03. Dezember 2025

Cloud-Dienstleistungen bei Banken und Wertpapierhäuser (Teil 1)

  • Artikel
  • Banken / Versicherungen
  • Daten / Technologie / IP

Cloud-Dienstleistungen bieten Banken und Wertpapierhäuser Effizienz, bergen aber Risiken. Die FINMA und die Schweizerische Bankiervereinigung geben Leitlinien für Risikomanagement, Resilienz und rechtliche Orientierung.

  • Tanja Steiner-Müller

    Senior Legal Associate

Die zunehmende Nutzung von Cloud-Dienstleistungen bei Banken und Wertpapierhäusern bringt sowohl Effizienzvorteile als auch erhebliche Risiken mit sich, insbesondere im Hinblick auf Abhängigkeiten von wenigen Dienstleistern und operationelle Risiken. Die Eidgenössische Finanzmarktaufsicht FINMA hat u.a. dies im Risikomonitor 2025 hervorgehoben und legt einen starken Aufsichtsfokus auf das Management dieser Risiken und die Stärkung der Resilienz der Institute. Zusätzlich bietet die Schweizerische Bankiervereinigung mit ihrem Cloud-Leitfaden eine rechtliche und organisatorische Orientierung und Auslegungshilfe für den Umgang mit Cloud-Dienstleistungen bei Banken und Wertpapierhäusern.

Lesen Sie hierzu unsere zweiteilige Serie.

Teil 1: Aufsichtsfokus der FINMA 

Nutzung von Cloud-Dienstleistungen

Die (zunehmende) Nutzung von Cloud-Dienstleistungen durch Banken und Wertpapierhäuser (nachfolgend «Institute») ist aus aufsichtsrechtlicher Perspektive von hoher Relevanz. Die Eidgenössische Finanzmarktaufsicht FINMA (nachfolgend «FINMA») hält im erst kürzlich (17.11.2025) veröffentlichten Risikomonitor 2025 u.a. fest, dass die zunehmende Nutzung von Cloud-Dienstleistungen (und Software-as-a-Service Modellen) zu einer stärkeren Abhängigkeit von wenigen zentralen IKT-Dienstleistern führt. Dies birgt infolge der Konzentration auf wenige Dienstleister nicht «nur» systemische Risiken für den schweizerischen Finanzplatz im Falle eines Unterbruchs oder unbefugten Zugriffs, sondern insbesondere auch operationelle Risiken für das konkrete Institut (z.B. infolge Auslagerung kritischer Funktionen an Drittanbieter, Zwischenfälle bei Drittparteien, Risiken entlang der Lieferkette, etc.).

Generell werden (wesentliche) Geschäftsfunktionen von Finanzinstituten in einem bedeutenden Umfang an Dritte ausgelagert. Bei Banken seien dies oftmals auch kritische Funktionen (vgl. zur Definition, FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken», Rz. 14 ff. und für einen kurzen Überblick über das Rundschreiben vgl. unseren Magazinbeitrag vom 19. Januar 2023). Daraus folge eine starke Abhängigkeit des Instituts von diesen Dienstleistern (infolge hoher Leistungserwartung) und ein zunehmender Kontrollverlust.

Aufsichtsfokus der FINMA

Gemäss dem FINMA Risikomonitor 2025 besteht ein Aufsichtsfokus der FINMA darin, ein Inventar wesentlicher Auslagerungen zu erheben, um die Konzentration auf wenige Dienstleister zu erkennen und basierend auf dem Inventar dann Aufsichtshandlungen betreffend Management der operationellen Risiken und Sicherstellung der operationellen Resilienz gemäss FINMA-Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» abzuleiten (vgl. Sie hierzu auch unseren Magazinbeitrag vom 1. April 2025). Die Auslagerung von kritischen Funktionen, welche für die operationelle Resilienz von Bedeutung sind, steht insbesondere im Fokus der FINMA.

Die Resilienz bzw. die kontinuierliche Stärkung der Resilienz (finanzielle und operative Widerstandsfähigkeit) der Beaufsichtigten ist zudem ein von dem Verwaltungsrat der FINMA für die Strategieperiode 2025-2028 festgelegtes strategisches Ziel.

Ganzheitliches Risikomanagement

Der Fokus des Instituts darf sich allerdings nicht «nur» auf die wesentlichen Auslagerungen beziehen. Da gemäss FINMA-Risikomonitor 2025 fast die Hälfte aller Cyberangriffe auf Finanzinstitute über Drittparteien erfolgt, hat das Institut alle Dritten (d.h. auch Dritte, welche Aufgaben übertragen erhalten, die nicht als «wesentliche Auslagerung» im Sinne des FINMA-Rundschreibens 2018/3 «Outsourcing» qualifizieren) beim Risikomanagement zu berücksichtigen resp. in ein ganzheitliches Risikomanagement einfliessen zu lassen. Der FINMA Risikomonitor 2025 macht auch nochmals deutlich, dass das Institut für die ordnungsgemässe Erbringung der ausgelagerten Funktion verantwortlich bleibt und u.a. sicherzustellen hat, dass die an die Dritten ausgelagerten resp. übertragenen Aufgaben vom Dritten rechtskonform erfüllt werden. Dies hat auch bei einem Beizug eines Cloud-Anbieters zu gelten.

Fazit

Infolge verstärkter Nutzung von Cloud-Dienstleistungen durch Banken und Wertpapierhäuser erhöht sich das Risiko eines Kontrollverlusts, da die Abhängigkeit von Cloud-Anbietern zunimmt und somit auch die Anfälligkeit gegenüber externen Einflüssen steigt.

Im Hinblick auf den deutlichen Aufsichtsfokus der FINMA in Bezug auf die Stärkung der Resilienz der beaufsichtigten Institute sind diese aufgefordert, entsprechende Massnahmen zu ergreifen.

Die Institute müssen zudem Risiken, wie operationelle Risiken, die mit der Einbindung eines Cloud-Anbieters oder der Auslagerung von Funktionen in die Cloud einhergehen, identifizieren, bewerten, steuern und überwachen.

Bei Fragen im Zusammenhang mit dem Einsatz von Cloud-Dienstleistungen stehen wir Ihnen gerne zur Verfügung.

 

Klicken Sie hier und erfahren Sie mehr über unsere Expertisen:
Zurück