Nach Ansicht von swissICT soll das Rundschreiben Rechtssicherheit für Outsourcings schaffen und einen rechtlichen Rahmen vorgeben, der Innovationen erlaubt und gleichzeitig das Vertrauen in den Banken- und Versicherungsmarkt stärkt. Es sollen aber auch Rahmenbedingungen geschaffen werden, die es Banken und Versicherungen erlauben, die Potentiale der Digitalisierung zu nutzen, um so die internationale Wettbewerbsfähigkeit sicherzustellen und den Markt für Endkunden zu verbessern. swissICT sieht dies durch einige Punkte im Entwurf gefährdet:
Technologieneutralität
Obschon sich die FINMA einer technologieneutralen Aufsichtspraxis verpflichtet sieht, kann der Entwurf so verstanden werden, dass pauschal alle Dienstleistungen, die mit Mitteln "der IT" selbständig durch einen Dritten erbracht werden, Outsourcings darstellten, die unter die Regeln des Rundschreibens fallen. Dies wäre unsachgemäss und gerade nicht technologieneutral. Viel mehr als auf die Art und Weise, wie eine Dienstleistung erbracht wird (mit Mitteln "der IT"), sollte auf die Auswirkungen abgestellt werden, welche ein Outsourcing auf die spezifischen Risiken einer Bank oder Versicherung haben kann. swissICT schlägt hierfür geschärfte Formulierungen konkret vor.
Auditrechte
Weiter fordert der Entwurf ein "jederzeitiges, vollumfängliches und ungehindertes Einsichts- und Prüfrecht" für die Banken, Versicherungen, ihre externen Prüfgesellschaften sowie für die FINMA selbst. Auch dies verträgt sich nur bedingt mit der angestrebten Technologieneutralität. Namentlich beim Einsatz von multi-tenant Cloud-Infrastrukturen kann diese Forderung im Einzelfall unverhältnismässig sein und zu Störungen im Betrieb führen, welche sich auch auf andere Kunden dieser Plattformen auswirken können. swissICT fordert deshalb, dass sachlich gerechtfertigte Einschränkungen der Auditrechte, z. B. zur Aufrechterhaltung der Sicherheit einer Cloud-Umgebung, zur Wahrung von Vertraulichkeitsverpflichtungen gegenüber anderen Kunden sowie gegen unzumutbare Beeinträchtigungen des operativen Geschäfts des Dienstleisters, situationsbedingt möglich sein müssen.
Unterakkordanten
Der Entwurf fordert, dass ein Outsourcing-Dienstleister Subakkordanten und Hilfspersonen nur nach vorgängiger Genehmigung durch die Bank oder Versicherung beiziehen darf. Aus Sicht von swissICT geht diese Anforderung in verschiedener Hinsicht zu weit. Dritte, die für das Outsourcing nicht-wesentliche Dienstleistungen erbringen (Provider von allgemeiner Business Software, Vermieter von Produktionsräumen, etc.) sowie generell Hilfspersonen (Mitarbeitende, Putzfrauen etc.) sollten nicht erfasst sein. Eine Vorab-Genehmigung ist zudem nicht in jedem Fall erforderlich; es sollte den beteiligten Parteien selbst überlassen sein, die Zusammenarbeit unter Wahrung der Regulierungsziele der Transparenz und des Kontinuitätsmanagements vertraglich zu regeln.
Die Stellungnahme im Wortlaut finden Sie auf unserer Website:
www.swissict.ch/ITO