Finanzgruppe

SicherInnovativZuverlässig

Inhalt

VORWORT 3

STRATEGIE 5

GESCHÄFTSFÜHRUNG 6, 7

INFORMATIONSSICHERHEIT 8, 9

S-CERT 10, 11

IT-STEUERUNG 12, 13

IT-REVISION 14, 15

GELDWÄSCHE-/BETRUGSPRÄVENTION,

COMPLIANCE-BERATUNG 16, 17

WPHG-/MARISK-COMPLIANCE,

COMPLIANCE-BERATUNG 18, 19

DATENSCHUTZ 20 – 23

PAYMENT – STANDARDS UND SERVICES 24 – 27

GESELLSCHAFTER 28

IMPRESSUM 29

Sehr geehrte Leserinnen und Leser,

2 3

wer ist eigentlich die SIZ? Viele von Ihnen dürften auf diese Frage eine

Antwort haben. Aber ist es auch die richtige? Denn die SIZ hat sich seit ihrer

Gründung im Jahr 1990 gravierend verändert.

Deshalb laden wir Sie auf den folgenden Seiten dazu ein, die SIZ in ihrer

aktuellen Aufstellung kennenzulernen. Und dabei vielleicht zu entdecken,

dass unsere Leistungen eine wertvolle Unterstützung für Sie darstellen

können.

Denn es dürfte kein anderes Unternehmen geben, das sich mit den Anforde-

rungen der Sparkassenorganisation an ihre IT, nicht zuletzt im Hinblick auf

Sicherheitsaspekte und regulatorische Anforderungen, so gut auskennt

wie wir. Was die Bereiche Online- und Electronic-Banking sowie Karten-

technologie angeht, ist die SIZ das Unternehmen, das die Standards im

deutschen Bankenmarkt setzt. Dieses Know-how kommt nicht von ungefähr,

sondern wurde im Lauf der Jahre kontinuierlich aufgebaut. Es resultiert unter

anderem aus unserer ursprünglichen Aufgabe, die DV-Landschaften innerhalb

der Sparkassenorganisation zu vereinheitlichen.

Nachdem dieser Prozess weitgehend abgeschlossen war, haben wir unsere

Aktivitäten verstärkt auf Bereiche wie Compliance, Datenschutz, IT-Steuerung

und IT-Revision fokussiert und uns zu den bundesweit erfahrensten Experten

in diesen sensiblen Geschäftsfeldern entwickelt.

Aus der umlagefinanzierten Institution SIZ wurde ein marktorientiertes

Unternehmen der Sparkassen-Finanzgruppe. Unsere Eigentümer fordern seit

2003 eine strikte Ausrichtung am Marktmodell und erwarten Neutralität und

Unabhängigkeit in unseren Kompetenzfeldern. Heute nutzen nicht nur

Unternehmen der Sparkassen-Finanzgruppe unsere Expertise, unser Port-

folio umfasst inzwischen auch Kunden außerhalb der Sparkassenorganisation

und aus anderen europäischen Ländern.

Wir sind sicher, auch Ihnen interessante Lösungen anbieten zu können.

Mehr dazu auf den folgenden Seiten. Und gerne auch persönlich – sprechen

Sie uns an!

VORWORT

SIZ – Sicher, Innovativ und Zuverlässig.

4 5

Kundenzufriedenheit ist der Kern unseres Handelns. Wir richten unsere

Aktivitäten auf die Bedürfnisse unserer Kunden aus.

Mit unseren Dienstleistungen und Produkten zählen wir zu den Trend-

setzern in der Sparkassen-Finanzgruppe und bei vielen weiteren Kunden.

Die SIZ ist der Partner, wenn es um Informationssicherheit, Payment-

Technologien, IT-Revision, Verhinderung von Geldwäsche- und Terroris-

musfinanzierung, Betrugsprävention, Compliance nach WpHG und MaRisk

und Datenschutz geht. Unsere fachliche Expertise ist anerkannt und wir

definieren Qualitäts- und Sicherheitsstandards.

