Digital Trust Blog

Datenschutz: DSGVO-Health-Check

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist in den meisten Unternehmen laut Projektstatus erfolgt, doch wo stehen Sie als Unternehmen heute tatsächlich und wie stabil und effektiv ist Ihre Datenschutz-Compliance?

DSGVO-Health-Check

Nicht erst mit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG) im Mai 2018 stehen viele Unternehmen vor großen Herausforderungen. Das europäische und nationale Recht stellt viele Anforderungen zum Schutz personenbezogener Daten, mit welchen sich einzelne Unternehmen im Detail noch schwertun. Die DSGVO fordert umfangreiche Maßnahmen, weshalb eine neue Datenschutzrichtlinie allein meist nicht ausreicht und ein integrierter Blick auf die Prozess- und IT-Landschaft notwendig ist.

Anforderungskatalog für Betreiber kritischer Infrastrukturen (Kritis)

Mit Beschluss der Cyber-Sicherheitsstrategie der Bundesregierung sollen die IT-Systeme und digitalen Infrastrukturen in Deutschland geschützt werden, um einen Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen mit Folgen für Wirtschaft, Staat und Gesellschaft zu verhindern. Mit dem IT-Sicherheitsgesetz (IT-SiG) wurden Vorgaben zum Schutz kritischer Infrastrukturen (Kritis) definiert.

Einzelne Sektoren wie z.B. Gesundheitswesen, Wasser- und Energieversorgung haben in der Vergangenheit eigene branchenspezifische Sicherheitsstandards (B3S) mit dem BSI erarbeitet, um Rahmenwerke zur Auswahl, Umsetzung und Prüfung der Sicherheitsvorkehrungen zu erstellen und damit auch die Anforderungen zu konkretisieren.

Ein für alle Kritis-Betreiber anwendbarer Anforderungskatalog existierte bisher allerdings nicht, sodass insbesondere die Branchen, die keinen B3S hatten, eine gewisse Planungsunsicherheit im Rahmen der Ausrichtung an der Kritis-Verordnung sowie der entsprechenden Nachweiserbringung hatten. Auch der Banken- und Finanzdienstleistungssektor ist ein solcher Sektor ohne B3S.

Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Alle SWIFT-Nutzer sind zur Teilnahme am SWIFT Customer Security Programme (CSP) verpflichtet. Wir hatten bereits in 2019 auf erhöhte CSP-Anforderungen durch SWIFT hingewiesen.

Ab dem Jahr 2020 ist jährlich gemäß dem “Independent Assessment Framework” ein “Community Standard Assessment” vorgeschrieben, welches ein Assessment mindestens der verpflichtenden Kontrollen des SWIFT „Customer Security Controls Framework“ (CSCF) durch einen unabhängigen Dritten vorgibt. Dieses kann entweder durch externe Dritte oder eine interne unabhängige Funktion (z. B. Interne Revision) mit ausreichender Qualifikation¹ durchgeführt werden. Eine Nichteinhaltung von Vorgaben des SWIFT CSCF sowie ein nicht durchgeführtes Assessment durch SWIFT-Nutzer wird von SWIFT den lokalen Aufsichtsbehörden gemeldet.

Cloud in der Finanzindustrie – Jetzt sicher und compliant durchstarten

Die Nutzung von Cloud ist unabdingbar

Die Nutzung von Cloud-Technologie ist im FS-Sektor unabdingbar. Dies zeigt auch die PwC Studie zum Thema „Cloud Computing im Bankensektor“. Das Thema Cloud Computing besaß bereits zum Zeitpunkt der Studie für 68 Prozent der Institute eine hohe Branchenrelevanz. Und für die nächsten fünf Jahre rechnen die IT-Entscheider mit einer deutlich wachsenden Bedeutung.
Für viele Geschäftsmodelle und Prozesse, insbesondere im Zusammenhang mit Digitalisierungsinitiativen wird sich der Einsatz von Cloud Computing als integraler Bestandteil und Erfolgsfaktor festigen.

Cloud-Nutzer wissen insbesondere die verbesserte Service-Qualität, die Komplexitätsreduktion der eigenen IT-Architektur sowie die Verfügbarkeit von speziellen Ressourcen zu schätzen. Institute, welche noch keine Cloud-Lösungen nutzen, versprechen sich insbesondere eine höhere Flexibilität durch die Nutzung von neuen Cloud-Services.

