Mittwoch, 21. September 2022

Gremiumslösung für Informationssicherheit & Datenschutz

Beauftragten-Tätigkeiten gesetzeskonform, fachkundig und kosteneffizient ausgestalten

Thomas Göhrig, Berater und Beauftragter für Informationssicherheit & Datenschutz, FCH Compliance GmbH

Kleine und mittlere Banken stehen vor der Herausforderung, die Positionen des Informationssicherheitsbeauftragten (ISB) und des Datenschutzbeauftragten (DSB) angemessen zu besetzen. Für den ISB gelten die Vorgaben aus den BAIT Tz. 4.4, für den DSB die Vorgaben des Art. 39 DSGVO. Darüber hinaus entstehen Beteiligungspflichten aus MaRisk AT 8. Die Stelle des ISB ist außerdem nach BAIT Tz. 4.6 grundsätzlich im eigenen Haus vorzuhalten, Funktionstrennungen sind zu berücksichtigen und Stellvertretungen einzurichten. Gerade in kleineren Häusern ist dies schwierig umzusetzen. Ganz zu schweigen von Aufbau und Aufrechterhaltung der Fachkunde des Beauftragten. Darüber hinaus ist bei einem ausgelagerten Datenschutzbeauftragten zu beachten, dass der Dienstleister einer Auslagerungssteuerung unterliegt, der Beauftragte im Vergleich zu einer internen Person eine weniger intensive Bindung an die Bank hat und Schnittstellen geschaffen werden müssen, die wiederum Zeit und Geld kosten (Bereitstellung Notebook, interner Ansprechpartner etc.).

All dies führt zu einer unbefriedigenden Konstellation mit „Notlösungen“ für Häuser, die keine Vollzeit-Besetzung für Informationssicherheit und Datenschutz benötigen.

Lösungsansatz für kleine und mittlere Institute

Ein Ausweg können sogenannte Gremiumslösungen für die Funktionen Informationssicherheit und Datenschutz bieten. Bei den Gremiumslösungen sind die Beauftragten interne Beschäftigte, diese werden dann im Gremium unterstützt von externen Fachberatern und institutsindividuell festgelegten weiteren Bankfunktionen. Dies ist nach BAIT Tz. 4.4 und 4.6 grundsätzlich möglich und auch das Datenschutzrecht schließt solche Konstrukte nicht aus. Aufgrund thematischer Schnittstellen bietet sich die Gremiumslösung in den Bereichen Informationssicherheit und Datenschutz gut an. Natürlich kann die Gremiumslösung auch nur für eine der Funktionen geschaffen werden oder für gänzlich andere Bankfunktionen ein Mittel der Wahl sein.

Ziel ist dabei die weitestmögliche Unterstützung des ISB/DSB und dessen Stellvertreters zur zeitlichen Entlastung und zur sachgerechten Bearbeitung der Themen der Informationssicherheit und des Datenschutzes. Es findet eine effiziente Entscheidungsfindung durch Beteiligung relevanter interner Stellen und des externen Beraters statt – die finalen Entscheidungen verantwortet der ISB/DSB. Je nach Größe der Bank, historisch gewachsener (und künftig gewollter) Prozesse und Verantwortlichkeiten ist das Gremium zusammenzusetzen. Neben dem ISB und dessen Stellvertreter wären dies noch der externe Berater, aber z. B. auch die Organisation, IT, Dienstleistersteuerung und Revision.

Unterstützungstätigkeiten des externen Beraters

Dem externen Berater kommt eine Schlüsselrolle zu. Die Aufgaben des Beraters sollten so bemessen sein, dass der interne Beauftragte und die Stellvertretung die Funktion auch ohne den Berater für „Standard-Themen“ betreiben können und z. B. auch in Prüfungsgesprächen aussagefähig oder bei Nicht-Erreichbarkeit des Beraters handlungsfähig sind. Der Aufbau einer gewissen Erfahrung und Fachkunde muss also auch bei der Gremiumslösung Zielsetzung sein. Nur dass diese eben „on the job“ mit dem Berater erfolgt und der Berater seine Kenntnisse da einbringen kann, wo sie den meisten Mehrwert für die Bank bietet, z. B. in Form von:

