Zum Hauptinhalt springen
ASC
Demo anfordern
Blog

Eidgenössische Finanzmarktaufsicht (FINMA): Anforderungen, Aufzeichnungspflichten und KI-Governance für Finanzinstitute

Compliance, Finanzdienstleistung

Wie Banken und Wertpapierhäuser in der Schweiz 2025 die FINMA-Vorgaben, das revDSG und FIDLEG erfüllen und ihre Aufzeichnung und Archivierung von Finanzkommunikation zukunftssicher aufsetzen.

Überblick

Porträt von Stephan Bütler, Managing Director ASC Switzerland
Stephan A. Bütler
Managing Director ASC Schweiz AG

Stephan A. Bütler ist Managing Director bei ASC Schweiz. Er ist Experte für den Schweizer Markt und berät Kunden aus Schweiz und Liechtenstein zu Compliance- Lösungen für Digital Communication Compliance.

LinkedIn

Finanzmarktaufsicht FINMA: Rahmen, Aufgaben und Ziele der eidgenössischen Regulierung

Das Schweizer Bankwesen genießt einen erstklassigen Ruf und zählt zu den bedeutendsten der Welt. Doch auch in der Schweiz gehört der Finanzsektor zu den am stärksten regulierten Bereichen der Wirtschaft. Entsprechend kommt der Banken- und Finanzmarktregulierung und in diesem Zusammenhang insbesondere der sicheren Aufzeichnung und Archivierung von Finanzkommunikation eine hohe Bedeutung zu. Die Regulierung bildet eine wichtige Grundlage für die Corporate Governance der Institute und stärkt das Vertrauen von Gläubigern und Anlegern.

Die Regulierung von Banken, Versicherern oder auch Vermögensverwalter dient vor allem dem Schutz von Kunden und der Sicherheit bzw. der Stabilität des Finanzsystems. Während die Grundlagen auf Gesetzesstufe normiert sind (z.B. Bankengesetz, Finanzmarktaufsichtsgesetz), werden die Inhalte durch Verordnungen des Bundesrats konkretisiert (z.B. Bankenverordnung). Das Finanzdienstleistungsgesetz (FIDLEG) konkretisiert diese Ziele und regelt die Erbringung von Finanzdienstleistungen. Die Eidgenössischen Finanzmarktaufsicht FINMA mit Sitz in Bern hält ihre Aufsichtspraxis unter anderem in Rundschreiben fest. Auch durch Selbstregulierung (Richtlinien, Empfehlungen) des Finanzsektors selbst sollen Anleger und Versicherte geschützt werden.

Die Überwachung der Banken erfolgt in ihrem Auftrag durch Prüfgesellschaften als Revisionsstellen gemäß Bankengesetz (dualistisches Aufsichtssystem). Zur Bekämpfung von Geldwäsche, Insider-Absprachen oder bewussten Falschinformationen in Beratungsgesprächen wurde die Beweisbarkeit von Aufträgen, Beratungen und Entscheidungen regulatorisch gestärkt. Eine zentrale Compliance-Recording-Lösung unterstützt Institute dabei, diese Vorgaben effizient und revisionssicher umzusetzen.

FINMA-Aufzeichnungspflicht: Kommunikation, Aufbewahrung und Beweisführung

Diese Regulierung gemäß FINMA beinhaltet eine elektronische Aufzeichnungspflicht, die nicht nur für interne und externe Festnetztelefonate, sondern auch für Mobilfunkgespräche, elektronische Korrespondenz, multimediale Kommunikationskanäle (SMS, Chat) sowie die zugehörigen Verbindungsinformationen gilt. Die FINMA-Aufzeichnungspflicht für Festnetz, Mobile und elektronische Korrespondenz ist in der Aufsichtspraxis und Rundschreiben der FINMA verankert.

Die Aufzeichnungen sind für die Belange der FINMA mindestens zwei Jahre unverändert aufzubewahren. Viele Institute verlängern ihre Fristen deutlich darüber hinaus, um zivil- oder aufsichtsrechtliche Anforderungen abzudecken. Die Nutzung von Kommunikationsmitteln, bei welchen die Aufzeichnung nicht sichergestellt werden kann, ist nicht zulässig.

Damit diese Aufzeichnungen im Streitfall als Beweismittel dienen können, müssen die Anforderungen der Geschäftsbücherverordnung (GeBüV) berücksichtigt werden. Neben der Pflicht zur Aufzeichnung sind zusätzliche Anforderungen aus dem Internen Kontrollsystem (IKS), der internen Compliance, dem Datenschutz, dem Schutz der Persönlichkeitsrechte sowie aus den Bereichen Schulung und Training zu beachten. Mit einer Omnichannel-Compliance-Recording-Lösung (z. B. für Sprache, Video, Chat und E-Mail) lassen sich diese FINMA-Aufzeichnungspflichten zentral umsetzen.

