Digital Trust Blog

IT-Regulatorik Update – Konsultation der Erstfassung der Zahlungsdienste-aufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)

Am 12. April 2021 hat die Bundesanstalt fĂĽr Finanzdienstleistungsaufsicht (BaFin) den Konsultationsprozess zu den „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT)“ eingeleitet. Stellungnahmen zum Entwurf können der Deutschen Bundesbank sowie der BaFin bis zum 14. Mai 2021 schriftlich mitgeteilt werden und sollen auf den jeweiligen Webseiten veröffentlicht werden.

Der Konsultationsentwurf greift die Anforderungen der sich aktuell ebenfalls im Konsultationsverfahren befindlichen Novelle der Bankaufsichtlichen Anforderungen an die IT (BAIT) auf und ergänzt diese um weitere Anforderungen zur Aufbau- und Ablauforganisation, zur technisch-organisatorischen Ausstattung, zum Notfallmanagement sowie zu Auslagerungen. Diese Ergänzungen orientieren sich dabei an den entsprechenden Anforderungen aus der aktuellen Konsultationsfassung der Mindestanforderungen an das Risikomanagement (MaRisk). Zudem werden spezifische Anforderungen zum Management der Beziehungen mit Zahlungsdienstnutzern niedergelegt.

Digital Internal Audit

Durch unabhängige und objektive Prüfungsaktivitäten hilft die Interne Revision die Risikosituation des Unternehmens angemessen zu beurteilen. Die Interne Revision trägt auch dazu bei, die Prozessabläufe zu verbessern und die Effektivität der Kontrollsysteme zu erhöhen. Um richtig auf die digitale Transformation zu reagieren, muss die Interne Revision jedoch auch die Entwicklung disruptiver, innovativer und transformativer Lösungen vorantreiben. Dadurch steigt die Qualität der Prüfung und die Rolle der Internen Revision verändert sich. Die Interne Revision befindet sich bei der Digitalisierung im Zugzwang, denn trotz der aktuellen Veränderungen hat sich die Tätigkeit und das Prüfungsvorgehen der Internen Revision in den letzten Jahren nur punktuell verändert. Um den Anschluss nicht zu verlieren, muss sich die Art und Weise ändern, wie Revisionsprüfungen durchgeführt werden.

Text Mining im Finanzsektor: Einfache und schnelle Analyse von Texten zur Generierung von Erkenntnissen und Effizienzsteigerungen

Text Mining ermöglicht die (teil-) automatisierte Auswertung von Texten in einem Umfang, der durch herkömmliche manuelle Analysen nicht zu bewältigen ist.

Dank Text Mining können Mitarbeitende aus der Informationsflut an Texten im Unternehmen relevante Daten ohne großen Zeitaufwand für sich erschließen. Auch werden neue Erkenntnisse gewonnen, auf deren Basis schnellere Entscheidungen getroffen werden können, wodurch Unternehmen Effizienzsteigerungen wie bspw. durch Produktoptimierung oder Kosteneinsparpotentiale verzeichnen.

Vertrauensvoller Einsatz von kĂĽnstlicher Intelligenz im Finanzsektor – Das BSI veröffentlicht weltweit ersten Compliance Kriterienkatalog fĂĽr KĂĽnstliche Intelligenz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 2. Februar 2021 den ersten Kriterienkatalog für den vertrauenswürdigen und sicheren Einsatz von Künstlicher Intelligenz (KI) veröffentlicht.

Die Kriterien im AI Cloud Service Compliance Criteria Catalogue (AIC4) können vielfältig angewendet werden: Als Grundlage für Prüfungen nach ISAE 3000 (Revised) schaffen sie Transparenz für Nutzer von KI-Services. Ebenso bilden sie eine solide Grundlage für die Qualitätssicherung von KI im Entwicklungs- und Betriebsprozess.

Die neue ISO/IEC 5230 Zertifizierung von Open Source Software Compliance Management ermöglicht Vertrauen in Urheber- und Nutzungsrechte und Reduzierung von Sicherheitsrisiken in der Softwareentwicklung

Softwareentwicklung mit Open Source Komponenten

Moderne Softwareentwicklung setzt in beinahe allen Bereichen auf die breite Verwendung von Open Source Software. Nicht verwunderlich, denn Benefits des Open Source Software Modells, etwa Time-To-Market, Innovation, Share&Collaborate und Security, versprechen wesentliche Marktvorteile.

Auch im Finanzsektor ist Open Source längst angekommen. Die Fintech Open Source Foundation, deren Governing Board u. a. Morgan Stanley, Royal Bank of Canada, Deutsche Bank, JP Morgan und Citi angehören, schafft Open Source Lösungen explizit für Finanzdienstleister. Die Kollaboration in der Softwareentwicklung ist hier längst auf der Überholspur.

IT-Regulatorik Update – Konsultation der Neufassungen der BAIT und MaRisk

Am 26. Oktober 2020 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die Entwürfe der Novellen der Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie der Mindestanforderungen an das Risikomanagement (MaRisk) in ein öffentliches Konsultationsverfahren überführt. Stellungnahmen zu den Entwürfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23. November 2020 (BAIT) bzw. 4.Dezember 2020 (MaRisk) schriftlich mitgeteilt werden konnten, werden auf den jeweiligen Websites veröffentlicht. Eine Veröffentlichung der Novellen in der finalen Fassung im 1. Quartal 2021 nach Abschluss des Konsultationsverfahrens ist wahrscheinlich.

Die neuen GoBD als Treiber der Digitalisierung

Das Bundesministerium der Finanzen hat mit dem BMF-Schreiben vom 28. November 2019 die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) neu gefasst und damit die GoBD vom 14. November 2014 ersetzt. In Kraft getreten sind die neugefassten GoBD seit dem 1. Januar 2020. In den neuen GoBD wurden punktuelle Änderungen vorgenommen, die zum einen zur Klarstellung dienen und zum anderen die Entwicklung hin zu digitalen Prozessen berücksichtigen und die Nutzung von aktuellen Technologien unterstützen.

Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich fĂĽr die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht – wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die Ăśberwachung der eingerichteten MaĂźnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur Erfüllung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbehörden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Maßnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bußgeldrisiken sowie die Eintrittswahrscheinlichkeit für Datenschutzverletzungen reduzieren kann.