Im Banksektor sind in den letzten Jahren diverse Beispiele von IT-Sicherheitsvorfällen oder Verletzungen der Datenschutzregelungen bekannt geworden.
In der Praxis werden hierfür von der Bankenaufsicht strategische Verantwortung bei der Gestaltung (Vorstand), fachliche und technische Kenntnisse bei der Implementierung von Maßnahmen (Compliance, Controlling, IT, etc.) sowie ständige Qualifizierung der Beteiligten im Sinne von Befähigung gefordert. Mit der MaRisk und den BAIT ist eine höhere Detaillierung und Verankerung dieser Verantwortung in den Instituten klar als Ziel der Aufsicht zu erkennen.
Institute werden diese verschärften Anforderungen nur dann gewährleisten können, wenn sie eine IT-Strategie dokumentiert und implementiert haben, die aus der Geschäftsstrategie abgeleitet wurde. Dabei sind Aspekte wie Transparenz, laufende Überwachung und Steuerung von IT-Risiken entscheidend, um die Auswirkungen der IT auf die verschiedenen Geschäftsprozesse einschätzen bzw. minimieren zu können.
Die Entwicklung und Implementierung der IT-Strategie benötigt künftig ein ganzheitliches Vorgehen, das der Komplexität des Zusammenspiels der Einflussfaktoren gerecht wird. Das Führungssystem des Institutes ermöglicht eine klare Definition von Aufgaben (z. B. Revision, Compliance oder Controlling) und Abgrenzung von Kompetenzen. Diese werden bankseitig in den Bereichen IT-Sicherheit und Datenschutz teilweise auch von Dienstleistern durch (Teil-)Auslagerung übernommen.
Zum 25.05.2018 traten durch die EU-DSGVO und das neue Bundesdatenschutzgesetz (BDSG) umfangreiche Neuerungen in Kraft. Verantwortliche Stellen im Sinne des Art. 4 Nr. 7 DSGVO müssen nun jederzeit ein wirksames Datenschutzmanagement nachweisen können und in diesem Zuge u.a. die Zulässigkeit der Verarbeitung personenbezogener Daten und die Erfüllung der Betroffenenrechte sichergestellt werden. Daneben gewinnt die Einschätzung des Risikos der jeweiligen Verarbeitungen, die Durchführung von Datenschutz-Folgenabschätzungen und die Ergreifung risikomildernder Maßnahmen zunehmend an Bedeutung.
Sascha Sychov, Bereichsleiter Digitalisierung, Finanz Colloquium Heidelberg GmbH
Sandra Leicht, Geschäftsführerin FCH Compliance GmbH