Seminar PSD 2 - Prüfungsleitfaden für die Interne Revision

Der Zahlungsverkehr hat durch die MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) und die PSD 2 (Payment Services Directive) erhebliche Änderungen erfahren. Während die MaSI speziell die Sicherheit im Zahlungsverkehr im Fokus hat, reguliert die PSD 2 den kompletten Zahlungsverkehr inkl. der Sicherheit und setzt die Rahmenbedingungen, die Zahlungsdienstleis-ter einzuhalten haben, z.B. für die Zulassung. Der Umfang an Änderungen nimmt Einfluss auf die Prüfungsplanung der Internen Revision.

PSD2 – Herausforderungen für die Interne Revision und Hinweise zur Prüfungsplanung

PSD2 – Herausforderungen für die Interne Revision und Hinweise zur Prüfungsplanung

Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft.

Bestellung eines Datenschutzbeauftragten nach EU DSGVO – was ändert sich?

Die neue Datenschutzgrundverordnung, die am 25.05.2018 in Kraft tritt bringt auch Änderungen in Bezug auf die Bestellung des Datenschutzbeauftragten mit sich.

Hier gelten nicht nur die EU-DSGVO, sondern zusätzlich das sogenannte „BDSG-NEU“ und die sogenannten „Erwägungsgründe“. Diese Erwägungsgründe dienen als Hilfestellung zur Interpretation der offiziellen Rechtnormen.

Synopse: EU-DSGVO, BDSG (alt) und BDSG (neu) gegenübergestellt

Komplexe Welt: Wir hatten (und haben noch) ein Bundesdatenschutzgesetz (BDSG), das bis Mai 2018 vollständig in Kraft ist. Jetzt kommt aber die EU-Datenschutzgrundverordnung (EU-DSGVO), die für uns unmittelbar Gesetzescharakter hat und insofern nicht in nationales Recht umzusetzen ist.

EU-DSGVO: Das neue Datenschutzrecht - Wissenswertes zusammengefasst

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO) ist zum 25.05.2016 in Kraft getreten und wird zum 25.05.2018 wirksam. Damit wird sie ab dem 25.05.2018 die bereits seit 1995 geltende EU-Datenschutzrichtlinie Richtlinie 95/46/EG und das Bundesdatenschutzgesetz (BDSG) mit dem Ziel ablösen, das Datenschutzniveau innerhalb der EU anzugleichen und die Rechte der Betroffenen stärker zu schützen.

Verglichen mit anderen Ländern wird sich in Deutschland nicht alles grundsätzlich ändern. Viele der datenschutzrechtlichen Konzepte und Grundsätze der EU-DSGVO sind ähnlich dem in Deutschland bisherigen geltenden Bundesdatenschutzgesetz (BDSG). 

KRITIS - was bedeutet das für uns?

KRITIS – Ist mein Unternehmen betroffen und was heißt das?

Früher konnte jeder Betreiber selber festlegen, ob er eine kritische Dienstleistung erbringt oder nicht. Mit der KRITIS Verordnung und dem IT-Sicherheitsgesetz wird versucht eine einheitliche Basis zu schaffen, um

  1. Einen Überblick über die aktuelle Lage von kritischen Infrastrukturen zu bekommen
  2. Schnell auf Probleme reagieren zu können
  3. Die Cyber-Sicherheitsstrategie des Bundes zu unterstützen
  4. Die NIS Richtlinie zu erfüllen

Cloud Computing: Service-Level Agreements, Zertifikate und Auditierung

Relevante Aspekte der Cloud Nutzung sollten vertraglich zwischen Kunde und Anbieter vereinbart werden. Dies geschieht in Form der sogenannten Service-Level Agreements (SLAs). Art, Umfang und Detaillierungsgrad der vertraglichen Regelungen sollten dem Schutzbedarf der Daten, die von der Cloud Nutzung betroffen sind, angepasst werden.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 3 - Compliance

Datenschutz

Wie in Teil 3: "Rechtliche Aspekte beim Cloud Computing" beschrieben, sind zwei wesentliche datenschutzrechtliche Anforderungen zu beachten. Die Anforderungen aus § 11 Abs. 2 BDSG sind vertraglich umzusetzen und es sind Vorkehrungen nach § 9 BDSG zu treffen, wenn die Auftragserteilung innerhalb der EU oder des EWR stattfindet. Bei einer Auftragserteilung in Drittstaaten ist ein angemessenes Datenschutzniveau sicherzustellen. Einen weiteren wichtigen Aspekt stellt die Löschung personenbezogener Daten dar. Diese müssen gelöscht werden, sobald sie nicht mehr für den Zweck benötigt werden, zu dem sie erhoben wurden. Ausnahmen stellen z.B. aufbewahrungspflichtige Daten dar.

Auswirkungen auf das IKS beim Einsatz von Cloud Computing: Teil 2 - Cloud-spezifische Risiken

Fehlende Transparenz im Hinblick auf die Datenhaltung und mangelhafte Kontrollmöglichkeiten

Die aus diesem Punkt entstehenden Risiken können über Zertifizierungen gemindert werden. Im Folgenden werden wesentliche Zertifizierungsmöglichkeiten beschrieben. Im konkreten Fall ist zu prüfen und vertraglich zu vereinbaren, ob bei einem Cloud-Anbieter zusätzliche, vom auslagernden Unternehmen selbst durchgeführte Audits vorgenommen werden können (mehr Informationen dazu im nächsten Teil).

Seiten