Nutzungsbedingungen «Open Banking»
1. Geltungsbereich
Die vorliegenden Nutzungsbedingungen «Open Banking» ergänzen die weiteren Verträge zwischen dem Benutzer und der St.Galler Kantonalbank AG (nachfolgend SGKB) und regeln die Nutzung der in Ziffer 2 aufgeführten Leistungen der SGKB durch den Benutzer.
Als Benutzer werden vorliegend folgende natürlichen oder juristischen Personen verstanden:
- Endkunden der SGKB, welche die Dienstleistung direkt oder über einen Dritten (z.B. Portfolio Management System-Anbieter) ohne Einbezug eines Intermediär nutzen;
- Intermediäre (z.B. externe Vermögensverwalter [eVV]), welche die Dienstleistung in Bezug auf gemeinsame Endkunden direkt oder über einen Dritten (z.B. Portfolio Management System-Anbieter) nutzen;
- Vom Endkunden oder dem Intermediär beigezogene Personen (z.B. Mitarbeitende, Hilfspersonen, Bevollmächtigte), welche die Dienstleistung nutzen.
Zusätzlich zu den vorliegenden Nutzungsbedingungen gelten die Guidelines Order Placement API in der jeweils aktuellen Fassung, welche auf Anfrage bei der SGKB angefordert werden können.
2. Leistung / Funktionsumfang
Die SGKB bietet mit der Open Banking-Schnittstelle (nachstehend Dienstleistung) dem Benutzer insbesondere die Möglichkeit,
- Informationen bezüglich Endkundendaten (z.B. Adress- und Kontaktdaten) mit der SGKB auszutauschen und zu mutieren (Customer Management);
- Informationen zu Endkundenvermögen (z.B. Kundendepots, Positionen und Transaktionen) bei der SGKB abzufragen (Custody Services);
- Wertschriftenaufträge an die SGKB zu übermitteln und zu löschen sowie den Auftragsstatus abzufragen (Order Placement).
Eine vollständige Übersicht des Funktionsumfangs ist auf der Website der SGKB (www.sgkb.ch/de/ueber-uns/openwealth) einsehbar. Die SGKB kann den Funktionsumfang für einzelne Benutzer oder Benutzergruppen einschränken.
Die Datenübermittlung erfolgt mittels einer gesicherten API-Schnittstelle (Application Programming Interface) an den Benutzer oder an einen vom Benutzer ausgewählten externen Dienstleister (nachstehend Drittdienstleister; zusammen Empfänger). Die Datenübermittlung erfolgt dabei entweder über eine direkte Schnittstelle oder indirekt unter Beizug von Plattformanbietern (nachstehend Plattform), wobei die SGKB die «bLink Plattform» der SIX BBS AG verwendet.
Nach Freigabe der Softwareanbindung wird die SGKB Datenabfragen des Empfängers beantworten und Aufträge entgegennehmen (nachstehend Service Calls).
3. Identifizierungsschlüssel (Token) und Drittdienstleister
Nach Aktivierung der Dienstleitung mit den für das E-Banking gültigen Legitimationsmitteln wird die SGKB einen elektronischen Identifizierungsschlüssel (nachstehend Token) ausstellen. Dieser wird von der SGKB über eine sichere Verbindung direkt oder durch den Plattformbetreiber an den Empfänger übermittelt. Der Empfänger ist für die sichere Verwaltung des Tokens und die durch ihn erbrachten Datenbearbeitungen verantwortlich. Die SGKB kann hierfür keine Überwachungs- oder sonstigen Pflichten übernehmen. Ist ein Service Call von der Plattform oder vom Empfänger mit einem gültigen Token versehen worden, beantwortet die SGKB diesen Service Call. Die Bank hat jedoch keinen Einfluss auf die rechtmässige Verwendung des Tokens beim Empfänger.
Der Benutzer darf ausschliesslich Drittdienstleister wählen, die durch die SGKB oder den Plattformanbieter zugelassen sind. Die SGKB behält sich vor, Drittdienstleister von der Dienstleistung auszuschliessen. Der Benutzer nimmt zur Kenntnis, dass Drittdienstleister ihre Leistungen eigenständig und ohne Mitwirkung der bzw. Kontrolle durch die SGKB erbringen. Insbesondere betrifft dies die eigenständige Zugriffsverwaltung des Drittdienstleisters, welche dazu berechtigt, an die SGKB gerichtete Service Calls auszulösen.
4. Sorgfaltspflichten
Der Benutzer hat folgende Sorgfaltspflichten einzuhalten:
- Der Benutzer ist verpflichtet, seine Legitimationsmittel (zum E-Banking bzw. zur Drittdienstleistung) geheim zu halten und gegen missbräuchliche Verwendung zu schützen.
- Besteht Anlass zur Befürchtung, dass eine unberechtigte Person Zugang zu einem Legitimationsmittel erhalten hat, so hat der Benutzer das entsprechende Legitimationsmittel unverzüglich zu wechseln bzw. zu ändern. Ist dies nicht möglich, muss er den Zugang zur Dienstleistung unverzüglich sperren oder sperren lassen (vgl. Ziff. 10.1).
