Das Jahr 2020 wird für Banken und Sparkassen im Zeichen zahlreicher regulatorischer Initiativen zur Informationstechnologie und Digitalisierung stehen. Eine Vielzahl neuer Anforderungen aus unterschiedlichen Bereichen wird von den Kreditinstituten zu beachten sein.

Aktuelle Anforderungen der IT-Regulatorik an Kreditinstitute

Aktuelle Anforderungen der IT-Regulatorik an Kreditinstitute.

Partner des Bank Blogs

Auch wenn das vom Bundesinnenministerium seit längerem angekündigte IT-Sicherheitsgesetz weiterhin auf sich warten lässt, besteht kein Mangel an Gesetzesinitiativen. Hier sind sowohl allgemeine Vorhaben zu beachten, wie die Weiterentwicklung des Netzwerkdurchsetzungsgesetzes durch das Bundesministerium der Justiz und für Verbraucherschutz sowie der vom Bundesministerium für Wirtschaft und Energie vorgelegte Referentenentwurf zum „GWB-Digitalisierungsgesetz“. Darüber hinaus sind spezifische regulatorische Ent-wicklungen betreffend die IT ausgehend von EBA, BaFin / Bundesbank, der EU-Kommission und dem BSI zu beachten ebenso wie die Fortentwicklung der Prüfungs- & Sanktionspraxis von Bankaufsichts- und Datenschutzbehörden.

Ein selektiver Überblick gibt erste Einblicke zu folgenden Themen:

  • EBA-Publikationen und BAIT,
  • EBA Report on Big Data and Advanced Analytics,
  • TIBER-EU und TIBER-DE,
  • BSI-Kriterienkatalog Cloud-Computing,
  • digitales Wettbewerbsrecht und
  • DSGV-Umsetzung.

EBA-Guidelines on ICT & Security Risk Management und BAIT-Novelle

Von besonderem Interesse für Banken sind zunächst die EBA Guidelines on ICT & Security Risk Management. Diese wurden in ihrer finalen englischsprachigen Fassung am 28.11.2019 veröffentlicht. Im nächsten Schritt erfolgt aktuell die Übersetzung in alle EU-Amtssprachen. Als Umsetzungstermin für die Leitlinien hat die EBA den 30.06.2020 gesetzt.

Ebenso wie für die EBA-Leitlinien zu Auslagerungen, für welche die BaFin eine Umsetzung in den neuen MaRisk bis 31.12.2020 anstrebt, wird die deutsche Aufsicht auch die Leitlinien zum IKT- und Sicherheitsrisikomanagement verzögert in nationales Recht umsetzen.

Es ist zu erwarten, dass kleinere Anpassungen der Bankaufsichtlichen Anforderungen an die IT (BAIT) erfolgen werden. Ob dies bereits bis 31.12.2020 erfolgen wird, ist aktuell fraglich vor dem Hintergrund, dass nach den jüngsten BaFin-Aussagen bereits mit einer Verzögerung der Fertigstellung der geplanten MaRisk-Novelle über das Jahr 2020 hinaus gerechnet werden muss.

EBA Report on Big Data and Advanced Analytics

Am Januar 2020 hat die EBA einen 60 Seiten umfassenden Bericht veröffentlicht, in dem sie einerseits Einsatzmöglichkeiten von Big Data und Advanced Analytics beschreibt und andererseits auf Risiken hinweist. Aus Sicht der EBA müssen die Banken insbesondere eine klare Aufbau- und Ablauforganisation (Internal Governance) zur Nutzung dieser Verfahren besitzen, Modellrisiken angemessen steuern (v.a. durch „Explainability“ der Methoden und Ergebnisse) und alle mit dem Methodeneinsatz verbundenen Risiken erfassen (hierzu ist ein „Risk Assessment“ die Grundlage).

Darüber hinaus betont die EBA die zentrale Rolle des Vertrauens (= „Trust“) der Kunden und anderen Stakeholder. Dies kann nur gewährleistet sein, sofern die Technologien Big Data und Advanced Analytics den Kunden gegenüber transparent, fair und auf Basis hoher ethischer Standards genutzt werden.

