Aufrufe
vor 2 Jahren

die bank 06 // 2021

  • Text
  • Deutschen
  • Zentralbanken
  • Hinaus
  • Digitalen
  • Befragten
  • Digitale
  • Markt
  • Spacs
  • Banken
  • Unternehmen
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

DIGITALISIERUNG der EU

DIGITALISIERUNG der EU eingerichtet, unterliegen aber weiterhin der US-Gesetzgebung, die in diesem Fall auch für außerhalb der USA gespeicherte Daten gilt, die in Clouds amerikanischer Firmen gehalten werden. Jede Bank muss Risikoanalyse durchführen Insofern muss jede Bank für die eigenen Daten vor deren Verlagerung in öffentliche Clouds US-amerikanischer Firmen eine Risikoanalyse durchführen. Ein Restrisiko, dass der Cloud- Betreiber Dritten den Zugriff auf Daten gewährt, bleibt bestehen. Dieses Restrisiko muss von der zuständigen Entscheidungsinstanz bei der Bank übernommen werden, bevor Daten dem Restrisiko ausgesetzt werden. Aus der Betrachtung der Cloud-Sicherheit folgt in vielen Fällen, dass ein Finanzinstitut bewusst nur Teile der eigenen Daten in der Cloud speichert und verarbeitet. Die Cloud- Strategie muss die Daten der Bank hinsichtlich ihrer Eignung für Cloud Computing differenziert behandeln. Auswahlkriterien für Cloudgeeignete Daten sollten nicht auf den Wert der Daten reduziert werden. Gerade der hohe Wert mancher Daten kann eine Motivation sein, hochverfügbare Cloud-Strukturen für die Haltung dieser Daten zu nutzen. Ein Kriterium, das zumindest neben anderen anzuwenden ist, besteht in der Prüfung personengebundener Daten. Unabhängig von eigenen Richtlinien der Bank unterliegen personengebundene Daten staatlichen Vorgaben wie der DSGVO. Diese sind unabhängig vom Wert der Daten für das Kreditinstitut einzuhalten, weil bei Verstößen gegen die DSGVO hohe Bußgelder drohen. Insofern muss die Bank vor der Verlagerung von Datenbeständen in öffentliche Clouds rechtlich prüfen lassen, ob es sich um personengebundene Daten handelt und ob die Verlagerung solcher Daten in eine bestimmte öffentliche Cloud rechtlich zulässig ist. EBA/REC/2017/03 Die Europäische Bankenaufsicht EBA hat im Dokument EBA/REC/2017/03 Empfehlungen zu Cloud-Diensten ausgesprochen. Dieses Dokument ist in Sachen Cloud-Compliance-Regeln für die europäischen Banken das Maß der Dinge. Es spezifiziert u. a. folgende Maßnahmen im Zusammenhang mit der Nutzung von Cloud Computing: Z Bewertung, welche Tätigkeiten als wesentlich zu erachten sind Z Angemessene Information der zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Anbieter ausgelagert werden Z Führen eines stets aktuellen Informationsverzeichnisses mit allen wesentlichen und nicht wesentlichen Tätigkeiten, die auf Instituts- und Gruppenebene an Cloud-Anbieter übertragen wurden Z Gewährung von Zugangs- und Prüfrecht durch den Cloud-Anbieter, und zwar • gegenüber dem Institut, Dritten, die vom Institut diesbezüglich beauftragt wurden, und dem Wirtschaftsprüfer des Instituts • gegenüber der zuständigen Behörde, die das auslagernde Institut beaufsichtigt Z Verpflichtung des Cloud-Anbieters, die Vertraulichkeit der vom Finanzinstitut übermittelten Informationen zu wahren Z Identifizierung und Klassifizierung von Tätigkeiten, Prozessen und zugehörigen Daten und Systemen hinsichtlich ihrer Sensibilität und des erforderlichen Schutzes Z Sorgfältige risikobasierte Auswahl der Tätigkeiten, Prozesse und zugehörigen Daten und Systeme, bei denen die Auslagerung in eine Cloud-Computing-Lösung erwogen wird Z Festlegung und Vorgabe eines angemessenen Schutzniveaus für die Vertraulichkeit von Daten, die Kontinuität ausgelagerter Tätigkeiten sowie die Integrität und Rückverfolgbarkeit von Daten und Systemen im Rahmen der geplanten Cloud-Auslagerung Z Erwägung spezieller Maßnahmen wie des Einsatzes von Verschlüsselungstechnologien in Kombination mit einer geeigneten Architektur für das Schlüsselmanagement Z Überwachung von Sicherheitsmaßnahmen und Sicherheitsvorfällen 60 06 // 2021

