info@winheller.com+49 (0)69 76 75 77 80 Mo. - Fr. von 8 bis 20 Uhr, Sa. von 8 bis 17 Uhr
Persönliche Termine nach Vereinbarung

Aufsichtsbehörden stellen bankaufsichtsrechtliche Anforderungen an die IT zur Diskussion

Vor kurzem schrieb die Kreditanstalt für Wiederaufbau (KfW) Schlagzeilen: Fehlerhafte Zahlungsverkehr-Software sorgte für Fehlbuchungen über sechs Milliarden Euro. Was bei der staatlichen KfW lediglich für Spott sorgte, kann in anderen Fällen schnell zu hohen Verlusten oder gar zum Ruin eines Finanzinstituts führen. Durch die fortschreitende Digitalisierung ist veraltete, fehlerhafte oder angreifbare Software zu einer großen Bedrohung für das Bankwesen geworden. Der moderne Bankräuber kommt nicht mehr mit der Pistole, sondern mit dem Internetanschluss.

BAIT ergänzt MaRisk zur Risikovorsorge in der Informationstechnik

Wie Institute ihre Informationstechnischen Systeme (IT) zu organisieren, zu warten und zu schützen haben, war bisher recht unklar. Der Gesetzgeber gibt der Geschäftsleitung lediglich die allgemeine Pflicht zur erforderlichen Geschäftsorganisation auf. Wie wir berichtet haben, ist dabei insbesondere die Auslagerung von IT-Prozessen ein schwieriges Feld voller Ungewissheiten. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die Deutsche Bundesbank schicken sich nun an, diese Unsicherheit zu beseitigen. Dafür haben sie ein erstes Konzeptpapier für die bankaufsichtlichen Anforderungen an die IT (BAIT) veröffentlicht.

Hierin legen die beiden Aufsichtsbehörden in 8 Kapiteln Regelungen fest, welche die Mindestanforderungen an das Risikomanagement (MaRisk) bezüglich der IT ergänzen. Unter anderem behandeln sie die IT-Strategie, das Informationsrisikomanagement und stellen Leitplanken für die Anwendungsentwicklung von IT-Projekten auf. Auch die Auslagerungen und der sonstige Fremdbezug von IT-Dienstleistungen erhalten einen eigenen Abschnitt. Der Detailgrad der aufgestellten Anforderungen variiert dabei in den einzelnen Kapiteln. So sind die Handlungsempfehlungen zur IT-Strategie und zur IT-Governance recht allgemein gehalten. Verständlich, lassen sich hier doch nur generelle Aussagen treffen, die auf die Situation des individuellen Instituts angepasst werden müssen.

Neue Pflicht zur Bestellung eines Informationssicherheitsbeauftragten

Die Rubrik Informationssicherheitsmanagement hingegen enthält konkrete Anweisungen, die für jedes einzelne Institut gelten sollen. So müssen diese nach den Vorstellungen der BaFin einen unabhängigen Informationssicherheitsbeauftragten bestellen. Ähnlich wie der Geldwäschebeauftragte für die Geldwäscheprävention ist dieser Ansprechpartner und Koordinator für alle Fragen der IT-Sicherheit im Institut. Über die BAIT schaffen die Aufsichtsbehörden so eine neue, vom Gesetzgeber bisher nicht vorgesehene Pflichtposition in den Instituten.

Weiterhin trifft die BAIT Regelungen zur Entwicklung von IT-Anwendungen. Sie schreibt unter anderem die Festlegung von Programmierrichtlinien sowie strenge Dokumentationspflichten vor. So sollen Institute bei der Entwicklung von Projekten ein Lasten- und Pflichtenheft erstellen. Inwiefern Institute nach den Vorstellungen der Aufsichtsbehörden nunmehr noch auf agile Softwareentwicklung (z.B. SCRUM) setzen können, wie gerade FinTechs es oftmals praktizieren, ist noch offen. Auch die Verpflichtung jede veränderte Anwendung vor Produktivsetzung angemessen zu testen, könnte den Innovationszyklus von FinTechs verlängern und das Einspielen schneller Produktupdates (Hotfixes) verzögern.

Wenig Neues zur Auslagerung von IT-Dienstleistungen

Enttäuschend fällt der Abschnitt der BAIT zur Auslagerung von IT-Dienstleistungen aus. Dieser nimmt lediglich allgemein Bezug auf die MaRisk und erklärt auch den Fremdbezug von IT-Dienstleistungen zu einem mit der Auslagerung vergleichbaren Fall. Institute bleiben damit weiterhin im Dunkeln, wie sie Auslagerungen im konkreten Fall vorzunehmen und ihre Verträge zu gestalten haben.

Nach ihrem aktuellen Stand bieten die BAIT damit einige Richtlinien und Hinweise, die von den Instituten sicherlich dankbar aufgenommen werden, um ihre eigene IT aufsichtsrechtskonform zu gestalten und zu überwachen. Während die Schaffung des Informationssicherheitsbeauftragten eine konkrete neue Pflicht für alle Institute begründet, bleiben die Anforderungen für das sogenannte Cloud-Computing weiterhin im Vagen.

Institute sollten sich daher auch unter der Ägide der BAIT von einem Experten beraten lassen, um technisch sinnvolle und gleichzeitig rechtssichere Lösungen für ihre IT zu finden. Unsere Rechtsanwälte verfügen gemeinsam über große Expertise im Aufsichtsrecht und über ein hervorragendes Verständnis für IT. Gerne stehen wir Ihnen mit Rat und Tat zur Seite. Sie erreichen uns am einfachsten per E-Mail (info@winheller.com) oder gerne auch telefonisch (069 / 76 75 77 80).

Weiterlesen:
Auslagerung von Banken-IT: Aufsichtsrechtliche Vorgaben beachten
Aufsichtsrecht für Banken: Fallstricke vermeiden

Sebastian Förste

Sebastian Förste

Sebastian Förste berät Kredit- sowie Finanzdienstleistungsinstitute zu aufsichtsrechtlichen Fragestellungen und vertritt sie gegenüber der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) und der Bundesbank. Außerdem berät er zum Recht kryptographischer Währungen, wie beispielsweise Bitcoin, Ethereum und Ripple sowie zu Initial Coin Offerings/Token Sales.

>> Zum Profil

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

WINHELLER-Blog via Newsletter

Abonnieren Sie unsere kostenlosen Newsletter und erhalten Sie regelmäßig die wichtigsten Beiträge aus dem Wirtschafts- und/oder Gemeinnützigkeitsrecht bequem per E-Mail. Wählen Sie einfach Ihren Wunschnewsletter aus. (Pflichtfelder sind mit * markiert).

German Business Law News (4x jährlich)
Nonprofitrecht aktuell (1x im Monat)
Ich möchte den oder die ausgewählten Newsletter abonnieren und erteile zu diesem Zwecke meine Einwilligung in die Verarbeitung meiner oben angegebenen Daten durch WINHELLER. Die „Hinweise zur Datenverarbeitung im Rahmen des Newsletter-Abonnements“ habe ich gelesen.
Mir ist bekannt, dass ich meine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft durch Betätigung des Abmeldebuttons innerhalb des Newsletters widerrufen kann. *