Kommissionskonsultation zur Verbesserung der „Cyber-Resilienz“ im Bereich Finanzdienstleistungen

Am 19.12.2019 hat die EU-Kommission eine dreimonatige Konsultation gestartet, mit der die Öffentlichkeit und betroffene Unternehmen und Stellungnahme zu geplanten Regelungen zur Verbesserung der Widerstandsfähigkeit gegenüber Cyberrisiken bei Finanzdienstleistungen gebeten werden. Das 25-seitige Konsultationspapier enthält u.a. Regulierungsideen zur Meldung von Cyber-Incidents, für ein „digital operational resilience testing framework“ sowie zur Überwachung von IT-Dienstleistern für den Finanzsektor. Die EU greift dabei international auf Ebene der G7 und des Financial Stability Board diskutierte Initiativen auf.

TIBER-EU und TIBER-DE

Neben BAIT und EBA weniger im Mittelpunkt aber ähnlich wichtig ist die Vorbereitung der Banken auf das so genannte TIBER-EU Rahmenwerk. Relativ knapp haben Bundesbank und BMF öffentlich Banken zur Teilnahme an der nationalen Umsetzung von Penetrationstests über ein neu ins Leben gerufene TIBER-DE Rahmenwerk aufgerufen. Banken, die hierzu keinerlei Ambitionen haben, müssen sich bewusst sein, dass Penetrationstests sowohl in den bereits geltenden BAIT als auch in den EBA-Leitlinien bereits genannt sind.

Auf dieser Rechtsgrundlage wird die Aufsicht früher oder später von den größeren Instituten und möglicherweise auch von den Rechenzentren im Verbund Maßnahmen erwarten.

Überarbeiteter BSI-Kriterienkatalog Cloud-Computing

Viel konkreter sind die Arbeiten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) hinsichtlich des Cloud-Computing als wesentlicher Variante des Third-Party-Risk. Einen überarbeiteten Cloud-Computing Compliance Criteria Catalogue (C5) hat das BSI in einer eigenen Fachkonferenz am 21.01.2020 vorgestellt.

Der 116-seitige Kriterienkatalog wurde gegenüber der 2016 veröffentlichten Erstfassung ergänzt um neue Konzepte wie „DevOps“ (Zusammenwachsen von IT-Entwicklung & -Betrieb), aus dem EU Cybersecurity Act abgeleitete produktspezifische Informationssicherheitsaspekte sowie Kriterien für eigene Sicherheitsmaßnahmen der Nutzer von Cloud-Diensten.

Reform des Gesetzes gegen Wettbewerbsbeschränkungen (GWB)

Der Referentenentwurf vom 24.01.2020 zum „GWB-Digitalisierungsgesetz“ soll unter anderem verstärkte Möglichkeiten schaffen zur Missbrauchsaufsicht gegenüber großen marktbeherrschenden Digitalunternehmen und dabei den Markt- und Datenzugang von Wettbewerbern stärken. Dies sollten die Banken bei ihren Digitalisierungsstrategien berücksichtigen und kann die Chancen kleiner FinTechs gegenüber den großen US-amerikanischen IT-Unternehmen wie Apple, Google, Amazon und Facebook nachhaltig erhöhen.

Das Bundesministerium für Wirtschaft und Energie (BMWi) greift Vorschläge zur Reform der Missbrauchsaufsicht, Ergebnisse der „Kommission Wettbewerbsrecht 4.0“ sowie Diskussionselemente zur Reform des Wettbewerbsrechts auf EU-Ebene und in den USA auf. Einstweilige Maßnahmen zum Schutz von Konkurrenten gegen unlauteren Wettbewerb marktbeherrschender Digitalunternehmen sollen schneller und wirksamer ergriffen werden. Plattformen sollen stärker überwacht werden hinsichtlich der Nutzung der von ihnen gesammelten Daten zum Ausbau einer marktbeherrschender Stellung und Benachteiligung von Konkurrenten. Nutzern soll die Übertragung ihrer Daten erleichtert werden.

