BCBS 239: Aggregation und Reporting von Risikodaten

Die Grundsätze für die effektive Aggregation von Risikodaten in BCBS 239

Der Umgang mit Daten nimmt bei der Bankenregulierung eine zentrale Rolle ein. Und das aus gutem Grund, zeigte die Finanzkrise 2007 doch nur zu deutlich, dass Informationstechnologie und Datenarchitektur vieler Banken nicht in der Lage waren, finanzielle Risiken umfassend zu steuern. Der Basler Ausschuss für Bankenaufsicht formulierte 2013 als Schlussfolgerung aus der Krise das Schlüsseldokument BCBS 239 (Basel Committee on Banking Supervision’s Standard number 239). Dieses umfasst Grundsätze für die effektive Aggregation von Risikodaten und die Risikoberichterstattung. Lesen Sie im folgenden Beitrag mehr über die Vorgaben von BCBS 239 und wie Sie diesen regulatorischen Anforderungen gerecht werden können.

Ziele und Grundsätze der BCBS 239

Ziel der Anforderungen ist es, bei Führungskräften wie Mitarbeitern von Finanzinstituten ein besseres Verständnis für die Risikolage einer Bank zu erreichen. Somit können die Risiken frühzeitig in die Entscheidungen der Vorstände und Geschäftsleitungen einfließen. Der BCBS 239 geht davon aus, dass eine bessere Risikodatenaggregation der Banken gleichzeitig deren Liquidierbarkeit verbessert. Mit Blick auf die Rettung von Banken versetze ein robustes Datengerüst das betreffende Institut und die Aufsichtsinstanzen in die Lage, künftige Probleme bereits im Voraus zu erkennen. Auch verbessere ein robustes Datengerüst die Chancen, dass Alternativen gefunden werden, um die Finanzkraft eines in Schieflage geratenen Instituts wiederherzustellen und seinen Fortbestand zu gewährleisten. So könnten beispielsweise die Aussichten auf geeignete Fusionspartner steigen.

Der BCBS 239 umfasst vierzehn Grundsätze zur Sammlung und zur Berichterstattung von Risikodaten. Enthalten sind konkreten Anforderungen an Data Governance, Datenarchitektur und IT-Infrastruktur, Genauigkeit und Integrität, Vollständigkeit und Aktualität sämtlicher wesentlichen Risikodaten, Anpassungsfähigkeit bei Ad-hoc-Anfragen an die Risikoberichterstattung, Genauigkeit, Vollständigkeit, Klarheit und Nutzen, Verbreitung, Korrektur- und Aufsichtsmaßnahmen der Risikomanagementberichte sowie konkrete Festlegung der Häufigkeit der Risikoberichte. Bei der Überwachung und Überprüfung der Grundsätze wird eine grenzüberschreitende Zusammenarbeit gefordert.

BCBS 239: Aggregation und Reporting von Risikodaten
BCBS 239 © Olivier Le Moal / shutterstock.com

BCBS-239-Relevanz für deutsche Banken

Im Jahr 2005 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) Mindestanforderungen an das Risikomanagement (MaRisk) formuliert. Zwölf Jahre später, im Oktober 2017, erhöhte sie die Anforderungen an die Datenaggregation für global und anderweitig systemrelevante Institute in einer MaRisk-Novelle. In diese hat der BCBS 239 unverändert Eingang in die unmittelbaren aufsichtsrechtlichen Vorgaben für deutsche Kreditinstitute gefunden. Die neue Fassung der MaRisk überführte die Anforderungen aus dem BCBS 239 quasi in deutsches Recht. Ganz konkrete Vorgaben finden sich neben allgemeinen Klarstellungen zur Risikokultur in Banken vor allem in den beiden Kapiteln AT 4.3.4 und BTE 3. Das Kapitel AT 4.3.4 befasst sich mit Datenmanagement, Datenqualität und Aggregation von Risikodaten.  In Kapitel BTR 3 geht es um Liquidationsberichterstattung und -risiken.

Hoher Grad an Automatisierung für Umsetzung erforderlich

BCBS 239 zwingt Finanzinstitute dazu, heterogene Systemlandschaften aufzuräumen und lang aufgeschobene Maßnahmen zur Modernisierung der Bank-IT umzusetzen. Für die Umsetzung der geforderten Maßnahmen ist ein konkreter Zeitplan mit entsprechenden Fristen vorgegeben. Innerhalb der Fristen müssen die Akteure die Risiko- und Finanzinfrastruktur harmonisieren und einen einheitlichen Risikodatenhaushalt schaffen.

Gefordert ist eine Beschleunigung in der Datenaufbereitung, der Analytik und im Berichtswesen. Dies erreicht man nur mit einem höheren Grad der Automatisierung, dem Einsatz fortschrittlicher Technologien und dem Abbau manueller Eingriffe. Die Fortschritte in den regulatorischen Anforderungen werden regelmäßig und streng überprüft. Allein kann eine Bank diese Aufgabe nicht bewältigen. Erforderlich ist dabei zum einen die richtige Software. Zum anderen zählt die Unterstützung durch externe Unternehmen, die sowohl im IT-Datenmanagenement zu Hause sind als auch die regulatorischen Anforderungen kennen. Denn diese sind in der Lage, beides miteinander in Einklang zu bringen. Letztlich muss man jedoch auch in diesem Fall betonen: Die Verantwortung für die Umsetzung trägt der Vorstand. Hier müssen zuallererst der Wille und die Kompetenz vorhanden sein, die BCBS-239-Vorgabe zu erfüllen.

Zwar richten sich die Grundsätze der BCBS-239 zunächst an systemrelevante Banken. Aber wie das Wort “zunächst” erkennen lässt, sind auch andere Finanzinstitute gut beraten, die Grundsätze der BCBS-239 umzusetzen. Denn in Bezug auf Risikodaten werden laut Aufsichtsbehörde in den kommenden Jahren noch weitere Initiativen und Vorschriften umzusetzen sein.

MaRisk-Compliance für Kredit- und Finanzdienstleistungs-Institute

Der Stellenwert der Compliance im Unternehmen

Rechtliche Regeln und Vorgaben sind nur sinnvoll, wenn sie auch richtig implementiert, beachtet, kontrolliert und eingehalten werden. In zahlreichen Gesetzen und rechtlichen Regelungen ist festgelegt, welcher Stellenwert Compliance in Unternehmen zukommen muss. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) fordert in ihrem Rundschreiben zu den Mindestanforderungen an das Risikomanagement (MaRisk) vom September 2017 von den Finanzinstituten explizit die Einrichtung einer Compliance-Funktion. MaRisk-Compliance kommt eine Schlüsselfunktion zu, um Risiken, die sich aus der Nichteinhaltung rechtlicher Regelungen und Vorgaben ergeben können, entgegenzuwirken.
Lesen Sie im folgenden Beitrag, welche Bedeutung MaRisk-Compliance hat und wie die Funktion richtig ausgefüllt werden kann.

Aufgaben der MaRisk-Compliance

Die Tatsache, dass jedes Institut über eine Compliance-Funktion verfügen muss und der Compliance-Beauftragte der Geschäftsführung direkt unterstellt ist, zeigt die Bedeutung, die der MaRisk-Compliance zur Stabilität der Finanzmärkte insgesamt beigemessen wird. Ihre grundlegende Aufgabe ist es, auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regulierungen und Vorgaben hinzuwirken und entsprechende Kontrollen durchzuführen. MaRisk-Compliance hat eine überaus wichtige Funktion sowohl innerhalb des Instituts als auch gegenüber Aufsichtsbehörden.
Die BaFin erläutert in acht Punkten die Aufgaben und Pflichten der MaRisk-Compliance. So muss zum Beispiel jedes Institut über eine Compliance-Funktion verfügen und einen Compliance-Beauftragten ernennen, der mit entsprechenden Befugnissen ausgestattet ist. Die Compliance-Funktion hat mindestens jährlich sowie anlassbezogen der Geschäftsleitung über ihre Tätigkeit Bericht zu erstatten. Gibt es einen Wechsel beim Compliance-Beauftragten, muss die Aufsichtsbehörde informiert werden. Systemrelevante Institute haben eine eigenständige Organisationseinheit zu bilden.

