Cloud-Banking: Aktualisierter SBVg-Leitfaden trägt den rechtlichen und regulatorischen Entwicklungen Rechnung
Die Nutzung der Cloud-Technologie ist ein kritischer Erfolgsfaktor für die Schweiz und deren Finanzplatz. Ein klares Verständnis der rechtlichen und regulatorischen Anforderungen ist dafür unerlässlich. Der im Jahr 2019 erstmals publizierte Cloud-Leitfaden der Schweizerischen Bankiervereinigung (SBVg) zeigt den Banken und Wertpapierhäusern umsetzbare Lösungsansätze, um diese mittels angemessener technischer und organisatorischer Massnahmen zu konkretisieren und zu operationalisieren und liegt nun in einer aktualisierten Fassung vor.
Social Bookmarks
Cloud-Dienstleistungen in der Praxis: Chancen und Herausforderungen
Die digitale Transformation der Finanzbranche schreitet unaufhaltsam voran – und mit ihr die Bedeutung von Cloud-Dienstleistungen für den Finanzsektor. Diese können Banken und Wertpapierhäusern (nachfolgend Institute) je nach zugrundeliegendem Sachverhalt Effizienzsteigerungen und Kostenvorteile bringen. Gleichzeitig ermöglichen sie, innovative Dienstleistungen rasch und flexibel zu entwickeln und auf den Markt zu bringen. Auch sind in der Cloud neue Technologien, wie beispielsweise künstliche Intelligenz, ohne grosse Investitionen in eigene Hardware und Software nutzbar. Durch Zugang zu einem grossen Datenpool und die entsprechende Rechenleistung wird die Analyse von grossen Datenmengen in Echtzeit ermöglicht. Damit können beispielsweise innovative und massgeschneiderte Beratungsdienstleistungen für die einzelne Kundin oder den einzelnen Kunden angeboten oder komplexe Compliance- und Risk-Prozesse automatisiert werden. Spezialisierte Cloud-Anbieter ermöglichen zudem unter Umständen mehr Sicherheit für die Infrastruktur von Instituten. Damit sind Cloud-Dienstleistungen ein kritischer Erfolgsfaktor für den Schweizer Finanzplatz.
Cloud-Dienstleistungen bringen allerdings auch Herausforderungen und Risiken mit sich. Institute müssen auch in der Cloud insbesondere die Berufsgeheimnisse gemäss Bankengesetz oder Finanzinstitutsgesetz einhalten, datenschutzrechtliche Vorschriften berücksichtigen, die Datensicherheit und Resilienz gewährleisten sowie namentlich Abhängigkeiten von einzelnen Cloud-Anbietern aktiv steuern, um allfällige Kontrollverluste zu vermeiden.
Vor diesem Hintergrund sind Institute gefordert, ihre Cloud-Strategie und -Architektur kontinuierlich an die sich wandelnden Bedingungen der Aussenwelt und ihren Bedürfnissen anzupassen.
Konkretisierung und Operationalisierung der geschäftspolitischen, rechtlichen und regulatorischen Anforderungen mittels technischer und organisatorischer Massnahmen
«Ein klares Verständnis der rechtlichen und regulatorischen Anforderungen an Institute sowie die Fähigkeit, diese mittels angemessener technischer und organisatorischer Massnahmen zu konkretisieren und zu operationalisieren, sind unerlässlich», sagt Dr. August Benz, Leiter International & Transformation und stellvertretender CEO der SBVg.
Der Cloud-Leitfaden zeigt umsetzbare Lösungsansätze für die wichtigsten rechtlichen und regulatorischen Anforderungen auf und kann durch Institute als rechtlich unverbindliche Auslegungshilfe bei der Beschaffung und beim Einsatz von Cloud-Dienstleistungen beigezogen werden, insbesondere zu den vier Schwerpunktthemen:
- Steuerung: Auswahl des Cloud-Anbieters und seiner Unterakkordanten sowie Zustimmung bei einem Wechsel der Unterakkordanten
- Datenbearbeitung: Bearbeitung von Bankkundendaten
- Behörden und Verfahren: Transparenz und Zusammenarbeit der Institute und der Cloud-Anbieter im Bereich behördlicher und gerichtlicher Massnahmen
- Audit: Prüfung der Cloud-Dienstleistungen und der zur Erbringung der Dienstleistungen eingesetzten Cloud-Infrastruktur
Um den seit der Veröffentlichung des Leitfadens im Jahr 2019 erfolgten rechtlichen und regulatorischen Entwicklungen, zum Beispiel im Bereich der Regulierung von operationellen Risiken, gebührend Rechnung zu tragen, wurde der Leitfaden aktualisiert. In Rahmen der Aktualisierung wurden zudem die Rechtsgrundlagen und Begrifflichkeiten bereinigt, der sog. «Foreign Lawful Access» näher ausgeführt, das Konzept des sog. risikobasierten Ansatzes erläutert und grundsätzliche Überlegungen zur Nutzung von Cloud-Dienstleistungen aufgenommen.
Abschliessend ist festzuhalten, dass Institute bei der Anwendung des Leitfadens ihre Grösse und die Komplexität ihres Geschäftsmodells risikobasiert und verhältnismässig berücksichtigen können. Der buchstäbliche Schlüsselaspekt der Cloud-Nutzung, die Einschätzung der Risiken und die daraus resultierende Definition angemessener technischer und organisatorischer Massnahmen, verbleiben dabei bei den einzelnen Instituten.
Mit dem Cloud-Leitfaden leistet die SBVg einen wichtigen Beitrag zur sicheren und rechtskonformen Nutzung von Cloud-Technologien und unterstützt Institute dabei, die Chancen der digitalen Transformation verantwortungsvoll zu nutzen.