Mit ihrem Rundschreiben 10/2017 (BA) vom 3. November 2017 hat die BaFin die finale Fassung der BAIT veröffentlicht.

Wie die MaRisk (welche auch aktualisiert wurde – vgl. Rundschreiben 09/2017 (BA) – Mindestanforderungen an das Risikomanagement – MaRisk – https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2017/rs_1709_marisk_ba.html) sollen die BAIT die gesetzlichen Anforderungen des § 25a Abs. 1 KWG konkretisieren. Darüber hinaus werden die Anforderungen des § 25b KWG an die Auslagerung von Aktivitäten und Prozessen präzisiert.

Im Einzelnen wird sehr deutlich klargestellt, dass es den Instituten obliegt, eine nachvollziehbare und nachhaltige IT-Strategie sowie IT Governance festzulegen. Zudem die BAIT eine verbindlich Einrichtung der Funktion eines IT-Sicherheitsbeauftragten vor. Darüber hinaus zeichnen sich ein zunehmender Dokumentationsaufwand und weitere Berichtspflichten ab. Nach Auffassung der BaFin werden jedoch keine neuen Anforderungen gestellt sondern lediglich „Klarstellungen“ vorgenommen.

Der Umsetzungsaufwand kann nur auf Grundlage der institutsspezifischen Voraussetzungen beurteilt werden. Es ist jedoch darauf hinzuweisen, dass die Aufsicht im Jahresverlauf 2017 bei großen Instituten bereits Sonderprüfungen mit Prüfungsschwerpunkt im IT-Bereich angeordnet hat. Mit Veröffentlichung der BAIT ist davon auszugehen, dass der IT-Bereich bei allen Instituten mehr prüferische Aufmerksamkeit erfahren wird.

Feststehend ist zudem, dass sich auch die regulatorischen Vorgaben in dem Erfordernis der Schaffung eines Datenschutz- und Datensicherheitsmanagements mit den Vorgaben der Datenschutzgrundverordnung (EU) 2016/679 in einem vergleichbaren Maß ähneln (insbesondere der Datenschutzfolgeabschätzung nach Art. 35 DSGVO). Insofern ist nach unserem Dafürhalten davon auszugehen, dass die konsequente Anwendung der BaFin-Vorgaben als wesentliches Element zur Umsetzung

• des Grundsatzes der Richtigkeit/ Integrität der Verarbeitung von personenbezogenen Daten (Art. 5 Absatz 1 lit. d) und f) DSGVO);
• des Primates des Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO);
• der Überwachung der Auftragsverarbeiter (Art. 28 DSGVO);
• der Notwendigkeit einer Datenschutzfolgeabschätzung (Art. 35 DSGVO) sowie
• den Anforderungen an die Sicherheit der Verarbeitung personenbezogener Daten (Art. 32 DSGVO)

geeignet erscheint.

Einzelheiten hierzu können Sie unter

https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2017/kon_0217_bankaufsichtliche_anforderungen_it_ba.html

einsehen.

Gern stehen wir Ihnen unterstützend zur Seite.