Zusammenarbeit mit Fachbereichen, Rechtsabteilungen und IT-Spezialisten

Bei der Identifizierung der rechtlichen Regelungen und Vorgaben, die das Finanzinstitut betreffen, ist die MaRisk-Compliance auf die Unterstützung des gesamten Teams angewiesen.
Verschiedene Regeln tangieren jede Abteilung eines Finanzinstituts in einer anderen Weise. Insofern muss die MaRisk-Compliance darüber im Bilde sein, welcher Handlungsbedarf aus Compliance-Sicht in welchem Bereich der Bank oder der Versicherung besteht.
In der Banken-IT müssen die rechtlichen Anforderungen der Gesetzgeber und Aufsichtsbehörden umgesetzt werden. Wie dies konkret zu geschehen hat, beispielsweise beim Datenmanagement, gibt die BaFin vor. Auch die Datenschutzgrundverordnung der EU (DSGVO) stellt an die IT der Finanzbranche hohe Anforderungen.
Insofern erfordert eine wirksame MaRisk-Compliance eine enge Zusammenarbeit sowohl mit den jeweiligen Fachbereichen und den Rechtsabteilungen der Institute als auch mit der Banken-IT. Bei Bedarf, beispielsweise bei Neuregelungen oder veränderter Rechtsprechung, sollten Projektteams gebildet werden, um die Implementierung und Umsetzung zu begleiten.

MaRisk-Compliance für Kredit- und Finanzdienstleistungs-Institute
MaRisk Compliance © Photon photo / Shutterstock.com

Klare Zuständigkeiten erforderlich

Die BaFin stellt klar, dass die Implementierung von wirksamen Verfahren zur Einhaltung wesentlicher gesetzlicher Regelungen und Vorgaben in der Verantwortung der jeweils betroffenen Fachbereiche liegt und nicht automatisch bei der Compliance-Funktion. Diese wiederum hat darauf zu achten, dass die betroffenen Fachbereiche ihrer Verantwortung auch tatsächlich nachkommen. So gesehen hat die Compliance-Funktion auch einen koordinierenden Charakter. Wichtig ist, dass die Zuständigkeiten zwischen den Fachabteilungen Bank IT und der MaRisk-Compliance geklärt sind. Die Letztverantwortung für die Einhaltung rechtlicher Regelungen und Vorgaben im Institut trägt die Geschäftsführung.

MaRisk-Compliance braucht Ausstattung mit Kompetenzen

Bei den Aufgaben, die der MaRisk-Compliance zukommen, stellt sich natürlich die Frage, inwieweit die Compliance-Beauftragten Kontroll- oder Weisungsrechte gegenüber den Fachabteilungen haben. In einem Protokoll zur Sitzung des BaFin-Fachgremiums MaRisk zur Compliance-Funktion wird darauf hingewiesen, dass die Aufsichtsbehörde von der Compliance-Funktion Überwachungshandlungen erwartet. Auch hält die BaFin es für erforderlich, dass die Compliance-Funktion Kontrollhandlungen zumindest durchführen können muss und ihr entsprechende Kontrollrechte eingeräumt werden. Die konkrete Ausgestaltung der Kontrollhandlungen und auch Umfang und Inhalte der Weisungsberechtigung der MaRisk-Compliance gegenüber den Fachabteilungen werden von BaFin-Seite nicht vorgegeben, sondern liegen in der Eigenverantwortung der Institute. Allerdings wird die Ausstattung mit entsprechenden Kompetenzen erwartet, um wirksam arbeiten zu können.

Nicht zuletzt ist die Frage, wie die MaRisk-Compliance organisatorisch angebunden ist, wichtig für ihre erfolgreiche Tätigkeit. Die direkte Anbindung an die Geschäftsführung kann nur dann erfolgreich funktionieren, wenn sie nicht nur auf dem Papier steht, sondern auch gelebt wird.
Insgesamt haben die Finanzinstitute großen Gestaltungsspielraum bei der Ausgestaltung der MaRisk-Compliance. Letztlich kommt es darauf an, dass die Mindestanforderungen an das Risikomanagement erfüllt werden.

Regulatorische Anforderungen an Banken – ein Überblick aktueller Vorgaben der Bankenregulierung

Regulatorische Anforderungen innerhalb der Finanzbranche

Wohl keine andere Branche unterliegt so hohen regulatorischen Anforderungen wie die Finanzbranche. Das ist verständlich, schließlich können schon wenige Institute globale Krisen verursachen – wie in der Vergangenheit schon mehrfach erlebt. Allerdings ist es nicht ganz einfach, im regulatorischen Umfeld den Überblick zu behalten.
Finden Sie in diesem Beitrag eine Zusammenstellung der wichtigsten regulatorischen Anforderungen an Banken- und Finanzinstitute in Europa.

Basel III als Eckpfeiler der Bankenregulierung

Der wichtigste Eckpfeiler der Bankenregulierung ist Basel III. In diesem Regelwerk sind aktuell die Vorschriften des Basler Ausschusses der Bank für Internationalen Zahlungsausgleich (BIZ) zur Regulierung von Banken zusammengefasst. Basel III löst die Vorgänger Basel I und Basel II ab. Kernelement von Basel III ist die Stärkung von Qualität und Quantität des Eigenkapitals der Banken.
Mit Basel III sollen vor allem die aufsichtsrechtlichen Vorschriften, die aufsichtsrechtliche Aufsicht und das Risikomanagement verbessert werden. Die Regelungen zu Basel III wurden 2010 erstmals veröffentlicht. In der EU sind sie in Form einer neuen Eigenkapitalrichtlinie 2014 in Kraft getreten.

Die nationale Umsetzung der europäischen Basel III-Regeln in Deutschland erfolgte 2013 vor allem

  • durch Änderungen des Kreditwesengesetzes (KWG) und
  • durch das CRD IV-Umsetzungsgesetz.

Außerhalb des Kreditwesengesetzes wurden unter anderem

  • die Solvabilitätsverordnung,
  • die Großkredit- und Millionenkreditverordnung,
  • die Liquiditätsverordnung und
  • die Institutsvergütungsverordnung angepasst.
© Billion Photos / Shutterstock.com

In dem Rundschreiben 09/2017 der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) wurde auf der Grundlage des Kreditwesengesetzes (KWG) ein flexibler und praxisnaher Rahmen für die Ausgestaltung des Risikomanagements der Institute vorgegeben. Es präzisierte ferner die Anforderungen an das Risikomanagement auf Gruppenebene.

Bankenpaket schließt Reformmarathon ab

Im April dieses Jahres verabschiedete das Europäische Parlament das Bankenpaket, das Vorgaben von Basel III auf europäischer Ebene umsetzt. Damit hat der Reformmarathon erst einmal einen Abschluss gefunden; die Stabilität des Finanzsektors in Europa habe sich seit Beginn des Reformprozesses zur Bankenregulierung verbessert, urteilen Experten.
Aus den Neuregelungen gehen unter anderem Änderungen

  • der Capital Requirements Directive (CRD),
  • der Capital Requirements Regulation (CRR),
  • der Bank Recovery and Resolution Directive (BRRD) und
  • der Single Resolution Mechanism Regulation (SRMR) hervor.

Strenge regulatorische Anforderungen auch für Banken-IT

Neben der besseren Ausstattung der Finanzbranche mit Eigenkapital zielen bei der Bankenregulierung zahlreiche Vorgaben, allen voran die Richtlinien für Berichterstattung und Rechnungslegung, auf die Vereinheitlichung der Gesetzgebung in der Europäischen Union ab. So stellt beispielsweise der 2016 von der Europäischen Zentralbank eingeführte AnaCredit (Analytical Credit Datasets) hohe regulatorische Anforderungen bezüglich der Berichterstattung über einzelne Kreditnehmer und Kredite.
Datensicherheit, Cybersecurity, Data Governance, Drittanbieter und Datenschutz bei Finanzinstituten stehen unter ständiger Kontrolle.