Soweit erforderlich, werden unsere Produkte nach gängigen Standards

zertifiziert. Das Interne Kontrollsystem (IKS) der SIZ ist darauf ausgerich-

tet, die Qualität unserer Dienstleistungen sicherzustellen. Die Angemes-

senheit und Wirksamkeit des dienstleistungsbezogenen IKS für unsere

Outsourcing-Dienstleistungen lassen wir uns regelmäßig im Rahmen

einer Prüfung gemäß Prüfungsstandard PS 951, Typ 1 und 2 des Instituts

der Wirtschaftsprüfer e. V. (IDW) bestätigen.

Als Teil der Sparkassen-Finanzgruppe richten wir für unsere Kunden aus

der Sparkassen-Finanzgruppe unsere Aktivitäten konsequent an der

strategischen Ausrichtung der Sparkassen-Finanzgruppe aus. Wir wenden

die Prozesse nach den ProzessPlus-Standards (PPS) und der Prozess-

landkarte des Deutschen Sparkassen- und Giroverbands (DSGV) an und

bringen unser Know-how bei der kontinuierlichen Verbesserung dieser

Prozesse ein.

Die SIZ verfügt über eine Interne Revision als Teil des Risikomanage-

ments, die jährlich von Prüfungsstellen der Sparkassenverbände auf ihre

Funktionsfähigkeit überprüft wird.

STRATEGIE

6 7

BENNO RIEGER

Person und Funktion

Benno Rieger, Jahrgang 1962, ist seit 1. Juli 2015

Geschäftsführer der SIZ GmbH. Er verantwortet die

Bereiche IT-Revision, IT-Steuerung, Informations-

sicherheit, S-CERT sowie Payment.

Gleichzeitig ist er Geschäftsführer der SIZ Service

GmbH, einer 100%igen Tochter der SIZ GmbH.

Benno Rieger ist verheiratet und hat ein Kind.

Ausbildung

Studium der Wirtschaftsinformatik

Karriere

1987–1999 in der WestLB beschäftigt. Zuletzt Leiter

„Technische Architektur“.

Seit 1999 bei der SIZ in unterschiedlichen Fach- und

Führungspositionen im Bereich der Informationssicherheit

tätig. Er baute zusätzlich die Bereiche Datenschutz und

IT-Revision auf.

JENS BARTELT

Person und Funktion

Jens Bartelt, Jahrgang 1973, ist seit 1. Juli 2014

Sprecher der Geschäftsführung der SIZ GmbH.

Daneben leitet er das Geschäftsfeld Beauftragten-

wesen für Mandanten mit den Schwerpunkten

Datenschutz, Geldwäsche- und Betrugsprävention,

WpHG-Compliance und MaRisk-Compliance sowie

die Bereiche Personal, Verwaltung und Recht,

Interne Revision, Kommunikation und Vertriebs-

unterstützung.

Jens Bartelt ist verheiratet und hat vier Kinder.

Ausbildung

Lehre zum Bankkaufmann, berufsbegleitende

Abschlüsse als Bankfachwirt, Bankbetriebswirt,

dipl. Bankbetriebswirt Management, Bachelor of

Arts sowie Master of Business Administration (MBA).

Karriere

Finanzberater bei der Dresdner Bank AG.

Bereichsleiter mit den Schwerpunkten Vertriebs-

steuerung, Produktionsbank und Stabstellenleitung

bei der Sparda-Bank Südwest eG Mainz.

Geschäftsführer der SpardaWertpapierService GmbH

Mainz mit den Schwerpunkten Governance (Geld-

wäsche, Compliance, Betrugsprävention, MaRisk),

Produktionsbank.

GESCHÄFTSFÜHRUNGGESCHÄFTSFÜHRUNG

Informationen und IT-Infrastrukturen bilden das zentrale Nervensystem des

Unternehmens und werden damit nicht nur bei Banken und Versicherungen zu

bevorzugten Angriffszielen. Für ein hohes Sicherheitsniveau genügt es jedoch

nicht, sich nur auf akute Angriffe einzustellen. Vielmehr ist eine systematische

und nachhaltige Beschäftigung mit dem Thema nötig. Darauf zielt auch das IT-

Sicherheitsgesetz – die Anforderungen an das Informationssicherheits-Manage-

ment der Unternehmen werden daher ständig verschärft.

