Thomas Göhrig, Berater und Beauftragter für Informationssicherheit & Datenschutz, FCH Compliance GmbH
Kleine und mittlere Banken stehen vor der Herausforderung, die Positionen des Informationssicherheitsbeauftragten (ISB) und des Datenschutzbeauftragten (DSB) angemessen zu besetzen. Für den ISB gelten die Vorgaben aus den BAIT Tz. 4.4, für den DSB die Vorgaben des Art. 39 DSGVO. Darüber hinaus entstehen Beteiligungspflichten aus MaRisk AT 8. Die Stelle des ISB ist außerdem nach BAIT Tz. 4.6 grundsätzlich im eigenen Haus vorzuhalten, Funktionstrennungen sind zu berücksichtigen und Stellvertretungen einzurichten. Gerade in kleineren Häusern ist dies schwierig umzusetzen. Ganz zu schweigen von Aufbau und Aufrechterhaltung der Fachkunde des Beauftragten. Darüber hinaus ist bei einem ausgelagerten Datenschutzbeauftragten zu beachten, dass der Dienstleister einer Auslagerungssteuerung unterliegt, der Beauftragte im Vergleich zu einer internen Person eine weniger intensive Bindung an die Bank hat und Schnittstellen geschaffen werden müssen, die wiederum Zeit und Geld kosten (Bereitstellung Notebook, interner Ansprechpartner etc.).
All dies führt zu einer unbefriedigenden Konstellation mit „Notlösungen“ für Häuser, die keine Vollzeit-Besetzung für Informationssicherheit und Datenschutz benötigen.
Lösungsansatz für kleine und mittlere Institute
Ein Ausweg können sogenannte Gremiumslösungen für die Funktionen Informationssicherheit und Datenschutz bieten. Bei den Gremiumslösungen sind die Beauftragten interne Beschäftigte, diese werden dann im Gremium unterstützt von externen Fachberatern und institutsindividuell festgelegten weiteren Bankfunktionen. Dies ist nach BAIT Tz. 4.4 und 4.6 grundsätzlich möglich und auch das Datenschutzrecht schließt solche Konstrukte nicht aus. Aufgrund thematischer Schnittstellen bietet sich die Gremiumslösung in den Bereichen Informationssicherheit und Datenschutz gut an. Natürlich kann die Gremiumslösung auch nur für eine der Funktionen geschaffen werden oder für gänzlich andere Bankfunktionen ein Mittel der Wahl sein.
Ziel ist dabei die weitestmögliche Unterstützung des ISB/DSB und dessen Stellvertreters zur zeitlichen Entlastung und zur sachgerechten Bearbeitung der Themen der Informationssicherheit und des Datenschutzes. Es findet eine effiziente Entscheidungsfindung durch Beteiligung relevanter interner Stellen und des externen Beraters statt – die finalen Entscheidungen verantwortet der ISB/DSB. Je nach Größe der Bank, historisch gewachsener (und künftig gewollter) Prozesse und Verantwortlichkeiten ist das Gremium zusammenzusetzen. Neben dem ISB und dessen Stellvertreter wären dies noch der externe Berater, aber z. B. auch die Organisation, IT, Dienstleistersteuerung und Revision.
Unterstützungstätigkeiten des externen Beraters
Dem externen Berater kommt eine Schlüsselrolle zu. Die Aufgaben des Beraters sollten so bemessen sein, dass der interne Beauftragte und die Stellvertretung die Funktion auch ohne den Berater für „Standard-Themen“ betreiben können und z. B. auch in Prüfungsgesprächen aussagefähig oder bei Nicht-Erreichbarkeit des Beraters handlungsfähig sind. Der Aufbau einer gewissen Erfahrung und Fachkunde muss also auch bei der Gremiumslösung Zielsetzung sein. Nur dass diese eben „on the job“ mit dem Berater erfolgt und der Berater seine Kenntnisse da einbringen kann, wo sie den meisten Mehrwert für die Bank bietet, z. B. in Form von:
- Beurteilung anlassbezogener Sachverhalte aus dem Tagesgeschäft und Abgabe klarer Empfehlungen an den ISB/DSB, z. B. im Rahmen von Softwarefreigaben, Datenschutz-/Sicherheitsvorfällen, Dienstleisterauswahl, IT-Risikoanalysen, Sicherheitskonzepten, Vertragsprüfung
- Unterstützung bei ausgewählten Kontrollhandlungen des ISB/DSB inkl. Entwurf der Kontrollplanung
- Qualitätssicherung der Prozesse von Informationssicherheit und Datenschutz
- Durchführung von Schulungen, Workshops und sonstigen abgestimmten Sensibilisierungsmaßnahmen
- Entwurf von Quartals- und Jahresberichten zur Weiterverwendung durch den ISB/DSB
- Koordination und Moderation des Gremiums
- Initiale Schulung des Beauftragten und der Stellvertretung zu wesentlichen Themen der Informationssicherheit zur Herstellung der erforderlichen Fachkunde und des Verständnisses für die Prozesse von Informationssicherheit und/oder Datenschutz
- Bereitstellung von Musterdokumenten und Einbeziehung fachlicher Erkenntnisse aus anderen Beratungs-Mandaten
- Vorbereitung des Beauftragten auf IT-/Datenschutz-Prüfungen
Hat das Gremium sowohl Informationssicherheit als auch Datenschutz zum Thema, sollte der Berater zu beiden Themenkomplexen unterstützen können.
Somit stellt das Gremium eine echte Alternative für Banken dar, die bei ihren bisherigen internen oder externen Vollzeit-/Teilzeit-Lösungen zu Informationssicherheit und Datenschutz Handlungsbedarf sehen.
PRAXISTIPPS
- Um das Gremium flexibel und entscheidungsfähig zu halten, sollte der Personenumfang nicht aufgebläht werden.
- Legen Sie eindeutig fest, welche Aufgaben das Gremium übernimmt und welche Unterstützungsleistungen der Berater erbringen soll.
- Für die praktische Umsetzung sind der Tagungsturnus des Gremiums sowie darüberhinausgehende Kommunikationswege und Prozessschnittstellen klar zu regeln.
- Nutzen Sie aktiv die Mehrwerte, die ein externer Berater durch Erfahrung und Fachkunde bieten kann – nur somit wird das Gremium schlagkräftig.
Beitragsnummer: 21838