956.124
Verordnung
der Eidgenössischen Finanzmarktaufsicht
über die Datenbearbeitung
(Datenverordnung-FINMA)
vom 8. September 2011 (Stand am 1. Dezember 2019)
Der Verwaltungsrat der Eidgenössischen Finanzmarktaufsicht (FINMA),
gestützt auf Artikel 23 Absatz 1 des Finanzmarktaufsichtsgesetzes
vom 22. Juni 20071 (FINMAG),
verordnet:
Diese Verordnung regelt:
- a.
- die Führung einer Sammlung von Daten, die für die Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit erforderlich sind (Datensammlung Gewähr);
- b.
- die Bearbeitung der Daten durch Dritte im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
1 Die FINMA nimmt Daten von Personen, deren Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen und dem FINMAG nicht gegeben ist oder deren Gewährsprüfung für den Fall einer künftigen Gewährsposition sicherzustellen ist, in eine Datensammlung auf.
2 Sie führt die Datensammlung zur Sicherstellung, dass nur Personen, die Gewähr für eine einwandfreie Geschäftstätigkeit bieten:
- a.
- mit der Verwaltung oder Geschäftsführung von Beaufsichtigten betraut werden; oder
- b.
- massgebend an den Beaufsichtigten beteiligt sind.
1 Die Geschäftsleitung der FINMA regelt in einem Bearbeitungsreglement:
- a.
- die organisatorischen und technischen Massnahmen zur Gewährleistung der Datensicherheit;
- b.
- die Kontrolle der Datenbearbeitung; und
- c.
- die Zugriffs- und Einsichtsrechte der einzelnen Kategorien von Mitarbeitenden der FINMA.
2 Die für die Compliance zuständige Stelle der FINMA bearbeitet die Daten. Sie sorgt dafür, dass die Datenbearbeitung von der Beschaffung bis zur Archivierung oder Vernichtung nachvollziehbar ist. Sie führt eine Liste der Mitarbeitenden mit Zugriffs- und Einsichtsrechten.
3 Die für die Informatik zuständige Stelle der FINMA stellt den technischen Betrieb sicher.
1 Die Datensammlung enthält Daten, die zur Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit erforderlich sind.
2 Die Datensammlung enthält folgende Daten:
- a.
- Identifikationsmerkmale: Name, Vorname, Geburtsdatum, Geschlecht, Heimatort, Nationalität, Adresse, Muttersprache;
- b.
- Ausbildung und berufliche Tätigkeit: Aus- und Weiterbildung, berufliche Qualifikationen und Tätigkeiten, Arbeitsort und Arbeitgeber;
- c.
- Vermögensverhältnisse und Versicherungen;
- d.
- Auszüge aus dem Handelsregister, dem Betreibungsregister, dem Konkursregister und dem Strafregister;
- e.
- Strafanklagen und Strafanzeigen von Behörden;
- f.
- Urteile, Verfügungen und amtliche Dokumente;
- g.
- Berichte und Entscheide von Selbstregulierungsorganisationen oder Standesorganisationen;
- h.
- arbeitsrechtliche, administrative und strafrechtliche Massnahmen;
- i.
- Berichte von Prüfgesellschaften und Beauftragten der FINMA;
- j.
- Berichte über interne Prüfungen und Untersuchungen von Beaufsichtigten;
- k.7
- schriftliches Eingeständnis eines Fehlverhaltens gegenüber einer Behörde sowie Selbstanzeige;
- l.8
- Belege, aus denen hervorgeht, dass trotz Hinweisen auf eine Aufsichtsverletzung gegen eine Person kein Verfahren der FINMA geführt werden kann, weil sich die betroffene Person einem Verfahren entzieht;
- m.9
- schriftliche Verpflichtung, befristet oder unbefristet nicht mehr im Schweizer Finanzmarkt tätig zu sein.
1 Die in Papierform gesammelten Daten sind unter Verschluss zu halten.
2 Im Übrigen richtet sich die Datensicherheit nach der Verordnung vom 14. Juni 199310 zum Bundesgesetz über den Datenschutz.
3 Die für die Compliance und für die Informatik zuständigen Stellen der FINMA treffen in ihrem Bereich die angemessenen organisatorischen und technischen Massnahmen zur Sicherung der Daten.
1 Die FINMA beschafft die Daten im Rahmen ihrer Aufsichtstätigkeit nach den Finanzmarktgesetzen und dem FINMAG.
2 Die FINMA beschafft Daten bei:
- a.
- Beaufsichtigten;
- b.
- Arbeitgebern;
- c.
- der betroffenen Person;
- d.
- Gesuchstellern;
- e.
- in- und ausländischen Behörden;
- f.
- Verfahrensparteien;
- g.
- Prüfgesellschaften und Beauftragten der FINMA;
- h.11
- …
3 Sie kann auch Daten in die Sammlung aufnehmen, die ihr Dritte zur Kenntnis bringen und die die Voraussetzungen nach Artikel 3 erfüllen.12
Die betroffenen Personen werden nach Eintrag in die Sammlung informiert. Artikel 18b des Bundesgesetzes vom 19. Juni 199214 über den Datenschutz bleibt vorbehalten.
Betroffene Personen können bei der FINMA Auskunft über Daten verlangen, welche die Datensammlung über sie enthält.
Die FINMA berichtigt oder vernichtet umgehend Daten, die unrichtig oder unvollständig sind oder nicht dem Zweck der Datensammlung dienen.
Die FINMA kann Daten bekanntgeben, soweit eine gesetzliche Grundlage besteht oder die betroffene Person schriftlich einwilligt.
1 Die Daten einer Person werden aufbewahrt:
- a.
- während zehn Jahren nach dem letzten Eintrag;
- b.
- während 20 Jahren nach dem letzten Eintrag, wenn dieser gestützt auf
ein Strafurteil oder eine rechtskräftige Feststellung der FINMA über die Ausübung einer Tätigkeit ohne die erforderliche Bewilligung der FINMA erfolgte.
2 Nach Ablauf der Aufbewahrungsfrist werden die Daten bei der FINMA gelöscht und dem Bundesarchiv zur Aufbewahrung angeboten. Vom Bundesarchiv als nicht archivwürdig beurteilte Daten werden vernichtet.
3 Will die betroffene Person bei einem Beaufsichtigten eine Gewährsposition einnehmen und ergibt die Gewährsprüfung der FINMA eine positive Beurteilung, so wird der Eintrag dieser Person vor Ablauf der Fristen nach Absatz 1 gelöscht.
Die FINMA kann im Rahmen der Aufsicht nach dem FINMAG und den Finanz-marktgesetzen Daten, einschliesslich besonders schützenswerter Personendaten und Persönlichkeitsprofile, die nicht öffentlich zugänglich sind, folgenden Personen zugänglich machen, übermitteln und durch diese bearbeiten lassen:
- a.
- Beauftragten der FINMA, wenn:
- 1.
- die Datenbearbeitung zur Auftragserfüllung erforderlich ist, und
- 2.
- angemessene organisatorische und technische Vorkehrungen getroffen werden, um eine weitere Verbreitung der Daten zu verhindern;
- b.
- externen Leistungserbringern, wenn:
- 1.
- die Datenbearbeitung zur Leistungserbringung erforderlich ist, und
- 2.
- angemessene vertragliche, organisatorische und technische Vorkehrungen getroffen werden, um eine weitere Verbreitung der Daten zu verhindern.
Diese Verordnung tritt am 1. Oktober 2011 in Kraft.