09. Dezember 2025

Cloud-Dienstleistungen bei Banken und Wertpapierhäuser (Teil 2)

  • Artikel
  • Banken / Versicherungen
  • Daten / Technologie / IP

Die zunehmende Nutzung von Cloud-Dienstleistungen bei Banken und Wertpapierhäusern steigert Effizienz und senkt Kosten, birgt aber zugleich erhebliche Risiken für die Institute.

  • Tanja Steiner-Müller

    Senior Legal Associate

Ein Trend zur zunehmenden Nutzung von Cloud-Dienstleistungen lässt sich auch bei Banken und Wertpapierhäusern erkennen. Trotz dadurch möglicher Effizienzsteigerung und Kostenvorteilen bringt die Nutzung von Cloud-Dienstleistungen für Banken und Wertpapierhäuser auch Risiken mit sich.

Nach Teil 1 folgt nachfolgend der Teil 2 unserer Serie. 

Teil 2: Auslegungshilfe für die Nutzung von Cloud-Dienstleistungen

Die Schweizerische Bankiervereinigung (nachfolgend «SBVg») hat zum Einsatz von Cloud-Dienstleistungen durch Banken und Wertpapierhäuser einen (rechtlich unverbindlichen) Cloud-Leitfaden als Auslegungshilfe erstellt und diesen Leitfaden im November 2025 in der 3. Auflage aktualisiert. Die Aktualisierung des Cloud-Leitfadens erfolgte gemäss Angaben der SBVg u.a. auch infolge der regulatorischen Entwicklungen, wie z.B. im Bereich der Regulierung von operationellen Risiken.

Überblick über den Cloud-Leitfaden der Schweizerischen Bankiervereinigung

Der Cloud-Leitfaden 2025 hält fest, dass die Banken und Wertpapierhäuser (nachfolgend «Institute») nicht nur ein klares Verständnis der rechtlichen und regulatorischen Anforderungen (welche unabhängig von der eingesetzten Technologie gelten) haben müssen, sondern auch die Fähigkeit besitzen sollten, diese Anforderungen mittels angemessener technischer und organisatorischer Massnahmen zu konkretisieren und zu operationalisieren. Auch wird klargestellt, dass der Cloud-Anbieter grundsätzlich dieselben Pflichten und Rahmenbedingungen einzuhalten hat, wie das Institut selbst. Mit anderen Worten: Das Institut hat die Pflichten dem Cloud-Anbieter entsprechend zu überbinden.

Thematisch fokussiert der Cloud-Leitfaden 2025 auf vier Themenbereiche (welche grundsätzlich identisch sind zur Vorgängerversion).

1. Steuerung (Governance mit Risk Management)

Im ersten Schwerpunktthema geht es um Anforderungen im Zusammenhang mit der Auswahl und dem Wechsel von Cloud-Anbietern und deren Zulieferer/Unterakkordanten (sowie die Zustimmung bei einem Wechsel der Unterakkordanten) bei Instituten. So hat ein Institut (im Rahmen der Auswahl/des Wechsels eines Cloud-Anbieters, resp. deren Unterakkordanten) beispielsweise (vorab) zu klären, ob der Cloud-Anbieter fähig ist, neben den leistungsbezogenen Kriterien auch die massgeblichen Pflichten aus geltenden finanzmarktrechtlichen und datenschutzrechtlichen Vorgaben vertraglich zu übernehmen und mittels technischer und organisatorischer Massnahmen sicherzustellen. Dabei sind insbesondere auch Daten als integraler Bestandteil der zugrundeliegenden Sorgfaltsprüfung bei der Auswahl des Cloud-Anbieters zu berücksichtigen (neben den mit dem Bezug der Cloud-Dienstleistungen verbundenen Chancen und Risiken der Wesentlichkeit der Cloud-Dienstleistungen im Sinne von FINMA-Rundschreiben 2018/3 «Outsourcing)). Ein Wechsel des Cloud-Anbieters hat grundsätzlich unter dem Vorbehalt der vorgängigen schriftlichen (oder anderweitig nachweisbaren) Zustimmung des Instituts zu stehen. Dasselbe hat beim Beizug oder Wechsel von Unterakkordanten zu gelten. Der Cloud-Anbieter hat das Institut über den Beizug oder Wechsel eines Unterakkordanten zu informieren. Das Institut muss zudem die Möglichkeit haben, die Leistungserbringung durch den Cloud-Anbieter geordnet zu beenden (vgl. hierzu auch FINMA-Rundschreiben 2018/03 «Outsourcing», Rz. 33). Unter ähnlichen Rahmenbedingungen sollte eine Standortverlegung in eine andere Rechtsordnung durch den Cloud-Anbieter (und/oder wesentlicher Unterakkordanten) während der Vertragslaufzeit vertraglich geregelt sein (z.B. vertragliches Änderungsverfahren, vorgängige Zustimmung des Instituts, etc.).