Anforderungen der FINMA bezüglich Aufzeichnungs-, Aufbewahrungs- und Protokollpflicht

  • Erfüllung der regulatorischen und gesetzlichen Bestimmungen
  • Erhöhung der Rechtssicherheit und Schutz vor ungerechtfertigten Forderungen
  • Nachweis einer professionellen Vorgehensweise und ausführliche Wahrnehmung der Aufklärungs- und Informationspflicht
  • Zweistufige Auftragsabwicklung durch Bestätigung des Protokolls oder explizite Zustimmung durch den Kunden
  • Optimierung der Kommunikation und der Geschäftsprozesse
  • Nachweis einer verantwortungsvollen Unternehmensführung

Datenschutz: revDSG und seine Auswirkungen auf Aufzeichnungen

Das revidierte Datenschutzgesetz (revDSG) stärkt Informationspflichten (Transparenz), verankert Privacy by Design & Default und verlangt Datenschutz-Folgenabschätzungen (DPIA/DSFA) bei hohem Risiko. Für die Praxis: Kunden müssen über Aufzeichnungen informiert werden; Systeme sind so zu gestalten, dass Datenschutz standardmäßig gewahrt bleibt.

  • Informationspflicht: Vor/nach Start der Aufzeichnung klar und verständlich informieren (auch bei Remote-/Mobile-Calls).
  • Privacy by Design/Default: Minimierung, Löschkonzepte, Zugriffsrollen, Protokollierung.
  • DPIA/DSFA: Für Recording-/Analytics-Setups mit potenziell hohem Risiko (z. B. Sprach-/KI-Analyse).

Mit einer KI-basierten Analyseplattform und einer AI Policy Engine lassen sich Datenschutz- und Governance-Anforderungen strukturiert abbilden.

KI-Governance in der Finanzbranche: FINMA-Erwartungen und EU AI Act

Künstliche Intelligenz (KI) hält zunehmend Einzug in die Finanzwelt. Etwa bei der Transkription von Beratungsgesprächen, bei Compliance-Analysen oder im Risikomanagement. Mit der Aufsichtsmitteilung 2024 hat die FINMA erstmals klare Erwartungen an den Einsatz von KI formuliert. Institute sollen künftig ein zentrales Inventar über alle eingesetzten KI-Systeme führen, diese nach Risiko klassifizieren und Verantwortlichkeiten eindeutig zuweisen. Ebenso verlangt die Aufsicht hohe Standards bei der Datenqualität. Vollständigkeit, Korrektheit und Stabilität sind ebenso wichtig wie der Umgang mit möglichen Bias. Hinzu kommen laufendes Monitoring, Tests auf Modell- und Datendrift sowie definierte Fallback-Mechanismen für den Fall von Systemausfällen. Besonders betont wird auch die Erklärbarkeit: Black-Box-Modelle gelten als kritisch, Ergebnisse müssen nachvollziehbar sein. Schließlich erwartet die FINMA eine unabhängige Überprüfung, etwa durch die „zweite Verteidigungslinie“ im Risikomanagement oder durch externe Reviews.

Stephan A. Bütler:
„Auch das Thema KI in Bezug auf Regulatorien ist sehr zentral. Der Einsatz von KI nimmt stark zu, doch ohne strikte Einhaltung der gesetzlichen Vorgaben geht es nicht. Wer KI nutzt, muss regulatorisch immer einen Schritt voraus sein.“

Gerade im Bereich der Aufzeichnung und Archivierung sind diese Anforderungen hochrelevant: Viele Institute nutzen bereits KI-gestützte Lösungen zur Sprach- und Mustererkennung oder zur automatisierten Transkription. Solche Systeme fallen künftig klar unter die Governance-Vorgaben der FINMA: Transparenz, Nachvollziehbarkeit und dokumentierte Kontrollen sind hier entscheidend.

Parallel zu diesen Entwicklungen in der Schweiz schreitet auch die Regulierung in Europa voran. Mit dem EU AI Act, der seit August 2024 in Kraft ist und stufenweise bis 2027 umgesetzt wird, schafft die EU erstmals einen umfassenden Rechtsrahmen für den Einsatz von KI. Erste Pflichten gelten bereits seit Februar 2025, strengere Vorgaben für sogenannte „High-Risk-Systeme“ folgen in den kommenden Jahren. Wer grenzüberschreitend tätig ist, sollte diese Entwicklungen im Blick behalten. Einen vertieften Überblick dazu finden Sie in unserem Blogbeitrag „Der EU AI Act – was bedeutet das für die Schweiz?“.

 „Dank unserer globalen Erfahrung und tiefem Know-how entwickeln wir Lösungen, die regulatorisch wie technologisch führend sind. Wir wissen, was Märkte und Aufsichten erwarten.“

FIDLEG 2025: Die Schweizer Antwort auf MiFID II und MiFID III

Die Sprachaufzeichnung im Bankensektor besteht nicht nur in der Schweiz: Das Europäische Parlament hat zum Schutz der Bankkunden im Mai 2014 eine Verschärfung der Finanzmarktrichtlinie (MiFID II) verabschiedet. Mit diesem Regelwerk will die EU unter anderem Kleinanleger besser schützen und das Finanzsystem sicherer, transparenter und verantwortungsvoller machen.

