Verordnung der FINMA über die Bearbeitung von Personendaten im Rahmen der Aufsicht (Datenverordnung FINMA)
(Datenverordnung FINMA) vom 4. Mai 2023 (Stand am 1. September 2023)
Die Eidgenössische Finanzmarktaufsicht (FINMA),
gestützt auf Artikel 23 Absatz 4 des Finanzmarktaufsichtsgesetzes vom 22. Juni 2007¹ (FINMAG),
verordnet:
¹ SR 956.1
1. Abschnitt: Gegenstand und Zuständigkeiten
Art. 1 Gegenstand
Diese Verordnung regelt die Einzelheiten der Bearbeitung von Personendaten durch die FINMA im Rahmen der Aufsicht nach dem FINMAG und den Finanzmarktgesetzen nach Artikel 1 Absatz 1 FINMAG.
Art. 2 Zuständigkeiten
¹ Die Abteilung Information and Communication Technologies stellt den technischen Betrieb der Informationssysteme sicher, in denen Personendaten bearbeitet werden.
² Die Geschäftsleitung der FINMA regelt in einem Bearbeitungsreglement:
a. die technischen und organisatorischen Massnahmen zur Gewährleistung der Datensicherheit;
b. die Kontrolle der Datenbearbeitung;
c. die Zugriffsrechte der einzelnen Kategorien von Mitarbeiterinnen und Mitarbeitern der FINMA.
³ Die betroffenen Personen können ihre Rechte nach dem Datenschutzgesetz vom 25. September 2020² bei der Abteilung Recht und Compliance geltend machen.
² SR 235.1
2. Abschnitt: Datenbearbeitung
Art. 3 Zuständigkeit
Jede Organisationseinheit der FINMA ist für ihre Daten zuständig.
Art. 4 Zugriffsrechte
¹ Die Mitarbeiterinnen und Mitarbeiter der FINMA haben Zugriff auf die Daten ihrer jeweiligen Aufsichtsfunktion.
² Die Mitarbeiterinnen und Mitarbeiter der FINMA mit Querschnittsaufgaben haben überdies Zugriff auf weitere Daten, soweit dies für die Erfüllung ihrer Aufgaben notwendig ist.
³ Die Zugriffsrechte können auf einzelne Mitarbeiterinnen und Mitarbeiter der FINMA eingeschränkt oder einzelnen weiteren Mitarbeiterinnen und Mitarbeitern der FINMA erteilt werden, soweit dies im Einzelfall erforderlich ist.
Art. 5 Kategorien bearbeiteter Personendaten
¹ Die FINMA bearbeitet folgende Personendaten:
a. Daten zur Identität: Name, Vorname, Geburtsdatum, Geschlecht, Heimatort, Nationalität, Muttersprache, Adresse, E-Mail-Adresse, Telefonnummer, AHV-Nummer;
b. Daten zur Ausbildung, zum Beruf und zu Arbeitsverhältnissen: Aus- und Weiterbildung, berufliche Qualifikationen und Tätigkeiten, berufliche Situation und Entwicklung, Geschäftsverhalten, Arbeitsort, Arbeitgeber mit seiner Unternehmens-Identifikationsnummer (UID), Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses;
c. Daten zur finanziellen Situation, zu Vermögensverhältnissen und Versicherungen;
d. Auszüge aus dem Handelsregister, dem Betreibungsregister, dem Konkursregister und dem Strafregister;
e. Daten von Handelsüberwachungsstellen;
f. Berichte, Beurteilungen und andere Dokumente von Prüfgesellschaften und von Beauftragten der FINMA;
g. Berichte und Entscheide von Aufsichts-, Selbstregulierungs- und Standesorganisationen;
h. Akten von Strafbehörden und anderen Behörden;
i. Urteile, Verfügungen und andere amtliche Dokumente;
j. Daten zu arbeitsrechtlichen, administrativen und strafrechtlichen Massnahmen;
k. Berichte über interne Prüfungen und Untersuchungen von Beaufsichtigten;
l. Daten, die für die Auswahl der Beauftragten der FINMA und für die Aufgabenerfüllung durch die Beauftragten erforderlich sind;
m. Daten, die der FINMA gestützt auf die gesetzlichen Auskunfts- und Meldepflichten zugehen;
n. Daten, die Dritte der FINMA zur Kenntnis bringen; und
o. weitere Daten, die im Rahmen der Erfüllung des gesetzlichen Auftrags der FINMA anfallen.
² Die Bearbeitung nach Absatz 1 kann auch besonders schützenswerte Personendaten der folgenden Art beinhalten:
a. Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
b. Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
c. Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
d. Daten über Massnahmen der sozialen Hilfe.
Art. 6 Beschaffung von Personendaten
¹ Die FINMA kann Personendaten beschaffen bei:
a. Beaufsichtigten;
b. Arbeitgebern;
c. der betroffenen Person;
d. Gesuchstellern;
e. in- und ausländischen Behörden;
f. Verfahrensparteien;
g. Prüfgesellschaften und Beauftragten der FINMA;
h. weiteren auskunfts- und meldepflichtigen Personen.