Die beste Methode, nachhaltige Sicherheit zu gewährleisten und die gesetzlichen

Anforderungen optimal zu erfüllen, ist ein systematisches Informationssicher-

heits-Management in Verbindung mit eigenen Sicherheitsaudits und Penetrations-

tests. Dabei unterstützen wir unsere Kunden mit bewährten Produkten und dem

persönlichen Engagement unserer Experten.

Unsere Leistungen:

• Sicherer IT-Betrieb: Dieses Produkt wird von der SIZ entwickelt und ständig opti-

miert. Es liefert den effizienten Handlungsrahmen für ein systematisches Informa-

tionssicherheits-Management. Das Produkt wurde wiederholt von der TÜViT GmbH

als „Trusted Product ISO 27001 Tool“ zertifiziert, zuletzt in der Basisvariante,

Version 14.0.

• Unterstützung, sowohl projekthaft als auch langfristig: Wir sind Partner bei

Aufbau, Auditierung und Aufrechterhaltung des Informationssicherheits-Manage-

ments unserer Kunden – gerne auch im Rahmen einer langfristig angelegten

Zusammenarbeit.

• Zertifizierung des Informationssicherheits-Managements: Der erfolgreiche Betrieb

des Informationssicherheits-Managements kann über ein SIZ-eigenes Zertifikat

oder ein ISO-27001-Zertifikat nachgewiesen werden.

• Technische Auditierung und Penetrationstests: Bei unseren Kunden besteht Bedarf

an Unterstützung in technischen Sicherheitsfragen. Dies decken wir durch ein

breites Angebot an praxisgerechten Sicherheitsaudits und Penetrationstests ab.

• Sichere IT-Plattform: Das unseren Sicherheitsaudits zugrunde liegende Know-how

bieten wir auch gebündelt in Form unseres Produkts „Sichere IT-Plattform“ an.

Damit decken wir vor allem den Bedarf größerer Unternehmen ab.

• Notfallplanung und Notfallübungen: Unsere Experten planen gemeinsam mit

unseren Kunden den Notfall und decken so die Anforderungen an Business

Continuity Management (BCM) und die IT-Notfallplanung ab. Abgerundet wird

dieses Angebot durch die Planung und Durchführung von Notfallübungen.

Informationssicherheit planen und rechtssicher umsetzen: Mit der SIZ systematisch zum Ziel.

„Erprobte Produkte, breite Praxiserfahrung und vielfach zertifizierte Experten: Wir sind Ihr verlässlicher Partner für nachhaltige Informationssicherheit.“

INFORMATIONSSICHERHEIT / S-CERT / IT-STEUERUNG

Dr. Keye Moser, Leiter Sicherheits- technologie

Frank Hensel, Leiter Sicherheits- technologie

8 9

„Die SIZ ist seit vielen Jahren unser kompetenter Partner beim Thema Infor-mationssicherheit und Notfallvorsorge. Dabei möchten wir die vertrauensvolle Zusammenarbeit sowie die erzielten pragmatischen und nachhaltigen Lösungen besonders hervorheben.“

Volker Leder, IT- und Dienstleistersteuerung, Sparkasse Hannover

Jeden Tag werden neue Sicherheitslücken in verschiedensten

Software-Lösungen gefunden und von Hackern ausgenutzt. Große

Konzerne haben deshalb häufig eigene Computer Emergency Res-

ponse Teams (CERT) aufgebaut. Für die Mehrheit der Unternehmen

ist das jedoch schlicht nicht finanzierbar. Wir bieten mit unserem

S-CERT deshalb hochspezialisierte Dienstleistungen an, mit denen

wir Kunden vor Gefahren warnen und bei akuten Sicherheitsfällen

aktiv unterstützen können.

Unsere Kunden übernehmen die hausspezifischen CERT-Aufgaben,

die eine Kenntnis der internen Zusammenhänge und Prozesse erfor-

dern. Übergreifende oder Spezialaufgaben werden von uns zentral

wahrgenommen.