2. Datenbearbeitung

Das zweite Fokusthema befasst sich mit der Bearbeitung von Bankkundendaten bzw. bankkundengeheimnisrelevanten Daten. Die Einhaltung der regulatorischen und rechtlichen Vorgaben hinsichtlich des Bankkundengeheimnisses muss auch in der Cloud jederzeit durch angemessene technische und organisatorische Massnahmen gewährleistet sein. Dabei geht es insbesondere darum, die vom Bankkundengeheimnis geschützten Daten vor dem Zugriff unberechtigter Personen zu schützen bzw. die Vertraulichkeit der Bankkundendaten zu gewährleisten. Dabei hat das Institut auch die Vorgaben des FINMA-Rundschreibens 2023/1 (insbesondere betreffend kritische Daten) zu berücksichtigen. Auch kann die Klassifizierung der ausgelagerten Bankkundendaten während der Vertragslaufzeit mit dem Cloud-Anbieter ändern, was vertraglich mit dem Cloud-Anbieter (einschliesslich entsprechender Massnahmen vor Umsetzung) abgedeckt werden sollte. Befindet sich der Cloud-Anbieter im Ausland können sich dabei für das Institut noch zusätzliche Fragen oder Anforderungen stellen, um (beispielsweise) zu verhindern, dass ausländische Behörden Zugriff auf die Bankkundendaten erhalten resp. der Cloud-Anbieter zur Herausgabe von Bankkundendaten von ausländischen Behörden aufgefordert wird («Foreign Lawful Access» als Stichwort). Die Anonymisierung von Daten kann eine mögliche technische Massnahme sein, um die Bankkundendaten in der Cloud vor dem Zugriff unberechtigter Dritter zu schützen. Neben technischen Massnahmen bestehen auch mögliche organisatorische und vertragliche Massnahmen, welche zum Schutz von  Bankkundendaten in der Cloud von einem Institut getroffen bzw. umgesetzt werden können.

Im Zusammenhang mit der Auslagerung von Bankkundendaten an einen Cloud-Anbieter in der Schweiz oder im Ausland hat sich das Institut vorgängig zu überlegen, ob und wieweit die Bankkundinnen und Bankkunden darüber informiert wurden und falls nötig, ob diese einer solchen Auslagerung zugestimmt haben bzw. ob eine Entbindung vom Bankkundengeheimnis durch die Bankkundin/den Bankkunden notwendig ist.

Neben dem Bearbeitungsort von Bankkundendaten, der damit zusammenhängenden Transparenz gegenüber den Bankkunden/innen, den Datenflüssen (auch beim Cloud-Anbieter und Unterakkordanten), hat das Institut auch ein Zugriffskonzept umzusetzen bzw. vom Cloud-Anbieter einzufordern, (insbesondere) wenn der Cloud-Anbieter (sowie gegebenenfalls dessen Unterakkordanten) Zugriff auf Bankkundendaten erhält.