Ein besonderer Schwerpunkt der Bankenregulierung liegt auf dem Digitalisierungsprozess. Im “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT 10/2017” (BAIT) gibt die BaFin den Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement – vor.

Digitalisierung ist neben dem Brexit 2019 auch der Schwerpunkt der Aufsichtsbehörden. So testen die Deutsche Bundesbank und die BaFin in diesem Jahr gemeinsam in mehreren Serien die Ertragslage und Widerstandsfähigkeit kleiner und mittelgroßer Banken (sogenannte Less Significant Institutions – LSIs) und prüfen in allen Banken und Finanzinstituten die IT-Systeme und die dazugehörigen IT-Prozesse.

Fazit

Bankenregulierung ist kein abgeschlossener Prozess. Rechtliche Regelungen zu verabschieden ist eine Sache, ihre Einhaltung zu kontrollieren eine andere. Wer die regulatorischen Anforderungen aber sorgfältig umsetzt, ist nicht nur für anstehende Tests gut gerüstet, sondern profitiert auch davon, wenn alle IT-Prozesse im Hause, Rechnungslegung, Datenmanagement oder das Controlling reibungslos funktionieren.

DSGVO und ihre Auswirkungen auf den Bankensektor in Deutschland

Herausforderungen der DSGVO für Banken und Finanzinstitute

Im Mai 2016 trat die Datenschutzgrundverordnung der Europäischen Union (DSGVO) in Kraft. Zwei Jahre später, ab Mai 2018, musste die Verordnung in allen EU-Staaten angewendet werden. Nun liegen erste Erfahrungen vor und Unternehmen und Institutionen ziehen Bilanz.

Lesen Sie im folgenden Beitrag, welche Herausforderungen die neuen Regelungen für Banken und Finanzinstitute darstellen, was speziell die DSGVO für das Reporting und die Bank-IT bedeutet und wie die Einführung der Datenschutzgrundverordnung in Deutschland insgesamt und speziell im Bankenbereich gelungen ist.

Hohe Anforderungen der DSGVO speziell an Finanzinstitute

Mit der Datenschutzgrundverordnung der Europäischen Union wurden europaweit neue Anforderungen an die Verarbeitung personenbezogener Daten geschaffen. Für 2019 ist vorgesehen, die DSGVO durch die „EU-e-Privacy-Verordnung“ zu ergänzen. Diese Zusatzverordnung, die sich gegenwärtig noch im Gesetzgebungsverfahren befindet, gilt für den Bereich der elektronischen Kommunikation und wird Internet- und Telemediendienste betreffen.
Ohnehin unterliegen Banken und Finanzinstitute durch verschiedene Vorgaben der Bankenregulierung extrem hohen Anforderungen an das Management ihrer Daten. Dabei geht es nicht nur um den Schutz persönlicher Daten, sondern auch um Cyber-Sicherheit und den Erhalt der Finanzstabilität insgesamt.

Die Umsetzung der Datenschutzgrundverordnung im Bankenbereich erfolgt vor dem Hintergrund, dass Banken zur Erfüllung ihrer rechtlichen Verpflichtung personenbezogene Daten verarbeiten müssen (Artikel 6, Abs. 1c). Finanzinstitute sind beispielsweise dafür verantwortlich, dass das Kreditwesengesetz, das Geldwäschegesetz, das Wertpapierhandelsgesetz und Steuergesetze eingehalten werden. Dazu sind unter anderem die Kreditwürdigkeitsprüfung, die Identitäts- und Altersprüfung, Betrugs- und Geldwäscheprävention, die Erfüllung steuerrechtlicher Kontroll- und Meldepflichten sowie die Bewertung und Steuerung von Risiken in der Bank und im Konzern notwendig.

Außerdem verarbeiten Banken persönliche Daten, weil sie Aufgaben im öffentlichen Interesse wahrnehmen (Artikel 6, Abs. 1e). Das heißt, die Banken müssen auch bei der DSGVO im Einklang mit den Vorgaben beispielsweise der Europäischen Zentralbank, der Europäischen Bankenaufsicht, der Deutschen Bundesbank und der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) handeln.

© Wright Studio/Shutterstock.com

Strenge Kontrollen und hohe Bußgelder

Insgesamt hat sich das Datenmanagement mit der DSGVO für Banken nicht grundsätzlich verändert. Die von der Finanzbranche vor der Verabschiedung der DSGVO getätigten Datenverarbeitungen bleiben weiterhin zulässig, denn sie erfolgen ja überwiegend zur Vertragserfüllung oder aufgrund gesetzlicher Vorgaben.

Allerdings hat die DSGVO alle Beteiligten stärker für den verantwortungsvollen Umgang mit den Daten der Kunden oder Mitarbeiter sensibilisiert, denn die Behörden kontrollieren streng, wie die Verordnung und anderen Regulierungen im Bankenwesen von der Bank-IT umgesetzt werden. Bei Verstößen gegen die DSGVO drohen Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. Die Aufsicht über den Datenschutz bei Banken und Finanzdienstleistern obliegt den jeweils örtlich zuständigen Landesdatenschutzbehörden.

Anspruchsvolles Berichtswesen

Die DSGVO gibt sehr konkret vor, wie die Erhebung, die Auswahl, die Archivierung und die Verarbeitung personenbezogener Daten zu erfolgen hat. Die Bank-IT hat damit fortlaufend dafür zu sorgen, dass die Profile den Anforderungen der DSGVO entsprechen. Die zu erbringenden Rechenschaftspflichten sind streng. Finanzinstitute müssen beispielsweise nachweisen, dass sie genau wissen, wo sich personenbezogene Daten befinden, und zwar innerhalb aller Systeme und Geschäftsbereiche. Mit einem sehr sensiblen Berechtigungsmanagement müssen sie jederzeit den Überblick haben, wer wann Zugriff auf die personenbezogenen Daten hat. Die DSGVO sieht unter anderem vor, dass die Dokumentationspflichten als Nachweis gegenüber Datenschutzbehörden ausgeweitet werden, sodass gerichtlichen Verfahren mehr Beweismaterial zugrunde gelegt werden kann. Unternehmen insgesamt müssen die Einhaltung aller Grundsätze der DSGVO jederzeit nachweisen können und Mechanismen einführen, die den Verlauf und die Nutzung von persönlichen Daten kontrollieren.

Der Umgang mit Daten bei IT-Tests

Wenn neue IT-Systeme eingeführt wurden, bevorzugten Institute bei den entsprechenden Tests in der Vergangenheit den Einsatz von echten Daten. Letztlich verlangt die Bankenaufsicht IT-Tests unter möglichst realen Bedingungen. Außerdem ist der Aufwand zur Erzeugung synthetischer Daten hoch. Wenn keine personenbezogenen Daten zum Test neuer Systeme verwendet werden, ist die Verwendung von Echt-Daten durchaus in Ordnung. Da sich die DSGVO aber speziell um personenbezogene Daten kümmert, ist sie überall dort relevant, wo solche Daten erhoben und verarbeitet werden. Der Schutz persönlicher Daten sollte schon bei der IT-Entwicklung mitgedacht und eingebaut werden; deshalb empfiehlt es sich, beim Testmanagement auf Echt-Daten zu verzichten.

Ruhiger Start der DSGVO in Deutschland

Nach Angaben des Digitalverbands Bitkom hatten im Mai 2019 erst 24 Prozent der Unternehmen in Deutschland die DSGVO vollständig umgesetzt. Konkrete Angaben zur Finanzbranche gibt es nicht. In einer Anfrage einiger FDP-Bundestagsabgeordneten an die Bundesregierung zur Umsetzung der DSGVO bei Banken verwies die Bundesregierung auf die Zuständigkeit der örtlichen Landesdatenschutzbehörden. Allerdings erklärte sie, dass die BaFin auf der Grundlage von Aufsichtsgesprächen davon ausgeht, dass in einigen Instituten die DSGVO bereits vollständig umgesetzt ist.