- Der Benutzer ist verpflichtet, ein Passwort zu verwenden, das nicht aus leicht ermittelbaren Kombinationen (wie Telefonnummer, Geburtsdatum, Autokennzeichen) besteht.
- Der Benutzer ist verpflichtet, die Sicherheitsrisiken, die aus der Benutzung des jeweiligen Mediums (z.B. Internet, Mobiltelefon) entstehen, durch den Einsatz von geeigneten, dem aktuellen Stand der Technik entsprechenden Schutzmassnahmen (z.B. regelmässige Aktualisierung des Betriebssystems, Einsatz von Anti-Viren-Software / Firewalls) zu minimieren.
Es liegt in der Verantwortung des Benutzers den Drittdienstleister sowie allfällig beigezogene Personen (z.B. Mitarbeitende, Hilfspersonen) sorgfältig auszuwählen, bezüglich der Nutzung der Dienstleistung zu instruieren und zu überwachen. Dazu gehören insbesondere die sorgfältige Vergabe, Verwaltung und der Entzug von Rechten zur Nutzung der Dienstleistung, die Überwachung der von den Nutzern vorgenommenen Tätigkeiten (z.B. platzierte Aufträge) sowie die Information über die Guidelines.
5. Systemverfügbarkeit
Die SGKB behält sich vor, jederzeit und ohne Angabe von Gründen Benutzern den Zugriff auf die Dienstleistung einzuschränken oder gänzlich zu untersagen bzw. zu unterbinden. Die SGKB kann weder den jederzeit störungsfreien noch den ununterbrochenen Zugang zur Dienstleistung gewährleisten. Die SGKB behält sich vor, zur Abwehr von Sicherheitsrisiken oder für Wartungsarbeiten die Dienstleistung vorübergehend zu unterbrechen. Aufgrund allfälliger Sperren, Unterbrüchen oder Verzögerungen, können keine Ansprüche gegen die SGKB gestellt werden.
6. Auftragsausführung
Die SGKB ist berechtigt, aber nicht verpflichtet, die vom Benutzer bzw. Drittdienstleister unter Verwendung der Dienstleistung übermittelten Aufträge, insbesondere Transaktionsaufträge, entgegenzunehmen und auszuführen. Die entsprechenden Aufträge gelten als vom Benutzer legitimiert und der Benutzer anerkennt vorbehaltslos sämtliche Geschäfte, Aufträge und Mitteilungen, welche im Rahmen der Dienstleistung unter Verwendung seiner Legitimationsmittel bzw. des Tokens getätigt und/oder abgegeben werden.
Die SGKB hat jedoch das Recht, bei berechtigten Zweifeln an der Legitimation, namentlich aus Gründen der Sicherheit, die Ausführung von Aufträgen zu verweigern und vom Benutzer zu verlangen, dass er sich in anderer Form (z.B. durch Nutzung des E-Banking, Unterschrift oder persönliche Vorsprache) legitimiert oder den Auftrag mit einem zweiten Faktor (z.B. SMS-Code, PushTAN) bestätigt. Ebenso kann die Bank die Höhe von Wertschriftenaufträgen für einzelne Benutzer oder Benutzergruppen limitieren.
Für die Ausführung von Aufträgen gilt im Übrigen Ziff. A10 der Allgemeinen Geschäftsbedingungen (AGB).
7. Gewährleistung und Haftung
Die SGKB wendet im Zusammenhang mit der Dienstleistung, insbesondere bei der Anzeige und Übermittlung der Daten, Informationen und Mitteilungen sowie der Bearbeitung der Aufträge, die geschäftsübliche Sorgfalt an. Jede weitergehende Gewährleistung und Haftung im Zusammenhang mit der Dienstleistung schliesst die SGKB aus. Die Haftung für indirekte bzw. mittelbare Schäden sowie Folgeschäden, wie z.B. entgangener Gewinn, wird ausgeschlossen.
Die SGKB hat keinen Einfluss auf die Leistungserbringung durch den Betreiber der Plattform oder einen vom Benutzer beigezogenen Drittdienstleister. Insbesondere gilt dies für die korrekte Verwendung der vom Drittdienstleister ausgestellten Legitimationsmittel und die vertragsgemäss Datenverwendung. Die SGKB hat diesbezüglich keine Überwachungsfunktion und lehnt jegliche Gewährleistung oder Haftungsfolgen für diese Parteien und deren Tätigkeiten bzw. Unterlassungen ab.
8. Datenschutz
Mit der Nutzung der Dienstleistung ist der Benutzer damit einverstanden, dass Informationen zur Bankkundenbeziehung (z.B. Kontostände und -bewegungen, Depotwerte etc.) unter Einbezug von Plattformen ausgetauscht, sowie einem allfälligen Drittdienstleister und den vom Benutzer allfällig beigezogenen Dritten oder Personen zur Kenntnis gelangen. Der Benutzer stellt sicher, dass das Einverständnis des Endkunden zur Nutzung der Dienstleistung und zum allfälligen Beizug von Dritten oder Personen vorliegt.
