IT-Sicherheit im Finanz- und Bankwesen
Ko-Autorin:
Dr. Anna Lucia Izzo-Wagner, LL.M. Eur.
Rechtsanwältin im Frankfurter Büro der internationalen Wirtschaftskanzlei Taylor Wessing
Pflichten und Haftung im Unternehmen (mit DSGVO & NIS-RL-UmsetzungsG). Der Praxisleitfaden liefert praxisorientierte Hinweise zur Einhaltung der anwendbaren IT-Sicherheitspflichten und zu den Haftungsrisiken bei Sicherheitsdefiziten. Hier im Blog werden einige zentrale Auszüge veröffentlicht.
Voigt, IT-Sicherheitsrecht, 2018, 287 Seiten, 79,80 Euro
Im Banken- und Finanzsektor werden Geschäfte und Dienstleistungen fast ausschließlich IT-gebunden abgewickelt, wodurch Fehler und Systemausfälle schnell zu hohen Schadenssummen führen können (Spindler, Verantwortlichkeiten von IT-Herstellern, Nutzern und Intermediären, S. 181). Aus diesem Grund treffen entsprechende Unternehmen intensivierte IT-Sicherheitspflichten, insbesondere hinsichtlich der Einrichtung eines Risikomanagementsystems.
1. Allgemeine Pflichten im Bankensektor
Zwar ist auch der Bankensektor vom IT-Sicherheitsgesetz erfasst (s. hierzu Voigt, IT-Sicherheitsrecht Rz. 342 ff.). Daneben sind Kreditinstitute sowie Finanzdienstleistungsinstitute nach § 1 Abs. 1 Satz 1, Abs. 1a Satz 1 KWG jedoch insbesondere nach § 25a Abs. 1 Kreditwesengesetz (KWG) verpflichtet, einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung des Instituts, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement zu gewährleisten.
Eine allgemeine Pflicht zur Aufrechterhaltung von IT-Sicherheit ergibt sich überdies aus § 25a Abs. 1 Satz 3 Nr. 5 KWG (dazu auch Gehrmann/Voigt, CR 2017, 93, 99). Danach obliegt es Kreditinstituten sowie Finanzdienstleistungsinstituten im Rahmen eines wirksamen Risikomanagements ebenfalls ein angemessenes Notfallkonzept für IT-Systeme bereitzustellen.
a) Umfang
Der Umfang dieser IT-Sicherheitspflichten wurde von der BaFin durch das Rundschreiben 09/2017 „Mindestanforderungen an das Risikomanagement“ (MaRisk 2017 ; dazu Lensdorf, CR 2017, 753) konkretisiert. Eine Präzisierung der IT-Sicherheitspflichten ist zudem durch das BaFin Rundschreiben 10/2017 „Bankaufsichtliche Anforderungen an die IT (BAIT)“ erfolgt (dazu Lensdorf, CR 2017, 753; tiefergehend Voigt, IT-Sicherheitsrecht Rz. 480 f.).
b) Geldwäscherechtliche Risikoanalyse
Für Unternehmensgruppen sieht neben dem KWG das Geldwäschegesetz (GWG) weitere IT-Sicherheitspflichten vor. Nach § 9 Abs. 1 GWG müssen Mutterunternehmen für alle gruppenangehörigen Unternehmen, Zweigstellen und -niederlassungen, die geldwäscherechtlichen Pflichten unterliegen, eine Risikoanalyse durchführen und ausgehend davon etwa interne Sicherungsmaßnahmen zum Schutz vor Missbrauch zu Zwecken der Geldwäsche und der Terrorismusfinanzierung sowie Vorkehrungen zum Schutz personenbezogener Daten ergreifen. Diese zentrale Vorschrift des GWG präzisiert damit die IT-Sicherheitspflichten im Konzern (s. hierzu Voigt, IT-Sicherheitsrecht Rz. 72 ff.).
c) Online-Zahlungsverkehr
Banken müssen überdies für den Online-Zahlungsverkehr verstärkte IT-Sicherheitsvorkehrungen vorhalten (hierzu Voigt, IT-Sicherheitsrecht Rz. 483).
2. Besondere Pflichten von Wertpapierdienstleistungsunternehmen
Neben den unter 1. beschriebenen technisch-organisatorischen Pflichten des § 25a Abs. 1 KWG unterliegen Wertpapierdienstleistungsunternehmen zusätzlichen IT-Sicherheitspflichten. Die Grundlage dafür bildet § 80 WpHG. Diesen Pflichten unterliegen nur solche Kredit- und Finanzdienstleistungsunternehmen, die Wertpapierdienstleistungen erbringen, etwa in Form eines Handels mit Aktien.
Entsprechende Unternehmen sind gem. § 80 Abs. 1 Satz 2 Nr. 4 WpHG dazu verpflichtet, über solide Sicherheitsmechanismen zu verfügen, die:
- die Sicherheit und Authentifizierung der Informationsübermittlungswege gewährleisten,
- das Risiko der Datenverfälschung und des unberechtigten Zugriffs minimieren und
- verhindern, dass Informationen bekannt werden, so dass die Vertraulichkeit der Daten jederzeit gewährleistet ist.
Diese Mittel umfassen auch eine angemessene Ausgestaltung der IT-Systeme, die etwa gewährleistet, dass die personenbezogenen Daten der Kunden vor missbräuchlichen Zugriffen Dritter hinreichend geschützt sind. Daneben werden die Anforderungen des 11. Abschnitts des WpHG (zu dem auch § 80 WpHG zählt) durch das BaFin Rundschreiben 08/2018 „Mindestanforderungen an die Compliance-Funktion und weitere Verhaltens-, Organisations- und Transparenzpflichten“ (MaComp) und die Delegierte Verordnung (EU) 2017/565 konkretisiert.
3. Besondere Pflichten von Börsenträgern
Während Börsen früher regelmäßig in öffentlich-rechtlicher Trägerschaft standen, werden diese heute regelmäßig von Aktiengesellschaften als Beliehene betrieben (Kumpan in Baumbach/Hopt, HGB, 37. Aufl. 2016, § 5 BörsG Rz. 1). Die Gegenseite der Erfüllung dieser im öffentlichen Interesse liegenden Aufgabe bilden verschiedene Pflichten des Unternehmens:
Börsenträger müssen gem. § 5 Abs. 4 Nr. 2, 3 BörsG angemessene Vorkehrungen und Systeme zur Ermittlung, zum Umgang und zur Begrenzung wesentlicher Risiken des Börsenbetriebs schaffen und die technische Funktionsfähigkeit der Börsenhandels- und Abwicklungssysteme sicherzustellen, insbesondere durch wirksame Notfallmaßnahmen bei Systemausfällen.
Den Maßstab für den Umfang dieser Risikomanagement- und Organisationspflichten bilden auch hier die MaRisk der BaFin (Groß in Groß, Kapitalmarktrecht, 6. Aufl. 2016, § 5 BörsG Rz. 14).