Das EU-Regelwerk hinterlässt auch ausserhalb der Union Spuren. Auch wenn die Schweiz kein EU-Mitglied ist, kommen hiesige Finanzinstitute, die Kunden in der EU haben oder die dort Geschäfte machen und das Geschäft mit EU-Kunden nicht aufgeben wollen, nicht umhin die Richtlinie umzusetzen.

Deshalb hat der Schweizer Gesetzgeber mit dem Finanzdienstleistungsgesetz (Fidleg) eine nationale Variante von MiFID II auf den Weg gebracht, die als schlankere und von der EU als gleichwertig anerkannte Regulierung umgesetzt werden soll. Gemäß dieser Variante werden Finanzinstitute aus Drittländern nämlich nur zum EU-Markt zugelassen, wenn die Aufsichts- und Wohlverhaltensregeln in ihrem Land gleichwertig mit denen in der EU sind.

Mit dem Finanzdienstleistungsgesetz (FIDLEG) und der Finanzdienstleistungsverordnung (FIDLEV) hat die Schweiz seit 2020 ein eigenständiges Regelwerk für den Anlegerschutz-, Informations-, Angemessenheits-/Eignungs-, Dokumentations- und Rechenschaftspflichten sind der Kern. Die FINMA hat diese Praxis mit dem Rundschreiben 2025/02 „Verhaltenspflichten nach FIDLEG/FIDLEV“ per 1. Januar 2025 weiter präzisiert: Wie wird gegenüber Kundinnen und Kunden Transparenz hergestellt? Das Rundschreiben schafft hier Rechtssicherheit und ein vergleichbares Schutzniveau unter Beaufsichtigten.

Auf EU-Seite bleibt MiFID II zwar die zentrale Richtlinie, sie wurde jedoch 2024 umfassend reformiert. Viele sprechen deshalb schon von „MiFID III“. Kern der Neuerungen sind mehr Transparenz, strengere Berichtspflichten und die Schaffung einer einheitlicheren Datenbasis für Handel und Überwachung. Die neuen Regeln treten schrittweise in den kommenden Jahren in Kraft. Für Schweizer Institute mit EU-Kunden heißt das: Wer grenzüberschreitend tätig ist, sollte seine Reporting- und Protokollstandards frühzeitig anpassen, um reibungslos konform zu bleiben.

Ein zentraler Unterschied bleibt: MiFID II verlangt ausdrücklich die Aufzeichnung von telefonischer und elektronischer Kommunikation, die zu Transaktionen führt oder führen kann mit Aufbewahrung von mindestens fünf Jahren (bis zu sieben auf Anordnung der Aufsicht). Zudem müssen Institute verhindern, dass Mitarbeitende für solche Gespräche nicht aufzeichnungsfähige Privatgeräte nutzen. In der Schweiz ist diese Pflicht nicht eins zu eins im FIDLEG verankert; die FINMA-Aufsichtspraxis regelt Aufzeichnungen aber seit Jahren sehr klar. Deshalb orientieren sich viele Institute faktisch am EU-Schutzniveau, um Beweisführung und Kundenschutz zu stärken und grenzüberschreitend compliant zu bleiben.

Unsere Kunden, wie etwa Schweizer Finanzinstitute, müssen heute nicht nur nationale Vorgaben einhalten, sondern auch EU- und weltweite Regulierungen wie den EU AI Act, MiFID II/III oder internationale Datenschutzstandards. Compliance ist längst global geworden und verlangt Lösungen, die dieser Komplexität gerecht werden.

Hinweis

Bitte beachten Sie, dass wir keine Rechtsberatung leisten und diese Informationen keine rechtliche Prüfung oder Beratung ersetzen können.

Historische Gebäude und Kirchtürme in Zürich am Flussufer

Effektiver Schutz des Bankgeheimnisses mit Recording Lösungen von ASC

KI-Strategien für regulierte Branchen: Insights vom ASC Schweiz Roundtable

Der EU AI Act: Was bedeutet das für die Schweiz?
Zur Übersicht der Blogartikel
Cookies und Datenverarbeitung

Diese Website nutzt Cookies und ähnliche Funktionen zur Verarbeitung von Endgeräteinformationen und personenbezogenen Daten. Die Verarbeitung dient der Einbindung von Inhalten, externen Diensten und Elementen Dritter, der statistischen Auswertung und der personalisierten Werbung. Je nach Dienst werden dabei Daten an Dritte weitergegeben. Durch die Zusammenführung mit weiteren Daten, können möglicherweise Nutzungsprofile gebildet werden.

Hierfür benötigen wie Ihre Zustimmung. Ihre Einwilligung ist freiwillig, für die Nutzung unserer Website nicht erforderlich und kann jederzeit auf der Seite "Datenschutz" abgelehnt oder widerrufen werden.

Weitere Informationen in den Datenschutzhinweisen