Nach einer Studie der Unternehmensberatung EY zu ersten Erfahrungen mit der Einführung der Datenschutzgrundverordnung der EU gab es im ersten Jahr in Deutschland 54 Verwarnungen aufgrund von Verstößen gegen die DSGVO, in nur 42 Fällen wurden Bußgelder verhängt, die sich im Durchschnitt auf 16.100 Euro beliefen. Damit waren die deutschen Behörden im europäischen Vergleich am aktivsten. In Lettland wurden in zwölf, in Frankreich in zehn Fällen Bußgelder verhängt, stellt EY fest. Die Anzahl der Verwarnungen war hingegen in den Niederlanden besonders hoch: Dort wurden zwar 1.018 Verwarnungen gezählt, jedoch nur ein einziger Bußgeldbescheid in Höhe von 600.000 Euro gegen einen Mobilitätsdienstleister wegen eines Verstoßes gegen Sicherheit der Datenverarbeitung. Dieses Bußgeld war zugleich die höchste in der EU im Jahr 2018 verhängte Strafgebühr.

Allerdings brachte das Jahr 2018 mit der DSGVO einen enormen Anstieg von Datenschutzanfragen und -meldungen an die zuständigen Behörden in Deutschland. Zum einen verlangt die Verordnung die Meldung eventueller Verstöße gegen die DSGVO. Zum anderen haben die Datenschutzbehörden auch die Aufgabe, zu beraten und zu sensibilisieren. So lagen die Meldungen von Datenschutzpannen gemäß Artikel 33 DSGVO mit durchschnittlich 2.960 pro Behörde auf sehr hohem Niveau.

Regulierungen und Gesetzen mit Hilfe von Software entsprechen

Um der zunehmenden Regulierung und der Vielzahl neuer Gesetzesvorgaben gerecht zu werden, kommt im Finanzdienstleistungssektor immer mehr Regulierungs-, Compliance- und Governance-Software zum Einsatz. Investitionen in Technologien, die die Erfüllung der regulatorischen Anforderungen garantieren, sind in den vergangenen Jahren geradezu explodiert. Hat die Bank-IT die richtige RegTech-Software zur Verfügung, die automatisch erkennt, ob beispielsweise personenbezogene Daten genau so verarbeitet werden wie in der DSGVO vorgegeben, garantiert dies schon einmal den richtigen Umgang mit den persönlichen Daten der Kunden und einen Schutz vor eventuellen Bußgeldern für die Bank.

Anforderungen an das Berechtigungsmanagement in Banken

Berechtigungsmanagement im Bankwesen

Sicherheitslücken im IT-Bereich von Banken und anderen Finanzinstituten können großen Schaden anrichten. Ein wichtiges Instrument, um Cyberkriminalität vorzubeugen und Pannen beim Datenmanagement zu vermeiden, aber auch den speziellen rechtlichen Anforderungen an den Datenschutz im Finanzbereich gerecht zu werden, bildet das Berechtigungsmanagement in Banken. Darunter versteht man die Erlaubnis für Personen, zu einer bestimmten Zeit auf Bankdaten, ein System oder eine Anwendung zuzugreifen, diese zu bearbeiten, zu verwalten und weiterzuleiten.
Lesen Sie im folgenden Beitrag, warum dem Berechtigungsmanagement im Bankwesen eine große Bedeutung zukommt, welche rechtlichen Anforderungen beachtet werden müssen, wie ein funktionierendes Berechtigungsmanagement zu mehr Sicherheit und Transparenz führt und – last but not least – wie die Zuständigkeiten in der Bank verteilt werden sollten, um stets den Überblick über alle Datenprozesse zu behalten.

Starke Regulierung im Berechtigungsmanagement

Banken, Versicherungen und andere Finanzinstitute unterliegen als Betreiber sogenannter kritischer Infrastrukturen (KRITIS) einer besonderen Berichts- und Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Bankenaufsicht BaFin gibt in ihrem “Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT” (BAIT) den Rahmen für die technisch-organisatorische Ausstattung der Institute vor – insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement. Das Berechtigungsmanagement muss die Mindestanforderungen an das Risikomanagement erfüllen (MaRisk).
In Absatz II.5. der BAIT werden dafür spezielle Regeln formuliert. So ist ein Berechtigungskonzept schriftlich festzulegen und regelmäßig zu aktualisieren. Bei der Erarbeitung des Konzepts sind die Fachbereiche einzubeziehen. Tragende Säulen des Berechtigungskonzeptes beziehungsweise der Berechtigungsvergabe sind das Need-to-know-Prinzip, eine ordnungsgemäße Funktionstrennung und der richtige Umgang mit kritischen Berechtigungen.
Das Need-to-know-Prinzip besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Bei der Funktionstrennung muss darauf geachtet werden, dass es nicht zu Interessenkonflikten kommt. Kritische Berechtigungen müssen definiert und dürfen nur restriktiv an Benutzer vergeben werden.

Instrument für mehr Effizienz, Transparenz und Sicherheit im Datenmanagement

Aber Berechtigungsmanagement darf nicht nur als Pflicht betrachtet werden, um gesetzliche Bestimmungen einzuhalten. Automatisierte Lösungen und standardisierte Vorgaben sind wirksame Instrumente, um die Effizienz, Transparenz und Sicherheit im Datenmanagement zu erhöhen. Je weniger manuelle Aktivitäten erforderlich sind, um so weniger Fehler und Sicherheitsprobleme treten auf. Außerdem entlastet ein einmal eingesetztes und funktionierendes automatisiertes Berechtigungsmanagement die IT im Unternehmen.
Die Schaffung eines umfassenden Konzeptes zu der Frage, welchen Bereichen oder Personen welche Berechtigungen eingeräumt werden, vereinfacht Prozesse und bringt somit eine hohe Zeitersparnis. Wird die Rechteverwaltung entsprechend den Anforderungen dokumentiert, können Anfragen zu Berechtigungen zügig beantworten werden und Zuarbeiten zu Reports, beispielsweise für Datenschutzbeauftragte, ohne großen Aufwand erfolgen.
Im Falle eines Problems müssen nicht erst umfangreiche Untersuchungen angestellt werden. Sicherheitslücken lassen sich schnell aufdecken, wenn die Berechtigungen entsprechend dokumentiert sind.
Insofern macht es auch für kleinere Finanzinstitutionen, die nicht den strengen Vorgaben der BaFin oder des BiS unterliegen, Sinn, ein automatisiertes Berechtigungsmanagement zu betreiben.

Konzept und Struktur als Fahrplan

Wie in jedem anderen Managementbereich auch, ist ein gutes Konzept das A und O eines erfolgreichen Berechtigungsmanagements. Der Prozess der Rechtevergabe sollte von Anfang an im Zusammenhang mit der Schutzbedarfsanalyse gedacht werden.
Es geht darum, Daten zu schützen und Sicherheitslücken zu schließen. Eine Dokumentation der Konzeption ist nicht nur rechtlich vorgeschrieben – sie ist auch notwendig, um das recht komplexe System von Anfang an richtig aufzubauen. Das Berechtigungskonzept muss je Applikation schriftlich festgelegt und zudem regelmäßig aktualisiert werden. Insbesondere sollte schon bei der Ausarbeitung der Konzeption beachtet werden, dass die entsprechenden Berechtigungsstrukturen der Praxis standhalten müssen.