Unsere Leistungen im Überblick:

• Meldungsdienste: Wir informieren über Schwachstellen, bieten

Stellungnahmen, Analysen und Reports.

• Echtzeitalarm: Bei brandaktuellen Vorfällen werden unsere

Kunden auch außerhalb der üblichen Geschäftszeiten umgehend

benachrichtigt.

• Online-Dienste: Verschiedene Lösungen ergänzen und verstärken

das interne Sicherheitsmanagement, beispielsweise ein vollauto-

matisches System zur schnellen und einfachen Bewertung potenziell

gefährlicher Dateien und Internetseiten.

• Hotline: Unsere Experten integrieren sich in die Abläufe unserer

Kunden, beantworten komplexe, zeitkritische Sicherheitsfragen und

unterstützen bei der Bearbeitung von Sicherheitsvorfällen.

Dabei setzen wir im Idealfall auf ein ausgereiftes Informationssicher-

heits-Management auf, das in dieser Broschüre auf Seite 8 vorgestellt

wird.

Wir machen unsere Kunden fit für die Abwehr von Cyber- Attacken und sind im Ernstfall an ihrer Seite.

INFORMATIONSSICHERHEIT / S-CERT / IT-STEUERUNG

Matthias Stoffel, Leiter S-CERT

10 11

„Wir sind Ihre Task-Force, wenn es um die Abwehr von und den Umgang mit akuten Cyber-Gefahren geht. Meine Experten und ich werden entweder selbst aktiv oder unter-stützen Ihre Teams bei schnellen Lösungen. Daneben bauen wir gemeinsam mit Ihnen effiziente vorbeugende Maßnahmen sowie Prozesse auf und bieten Ihnen dafür eine Palette modularer Leistungspakete.“

Die Leistungsfähigkeit der IT ist heute ein Schlüsselfaktor für den Unterneh-

menserfolg. Wer seine Prozesse effektiver, schneller, kostengünstiger und

in besserer Qualität unterstützen kann, verfügt über einen klaren Wettbe-

werbsvorteil. Um die IT wirksam und effizient auf den Bedarf des gesamten

Instituts und der einzelnen Fachbereiche auszurichten, sind eine stringente

Steuerungskonzeption und konsistente Steuerungsdaten gefragt.

„IT-Steuerung“ unterstützt die Institute der Sparkassen-Finanzgruppe, wenn

sie sich aufgrund von weiter steigendem Prüfungs- und Kostendruck intensiver

mit der IT und ihrer Steuerung auseinandersetzen wollen und müssen. Wir

setzen dabei typischerweise zunächst auf der strategischen Steuerungsebene

an, unterstützen bei der Formulierung einer wirksamen IT-Strategie und

arbeiten uns dann bis zur operativen IT-Steuerung vor.

Die Leistungen und Produkte im Überblick:

• ITGov-Produktfamilie: Der ITGov-QuickCheck ermöglicht eine schnelle

Standortbestimmung der IT-Steuerung, der ITGov-StrategieCheck dient

der vertieften Überprüfung und liefert Vorschläge zur Optimierung der

IT-Strategie sowie der entsprechenden Prozesse. Das ITGov-Rahmenwerk in

Verbindung mit den zugehörigen Beratungsangeboten bildet die Basis

für die Etablierung einer prüfungssicheren strategischen und operativen

IT-Steuerung. Insbesondere deckt es systematisch aktuelle und zukünftig

zu erwartende aufsichtsrechtliche Anforderungen ab.

• SIMON Plus: Das Werkzeug zur effektiven, integrierten IT-Steuerung

zentralisiert und vereinheitlicht eine Fülle von vorhandenen Steuerungs-

informationen. Detaillierte Analysen und Berichte schaffen die nötige

Transparenz für eine effektive Steuerung sowie die zuverlässige Erfüllung

aufsichtsrechtlicher Vorgaben.

• Expertenbereitstellung: Je nach Bedarf stellen wir eine kompetente und

flexible Unterstützung bei Fragen und Aufgaben rund um die IT-Steuerung

bereit. Unsere Experten stehen im vereinbarten Zeitraum auf Abruf unkom-

pliziert und zeitnah zur Verfügung.

