die bank 08 // 2017

REGULIERUNG Claudio

REGULIERUNG Claudio Chirco und Stefan Hirschmann im Redaktionsgespräch in Düsseldorf. diebank: Da sprechen Sie einen zentralen Punkt an. Mit der zunehmenden Bedeutung von IT-Sicherheit und Datenschutz für die Institute wird auch die Position des ISB und des DSB erheblich aufgewertet. Chirco: Ja, dem muss der jeweils hiermit betraute Mitarbeiter nicht nur fachlich entsprechen, sondern er muss auch aufgrund seiner Persönlichkeit und seiner Stellung im Institut die Einhaltung der gesetzlichen und regulatorischen Vorgaben durchsetzen können bzw. sich Gehör bei der Geschäftsleitung verschaffen, auch gegen die Widerstände anderer Abteilungen. Dies ist erfahrungsgemäß nicht immer einfach. Umso wichtiger ist, dass der hiermit betraute Mitarbeiter allseits respektiert wird und seine Aussagen ein gewisses Gewicht haben. Da der Mitarbeiter selbst weder Mitglied der Geschäftsleitung sein darf, noch zu den jeweils überwachten Fachabteilungen gehören darf ist es natürlich schwierig, einen idealen Kandidaten zu finden. Auch deshalb halte ich es für sinnvoll, wenn eine Personalunion von ISB und DSB ausdrücklich für zulässig erklärt werden würde. Eine solche Klarstellung durch die Ba- Fin und die Landesdatenschutzbeauftragten steht leider noch aus. diebank: Was würden Sie den Instituten zum Abschluss raten? Chirco: Viele Institute haben die Bedeutung der IT-Sicherheit verstanden und konzentrieren sich diesbezüglich auf die Umsetzung. Dies ist gut und sinnvoll, da die BAIT aufgrund ihrer reinen Konkretisierungsfunktion im Hinblick auf die MaRisk keinerlei Umsetzungsfrist vorsieht. Gleichwohl sollten die Institute hierbei nicht die ab dem 25. Mai 2018 geltende DSGVO aus den Augen verlieren. Der in diesem Zusammenhang bestehende Anpassungsbedarf ist nicht zu unterschätzen. Letztlich müssen diesbezüglich sämtliche Verarbeitungsprozesse, bei denen personenbezogene Daten involviert sind, auf den Prüfstand und ggf. angepasst werden. Da hier sämtliche Abteilungen involviert werden müssen, wird die Zeit langsam etwas knapp, wenn man nächstes Jahr im Mai alles umgesetzt haben möchte. Angesichts der diesbezüglich drohenden Strafen von bis zu 20 Mio. € oder vier Prozent des weltweiten Konzernjahresumsatzes ist Abwarten keine Option. diebank: Herr Dr. Chirco, haben Sie vielen Dank für dieses Interview. Die Fragen stellte Stefan Hirschmann. diebank: Welche Klarstellungen der Aufsichtsbehörden würden Sie sich darüber hinaus noch wünschen? Chirco: Eine sehr sinnvolle Erklärung wäre, inwieweit die BAIT als B3S, also als Branchenspezifischer Sicherheitsstandard i.S.v. § 8a BSIG gelten. 1:1 wird man diese wohl nicht übernehmen können, da die BAIT an diversen Stellen Risikoabwägungen genügen lässt, also angemessene Risiken zulässig sind, wohingegen bei einer Kritischen Infrastruktur im Zweifel keinerlei Risiko eingegangen werden darf. Die Zielsetzung von BSIG und BAIT sind jedoch sehr ähnlich, weshalb sich auch die wesentlichen Anforderungen an die IT-Sicherheit decken werden. 56 08 // 2017