Überlegen Sie genau:

  • Entsprechen die eingeräumten Berechtigungen den organisatorischen und fachlichen Vorgaben des Instituts?
  • Werden alle rechtlichen und regulatorischen Anforderungen beachtet?
  • Welche Bankdaten sind besonders sensibel und bedürfen eines speziellen Schutzes?
  • Welche Bereiche der Bank, z.B. Buchhaltung, brauchen Zugriff auf welche Art von Daten?
  • An welchen Schnittstellen treffen Daten mit verschiedenen Schutzgraden aufeinander?
  • Welche Daten sind ausgelagert oder auf einer Cloud deponiert?
  • Haben Dritte Zugang zu sensiblen Daten?
  • Auf welchen Servern werden welche Daten verwaltet?
  • Welche Software wird in welchen Bereichen zur Datenverwaltung benutzt?
  • Welche Software eignet sich am besten zum Aufbau beziehungsweise zur Weiterentwicklung des Berechtigungsmanagements?
  • Garantiert die Konzeption zur Vergabe von Rechten tatsächlich einen besseren Schutz der Bankdaten?
© Wright Studio/ shutterstock.com
© Wright Studio/ shutterstock.com

Verantwortlichkeiten für das Berechtigungsmanagement

Die Implementierung und Verwaltung des Berechtigungsmanagements kann nur in Zusammenarbeit verschiedener Bankbereiche erfolgen. Sowohl die Bank-IT als auch der Datenschutzbeauftragte und die Fachbereiche sind gefordert, gemeinsam ein Berechtigungskonzept und eine Berechtigungsstruktur aufzubauen. Während die Sensibilität von Daten wohl am ehesten vom Datenschutzbeauftragten beurteilt werden kann, sind die Fachabteilung am aussagekräftigsten, wenn es um die Notwendigkeit des Zugriffs auf bestimmte Daten geht. Die Bank-IT muss ein automatisiertes System entwickeln, das die Sicherheit der Daten gewährt und zu mehr Effizienz der Arbeitsprozesse führt.
Wichtig dabei ist eine Trennung der Funktionen, Aufgaben und Abläufe.
Insbesondere müssen bei der Verwaltung des Berechtigungsmanagements Verantwortlichkeiten für die einzelnen Aufgaben klar definiert werden.

Zugriffsberechtigungen und Rücknahmen

Die Bankenaufsicht fordert, dass beim Berechtigungskonzept der Sparsamkeitsgrundsatz “Need-to-know-Prinzip” anzuwenden ist. Es besagt, dass nur die Berechtigungen zu genehmigen und einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. In der Praxis heißt das: So wenig Leute wie möglich sollen Zugang zu sensiblen Bankdaten haben.
Nicht selten werden Zugriffsgenehmigungen zwar restriktiv vergeben – mit der Zeit aber ändert sich für die berechtigten Mitarbeiter der Arbeitsbereich, ohne dass ihnen die Berechtigung entzogen wurde. Hier lohnt es sich, Prozesse zu implementieren, die eine regelmäßige Kontrolle gewährleisten und daraus resultierend entsprechend Handlungen aktivieren. Die BaFin fordert explizit, dass regelmäßig geprüft werden muss, ob eingeräumte Berechtigungen weiter notwendig sind. Eine regelmäßige Überprüfung der vergebenen Benutzerrechte – automatisch und manuell – ist unerlässlich.
Bei der Vergabe von Rechten zum Umgang mit sensiblen Daten an Mitarbeiter sind zahlreiche Faktoren zu berücksichtigen. Nicht nur die Fachabteilungen, zum Beispiel die Buchhaltung oder die Bank-IT, sollten darüber entscheiden, welcher Mitarbeiter welchen Zugriff braucht – auch die Personalabteilungen sollten hier ein Wörtchen mitreden können.
Denken Sie auch daran, welche Verantwortung den Mitarbeitern übertragen wird, die mit sensiblen Daten arbeiten. Vermeiden Sie unbedingt Interessenkonflikte. Einer Person sollten nicht verschiedene sicherheitskritische Aufgaben übertragen werden. Ein Mitarbeiter kann beispielsweise nicht gleichzeitig die Administration der Berechtigungsvergabe leiten und gleichzeitig für die Sicherheitsprüfungen verantwortlich sein.

Fazit

Ein automatisiertes, durchdachtes und praktikables Berechtigungsmanagement hilft Ihnen, den ständig wachsenden gesetzlichen Anforderungen an den Datenschutz speziell im Bankenwesen gerecht zu werden. Es schützt Sie und Ihre Kunden vor Sicherheitslücken. Mögen Aufwand und Kosten der Installation vielleicht hoch sein – der Nutzen für Ihr Finanzinstitut ist höher.

Buchhaltung im Bankwesen: Qualität und Regulatorik

Buchhaltung im Bankwesen

Die Anzahl regulatorischer Anforderungen an das Bankwesen sind in den vergangenen Jahren enorm gestiegen, und dieser Trend wird sich auch in Zukunft fortsetzen. Die Buchhaltung ist von den zahlreichen Maßnahmen besonders betroffen. Einerseits verlangen die Vorgaben den Banken, und hier speziell der Buchhaltung, viel Zeit und Ressourcen ab. Andererseits zwingen die Regeln zur ständigen qualitativen Verbesserung der Buchhaltung und dazugehöriger IT-Umfeldes. Lesen Sie in diesem Beitrag, welche Rolle regulatorische Interventionen bei der Erhöhung der Qualität der Buchhaltung spielen.

Verändertes Umfeld für das Bankwesen

Das Umfeld des Bankwesens hat sich in den vergangenen Jahren rasant verändert: Die Globalisierung ist vorangeschritten, die Finanzkrise von 2008 musste überwunden werden und das Geschäftsgebaren einiger Banken hat das Vertrauen in die gesamte Branche erschüttert. Neue Technologien, neue Produkte, neue Geschäftsmodelle, neue Wettbewerber, neue Methoden der Risikoermittlung sind auf dem Markt aufgetaucht. All das hat dazu geführt, dass die Bankenregulierung zunehmend komplexer geworden ist. Die von manchen Akteuren als „Regulierungswut“ kritisierten Aktivitäten zur Schaffung immer neuer Vorgaben zielt vor allem darauf ab, Banken zu stärken, Krisen abzuwenden und einheitliche rechtliche Regelungen in Europa zu schaffen. Das Ziel ist es regulatorische Transparenz und Compliance.

Buchhaltungstricks unmöglich machen

Die Buchhaltung ist besonders betroffen. Das hat seinen guten Grund – ist sie doch das Management Informations-Instrument, auf dessen Grundlage Entscheidungen getroffen werden. Die Qualität der Rechnungslegung bestimmt letztlich über die Entwicklung einer Bank, einer Versicherung, eines Investmentfonds oder einer Leasinggesellschaft. Denn Risiken lassen sich frühzeitig erkennen, wenn die Berichterstattung mit qualitativ hochwertigen und transparenten Kennzahlen arbeitet und die IT-Schnittstellen entsprechend konzipiert sind.

Ein Beispiel: Zur globalen Finanzkrise 2008 hat die Tatsache geführt, dass Risiken der Immobilienverkäufe in den USA nicht adäquat in den Finanzberichten der Unternehmen abgedeckt waren. Die Zusammenbrüche von Lehman Brothers, Bernard Madoff Securities, Bear Stearns waren die Folge suboptimaler Rechnungslegungspraktiken – man kann auch „Buchhaltungstricks“ dazu sagen. Das heißt: Eine unzureichende Qualität der Rechnungslegung kann Banken als gesund darstellen, als Institutionen mit hohem Wachstum und geringer Volatilität erscheinen lassen. Tatsächlich aber führt dies zur Deckung übermäßiger Risikobereitschaft beziehungsweise zu einem riskanten Bankverhalten.

Bei der Diskussion darüber, wer Schuld z.B. an der Lehman-Pleite hatte, stand neben den fraglichen Praktiken der Buchführung einiger Finanzhäuser auch die lasche Regulierung der Finanzbranche weltweit in der Kritik. Die Politik hatte dem Markt durch kontinuierliche Deregulierung zu viel Freiraum gelassen.

US-Studie belegt positiven Effekt

In einem Artikel vom Journal of Banking and Finance “Accounting quality in banking: The role of regulatory intervention” vom Oktober 2018, berichten die Autoren die Ergebnisse ihrer empirischen Untersuchung der Auswirkungen regulatorischer Einflüsse im Zeitraum von 2000 bis 2014. Auf der Grundlage von Stichproben US-amerikanischer Banken und selbst gesammelter Daten wurden erhebliche Verbesserungen der Buchhaltungsqualität nach den durchgesetzten risikobezogenen und buchhalterischen Maßnahmen festgestellt. Diese Verbesserungen wurde durchgängig bei der Ertragsglättung (earnings smoothing), der Big Bath-Methode, zeitnaher Erfassung künftiger Kreditverluste, der Abstimmung von Risikovorsorgen mit künftigen Darlehensbelastungen, der Verlustvermeidung sowie der Planbarkeit des Cashflows und der Persistenz von Gewinnen festgestellt.

© KPG_Payless/shutterstock.com
© KPG_Payless/shutterstock.com

Mehr Kontrolle für höhere Qualität

Eine niedrigere Qualität der Rechnungslegung im Bankgeschäft spiegelt in der Regel die Anstrengung von Banken wider, ein übermäßiges Kreditrisiko abzudecken. Zwar kann eine geringe Qualität der Finanzberichterstattung viele Ursachen haben. Meist aber hängt sie mit der Risikovorsorge im Kreditgeschäft, der schlechteren Qualität der IT in der Buchhaltung (Accounting Information Systems) und dem allgemeinen Wunsch zusammen, in der Ergebnisberichterstattung besser dazustehen.
Werden strengere Regeln bezüglich der Risikovorsorge erlassen, so muss sich auch die Berichterstattung und die IT in diesem Bereich ändern beziehungsweise verbessern. Neue Bewertungskriterien müssen in Form von Kennzahlen in der Finanzbuchhaltung einfließen, das Datenmanagement muss funktionieren, der Datenbestand sowie die IT-Prozesse auf den aktuellen Stand gebracht werden.

Neue Regularien erfordern gleichzeitig ein besseres Controlling in der Bank. Um die Umsetzung der Maßnahmen zu überprüfen, müssen bisherige Kontroll- und Prüfsysteme überarbeitet werden.
Für die Durchsetzung regulatorischer Vorgaben ist in Deutschland die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zuständig. Diese Behörde unterstützt das Bankwesen bei der Umsetzung gesetzlicher Vorgaben, überprüft aber gleichzeitig deren Einhaltung. Damit stehen die Banken, und hier speziell die Finanzberichterstattung, in der Pflicht, regelmäßig über spezielle Themen zu informieren. Das heißt, die Anforderung an die Berichterstattung erhöht sich, was zweifellos mehr Effizienz von Buchhaltung und IT-Umfeld verlangt.

Werden Regelverstöße in einer Bank festgestellt, erteilt die BaFin Auflagen. Auch deren Umsetzung trägt zur weiteren Anpassung und im besten Fall zur höheren Qualifizierung der Buchhaltung bei.

Brexit als nächste große Herausforderung

Inzwischen haben Politik und Aufsichtsbehörden ebenso wie das Bankwesen selbst erste praktische Erfahrungen mit der Implementierung neuer Regulatorik für die Finanzbranche nach der Weltwirtschaftskrise gesammelt. Nun geht es an die Feinjustierung.

Abgeschlossen ist der intensive Regulierungsprozess damit keinesfalls.

Die nächste große Herausforderung für Gesetzgeber, Aufsichtsbehörden und das Bankwesen ist der Austritt Großbritanniens aus der EU. Für britische Banken, Versicherungen und Wertpapierdienstleister entfällt mit dem Brexit die Möglichkeit, Dienstleistungen in der Europäischen Union auf Basis des Europäischen Passes zu erbringen. Eine Vielzahl gesetzlicher Veränderungen wird über die Finanzwirtschaft hereinbrechen – ist London doch der bedeutendste Finanzplatz der Europäischen Union.

Fitness-Checks und Stellungnahmen

Auch die Vereinheitlichung von Vorschriften für das Bankwesen innerhalb der EU wird weiter vorangetrieben, allen voran der Richtlinien für Berichterstattung und Rechnungslegung.
Nicht immer führen regulatorische Interventionen aber auch zu dem gewünschten Ergebnis. „Mit der Wertpapierrichtlinie MiFID II ist der europäische Gesetzgeber deutlich über das Ziel hinausgeschossen. Sie ist ein Ärgernis für die Kunden, ein Alptraum für Kreditinstitute und Berater und erweist dem Anlegerschutz und der Wertpapierkultur in Deutschland einen Bärendienst”, erklärt Andreas Krautscheid, Hauptgeschäftsführer des Bankenverbandes “Die Deutsche Kreditwirtschaft”.

Auch die öffentliche Berichterstattung von Unternehmen steht in der Kritik des Bankwesens. Sie umfasst die Rechnungslegungsrichtlinie, Transparenzrichtlinie, Richtlinie über die nichtfinanzielle Berichterstattung, Richtlinie über die Rechnungslegung von Banken und Versicherungen und die IAS-Verordnung. Die Europäische Kommission hatte im vergangenen Jahr einen Evaluierungsfahrplan “Fitness-Check” zur öffentlichen Berichterstattung von Unternehmen veröffentlicht. Damit soll beurteilt werden, ob die öffentlichen Berichtspflichten einschließlich der finanziellen und nichtfinanziellen Berichtspflichten für EU-Unternehmen ihren Zielen (Wirksamkeit, Relevanz und EU-Mehrwert) entsprechen.

Der Bankenverband hat in seiner Stellungnahme Kritik an einigen Verordnungen zur öffentlichen Berichterstattung angesprochen.

Letztlich bestehe die hohe Schule der Regulierung darin, nicht nur erkannte Fehler zu beheben, sondern auch künftige Verwerfungen gedanklich vorwegzunehmen. Das ist und bleibt naturgemäß ein hoher Anspruch, erklärte Felix Hufeld, Präsident der BaFin, bei der Eröffnungskonferenz der 21. Euro Finance Week in Frankfurt am Main, im vergangenen November.
Dem Bankwesen kommt dieser Anspruch allemal zugute.

Stärken und Schwächen der Bankenregulierung

Bankenregulierung als Festlegung rechtlicher Regeln

Bankenregulierung ist eine Maßnahme des Staates oder einer Staatengemeinschaft, um Finanzkrisen zu verhindern oder zumindest weniger wahrscheinlich zu machen. Unter Bankenregulierung versteht man die Festlegung rechtlicher Regeln im Bereich Finanzwirtschaft, um die Finanzstabilität zu schützen. Lesen Sie in diesem Beitrag, welche Vorteile eine strenge Bankenregulierung Ihrem Finanzinstitut bringt, welche Schwerpunkte die Bankenregulierung für 2019 auf die Tagesordnung setzt und wie Sie neue Gesetze und Verordnungen schnell und effektiv umsetzen können.

Mehr Finanzstabilität durch Bankenregulierung

Bankenregulierung gibt es schon immer. Wie die Finanzkrise 2007/2008 gezeigt hat, erfüllte sie aber über Jahrzehnte hinweg nicht die Anforderungen, um Finanzinstitutionen in die Lage zu versetzen, Krisen abzuwenden oder zu überstehen. Nach dem Zusammenbruch von Lehman-Brothers 2008 verpflichteten sich die G-20-Staats- und -Regierungschefs daher, ihre aufsichtsrechtlichen Vorschriften, die aufsichtsrechtlichen Aufsicht und das Risikomanagement zu stärken. Dies sollte sicherstellen, dass alle Finanzmärkte, Produkte und Teilnehmer entsprechend ihres Zustandes besser reguliert oder beaufsichtigt werden.

In Deutschland ist die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFIN) die oberste Finanzaufsichtsbehörde. Sie ist zuständig für Kreditinstitute, Finanzdienstleister, Kapitalverwaltungsgesellschaften, Versicherungsunternehmen und Pensionsfonds (beaufsichtigte Unternehmen) sowie den Wertpapierhandel. Grundlage ihrer Tätigkeit sind Gesetze und Verordnungen des Bundestages sowie EU-Verordnungen.

Bankenregulierung erhöht qualitative Anforderungen

Im Zuge der Bankenregulierung stellen die staatlichen Stellen und die EU heute höhere Anforderungen an die Finanzwirtschaft als vor der Finanzkrise:

  • Banken müssen quantitativ und qualitativ höhere Anforderungen an die Kapitalausstattung erfüllen.
  • Banken müssen ausreichend Liquidität vorhalten.
  • Es existieren Mechanismen, um auch Bankenriesen, deren Zusammenbruch weitreichende Folgen für die gesamte Finanzstruktur haben, abwickeln zu können.
  • Mit Hilfe der makroprudenziellen Regulierung werden nicht nur einzelne Institute, sondern wird die Stabilität des Finanzsystems als Ganzes überwacht. Eine wichtige Rolle spielt dabei die Identifikation systemischer Risiken. Indem Gesetze und Verordnungen die Finanzbranche zum Schutz vor Krisen regulieren, wird gleichzeitig der Anlegerschutz gestärkt. Durch Rechnungslegungs- und Publizitätsvorschriften wird Transparenz gewährleistet. Ebenso wird sichergestellt, dass der allgemeine Zahlungsverkehr funktioniert.

Bankenregulierung ist kein abgeschlossener Prozess. So wie sich das Umfeld ändert, also das gesamtwirtschaftlichen Gefährdungspotenzial und das einzelwirtschaftliche Risiko, so werden neue Gesetze und Verordnungen erlassen, die von den Finanzinstituten umgesetzt werden müssen.

Header Bankenregulierung
© yanin kongurai/shutterstock.com

Digitalisierung als Schwerpunkt der Bankenregulierung

Ein aktueller Schwerpunkt der Bankenregulierung, der alle Finanzinstitute direkt betrifft, besteht in der Begleitung des Digitalisierungsprozesses. Hier stellen sich die Fragen:

  • Wie ist aufsichtlich und regulatorisch mit den Marktveränderungen umzugehen, die durch die Digitalisierung ausgelöst werden?
  • Wie kann die BaFin sicherstellen, dass die innovativen Technologien und IT-Systeme sowie Daten, die bei den beaufsichtigten Unternehmen genutzt werden, sicher sind?

Datensicherheit – also Cybersecurity, Data Governance, Drittanbieter und Datenschutz – steht ganz oben auf der Must-Have-Liste von Finanzinstituten, um Gefahren abzuwenden.

DSGVO als besondere Herausforderung

Im vergangenen Jahr trat die Datenschutz-Grundverordnung (DSGVO) der EU in Kraft – ein Meilenstein der regulatorischen Unterstützung zur Schaffung eines vollständigen digitalen Binnenmarkts. Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Die DSGVO ist eine einzigartige Regelung für das Datenmanagement zum Schutz der Privatsphäre für alle Mitglieder der EU und des Europäischen Wirtschaftsraums (EWR), deren Umsetzung die gesamte Wirtschaft, allen voran aber die Finanzbranche, vor große Herausforderungen stellte und weiterhin stellt. Ob die Verordnung in allen Teilen den Ansprüchen gerecht wird, die an sie gestellt werden, bleibt dahingestellt. Fakt ist: Für Unternehmen hat sie weitreichende Konsequenzen, insbesondere in der Finanzbranche, die wie kaum ein anderer Wirtschaftszweig von Datenflüssen lebt.

In Buchhaltungssystemen sind die Änderungen und Folgen, die sich aus der Erhebung, der Auswahl, Archivierung und Verarbeitung personenbezogener Daten ergeben, gravierend: Schließlich gehört zum Geschäftsmodell von Finanzinstituten die Nutzung sehr sensibler Daten. Die Banken haben Einblick in die finanzielle Situation einer Person, kennen sein Girokonto und seine Kreditwürdigkeit. Die Informationen werden vielfältig verwendet, beispielsweise zur Risikoklassifizierung für die interne Berechnung. Damit die personenbezogenen Profile den Anforderungen der DSGVO genügen, müssen die neuen Regeln von der Bank-IT umgesetzt werden. Das ist kein einmaliger, sondern ein fortlaufender Prozess. Die Umsetzung erfolgt um so schneller und reibungsloser, um so mehr Bedeutung dem Datenmanagement in einem Finanzinstitut beigemessen wird.

DSGVO als Gratwanderung

So hat die DSGVO zweifellos das Datenmanagement in rechnungslegungsrelevanten Informationssystemen modernisiert. Allerdings habe die Verordnung der Wirtschaft auch viele neue bürokratische Informations-, Berichts- und Dokumentationspflichten aufgebürdet, ohne einen Mehrwert für den Datenschutz zu erreichen, kritisieren Wirtschaftsvertreter.

Einige Bereiche der DSGVO sind unklar formuliert, zum Beispiel:

  • der Geltungsbereich der Verordnung bei der Nutzung personenbezogener Daten für nationale Sicherheitsaktivitäten oder für die Strafverfolgung innerhalb der EU
  • die zahlreichen Ausnahmen zum „Recht auf Vergessenheit“, die gegen Meinungsfreiheit, Gesundheitsinteressen, rechtliche Verpflichtungen und historische Aspekte abgewogen werden sollen.

Ethische Fragen stellen sich beispielsweise beim „Adaptive Pricing“, wo die Preisänderung von der Nachfrage des Kunden abhängt, berechnet durch ausgefeilte Formeln, die Kundenprofile enthalten. Auch können Radiofrequenz-Identifikationssystem in der Arbeitskleidung verwendet werden, um die Bewegungen der Mitarbeiter im Laufe des Tages zu verfolgen.

Die Gratwanderung “Notwendigkeit versus Reduzierung der Privatsphäre”, die alle Unternehmen gegenwärtig erleben oder “Privatsphäre versus Sicherheit” stellt eine große Herausforderung dar – auch für das Datenmanagement.

Brexit erfordert Neuordnung der Datenstrukturen

Ein weiterer Schwerpunkt der Tätigkeit der Bankenregulierung durch die BaFIN in diesem Jahr ist der Brexit, der Austritt des Vereinigten Königreichs aus der EU. London ist der größte Finanzplatz Europas. Wenn Großbritannien den Zugang zum Binnenmarkt verliert, hat das weitreichende Folgen für den Finanzsektor. Nicht nur viele außereuropäische Banken haben ihre europäische Hauptniederlassung in London, auch europäische Banken besitzen am Standort zahlreiche Niederlassungen. Diese Institute können auf der Grundlage des sogenannten „financial passporting“ bisher in der ganzen EU grenzüberschreitende Geldgeschäfte tätigen.

Mit dem Brexit steht dieser Finanzpass auf dem Spiel. Wie auch immer sich der Austritt gestaltet, müssen neue Regeln aufgestellt werden, die den ganzen Finanzsektor betreffen. Das betrifft auch Banken, Versicherungen, Investmentgesellschaften oder Leasingunternehmen, die keine Filiale in London haben. Letztlich führt im Finanzsektor kein Datenstrom an London vorbei.
Mit dem Brexit entbrennt auch der Wettbewerb darum, welches Land künftig die Rolle Londons in Europa einnehmen wird – oder sich zumindest neben London zum attraktivsten Finanzplatz innerhalb der EU etablieren kann. Hier lauert die Gefahr, dass Regeln gelockert werden, um Finanzinstituten eine Niederlassung an einem bestimmten Standort schmackhaft zu machen.
Ohnehin lässt gegenwärtig der Regulierungseifer elf Jahre nach der Bankenkrise nach. Der Bankenverband warnt davor, dass es zunehmend politisch wieder akzeptabel wird, den Abbau von Bankenregulierung zu verlangen.

Auf die Balance kommt es an

Tatsächlich ist die Regulierung des Bankensektors ein Drahtseilakt. Auf der einen Seite muss sie gewährleisten, dass die Finanzmarktarchitektur auf einem stabilen Fundament steht. Auf der anderen Seite sollen zu viele Vorschriften und Belastungen die Ertragskraft der Institute nicht mindern. Politik und Bankenaufsicht sind gefordert, die richtige Balance zu finden. Die Finanzinstitute selbst können Regulierungen am besten begegnen, indem sie ihr Datenmanagement so im Griff haben, dass neue Gesetze oder EU-Verordnungen keinen Tsunami auslösen, sondern schnell und effizient umgesetzt werden können.

Ein Weckruf für starke Data Governance im Finanzsektor

Die Auseinandersetzung mit Data Governance in der Finanzbranche

Fast alle Unternehmen in den unterschiedlichsten Bereichen arbeiten heute mit Daten. Nicht alle wissen aber, wie man mit diesen richtig umgeht – zur Sicherheit der Kunden und zum Nutzen des Unternehmens. Lesen Sie in diesem Beitrag, wie Sie mithilfe von Data Governance Ihre Daten im Griff haben und die Effizienz Ihres Unternehmens erhöhen.

Data Governance ist die Gesamtheit der Verantwortlichkeiten und Entscheidungsprozesse für das qualitätsorientierte Management der Daten. Gemäß dieser Definition ist der Gegenstand von Data Governance mehr als die Verbesserung der Datenqualität. Es geht um unternehmensweites Management der Daten – als Unternehmensressource, das heißt um die Beteiligung an fachlichen und strategischen Implementierungen durch die Bank-IT, Einführung und Durchsetzung von „Best Practices“ inklusive standardisierter Datenmodelle, Definitionen, Regeln und Geschäftsprozesse.

Die Auseinandersetzung mit Data Governance findet unter anderem in der Finanzbranche statt. Die Branche ist heutzutage besonderen Wettbewerbsbedingungen ausgesetzt. Disruptive Geschäftsmodelle kommen auf den Markt. Neue Wettbewerber wie Ebay, PayPal, Amazon, Check24, Apple oder Google bieten Services im Bereich Banken und Versicherungen an, die vor allem auf deren umfangreichen Datenbestand und dem klugen Einsatz personenbezogener Daten basieren.

Bei einer starken Data Governance wissen die Banken und Versicherungen, welche Daten in welcher Qualität, in welcher Form und in welchen Teilen des Unternehmens vorliegen, wie sie verarbeitet und von wem sie wofür genutzt werden. Somit können sie diesen Schatz auch in vollem Umsatz nutzen und den Newcomern auf Augenhöhe entgegentreten.

Die eigenen Daten kennen

Zweifellos war die Datenschutzgrundverordnung ein Weckruf – auch für Banken und Versicherungen. Als die DSGVO im Mai 2018 umgesetzt sein sollte, realisierten viele Unternehmen, die personenbezogene Daten besaßen und nutzten, dass sie diesen Termin nicht wirklich auf dem Schirm hatten. Zwei Jahre zuvor, im Mai 2016, trat die neue europäische Datenschutzgrundverordnung in Kraft.

Ein Weckruf für starke Data Governance im Finanzsektor
@ Gorodenkoff/shutterstock.com

Probleme hatten vor allen die Unternehmen, die ihre Data Governance nicht im Griff hatten. In aller Schnelle musste jetzt im Unternehmen erkundet werden, welche Daten eigentlich vorhanden waren, auf die diese Verordnung zutraf, wie damit umgegangen wurde und was notwendig war, um den Umgang mit den Daten an die Rechtslage anzupassen. Schließlich drohten bei einem Verstoß gegen die EU-Richtlinie hohe Strafen.

Das schließt alle Unternehmensbereiche ein, vom Rechnungswesen über das Controlling, Treasury bis zum Risikomanagement und zur Kundenansprache. Finanzreports zum Beispiel müssen nach International Financial Reporting Standards, EZB-Vorgabe und vielen anderen Regeln im Rahmen der Bankenregulierung erstellt werden. Grundlage hierfür sind Daten. Jede Änderung der Kontenpläne erfordert die Aktualisierung und Zuordnung dieser Daten und ein reibungsloses Schnittstellenmanagement.

Daten – der Rohstoff der 21. Jahrhunderts

Schon jetzt den richtigen Umgang mit Daten zu praktizieren ist einmal mehr das Gebot der Stunde, da Daten für die Strategien von Finanzinstituten und Versicherungen und deren Umsetzung eine immer größere Rolle spielen. Wie die Studie “Data Age 2025. The Digitalization of the World” des internationalen Marktforschungs- und Beratungsunternehmen IDC zum weltweiten Datenwachstum bis 2025 feststellt, wächst die globale Datenmenge von 33 Zettabyte im Jahr 2018 auf 175 Zettabyte bis 2025. Im Jahr 2025 wird jede mit dem Internet verbundene Person mindestens alle 18 Sekunden eine Dateninteraktion durchführen.

Zweifellos gilt: Daten sind der Rohstoff des 21. Jahrhunderts. Finanzinstitute, die Daten effektiv nutzen, können Geschäftswerte freisetzen – aber nur, wenn die Risiken, die diese riesigen Datenmengen mit sich bringen, beherrscht werden. Auch dafür braucht es Data Governance.

Oben auf der Liste der Risiken

Gartner, ein weiteres renommiertes Research- und Beratungsunternehmen im Bereich IT, nennt zum Beispiel in seinem Hot-Spots-Bericht vom 15. November 2018 datenbezogene Probleme als eines der Top-2019-Risiken für die interne Revision. „Cybersecurity, Data Governance, Drittanbieter und Datenschutz stehen ganz oben auf der Liste der Risiken“, sagt Malcolm Murray, VP, Team Manager bei Gartner.

Die wichtigsten Daten- und Analyserisiken, die Audit-Führungskräfte im Jahr 2019 betreffen, sind laut Murray neue Datenschutzbestimmungen und Verstöße gegen den Datenschutz. Obwohl datengesteuerte Geschäftsstrategien erforderlich sind, um die Effizienz und Wettbewerbsfähigkeit zu steigern, verfügten laut Gartner nur 37 Prozent der Unternehmen über formale Datenverwaltungsrahmen.

Die nächsten Aufgaben

Data-Governance-Frameworks aber sind eine Voraussetzung, um die Risiken zu minimieren, die durch Sicherheitsbedrohungen und Datenschutzprobleme verursacht werden. Unternehmen können ein solches Regelwerk entwickeln, indem sie zuerst die Datenbestände im gesamten Unternehmen erfassen und Richtlinien zur Datenklassifizierung festlegen. Ein wichtiger Aspekt ist die Schulung der Mitarbeiter beim Umgang mit den Daten. Nicht nur der Datenschutz sollte bei allen Verantwortlichen präsent sein – auch die Bewertung der Qualität und die vielfältigen Möglichkeiten der Daten in der Gesamtstrategie des Unternehmens und demzufolge in den einzelnen Bereichen wie Buchhaltung, Accounting, Controlling, Riskmanagement oder Marketing.

Optimal werden Daten genutzt, wenn ein Finanzinstitut oder eine Versicherung eine führende Stellung im Bereich digitale Transformation einnimmt. Um dies zu erreichen, muss die Kultur der Digitalisierung von der Unternehmensführung vorangetrieben werden, die eine sehr genaue Vorstellung davon haben muss, wie die Daten eingesetzt und monetarisiert werden können.

Fazit: Sieben Gründe für den Einsatz von Data Governance

Wie aus der Übersicht hervorgeht, gibt es mehrere Gründe, Data Governance in Finanzinstituten oder Versicherungen besondere Beachtung zu schenken. Die wichtigsten sind zweifellos:

  1. Die Menge der Daten, die Sie in den nächsten Jahren zu verwalten haben, wächst rasant. Nur mit Data-Governance behalten Sie den Überblick.
  2. Rechtliche Anforderungen an den Umgang mit Daten werden strenger. Ständig neue Verordnungen zwingen Sie zur ständigen Umstrukturierung und Zuordnung Ihrer Daten. Nur mit Data Governance erfüllen Sie diese Anforderungen. Data Governance ist die Voraussetzung für Data Compliance. Sie beugen damit Gesetzesverstöße und Problemen mit Behörden vor und erfüllen alle Anforderung an den Datenschutz.
  3. Mit Data Governance mindern Sie das Risiko, dass Daten im Unternehmen wissentlich oder unwissentlich missbraucht werden. Auch schützt der richtige Umgang mit den Daten vor Cyberkriminalität.
  4. Data Governance steigert die Effizienz des Unternehmens. Sie arbeiten wesentlich schneller, wenn die richtigen Informationen in Form von Daten jederzeit zur Verfügung stehen. So sparen Sie Kosten.
  5. Data Governance wird die Hierarchien Ihres Unternehmens verändern und an die Anforderungen der Zukunft anpassen.
  6. Mit Data Governance gewinnen Sie neue Kunden. Mit der Qualifizierung Ihrer Daten erhöht sich auch Ihre Fähigkeit, Informationen richtig zu interpretieren und zur Kundenansprache einzusetzen.
  7. Durch Data Governance machen Sie Ihre Daten zu Geld.
staperior staperior staperior