vom 11. Dezember 2018
Aufgrund von Art. 67 des Gesetzes vom 21. Oktober 1992 über die Banken und Wertpapierfirmen (Bankengesetz; BankG), LGBl. 1992 Nr. 108, in der geltenden Fassung, verordnet die Regierung:
Die Verordnung vom 22. Februar 1994 über die Banken und Wertpapierfirmen (Bankenverordnung; BankV), LGBl. 1994 Nr. 22, in der geltenden Fassung, wird wie folgt abgeändert:
Anhang 6 Kapitel II Abschnitt B Ziff. 4 Abs. 1
1) Grundsätzlich ist die Auslagerung jedes Geschäftsbereiches ohne Bewilligung durch die FMA möglich. Dies bedingt jedoch, dass die nachfolgenden Voraussetzungen für ein sicheres Outsourcing und die Datenschutzgesetzgebung eingehalten und im Falle einer Auslagerung ins Ausland die geforderten Nachweise erbracht werden.
Anhang 6 Kapitel II Abschnitt C Ziff. 8 Abs. 4, 5, 6 Bst. a und b sowie Abs. 7
4) Kundendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Verarbeiten geschützt werden.
5) Die Unternehmung und der Dienstleister sorgen für die Vertraulichkeit, die Verfügbarkeit und die Richtigkeit der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützen sie die Systeme gegen unbefugte oder zufällige Vernichtung, zufälligen Verlust, technische Fehler, Fälschung, Diebstahl oder widerrechtliche Verwendung, unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Verarbeitungen.
6) Die technischen und organisatorischen Massnahmen müssen folgenden Kriterien Rechnung tragen:
a) Zweck der Datenverarbeitung;
b) Art und Umfang der Datenverarbeitung;
7) Diese Massnahmen sind periodisch zu überprüfen. Bei der automatisierten Verarbeitung von Kundendaten trifft der Dienstleister die technischen und organisatorischen Massnahmen, die geeignet sind, namentlich der Zugangs-, Personendatenträger-, Transport-, Bekanntgabe-, Speicher-, Benutzer-, Zugriffs- und Eingabekontrolle gerecht zu werden.
Diese Verordnung tritt am 1. Januar 2019 in Kraft.