Akuell im ITRB

Neue aufsichtsrechtliche Anforderungen für Auslagerungsunternehmen und Softwareanbieter - Neuerungen der 5. Novelle der MaRisk und Einführung der BAIT (Witzel, ITRB 2018, 12)

Die BaFin hat am 27.10.2017 die seit langem erwartete finale Fassung der 5. Novelle der MaRisk  vorlegt. Um die Erwartungen hinsichtlich der sicheren Ausgestaltung der IT-Systeme und der zugehörigen Prozesse sowie die Anforderungen an die IT-Governance transparent zu machen, hat die BaFin zudem am 6.11.2017 die BAIT veröffentlicht. Sie sind ab sofort in Kraft und nunmehr zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.

  1. Zielsetzung von MaRisk und BAIT
  2. Wesentliche Neuerungen der 5. Novelle der MaRisk
    1. Vorgaben für Risikodatenaggregation und Risikoberichterstattung
    2. Vorgaben für die Entwicklung einer angemessenen Risikokultur und Risikogovernance
    3. Vorgaben für die Auslagerung
      1. Auslagerungsmanagement, Grenzen der Auslagerbarkeit
      2. Auslagerung und sonstiger Fremdbezug
      3. Beendigung der Auslagerung
      4. Weiterverlagerungen
      5. Sonstiges
    4. Weitere Änderungen und Neuerungen in der 5. Novelle der MaRisk
  3. Wesentliche Inhalte und Anforderungen der BAIT
    1. IT-Strategie
    2. Informationsrisikomanagement
    3. Informationssicherheitsmanagement
    4. Benutzerberechtigungsmanagement
  4. Maßgaben für die Gestaltung von Auslagerungsverträgen
    1. Relevante Module der MaRisk
    2. Wesentliche Anforderungen an einen Auslagerungsvertrag
    3. Mindestinhalte eines Auslagerungsvertrags
    4. Typische Mängel in Auslagerungsverträgen

I. Zielsetzung von MaRisk und BAIT
Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken. Der Trend zur Globalisierung bestimmt auch mehr und mehr die Bankgeschäfte. In der heutigen Finanzwelt, in der immer mehr Menschen digital bezahlen bzw. Geld transferieren und viele Anleger ihre Geldanlagen online bestreiten, haben IT-Governance und Informationssicherheit für die Bankenaufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität. Zur Gewährleistung der IT-Sicherheit werden von der BaFin verschiedene Leitlinien zur Verfügung gestellt.

Wie die MaRisk  interpretieren auch die BAIT  die gesetzlichen Anforderungen des § 25a Abs. 1 Satz 3 Nr. 4 und 5 KWG. Die Aufsicht erläutert in den BAIT, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht. Da Kreditinstitute zunehmend IT-Dienstleistungen von Dritten beziehen, auch im Rahmen von Auslagerungen, wird auch der § 25b KWG in diese Interpretation einbezogen.

Ausgangspunkt für die rechtliche Bewertung einer Auslagerung ist § 25b Abs. 2 KWG. Die Auslagerung von Geschäftsprozessen darf weder die Ordnungsgemäßheit die ausgelagerten Geschäfte und Dienstleistungen noch die Geschäftsorganisation beeinträchtigen; die Auslagerung darf nicht zu einer Übertragung der Verantwortung der Geschäftsführung an das Auslagerungsunternehmen führen. Das auslagernde Institut bleibt bei der Auslagerung für die Einhaltung der gesetzlichen Bestimmungen verantwortlich. Während aus § 25a Abs. 1 KWG bereits die Verpflichtung zur Ordnungsmäßigkeit der Geschäftsorganisation und zur Durchführung eines angemessenen und wirksamen Risikomanagements (abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit) folgt, fordert § 25b KWG insb.:

  • (unveränderte) Gewährleistung eines angemessenen und wirksamen Risikomanagements unter Einbeziehung der ausgelagerten Aktivitäten und Prozesse und Vermeidung übermäßiger zusätzlicher Risiken;
  • Sicherstellung der Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten;
  • Abschluss eines schriftlichen Auslagerungsvertrags zur Sicherstellung der für Auskunft, Prüfung und Kontrolle erforderlichen Rechte.
    Nach dem KWG lässt sich unter "Auslagerung" grundsätzlich die Übertragung von Aktivitäten und Prozessen des regulierten Unternehmens auf ...


Verlag Dr. Otto Schmidt vom 23.01.2018 16:53
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite