IT-Security Regulatory Update | Juli 2023

Fokus: DORA, IT-Betrieb im Kontext Cloud, Zusammenspiel zwischen Datenschutz und Kartellrecht

Highlight aus dem Juli 2023

Fachgremium IT befasst sich mit DORA

Im April betrachtete das Fachgremium IT der BaFin zum aktuellen Entwicklungsstand der DORA, unter anderem zum Überwachungsrahmen für IKT-Drittdienstleister und dem aktuellen Umsetzungsstand in den Instituten.

Gegenüber einem erneuten Austausch mit der Industrie nach der Veröffentlichung der delegierten Rechtsakte ist die BaFin offen.

 

Pia Streicher

„Bleiben Sie mit unserem monatlichen Update rund um die Regulatorik zum IT Security Management auf dem Laufenden!“

DORA: aktuelle Entwicklungen, aktueller Umsetzungsstand und IKT-Drittdienstleister

Das Fachgremium IT befasst sich in einer Sondersitzung mit dem Thema des Digital Operational Resilience Acts (DORA). In seinem Temin betrachten die Mitglieder des Gremiums diverse Themen rund um den Rechtsakt, der aktuell für viel Bewegung in der Finanzbranche sorgt.

Eingangs erläutert eine Vertreterin der Aufsicht den aktuellen Stand zu den Arbeiten im Kontext der ersten Welle der delegierten Rechtsakte unter Mitwirkung der BaFin. Diese sind zum Zeitpunkt der Veröffentlichung des Protokolls bereits als Konsultationsfassung verfügbar, wie in unserem Juni-Update berichtet.

Im folgenden Tagesordnungspunkt befasst sich das Gremium mit den kritischen IKT-Drittdienstleistern, die im DORA unter eine reduzierte Aufsicht der Behörden gestellt werden. Eine Vertreterin der Aufsicht betont, dass es sich hier nicht um eine direkte Beaufsichtung der Dienstleister handelt, sodass bspw. keine direkten Anordnungen getroffen werden können.

Schiefergraue Tafel mit dem Text "Update" in Großbuchstaben und unterstrichen

Gleichwohl können Aufsichtsbehörden Empfehlungen gegenüber Dienstleistern aussprechen, deren Nichtbefolgung ein Zwangsgeld nach sich ziehen kann. Darüber hinaus ist die Aufsicht direkt gegenüber dem kritischen IKT-Drittdienstleister befugt, Informationen und Unterlagen einzufordern sowie Auditierungen durchzuführen. Es wird festgehalten, dass solche behördlichen Prüfungshandlungen diejenigen der Finanzunternehmen nicht ersetzen sollen.

Weiterhin stellt die BaFin die Ergebnisse ihrer Abfrage zu DORA mit Fokus auf Sektorspezifika vor, bevor sie sich mit dem aktuellen Umsetzungsstand von DORA in den Instituten befasst. Das Bild der Industrie ist homogen; DORA wurde als relevant identifiziert, als Projekt geplant und/oder mit entsprechenden Kapazitäten aufgeplant. Zum Diskussionszeitpunkt im April warteten die Institute allerdings größtenteils noch auf die (inzwischen veröffentlichten) Konsultationsfassungen der RTS und ITS, sodass im heutigen Stand schon weitere Fortschritte in der Umsetzung zu erwarten sind. Die Level-2-Rechtsakte werden durch die Unternehmen als hochgradig umsetzungsrelevant eingestuft, da DORA selbst oftmals zu oberflächlich an Themen herangeht und die Detaillierung für die Umsetzung unerlässlich ist.

Im Zuge des aktuellen Umsetzungsstandes in den Instituten kamen auch die BAIT und insbesondere Unterschiede zwischen den dort enthaltenen Anforderungen und denen unter DORA zur Sprache. Vertretende der Industrie äußern den Wunsch einer Analyse dieser Unterschiede nach der Veröffentlichung der Level 2-Rechtsakte sowie einen erneuten Austausch mit der Aufsicht. Diesem Vorschlag steht die Aufsicht offen gegenüber.

Die beiden besprochenen künftigen Termine im Mai und Juni sollten inzwischen bereits stattgefunden haben, sodass voraussichtlich zeitnah mit einem neuen Protokoll des Fachgremium zu rechnen ist.

Das Protokoll des Fachgremiums vom April 2023 finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

Sonderfachgremium IT betrachtet den IT-Betrieb im Kontext Cloud

In diesem Protokoll werden zwei Sitzungen des Sonderfachgremiums vom Dezember 2022 und Mai 2023 zusammengefasst, die sich beide mit den Themen IT-Betrieb und Cloud befasst haben. Dieses Protokoll kann und soll als Orientierungsrahmen für Finanzunternehmen fungieren, seine Inhalte sind aber nicht als abgeschlossen zu betrachten. Neue regulatorische Entwicklungen, relevante Praxiserfahrungen und Ähnliches können eine Anpassung des bisherigen Diskussionsstandes erfordern.

Gegenstand der Sitzungen waren die Anforderungen an den IT-Betrieb für Banken und Versicherungen. Eine der Problemstellungen im IT-Betrieb ist, dass auch hier eine Abstraktionsgrenze für die Erbringung von Cloud-Services durch Dienstleister notwendig ist (ADWEKO berichtete hierzu im Juni 2022 im Kontext der Cloud Service Provider / CMDB). Diese ist abhängig von der Art des Cloud Service Modells und der Nutzung durch das Finanzunternehmen. Grundsätzlich gilt dabei: oberhalb der Abstraktionsgrenze sind die Prozesse und Verfahren des Finanzunternehmens, unterhalb die des Dienstleisters ausschlaggebend. Die Problematik hierbei sind u.a. die unzureichende Informationen rund um die technischen Details der Cloud-Services, fehlende kundenspezifische Berichterstattungen, mangelnder Einfluss auf die interne Prozessgestaltung beim Dienstleister sowie die globale Ausrichtung der Service des Dienstleisters.

