschutzrechts. Wie bis anhin sieht das Rundschreiben vor, dass bei sicherheitsrelevanten Auslagerungen (insbesondere im IT-Bereich) das Unternehmen und der Dienstleister angemessene Sicherheitsanforderungen festlegen (d.h. state of the art) und ein Sicherheitsdispositiv erarbeiten müssen, welches die Weiterführung der ausgelagerten Funktion in Notfällen erlaubt. Die Anforderungen und das Sicherheitsdispositiv sind im Einzelfall institutsspezifisch und in Abhängigkeit der ausgelagerten Tätigkeit, der konkreten Risiken sowie der eingesetzten Systeme bzw. Technologien festzulegen. Das Unternehmen hat bei der Errichtung und Anwendung des Sicherheitsdispositivs denselben Sorgfaltsmassstab anzuwenden, wie wenn es die ausgelagerte Funktion selbst erbringen würde.
Prüfung und Aufsicht
Das Unternehmen, die Prüfgesellschaft des Unternehmens sowie die FINMA müssen in der Lage sein, die Einhaltung der aufsichtsrechtlichen Bestimmungen beim Dienstleister zu überprüfen. Prüfgesellschaften können Prüftätigkeiten auch an die Prüfgesellschaft des Dienstleisters delegieren, sofern diese über die notwendigen fachlichen Kompetenzen verfügt. Bei einer Delegation kann die Prüfgesellschaft des Unternehmens zwar auf das Ergebnis der Prüfgesellschaft des Dienstleisters abstellen, sie trägt jedoch letztlich die Verantwortung für die Einhaltung der aufsichtsrechtlichen Bestimmungen. Falls Prüftätigkeiten delegiert werden, soll der Bericht der Prüfgesellschaft des Dienstleisters auf Anfrage auch dem Unternehmen, der Prüfgesellschaft des Unternehmens und der FINMA zur Verfügung gestellt werden. Um dies wirksam umsetzen zu können, sind die vertraglichen Weisungs- und Kontrollrechte bzw. Auskunfts- und Editionspflichten entsprechend auszugestalten (siehe zum Outsourcing-Vertrag unten).
Auslagerungen ins Ausland
Die Anforderungen an Auslagerungen ins Ausland wurden vereinfacht. Das formelle Erfordernis eines vorgängig zu erbringenden Nachweises der Prüfrechte wurde gestrichen. Das Unternehmen trägt jedoch nach wie vor die Verantwortung, dass die Einsichts- und Prüfrechte des Unternehmens, der Prüfgesellschaft sowie der FINMA wahrgenommen und durchgesetzt werden können. Damit die Sanierbarkeit bzw. Abwickelbarkeit des Unternehmens in der Schweiz gewährleistet ist, muss bei Auslagerungen ins Ausland neu jederzeit der Zugriff auf die dafür notwendigen Informationen in der Schweiz möglich sein. Mit anderen Worten müssen die Daten in der Schweiz gelesen und bearbeitet werden können.
Outsourcing-Vertrag
Die Bestimmungen zum Outsourcing-Vertrag entsprechen im Wesentlichen den bisherigen Regelungen. Der Outsourcing-Vertrag muss schriftlich sein und insbesondere folgendes regeln:
- – Zuständigkeiten: Die jeweiligen Zuständigkeiten sind vertraglich festzulegen und abzugrenzen, insbesondere bezüglich Schnittstellen und Verantwortlichkeiten.
- – Weisungs- und Kontrollrechte: Das Unternehmen hat sich die für die ordnungsgemässe Instruktion und Kontrolle notwendigen Weisungs- und Kontrollrechte einräumen zu lassen.
- – Einsichts- und Prüfrecht: Dem Unternehmen, der Prüfgesellschaft des Unternehmens und neu auch der FINMA muss vertraglich ein jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht vorbehalten werden. Die absoluten Begriffe “jederzeit“, “vollumfänglich“ und “ungehindert“ werden vor dem Grundsatz der Verhältnismässigkeit im Einzelfall zu relativieren sein.
- – Auskunfts- und Editionspflicht: Dienstleister, welche nicht der Aufsicht der FINMA unterstehen, muss der Unternehmer vertraglich verpflichten, der FINMA sämtliche Auskünfte und Unterlagen bezogen auf die ausgelagerte Funktion zur Verfügung zu stellen, die sie für die Aufsichtstätigkeit benötigt.
- – Unterakkordanten: Wie bis anhin hat das Unternehmen den Beizug von Unterakkordanten, die wesentliche Funktionen erbringen, von seiner vorgängigen Genehmigung abhängig zu machen und der Dienstleister ist zu verpflichten, seine Pflichten und Zusicherungen, welche zur Erfüllung dieses Rundschreibens notwendig sind, dem Unterakkordanten zu überbinden.
- – Sicherheit: Bei sicherheitsrelevanten Auslagerungen sind auch die Sicherheitsanforderungen vertraglich festzuhalten.
Übergangsbestimmungen
Hinsichtlich der geltenden Übergangsbestimmungen wird auf die entsprechenden Ausführungen im Überblick (siehe Ziffer 1 oben) verwiesen.
3. Konkreter Handlungsbedarf
Für neue Outsourcingverhältnisse sind die aufsichtsrechtlichen Bestimmungen gemäss dem Rundschreiben ab sofort zu beachten. Hinsichtlich bestehender Outsourcingverhältnisse von Banken- und Effektenhändlern ist zu prüfen, ob diese bis zum 1. April 2023 angepasst werden müssen, um den Anforderungen des Rundschreibens zu genügen. Dies gilt insbesondere neu auch für gruppeninterne Outsourcings. Die Unternehmen im Anwendungsbereich des Rundschreibens müssen ausserdem prüfen, ob ihre internen Prozesse den Erfordernissen gemäss dem Rundschreiben entsprechen und die geforderte Inventarisierung der ausgelagerten Funktionen vornehmen.