Zudem hat das Institut (im Hinblick auf die jederzeitige Zugriffsmöglichkeit auf die Bankkundendaten aus der Schweiz) die nötigen Überlegungen im Zusammenhang mit der Sanierung oder Abwicklung des Instituts bzw. mit der generellen Sicherstellung der Verfügbarkeit und Rückführung der Bankkundendaten zum Institut und/oder einer Nachfolge- oder Auffanggesellschaft anzustellen. Der Cloud-Anbieter ist vertraglich zu verpflichten, die Cloud-Dienstleistungen in Fällen der Sanierung oder Abwicklung des Instituts weiterhin gegenüber dem Institut wie auch gegenüber der FINMA und einer Nachfolge- oder Auffanggesellschaft zu erbringen sowie im Rahmen der geordneten Beendigung bei Sanierung oder Abwicklung auf Weisung des Instituts wie auch auf Weisung der FINMA eine entsprechende Beendigungsunterstützung (einschliesslich Rückführung/Übertragung der Bankkundendaten) gegenüber dem Institut, einem Nachfolge-Anbieter und/oder einer Nachfolge- oder Auffanggesellschaft zu erbringen.

3. Behörden und Verfahren

Das dritte Fokusthema befasst sich mit der Transparenz und Zusammenarbeit der Institute und der Cloud-Anbieter im Bereich behördlicher und gerichtlicher Massnahmen. Dabei werden mögliche Lösungsansätze für ein abgestimmtes Vorgehen zwischen Cloud-Anbieter und dem Institut bei der Behandlung von Anfragen von Behörden, welche eine Herausgabe oder Übermittlung von Bankkundendaten zum Gegenstand haben («Lawful Access» sowie bei «Foreign Lawful Access») präsentiert. Der regulatorische Teil des Cloud-Leitfadens enthält verschiedene Empfehlungen für technische und organisatorische Massnahmen, welche dem Cloud-Anbieter vertraglich (im Sinne von Pflichten) überbunden bzw. übertragen werden sollten.

4. Audit

Das letzte Fokusthema befasst sich mit der Prüfung der Cloud-Dienstleistungen und der zur Erbringung der Dienstleistungen eingesetzten Cloud-Infrastruktur. Dabei geht es insbesondere darum, dass der Zugriff auf die Daten in der Cloud zum Zwecke der Auditierung jederzeit gewährleistet ist. Die Institute haben sicherzustellen und regelmässig zu überprüfen, dass der Cloud-Anbieter, sowie auch die Unterakkordanten, die anwendbaren gesetzlichen, regulatorischen und vertraglichen Anforderungen (wie z.B. betr. Outsourcing) einhält. Die Audits des Cloud-Anbieters sollten sowohl vom Institut selbst wie auch von dessen Prüfgesellschaft oder der FINMA durchgeführt und veranlasst werden können. Die Prüfung der Unterakkordanten kann grundsätzlich indirekt via Cloud-Anbieter erfolgen. Allerdings hat sich das Institut vertraglich das Recht einer direkten (eigenen) Prüfung der wesentlichen Unterakkordanten vorzubehalten. Eine Orientierungshilfe zum Thema Audit findet sich auch im Anhang I zum Cloud-Leitfaden der SBVg (2. Auflage, November 2025).

Fazit

Der Einsatz von Cloud-Dienstleistungen bei Banken und Wertpapierhäuser bringt für Banken und Wertpapierhäuser grosse Chancen aber auch grosse Risiken mit sich. Vor dem Beizug eines Cloud-Dienstleisters haben Banken und Wertpapierhäuser eine entsprechende «Due Diligence» zu machen und sicherzustellen, dass die finanzmarktrechtlichen, organisatorischen und technischen Anforderungen und allfällige weitere (vertragliche und datenschutzrechtliche) Vorgaben durch die Cloud-Dienstleister (sowie allfällige Unterakkordanten) jederzeit eingehalten und umgesetzt werden. Risiken, wie operationelle Risiken, welche den Beizug eines Cloud-Anbieters bzw. die Auslagerung von Funktionen in eine Cloud bzw. zu einem Cloud-Anbieter mit sich bringen, haben die Institute zu identifizieren, zu beurteilen, zu begrenzen und zu überwachen. Neben regulatorischen Anforderungen ist auch das Vertragswerk mit dem Cloud-Dienstleister zu prüfen und gegebenenfalls mit den nötigen Anforderungen aus IT/technischer, datenschutzrechtlicher und allfälliger weiterer Perspektiven zu ergänzen.

Bei Fragen im Zusammenhang mit dem Einsatz von Cloud-Dienstleistungen stehen wir Ihnen gerne zur Verfügung.

Klicken Sie hier und erfahren Sie mehr über unsere Expertisen:

 

 

 
Zurück