REGULIERUNG MIFID II BRINGT ÄNDERUNGEN FÜR WERTPAPIERHÄNDLER Product Governance effizient umsetzen Im herstellenden Gewerbe, etwa in der Automobilindustrie, existiert schon lange die Pflicht, Produkte auch noch nach ihrer Markteinführung zu beobachten und bei Risiken geeignete Maßnahmen zu ergreifen. Ähnliches trifft mit der Einführung der MiFID II unter dem Begriff „Product Governance“ künftig auch auf die Emittenten von Wertpapieren zu. Den Begriff „Product Governance“ benutzt die MiFID II zwar nicht wörtlich, es findet sich jedoch eine Definition der ESMA in einer Stellungnahme zu strukturierten Produkten; demnach bezieht sich die Product Governance auf alle Maßnahmen (z. B. Richtlinien, Grundsätze, Verfahrensabläufe und Kontrollsysteme), die bei der Herstellung und dem Vertrieb von Finanzinstrumenten anzuwenden sind. 1 Die Product Governance ist im Rahmen der gesamten MiFID II-Richtlinie von Finanzinstituten ab dem 3. Januar 2018 anzuwenden. Sowohl für die Vertriebsseite als auch für den Hersteller gilt es, jedes einzelne Finanzinstrument zu erfassen, einem detaillierten Zielmarkt zuzuordnen und an eine passende Vertriebsstrategie anzulehnen. Die zugrunde gelegten Kriterien müssen kontinuierlich auf ihre Geeignetheit überprüft werden. Als übergeordnete Regel gilt für die Product Governance, dass über den kompletten Produktlebenszyklus das Interesse des Kunden im Vordergrund steht. Im Fall einer Nichteinhaltung kann die Behörde die Aussetzung des Vertriebs veranlassen. Signifikante Änderungen zur MiFID I Einige Richtlinien der MiFID II zum Anlegerschutz bestanden bereits mit der MiFID I. Pauschal lässt sich aber festhalten, dass eine starke Verschärfung sowie Ausweitung der bisherigen Vorschriften gegeben ist. Ein weitreichender Unterschied ist, dass sich die Mi- FID ll auch an den Produzenten (Emittenten) richtet. 2 Bislang lagen die anlegerschützenden Vorschriften der MiFID I ausschließlich auf den Wohlverhaltensregeln für die Vertriebsseite (Point of Sale). Es fehlten Regelungen für die Anbieter bzw. Emittenten und die Produktebene von Vermögensanlagen. Bezogen auf die Product Governance sind auch hier einige Bestandteile bereits durch die MiFID I und die MaRisk geläufig, wie zum Beispiel das Produktgenehmigungsverfahren. Der wesentliche Unterschied liegt in der nun erforderlichen starken Zielmarktdefinition. Um den Zielmarkt zu konkretisieren, hat die ESMA am 5. Oktober die Kriterien (Kenntnisse und Erfahrungen, finanzielle Verhältnisse und Verlusttragfähigkeit, Risikotoleranz sowie Kundenbedürfnis) festgelegt. Damit in Verbindung stehend ist die Anforderung an die Dokumentationspflicht. In Bezug auf die Product Governance nimmt die Dokumentationspflicht eine übergeordnete Rolle ein. Neu ist insbesondere die Dokumentationstiefe und Informationsaufbereitung über den kompletten Product-Lifecycle-Prozess hinweg. Die größte Umstellung wird für die Finanzinstitute allerdings darin bestehen, dass die Produkte auch nach der Markteinführung und dem Verkauf einer kontinuierlichen, bei bestimmten Ereignissen aber auch einer Adhoc-Überprüfungspflicht unterliegen. Zudem wird eine Nachbesserung für den Fall gefordert, dass das Produkt nicht mehr der Zielmarktbestimmung entspricht. Dem Regulator wird darüber hinaus durch die Produktinterventionsberechtigung die Möglichkeit zugesprochen, jederzeit in den Betrieb eingreifen zu können und wenn nötig dessen Einstellung zu verlangen. Umsetzung in der Praxis Was zunächst eher banal klingt, bedarf umfangreicher Anpassungsmaßnahmen. Um eine Überprüfung mit den geforderten Kriterien überhaupt gewährleisten zu können, müssen alle Bestandteile der Produkte überprüft, validiert und ggf. neu angepasst werden. Dies betrifft auch eine stetige Beobachtung und Berücksichtigung möglicher Außeneinflüsse, die durch spezifisch festgesetzte Schwellen zu definieren sind. Die Darstellung ÿ 1 zeigt eine mögliche Handlungsabfolge, um der Product Governance der MiFID II gerecht zu werden. Der Best-Practice-Ansatz verfolgt das Ziel, einen möglichst schlanken Prozess abzubilden, welcher die wichtigen Komponenten der Product Governance berücksichtigt. Prozessbeschreibung: Product Repository / Produkt erfassen Der dargestellte Prozess beginnt damit, alle notwendigen Daten in ein System mit einheitlichem Format zu ziehen. Wichtig ist dabei der Fokus auf die Daten, die auch für die Genehmigungs- und Überprüfungsprozesse notwendig sind. Insbesondere bei den Produkten, die nicht öffentlich oder börslich gehandelt werden, stellt die Erhebung der Daten ein Problem dar, denn diese besitzen meist keinen sog. Identifier. Es lassen sich allerdings pauschale Zuordnungen vornehmen: 08 // 2017 57