Der Benutzer bzw. der von ihm beigezogene Drittdienstleister ist für die Gewährleistung der Sicherheit sowie die Einhaltung des Datenschutzes in seinem (Leistungs-)Bereich verantwortlich. Die Datenverwendung des Drittdienstleisters erfolgt gemäss dessen Verträgen mit dem Benutzer, insbesondere nach dessen Datenschutzerklärung. Die SGKB hat keinerlei Einfluss auf oder Kontrolle über die Datenverwendung und die Sicherheitsmassnahmen des Benutzers bzw. Drittdienstleisters. Daten können durch diese auch im Ausland gespeichert werden, wodurch sie nicht mehr den Schutzvorschriften des schweizerischen Rechts, insbesondere dem Bankkundengeheimnis unterliegen. Falls es im Zusammenhang mit der Nutzung der Dienstleistung in der Sphäre des Benutzers bzw. Drittdienstleisters zu einer Verletzung der Datensicherheit kommt, welche gemeinsame Endkunden betrifft, so hat er dies der SGKB unverzüglich mitzuteilen, sofern es sich beim Benutzer nicht selbst um den Endkunden handelt.
Die Systeme des Benutzers, des Drittdienstleisters, des Plattformbetreibers und die von diesen beigezogenen Dritten und Personen sowie die öffentlichen und privaten Netzwerke sind Teile eines Gesamtsystems, die sich ausserhalb der Kontrolle der SGKB befinden. Dadurch bestehen folgende Risiken:
- Es ist möglich, dass sich ein Dritter unbemerkt Zugang zu den genannten Systemen verschafft und die Kontrolle übernimmt.
- Selbst bei verschlüsselter Übermittlung bleiben Absender und Empfänger jeweils unverschlüsselt, weshalb das Bankgeheimnis und der Datenschutz insofern nicht gewahrt sind. Der Rückschluss auf eine bestehende oder künftige Geschäftsbeziehung zur SGKB kann deshalb für Dritte möglich sein.
- Die verschlüsselten Daten können unkontrolliert grenzüberschreitend übermittelt werden, auch wenn sich Sender und Empfänger in der Schweiz befinden.
- Es können Übermittlungsfehler, Verzögerungen sowie Systemunterbrüche oder -ausfälle auftreten.
Für daraus resultierende Folgen (z.B. Nicht-Verfügbarkeit der Dienstleistung oder Transaktionen durch Unberechtigte) übernimmt die SGKB keine Haftung.
9. Gebühren und Konditionen
Die SGKB ist berechtigt für die Dienstleistung Gebühren zu erheben. Die Höhe dieser Gebühren werden in Form einer Preisliste auf der Website der SGKB (www.sgkb.ch/openwealth-preise) publiziert. Die Bank weist darauf hin, dass die externen Drittdienstleister für die Erbringung der Dienstleistung vom Benutzer zusätzliche Gebühren erheben können. Die Bank behält sich vor, die Preislisten jederzeit anzupassen, namentlich bei veränderten Marktverhältnissen oder aus anderen sachlichen Gründen. Änderungen werden nach Treu und Glauben vorgenommen und den Kunden oder Benutzern vorgängig in geeigneter Weise mitgeteilt.
10. Weitere Bestimmungen
10.1 Sperrung des Zugangs zur Dienstleistung
Der Benutzer kann den Zugang zur Dienstleistung sperren oder den Datenaustausch zum Drittdienstleister beenden, in dem er sich unverzüglich an die Beraterin oder den Berater bei der SGKB wendet.
Die temporäre Sperrung des E-Banking-Vertrags des Benutzers (z.B. durch mehrmalige Falscheingabe des Passworts) führt nicht zu einer Sperrung des Zugangs zur Dienstleistung. Ebenso ist die SGKB nicht verpflichtet, in solchen Fällen den Zugang zur Dienstleistung zu sperren.
10.2 Jederzeitige Änderung oder Beendigung der «Open Banking»-Unterstützung
Die SGKB behält sich vor, die Unterstützung der Dienstleistung sowie deren Funktionsumfang jederzeit zu ändern oder ganz oder teilweise einzustellen. Sie wird dies dem Benutzer im Voraus ankündigen, soweit nicht zwingende Gründe entgegenstehen.
10.3 Änderung der Nutzungsbedingungen
Die SGKB behält sich vor, die Nutzungsbedingungen und die Guidelines jederzeit zu ändern. Die Änderungen werden dem Benutzer in geeigneter Weise bekannt gegeben und gelten ohne schriftlichen Widerspruch innerhalb von 30 Tagen seit Bekanntgabe als genehmigt.
10.4 Anwendbares Recht, Gerichtsstand
Diese Nutzungsbedingungen unterstehen dem schweizerischen Recht. Der Gerichtsstand richtet sich nach den zwingenden gesetzlichen Bestimmungen. Soweit solche nicht zur Anwendung kommen, ist ausschliesslicher Gerichtsstand für alle Verfahrensarten St. Gallen (Schweiz).
Stand: 05.2023, Version 2.0