DIGITALISIERUNG Z Analyse von Risiken für den Datenschutz und für eine wirksame Aufsicht durch die Aufsichtsbehörde bei Auslagerungsvereinbarungen außerhalb des EWR Z Risikoanalyse des Standorts der Datenspeicherung und der Datenverarbeitung einschließlich der Bewertung der Folgen potenzieller Risiken, rechtlicher Risiken und Compliance-Aspekte sowie die Aufsichtsbeschränkungen in den Ländern, in denen die ausgelagerten Dienste erbracht und die Daten gespeichert werden (oder wahrscheinlich erbracht bzw. gespeichert werden sollen), insbesondere: • Überlegungen zur allgemeinen Stabilität von Politik und Sicherheit in den betreffenden Gerichtsbarkeiten • die in diesen Gerichtsbarkeiten geltenden Gesetze (einschließlich der Gesetze zum Datenschutz) • die in diesen Gerichtsbarkeiten geltenden Vorschriften zur Rechtsdurchsetzung, einschließlich der insolvenzrechtlichen Vorschriften, die bei einem Ausfall des Cloud-Anbieters greifen würden Z Sicherstellung, dass die o.g. Risiken auf ein vertretbares, der Wesentlichkeit der ausgelagerten Tätigkeiten angemessenes Maß beschränkt bleiben Z Regelungen zur Weiterverlagerung von Cloud zu Cloud, Notfallpläne und Auslagerungsstrategien Vorgaben der BaFin und MaRisk Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat das Dokument Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter veröffentlicht. Dieses Dokument orientiert sich weitgehend an der EBA/ REC 2017/03. In diesem Dokument wird darüber hinaus auf den Aspekt der Sammelprüfungen statt institutsspezifischer Prüfungen eingegangen. Das BaFin-Merkblatt lässt Sammelprüfungen wie folgt zu: „Beaufsichtigte Unternehmen (…) finden Erleichterungen im Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – (MaRisk). Gemäß BT 2.1 Tz. 3 MaRisk kann die interne Revision des beaufsichtigten Unternehmens im Fall wesentlicher Auslagerungen auf eigene Prüfungshandlungen verzichten, sofern die anderweitig durchgeführte Revisionstätigkeit den Anforderungen in AT 4.4 und BT 2 MaRisk genügt. Die Interne Revision des auslagernden beaufsichtigten Unternehmens hat sich von der Einhaltung dieser Voraussetzungen regelmäßig zu überzeugen. Die für das beaufsichtigte Unternehmen relevanten Prüfungsergebnisse sind an die Interne Revision des auslagernden beaufsichtigten Unternehmens weiterzuleiten.“ Die Mindestanforderungen an das Risikomanagement – (MaRisk) sind auch bei der Nutzung von Cloud Computing zu beachten. Zugang zur Cloud Die Cloud-Strategie muss den Zugang eines Finanzinstituts zu Clouds näher spezifizieren. Öffentliche Clouds unterstützen im Wesentlichen die folgenden Wege für den Zugriff und den Datenaustausch mit Clouds: Z Zugriff über das öffentliche Internet ohne ein Virtual Private Network (VPN): Dies ist der Standardweg für den User-Zugriff auf 06 // 2021 61

die bank