  • Beurteilung anlassbezogener Sachverhalte aus dem Tagesgeschäft und Abgabe klarer Empfehlungen an den ISB/DSB, z. B. im Rahmen von Softwarefreigaben, Datenschutz-/Sicherheitsvorfällen, Dienstleisterauswahl, IT-Risikoanalysen, Sicherheitskonzepten, Vertragsprüfung
  • Unterstützung bei ausgewählten Kontrollhandlungen des ISB/DSB inkl. Entwurf der Kontrollplanung
  • Qualitätssicherung der Prozesse von Informationssicherheit und Datenschutz
  • Durchführung von Schulungen, Workshops und sonstigen abgestimmten Sensibilisierungsmaßnahmen
  • Entwurf von Quartals- und Jahresberichten zur Weiterverwendung durch den ISB/DSB
  • Koordination und Moderation des Gremiums
  • Initiale Schulung des Beauftragten und der Stellvertretung zu wesentlichen Themen der Informationssicherheit zur Herstellung der erforderlichen Fachkunde und des Verständnisses für die Prozesse von Informationssicherheit und/oder Datenschutz
  • Bereitstellung von Musterdokumenten und Einbeziehung fachlicher Erkenntnisse aus anderen Beratungs-Mandaten
  • Vorbereitung des Beauftragten auf IT-/Datenschutz-Prüfungen

Hat das Gremium sowohl Informationssicherheit als auch Datenschutz zum Thema, sollte der Berater zu beiden Themenkomplexen unterstützen können.

Somit stellt das Gremium eine echte Alternative für Banken dar, die bei ihren bisherigen internen oder externen Vollzeit-/Teilzeit-Lösungen zu Informationssicherheit und Datenschutz Handlungsbedarf sehen.

PRAXISTIPPS

  • Um das Gremium flexibel und entscheidungsfähig zu halten, sollte der Personenumfang nicht aufgebläht werden.
  • Legen Sie eindeutig fest, welche Aufgaben das Gremium übernimmt und welche Unterstützungsleistungen der Berater erbringen soll.
  • Für die praktische Umsetzung sind der Tagungsturnus des Gremiums sowie darüberhinausgehende Kommunikationswege und Prozessschnittstellen klar zu regeln.
  • Nutzen Sie aktiv die Mehrwerte, die ein externer Berater durch Erfahrung und Fachkunde bieten kann – nur somit wird das Gremium schlagkräftig.

Beitragsnummer: 21838

Produkte zum Thema:

Produkticon
Managementleitfaden Datenschutz

59,00 € inkl. 7 %

Produkticon
ForumBCM: Ganzheitliches Business Continuity Management (BCM)
Produkticon
ForumISM: MaRisk- und BAIT- konformes Risiko- und Informationssicherheitsmanagement
Produkticon
ForumOSM: Wirksame Steuerung und Überwachung von Dienstleistern und Auslagerungen

Beiträge zum Thema:

Beitragsicon
MaRisk und BAIT wirksam umsetzen

Die Anforderungen an das Informationsrisikomanagement wurden in den aktuellen Novellen weiter verschärft und die Rollen im 3-Linien-Modell neu definiert.

07.02.2022

Beitragsicon
Institutsindividuelle IT-Penetrationstests

Motivation zum Cybertest in der Bank (Erfahrungsbericht, Vorgehen, Ergebnis, Nachbereitung, Maßnahmen, Fazit). Kann die Bank einen Angriff standhalten?

12.05.2022

Beitragsicon
Unterlassungs- und Schmerzensgeldanspruch bei DSGVO-Verstoß

Verstoß gegen DSGVO (auch versehentliche Übersendung eines Kontoauszugs an Nichtberechtigten) führt zu Unterlassungs- und Schmerzensgeldanspruch.

19.08.2022

Beitragsicon
Auslagerungsrisiken aktiv managen

Als Kontrollbereich der 2. Linie im Drei-Linien-Modell ist eine aktive Wahrnehmung der Aufgaben im Auslagerungsmanagement erforderlich

24.06.2022


Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.