Risk, Governance & Compliance

Der zuletzt durch das BSI freigegebene branchenspezifische Sicherheitsstandard betrifft den Sektor medizinische Versorgung (im Krankenhaus). Gemäß der Pressemitteilung vom 23.10.2019 des BSI hat dieses den Cyber-Sicherheitsstandard für Krankenhäuser von der Deutschen Krankenhausgesellschaft (DKG) anerkannt.

Laut der Ausführungen des BSI waren medizinische Einrichtungen und Krankenhäuser 2019 wiederholt durch IT-Sicherheitsvorfälle sowohl in den Fokus der Behörden als auch in die Presse geraten. Entsprechende Angreifer hatten hierbei weniger die Zerstörung oder Veränderung von Daten im Blick als vielmehr deren Verfügbarkeit und Aktualität. Nicht verfügbare Daten (Stichwort RANSOMWARE, vgl. z.B. diesen Artikel des Handelsblattes) können mitunter für die Unternehmen sehr kostspielig werden.  

Pragmatisch betrachtet sollten umgesetzte Compliance Management Systembestandteile in ihren Ausführungen sowie ihrer Umsetzung in regelmäßigen Zeitabständen, schlechtesten Falls mindestens einmal im Geschäftsjahr, hinterfragt werden.

Als Basisverständnismodel hierfür eignet sich das so genannte „Three Line of Defense-Model“ (TLoD) welches aus dem Risikomanagement hervorgegangen ist und mittlerweile als gängige Methode angesehen wird. Das Modell dient im Wesentlichen dazu Risiken, die in einer Organisation oder einem Unternehmen auftreten können systematisch aufzuarbeiten. Das TLoD-Modell hat gegenüber anderen Modellen den wesentlichen Vorteil, dass es in Bezug auf Unternehmensgröße oder -struktur nicht gebunden ist oder an Komplexitäts- und damit durchgängige Umsetzungsgrenzen stößt.

Die am 27. April 2016 veröffentlichte und seit dem 25. Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO bzw. Verordnung (EU) 2016/679) bzw.

Die neue Leitlinie „EBA/GL/2019/02 zu Auslagerungen“ ist im Februar 2019 erschienen. Sie löst die bestehenden Richtlinien Committee of European Banking Supervisors (CEBS) zum Outsourcing vom 14. Dezember 2006 und die Empfehlungen der EBA zum Outsourcing an Cloud-Dienstleister ab. Die Leitlinie trat zum 30.09.2019 in Kraft und umfasst alle zu diesem Datum und danach geschlossenen, zur Prüfung und zur Änderung finalisierten externen Dienstleistungen. Darüber hinaus müssen bereits bestehende Auslagerungsvereinbarungen neu verifiziert und an die neuen Anforderungen angepasst werden. Je nach Einzelfall kann auf Basis der angegebenen Übergangsregelung eine Umsetzung mit der Deadline zum 31.12.2021 erfolgen.

Am 29. März 2019 sollte Großbritannien im Zuge der Brexit-Abstimmung die Europäische Union verlassen. Zwei Jahre zuvor leitete Theresa May, britische Premierministerin, das Austrittsersuchen Großbritanniens an die EU weiter. Geplant war in dem zweijährigen Übergangszeitraum, die Modalitäten zwischen Großbritannien und der EU zum Austritt zu klären und Abkommen und Vorkehrungen für einen geordneten Brexit zu treffen. In den letzten Tagen und Wochen wurde um Verlängerung des Austrittszeitraums bis Ende Juni 2019 gebeten, was die schwierigen Verhandlungen zum Austritt widerspiegelt. Seitens der anderen europäischen Mitgliedsstaaten stehen die Anzeichen zu einer Fristverlängerung gut, sofern sich das britische Parlament dazu bereit erklärt, die Austrittsforderungen der EU zu akzeptieren. Ob es sich jedoch dazu durchringen kann, bleibt auf Grund der heftigen Gegenwehr zu Eingeständnissen an die EU – wie die letzten Tage und Wochen gezeigt haben – abzuwarten.

Sollte es zu keiner Einigung kommen, steht ein „harter“ Brexit bevor, also ein Austritt Großbritanniens ohne weitere Abkommen oder sonstige Austrittsmodalitäten – das bisher denkbarste „Worst-Case“-Szenario, wie es treffend umschrieben wird. Zwar betonen die anderen Mitgliedsstaaten und Deutschland, auf einen „harten“ Brexit vorbereitet zu sein und Vorkehrungen zu treffen; wie die Folgen genau aussehen, bleibt bisher jedoch offen.

Die EBA-Leitlinien zu den „Sicherheitsmaßnahmen bezüglich der operationellen und sicherheitsrelevanten Risiken von Zahlungsdiensten gemäß der Richtlinie (EU) 2015/2366 (PSD2)“ werden in die „Guidelines on ICT and security risk management“ integriert (ICT = information and communication technology; zu deutsch: IKT).

Ziel der Leitlinien ist es, dass Finanzinstitute sich mit den immer relevanter werdenden IKT-Risiken inklusive der Sicherheitsrisiken auseinandersetzen und diese ordnungsgemäß managen. Darüber hinaus dienen sie einem Verständnis darüber, welche Erwartung an die Überwachung dieser Risiken gestellt wird.

