Institutional Money, Ausgabe 3 | 2020

Datenschutz, das Bankgeheimnis und die DSGVO eins zu eins an die Anbieter wei- terzugeben und natürlich die Anforderungen der BaFin an die wesentlichen Auslagerun- gen zu beachten. Auslagerungen Aus Sicht des deutschen Fondsverbandes BVI lässt das KAIT-Rundschreiben einige Praxisfragen zu Auslagerungen unbeant- wortet. „Deshalb tauschen wir uns seit Monaten mit der BaFin zu einzelnen Punkten aus, um klarzustellen, welche Rechtsfolgen für IT-Auslagerungen von Kapitalverwaltungsgesellschaften gelten sollen und wie eine IT-Auslagerung von einem Fremdbezug von IT-Dienstleis- tungen abzugrenzen ist“, sagt ein BVI- Sprecher. Zum Beispiel teile die BaFin die Auffassung des BVI, dass bei der Nutzung der Datenbanken Beck-online oder Juris keine Auslagerung vorliegt, sofern sich die Fondsgesellschaft der Datenbank nur als Informationsquelle gegen ein geringes, marktübliches Nutzungsentgelt bedient und die Entscheidung über einen etwaigen zu prüfenden Fall in der Rechtsabteilung der Fondsgesellschaft verbleibt. Weil die Prozesse im Finanzsektor immer mehr auf IT-Systemen basieren, hat die Geschäftsleitung einer KVG „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“, schreibt Deloitte in einem Paper zur KAIT, und weiter: „Die in der IT-Strategie niedergelegten Ziele sind so zu formulieren, dass eine sinnvolle Über- prüfung der Zielerreichung möglich ist.“ Außerdem müssen für die IT-Risiken ange- messene Überwachungs- und Steuerungs- prozesse eingerichtet werden. Dazu sind die IT-Risiken in den generellen Prozess des operationellen Risk Managements zu über- führen, und es muss eine vierteljährliche Berichterstattung dazu eingeführt werden. Einheitliche IT-Strategie Nicht nur für Kapitalverwaltungsgesell- schaften, aber eben auch für sie, ist es sinn- voll, von funktionierenden, aber aufwendi- gen Insellösungen wegzukommen und eine einheitliche IT-Strategie zu entwickeln, die die verschiedene Systeme integriert und die Vorgänge aufeinander abstimmt. Auch das ist eine Forderung der KAIT. „Unser Ziel muss sein, die Prozesse durchgängig digital zu gestalten und zu automatisieren. Wir brauchen digitale Resilienz, dass alle Pro- zesse stabil laufen und aufeinander abge- stimmt sind“, meint Lönner. „Dazu muss schnell der Weg zu einheitlichen Standards, weg von Individuallösungen, beschritten werden, die es aber noch nicht gibt.“ Er nennt ein Beispiel: „Die Daten, die wir über die einzelnen Objekte erhalten, kommen von den Property Managern in ganz unter- schiedlichen Formaten. Damit Objekt A aber vergleichbar ist mit Objekt B, brauchen wir eine einheitliche Datengrundlage.“ Sein Ziel wäre ein einheitliches Data Warehouse. „So weit sind wir aber noch nicht“, bedau- ert er. „Dafür müssen wir erst noch die Grundlage schaffen. Wir müssen uns da rea- listisch vorarbeiten; das wird ein iterativer Prozess.“ Eine Strategie aus einem Guss zu ent- wickeln ist allerdings ein umfangreiches Projekt. „Es wird einer KVG schwerfallen, die Umsetzung der KAIT als unmittelbaren Vorteil anzusehen, insbesondere weil nun sehr viele Prozesse detailliert dokumentiert werden müssen“, meint Lammert. „Natür- lich stellt die KAIT erst mal einen Kosten- faktor dar; auf der anderen Seite werden mit ihr aber auch Risiken reduziert, insbesonde- re auf Seiten der Informationssicherheit.“ Sie ergänzt: „Die Technologie kann heut- zutage mehr, als im Regelfall von den KVGen genutzt wird.“ Rezertifizierung Im Gesamtpaket KAIT hält Lammert die Rezertifizierung und das Risikomanage- FOTO : © R E A L I . S. AG » Unser Ziel muss sein, die Prozesse durchgängig digital zu gestalten und zu automatisieren. « Bernd Lönner, Vorstand der Real I.S. AG, München Auf die geänderte Risikolage im IT-Bereich reagiert die BaFin mit der KAIT. Die ordnungsgemäße Geschäftsorganisation einer KVG umfasst laut § 28 KAGB unter anderem ein angemessenes Risikomanagementsystem und angemessene Kontroll- und Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung. Darüber hinaus hat die KAIT Einfluss auf die MaRisk, die InvMaRisk und die KAMaRisk. Quelle: Deloitte Dez. 2005 Veröffentlichung MaRisk Dez. 2007 Wegfall Institutseigenschaft Juni 2010 Veröffentlichung InvMaRisk Jan. 2017 Veröffentlichung KAMaRisk April 2019 Veröffentlichung KAIT K Okt. 2019 Veröffentlichung KAIT 264 N o. 3/2020 | www.institutional-money.com S T E U E R & R E C H T : KA I T