² Sie kann Personendaten zudem aus weiteren nicht öffentlich zugänglichen und aus öffentlich zugänglichen Quellen beschaffen.
³ Soweit es zur Erreichung des Bearbeitungszwecks unerlässlich ist, kann die FINMA Personendaten beschaffen, ohne ihre Identität offenzulegen.
Art. 7 Form der Bekanntgabe von Personendaten
Die Bekanntgabe von Personendaten, einschliesslich besonders schützenswerter Personendaten, erfolgt in Papierform oder in elektronischer Form.
Art. 8 Aufbewahrung und Vernichtung der Personendaten
Personendaten werden bei der FINMA aufbewahrt, solange sie für die Aufsicht geeignet und erforderlich sind. Danach werden die Daten dem Bundesarchiv zur Archivierung angeboten und bei der FINMA vernichtet.
3. Abschnitt: Datenbank zur Sicherstellung der Gewährsbeurteilung
Art. 9 Zweck
Die FINMA führt eine Datenbank, um die Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit nach den Finanzmarktgesetzen sicherzustellen. Zu diesem Zweck nimmt sie diejenigen Daten in die Datenbank auf, die für den Fall einer künftigen Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit erforderlich sind.
Art. 10 Zugriffsrechte
¹ Zugriff auf die Datenbank haben:
a. die Mitarbeiterinnen und Mitarbeiter der Abteilung Recht und Compliance;
b. die Mitarbeiterinnen und Mitarbeiter der FINMA, die für die Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit zuständig sind.
² Die Mitarbeiterinnen und Mitarbeiter nach Absatz 1 können anderen Mitarbeiterinnen und Mitarbeitern der FINMA auf Anfrage Auskunft über Daten der Datenbank erteilen, soweit dies für die Erfüllung von deren Aufgaben erforderlich ist.
Art. 11 Inhalt
Die Datenbank enthält folgende Daten:
a. Daten zur Identität: Name, Vorname, Geburtsdatum, Geschlecht, Heimatort, Nationalität, Muttersprache, Adresse, E-Mail-Adresse, Telefonnummer, AHV-Nummer;
b. Daten zur Ausbildung und zum Beruf: Aus- und Weiterbildung, berufliche Qualifikationen und Tätigkeiten, Arbeitsort, Arbeitgeber mit seiner UID;
c. Daten zur finanziellen Situation, zu Vermögensverhältnissen und Versicherungen;
d. Auszüge aus dem Handelsregister, dem Betreibungsregister, dem Konkursregister und dem Strafregister;
e. Berichte, Beurteilungen und andere Dokumente von Prüfgesellschaften und von Beauftragten der FINMA;
f. Berichte und Entscheide von Aufsichts-, Selbstregulierungs- und Standesorganisationen;
g. Strafanklagen und Strafanzeigen von Behörden;
h. Urteile, Verfügungen und andere amtliche Dokumente;
i. Daten zu arbeitsrechtlichen, administrativen und strafrechtlichen Massnahmen;
j. Berichte über interne Prüfungen und Untersuchungen von Beaufsichtigten;
k. schriftliches Eingeständnis eines Fehlverhaltens gegenüber einer Behörde sowie Selbstanzeige;
l. Belege, aus denen hervorgeht, dass trotz Hinweisen auf eine Aufsichtsverletzung gegen eine Person kein Verfahren der FINMA geführt werden kann, weil sich die betroffene Person einem Verfahren entzieht;
m. schriftlicher befristeter oder unbefristeter Verzicht, in einem von der FINMA beaufsichtigten Bereich tätig zu sein.
Art. 12 Information der betroffenen Person
Die betroffene Person wird nach dem ersten Eintrag in die Datenbank informiert. Artikel 20 des Datenschutzgesetzes vom 25. September 2020³ bleibt vorbehalten.
³ SR 235.1
Art. 13 Aufbewahrung und Löschung der Daten
¹ Die Daten einer Person werden in der Datenbank aufbewahrt:
a. während 10 Jahren nach dem letzten für die Gewährsbeurteilung relevanten Eintrag;
b. während 20 Jahren nach dem letzten für die Gewährsbeurteilung relevanten Eintrag, wenn dieser gestützt auf ein Strafurteil oder eine rechtskräftige Feststellung über die Ausübung einer Tätigkeit ohne die erforderliche Bewilligung der FINMA erfolgte.
² Die Daten einer Person werden vor Ablauf der Aufbewahrungsfrist in der Datenbank gelöscht, wenn die FINMA bei einer Beurteilung der Gewähr für eine einwandfreie Geschäftstätigkeit die Gewähr bejaht.
4. Abschnitt: Schlussbestimmungen
Art. 14 Aufhebung eines anderen Erlasses
Die Verordnung der Eidgenössischen Finanzmarktaufsicht vom 8. September 2011⁴ über die Datenbearbeitung wird aufgehoben.
⁴ [ AS 2011 4363 ; 2017 4809 ; 2019 451 , 3511 ]
Art. 15 Inkrafttreten
Diese Verordnung tritt am 1. September 2023 in Kraft.
Feedback