Während die ursprüngliche Version EBA GL 2017/17 den Fokus auf Zahlungsdienste gelegt hatte, adressieren die neuen Leitlinien weitere Aktivitäten von Instituten. Auch wenn sich derzeit die neuen Leitlinien noch in der Konsultationsphase befinden, so zeichnet sich im Vergleich folgendes Bild ab:

Nach Informationen der Landesdatenschutzbehörden nahm die Zahl der gemeldeten Datenschutzverstöße in der Zeit ab 25.05.2018 enorm zu – aber nur ein Teil dieser gemeldeten Verstöße sind auch tatsächlich Datenschutzverstöße im Sinne der DSGVO.
Nach Auskunft der Landesbeauftragten für den Datenschutz Niedersachsen wurden 2017 insgesamt 20 Datenschutzverstöße gemeldet. In der Zeit vom 25.05.2018 bis 07.08.2018 stieg diese Zahl gewaltig an. Es gingen in diesem kurzen Zeitraum bereits 126 Meldungen bei der Datenschutzbehörde ein.
Dieser Artikel beschäftigt sich vor diesem Hintergrund mit der Frage, was eigentlich Datenpannen sind und wie ein Unternehmen darauf reagieren sollte.

Die Prüfung des internen Kontrollsystems bei Dienstleistern nach dem Standard SSAE 18

Hintergrund

Das Outsourcing von Geschäftsprozessen oder Teilen davon ist seit vielen Jahren ein normaler Vorgang und ermöglicht Unternehmen, sich auf Kernaufgaben und -kompetenzen zu konzentrieren.

Unabhängig davon, welche konkrete Leistung in einer Outsourcing-Lösung realisiert wird, ist meistens ein mittelbarer oder unmittelbarer Einfluss auf das Rechnungswesen und den Jahresabschluss des Auftraggebers vorhanden. Grundsätzlich gilt, dass die Ordnungsmäßigkeit des Rechnungswesens nicht ausschließlich anhand von Verarbeitungsergebnissen zu beurteilen ist, sondern in hohem Maß an die Funktionsfähigkeit des internen Kontrollsystems geknüpft wird. Eine grobe Abhandlung findet sich auch hier.

Sie möchten sich auf Ihr Kerngeschäft konzentrieren und verfügen nicht über entsprechendes PSD2-Wissen und Ressourcen zur Umsetzung der Anforderungen?

Sie würden gerne Themen wie Governance, Risikomanagement, Outsourcing/Dienstleistersteuerung und -überwachung oder Interne Revision mit Hilfe von Dienstleistern abdecken?

Sie suchen Antworten zu Fragen rund um das Thema PSD2, möchten aber nicht direkt große Beratungsprojekte einkaufen?

Die PSD2 (Payment Services Directive, EU 2015/2366) hat ohne Zweifel die Welt der Zahlungsdienste revolutioniert. Immer mehr Startups und weitere Finanzdienstleistungsinstitute wollen sich z.B. als Kontoinformationsdienstleister oder Zahlungsauslösedienstleister registrieren lassen. Konzentriert auf das Kerngeschäft unterschätzt man die Herausforderung bezüglich der hohen Anforderungen an Governance, Sicherheit, Überwachung, Reports usw., die damit einhergehen. Dabei steht die Frage im Raum, wie eine Umsetzung aus eigener Kraft (i.d.R. ohne entsprechende Ressourcen) bzw. im laufenden Betrieb erfolgen soll. In der jungen Unternehmensphase auf kostenintensive Projekte durch Beratungshäuser zu setzen, ist oftmals nicht die bevorzugte Lösung.

Die Umsetzung der Anforderungen aus der PSD2 prägt derzeit die Projektlandschaft der Zahlungsdienstleister. Während das Zivilrecht (größtenteils) Anfang 2018 zur Anwendung kommt, haben sich die Institute aufgrund von Fristverschiebungen und der Abhängigkeit von EBA-Veröffentlichungen etwas Zeit in der Umsetzung von einzelnen Teilen des Aufsichtsrechts verschafft.

Dennoch: Obwohl einige Zieltermine für umfangreiche Themen in der Zukunft liegen, empfiehlt es sich, sich für die Interne Revision bereits jetzt mit der Thematik zu befassen, die Änderungen im Zahlungsverkehr einzuplanen und ggf. mit Prüfungen zu starten oder in Form von Projektberatung zu unterstützen. Z.B. kann die Umsetzung der MaSI (Mindestanforderungen an die Sicherheit von Internetzahlungen) geprüft werden, da diese sich als Vorbote der PSD2 darin in Teilen wiederfindet. Zeitnah kann auch die Umsetzung des (PSD2-)Meldeprozesses an die Aufsicht oder die Umsetzung des Zivilrechts (u.a. Durchführung von Zahlungen, Entgelte, Haftungsfragen) überprüft werden, da die Änderungen Anpassungen in den Prozessen erfordern (vgl. z.B. BGB §675y Absatz 3-5 – verspätete Ausführung und Nachforschung bei Angabe falscher IBAN).