Die Debatte über die ordnungspolitische Ausrichtung der digitalen Ökonomie wird durch die Gesetzesinitiative weiter zunehmen. Dies bedeutet für die Banken auch die Chance, ihre digitalen Geschäftsmodelle bekannter zu machen und ihre gegenüber IT-Unternehmen besondere Vertrauenswürdigkeit beim Datenschutz in der Öffentlichkeit hervorzuheben.

DSGVO-Verstöße und Sanktionspraxis der deutschen Datenschutzbehörden

Aufgrund der Wichtigkeit des Vertrauens in den Datenschutz als Geschäftsgrundlage der digitalen Ökonomie muss das Vermeiden von Datenschutzskandalen für alle Banken hohe Priorität besitzen. Neben den Reputationsrisiken sowie geschäftsstrategischen Implikationen von Datenschutzverstößen sind auch die Strafmaßnahmen zu berücksichtigen.

Die Datenschutzgrundverordnung (DSGVO) sieht hier auch Haftstrafen und die Möglichkeit von Milliardenstrafen vor. Bisher haben die deutschen Datenschutzbehörden zwar nur sehr milde Geldstrafen ausgesprochen, die Banken sollten aber den Trend zu höheren Strafen zur Kenntnis nehmen ebenso wie die bekannt gewordenen gravierenden IT-Mängel bei deutschen Unternehmen.

Einerseits ist hierbei das von der Berliner Datenschutzbeauftragten verhängte Bußgeld gegen den Immobilienkonzern Deutsche Wohnen zu nennen. Die Pressemitteilung der Landesdatenschutzbeauftragten erläutert, inwiefern das verhängte Bußgeld in Höhe von 14,5 Mio. € bei weitem nicht am oberen Ende der rechtlichen Möglichkeiten angesiedelt wurde. Gleichzeitig wurde die Öffentlichkeit über den Umfang der unzulässigen Datenhaltung der Deutsche Wohnen mit zahlreichen sensiblen und nicht benötigten Informationen über ehemalige Mieter informiert, ebenso wie über die anhaltenden Schwierigkeiten diesen „Datenfriedhof“ zu bereinigen.

Ende Januar wurde nun ein neuer Datenschutzskandal beim Autovermieter Buchbinder bekannt. Ähnlich wie bei Deutsche Wohnen wurden hier sehr umfangreich nicht (mehr) benötigte Daten von ehemaligen Kunden des Autovermieters und wohl auch dritter Firmen gesammelt und in einer Datenhalde abgelegt. Ob der Umfang dieser Datenerhebung gemäß DSGVO überhaupt zulässig ist, scheint zweifelhaft zu sein. Offensichtlich ist die fehlende Löschung von Daten, nachdem diese nicht mehr benötigt wurden. Darüber hinaus konnten aufgrund grundlegender Sicherheitsmängel unbefugte Dritte in einfachster Weise auf den gesamten Datenbestand in einer per Internet zugänglichen Datenbank zugreifen.

Es ist ersichtlich, dass die zuständigen Datenschutzbeauftragten gegenüber vorherigen Fällen hier wohl noch höhere Strafen verhängen müssen. Inwiefern hiervon auch Unternehmen betroffen sind, die ihre Kundendaten an Buchbinder zur Auftragsverarbeitung weitergegeben haben, ist noch offen.

Für die Banken sind aus den genannten DSGVO-Verstößen folgende Lehren zu ziehen um potenzielle Sanktionen der Datenschutzbehörden aber auch Moniten bei bankaufsichtlichen Prüfungen zu vermeiden:

  1. Nicht mehr benötigte Daten müssen strukturiert und umfassend gelöscht werden.
  2. Auftragsbearbeiter müssen insbesondere bei der Datenarchivierung wegen der Brisanz möglicher Sicherheitslücken gut überwacht werden.