Finanzwesen

In § 25a Abs. 1 KWG sind die Anforderungen an eine ordnungsgemäße Geschäftsorganisation von Instituten geregelt. Institute im Sinne dieser Vorschrift sind Banken und Finanzdienstleister.1Schmidl, in: Hauschka/Moosmayer/Lösler, Corporate Compliance, 3. Aufl. 2016, § 28 Rn. 91. Zu dieser ordnungsgemäßen Geschäftsorganisation gehört insbesondere ein angemessenes und wirksames Risikomanagement, § 25a Abs. 1 S. 3 KWG. Dieses soll die Risikotragfähigkeit des Unternehmens sicherstellen, Strategien zum Umgang mit Risiken festlegen und interne Kontrollverfahren einrichten. Dieses interne Kontrollverfahren wiederum umfasst ein internes Kontrollsystem und eine interne Revision.

Das Risikomanagementsystem unterliegt dem Proportionalitätsgrundsatz aus § 25a Abs. 1 S. 4 KWG, wonach es an Art, Umfang, Komplexität und Risikogehalt der Geschäftstätigkeit anzupassen ist. Die Angemessenheit und Wirksamkeit des Risikomanagements ist gemäß § 25a Abs. 1 S. 5 KWG regelmäßig zu überprüfen.

Ein besonders zu betonender Teil des Risikomanagements ist das zu entwickelnde angemessene Notfallkonzept für IT-Systeme, § 25a Abs. 1 Satz 3 Nr. 5 KWG. Die Funktionsfähigkeit der IT-Systeme ist Voraussetzung für die Erfüllung weiterer Vorgaben, wie bspw. § 25a Abs. 1 Satz 6 Nr. 1 KWG. Ein IT-Sicherheits-Notfallkonzept ist daher von herausragender Bedeutung.

Die BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) hatte ein Rundschreiben, das MaRisk (Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement), veröffentlicht, welches Konkretisierungen zu den Anforderungen an das Notfallkonzept enthielt. Die erste Version wurde am 1.1.2016 aufgehoben. Die Behörde hat allerdings am 27.10.2017 neue Mindestanforderungen an das Risikomanagement veröffentlicht.2https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html?nn=9021442  Darüber hinaus gilt seit dem Rundschreiben vom 03.11.2017 ein weiterer Anforderungskatalog der Behörde, den Bankaufsichtlichen Anforderungen an die IT (BAIT).3https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.html?nn=9021442 Die BAIT ist daher für IT-Standards von besonderem Interesse, da hier insbesondere der Mindeststandard für das IT-Risikomanagement vorgegeben wird.

  • Das Notfallkonzept sollte regelmäßig anhand Notfalltests überprüft werden, deren Ergebnisse den Verantwortlichen zur Verfügung stehen sollten.
  • Das Notfallkonzept sollte eine Ersatzlösung beinhalten, um die Geschäfte im Notfall fortführen zu können. Dies umfasst auch die zu verwendenden Kommunikationswege, sowie einen Wiederanlaufplan, um möglichst zeitnah zum Normalbetrieb zurückkehren zu können.
  • Die Notfallmaßnahmen sollten geeignet sein, Schäden zu minimieren.
  • Die Mitarbeiter sollten Zugriff auf das Notfallkonzept haben.

Referenzen   [ + ]