EIOPA Konsultation: Richtlinien zu Outsourcing an Cloud-Service-Anbieter

Die Europäische Behörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) hat zum 31.01.2020 ihre Richtlinien für das Outsourcing an Anbieter von Cloud-Diensten unter Berücksichtigung der Rückmeldung der Konsultationsphase finalisiert. Als Reaktion auf die Kommentare hat die EIOPA das Datum zu dem die Richtlinien verpflichtend anzuwenden sind vom    1. Juli 2020 auf den 1. Januar 2021 verschoben.

Ebenfalls verlängert wurde der Zeitraum für die Überprüfung von bestehenden Vereinbarungen vom 1. Juli 2022 bis zum 31. Dezember 2022. Um innerhalb der Richtlinien das Proportionalitätsprinzip stärker zu verankern, wurde der Grundsatz der risikobasierten Überprüfung eingeführt, demzufolge nur diejenigen Cloud-Dienste, die sich auf kritische und wichtige operative Unternehmensfunktionen oder Aktivitäten beziehen zwingend überprüft und ggf. angepasst werden müssen.

Weitere Informationen zum ursprünglichen Entwurf finden Sie hier.

EBA Guidelines Outsourcing 2019 (EBA/GL/2019/02)

Zeitplan, Anwendbarkeit, wesentliche Neuerungen und Erfahrungsberichte

 

Zeitplan

Die am 25. Februar 2019 veröffentlichten EBA Leitlinien zu Auslagerungen traten am 30. September 2019 in Kraft. Eine verlängerte Umsetzungsfrist bis zum 31.12.2021 besteht grundsätzlich für Anforderungen an das Register und die Überprüfung wesentlicher Auslagerungsverträge.

Die EBA Leitlinien zu Auslagerungen tragen den EU-rechtlichen Vorgaben, insbesondere PSD 2 (2015/2366/EU), MiFID II (2017/565) und der CRD (2013/36/EU) Rechnung. Einhergehend mit dem rasanten Anstieg an (IT-) Auslagerungen sowie (IT-) Leistungsbezügen waren sie der Haupttreiber für die Ablösung der bisherigen CEBS Guidelines 2006. Sie erweitern den Anwendungsbereich und legen einheitlich für Institute, Zahlungsinstitute und E-Geld-Institute interne Governance Anforderungen für Auslagerungen fest, insbesondere mit Blick auf Auslagerungen kritischer oder wesentlicher Funktionen. Die EBA Leitlinien integrieren die Anforderungen an Cloud Dienste und ersetzen damit auch die EBA Recommendations on outsourcing to cloud service provider 2017 (EBA/REC/2017/03).

Die PSD 2 Richtlinie und ihre Anforderungen

Mit der Verabschiedung der zweiten Zahlungsdiensterichtlinie (PSD 2) ist eine Art „Grundgesetz“ für den EU-Zahlungsverkehrsmarkt in Kraft getreten. Ergänzt um diverse delegierte Rechtsverordnungen durch 2nd-Level (RTS/ITS) und 3rd-Level Dokumente (Guidelines) sind vielfältige Anforderungen definiert worden. Die neuen Anforderungen erweitern u.a. den Zahlungsdienstebegriff sowie den Anwendungsbereich und haben Auswirkungen auf bestehende Prozesse, wie die Vorfallüberwachung, -meldung oder operative Sicherheitsmaßnahmen. Die Anforderungen bedingen ebenso die Gestaltung neuer Prozesse, wie die Nutzung starker Kundenauthentifizierung bei bestimmten Transaktionen oder die Bereitstellung des Kontozugangs für Dritte nach Kundeneinwilligung.

Digitalisierung von Geschäftsprozessen im Finanzsektor

Warum Digitalisierung von Geschäftsprozessen?

Im Finanzsektor wird die Digitalisierung als große Chance wahrgenommen, um Prozesse und Systeme fit für die Zukunft zu gestalten. Insbesondere die Geschäftsprozesse von Finanzdienstleistern stehen im Fokus, da diese meist auf gewachsenen Strukturen und selbstentwickelten Kernbankensystemen basieren. Häufig können diese durch die Einführung und Nutzung neuer Technologien effizienter gestaltet werden. Darüber hinaus fördert der Einsatz von digitalen Technologien die Transparenz und Flexibilität und ermöglicht es, flexibler auf Kunden- und Marktanforderungen zu reagieren.

Anhand von drei Beispielen zeigen wir welches Digitalisierungs- und Optimierungspotential bei Finanzdienstleistern in der Regel besteht. Anschließend stellen wir unseren erprobten Ansatz vor, mit dem Digitalisierungs- sowie Optimierungspotenziale identifiziert und umgesetzt werden können.

/* */