Ganz generell weist das Gremium in seiner Diskussion auf sein Protokoll zur Sitzung „Zertifikate“ hin, das auch im Kontext IT-Betrieb gerne genutzt werden könne. Dieses finden Sie in unserem Regulatory Update vom Januar 2022.

Zudem adressiert das vorliegende Protokoll das Prinzip der Veröffentlichung von Veränderungen an der Serviceerbringungen etc. über die Webseite des Dienstleisters, anstatt einer direkten Kommunikation an die einzelnen Mandanten. Dies müssen Finanzunternehmen in ihrem IT-Betrieb prozessual berücksichtigen. Dazu muss das Unternehmen die erworbenen Services ausreichend verstehen, Informationen selbst beschaffen und die Cloud-Services angemessen konfigurieren.

Dazu empfiehlt das Gremium ein Vorgehen in 4 Schritten:

1. Dienstleistungsgüte
Die Dienstleistungsgüte muss vertraglich definiert sein und angemessen überwacht werden. Bei Abweichungen ist eine Risikoanalyse erforderlich, um den (weiteren) Einsatz des Dienstleisters zu prüfen.

2. Risikomanagement
Eine Risikoanalyse zu den inhärenten Risiken sollte vorab erfolgen und regelmäßig überprüft werden; in Abhängigkeit von den Ergebnissen ist der Dienstleister zu steuern.

3. Informationsbeschaffung und -verarbeitung
Beschaffung von Informationen rund um den Lebenszyklus der Services, abgeglichen mit der eigenen Planung. Die genutzten Kommunikationskanäle müssen bekannt sein und entsprechend genutzt werden.

4. Konfiguration der Cloud-Services
Die Empfehlungen des Anbieters sind zu prüfen und der Service ggf. anzupassen. Die Datensicherung durch den Cloud-Anbieter muss vom Finanzunternehmen regelmäßig geprüft, getestet und ggf. angepasst werden. Spielräume bei der Kapazitätsplanung sollten ebenfalls genutzt werden.

Das Protokoll der Sitzungen vom Dezember und Mai finden Sie hier auf der Webseite der BaFin.

Quelle: © Bundesanstalt für Finanzdienstleistungsaufsicht / www.bafin.de

BfDI betrachtet EuGH-Urteil zu Meta im Kontext Kartellrecht

Facebook finanziert sich über personalisierte Werbe-Anzeigen auf Basis eines Nutzerprofils. Dazu werden nicht nur solche Daten erhoben, die Nutzende direkt angeben, sondern auch weitere Informationen über den Nutzenden, sein Gerät und seine Tätigkeiten innerhalb und außerhalb von Facebook, u.a. anderen sozialen Netzwerken des Meta-Konzerns erhoben und mit den verschiedenen Konten der Nutzer*innen verknüpft. Die so gesammelten Daten lassen detaillierte Rückschlüsse auf den einzelnen User und seine Präferenzen zu. 

Geregelt wird dieses Vorgehen in den Nutzungsbedingungen, die es Facebook erlauben, Daten über den Nutzenden auch außerhalb von Facebook zu sammeln. Dies beinhaltet auch solche Daten, die sich auf Drittwebseiten außerhalb des Meta-Konzerns beziehen. Das Bundeskartellamt untersagte Facebook die Anwendung dieser Klauseln in Bezug auf deutsche Nutzer*innen, insofern als dass sie Bedingung für die Nutzung der Plattform sind. Das Bundeskartellamt sieht hierin eine Ausnutzung der vorherrschenden Stellung Facebooks, die sich negativ auf die Freiwilligkeit der Einwilligung des Users auswirkt. Hiergegen haben Meta Platforms Inc. sowie die irische und deutsche Gesellschaften Beschwerde eingelegt.

Der Europäische Gerichtshof hat dazu in seinem Urteil vom 4. Juli entschieden, dass das Bundeskartellamt seinen Beschluss gegenüber Meta so treffen durfte. Sie finden das Urteil zur Rechtssache C-252/21 hier.

Der BfDI betont in diesem Zusammenhang, dass eine enge Zusammenarbeit zwischen Kartell- und Datenschutzaufsichtsbehörden nötig ist, um eine effiziente Aufsicht und einen ausreichenden Schutz der Nutzerdaten zu gewährleisten. In diesem Zuge begrüßt er die Entscheidung des EuGH, dass das Bundeskartellamt gerechtfertigt zum Wettbewerbsschutz auch die Vereinbarkeit mit Datenschutzrecht prüft. Der EuGH betont aber auch, dass vorrangig die Datenschutzbehörden entscheiden, wenn ein Verstoß gegen die DSGVO vorliegt.

Die Stellungnahme des BfDI finden Sie hier auf dessen Webseite.

Quelle: © BfDI – bfdi.bund.de

DORA ist und bleibt eines der Themen, die aktuell viel Aufmerksamkeit einfordern. Mit der Veröffentlichung weiterer Inhalte, ob als Protokoll oder delegierter Rechtsakt, gibt die Aufsicht wertvolle Informationen zur Umsetzung. Bleiben Sie mit uns und unserer Webseite zur digitalen operativen Resilienz auf dem Laufenden!

Bei der Umsetzung des DORA in Ihrem Haus sowie bei offenen Fragen stehen wir von ADWEKO Ihnen gerne mit unserer Expertise zur Seite.

Die aktuellen regulatorischen Entwicklungen finden Sie hier im Überblick

sprechen sie mit
Pia Streicher!

Pia Streicher