• Benchmarking und Services: Wir analysieren die IT-Kosten im monatlichen

Rhythmus bis ins Detail und stellen Vergleichsdaten anderer Institute

bereit. Das ermöglicht eine individuelle Standortbestimmung und unter-

stützt bei der Identifikation von Optimierungspotenzial.

IT präzise steuern: Für Effektivität, Effizienz und Risikooptimierung.

INFORMATIONSSICHERHEIT / S-CERT / IT-STEUERUNG 12 13

Dr. Thomas Stock, Leiter IT-Steuerung

„Unsere Kunden werden von Gesetzgebern und Aufsicht mit immer komplexeren Anforderungen konfrontiert. Wir unterstüt-zen den Auf- und Ausbau einer wirkungsvollen IT-Steuerung, um die Wertschöpfung für das Unternehmen mit und durch IT zu optimieren. Gleichzeitig stellen wir sicher, dass die aufsichts-rechtlichen Vorschriften erfüllt werden und die mit dem IT- Einsatz verbundenen Risiken beherrschbar sind.“

„Wir haben mit der SIZ ein Projekt zur Neuausrichtung der strategischen IT-Steuerung gestartet. Auch mit dem Ziel, die Wahrnehmung der IT und den Umgang mit der strategischen Steuerung zu verbessern. Mein Fazit: Seit die SIZ im Haus ist, ist bei uns etwas in Bewegung geraten.“

Markus Aichele, IT-Leiter der KSK Böblingen

Der Stellenwert der IT als zentrales Nervensystem moderner Unter-

nehmen wächst weiter – und damit auch die Abhängigkeit von der

Stabilität und Sicherheit der IT-Anwendungen und -Infrastruktu-

ren. Parallel dazu steigen die regulatorischen Anforderungen. Mit

unseren Revisionsdienstleistungen geben wir unseren Kunden das

gute Gefühl, allen gesetzlichen und regulatorischen Ansprüchen zu

genügen. So verschaffen wir ihnen den notwendigen Freiraum für

das Kerngeschäft.

Immer komplexere IT-gestützte Geschäftsprozesse bedeuten hohe

Qualitätsanforderungen für die Fachbereiche. Das betrifft ganz

besonders die Revisionsabteilung: Nicht nur der hohe Kostendruck

macht es schwer, genügend personelle Kapazitäten bereitzustellen,

um den anspruchsvollen regulatorischen Richtlinien gerecht zu wer-

den. Häufig fehlt es auch an genügend fachlich versierten Spezialisten.

Mit unserer IT-Revision bieten wir die optimale Lösung: Auf der Basis

bewährter standardisierter Prozesse unterstützen wir unsere Kunden

flexibel und maßgeschneidert. Wir decken alle IT-revisorisch relevan-

ten Themenfelder ab und stellen über differenzierte Vertragsvarianten

die bedarfsgerechte Leistung bereit – von der sporadischen Einzelprü-

fung bis hin zur Komplettauslagerung der IT-Revision.

Die wichtigsten Vorteile für unsere Kunden sind:

• angemessene und hochwertige Prüfungen unter

Berücksichtigung aktueller Anforderungen

• ein anspruchsvolles Qualitäts- und Prüffeldmanagement

• eine konsequente Fortbildung unserer Mitarbeiter

• die beste Vernetzung innerhalb der S-Finanzgruppe

• umfassende Erfahrungen auf dem externen Markt

Mit unserem Leistungsportfolio haben wir uns innerhalb von acht

Jahren zum Marktführer entwickelt. Wir sind der einzige bundesweite

Anbieter von IT-Revisionsdienstleistungen in der S-Finanzgruppe

und genießen auch bei Instituten außerhalb der S-Finanzgruppe

ein hervorragendes Image.

Wir geben unseren Kunden Sicherheit und Freiraum für ihr Kerngeschäft.

IT-REVISION 14 15

Gerald Schmidhuber, Leiter IT-Revision

Söhnke Nissen, Leiter IT-Revision

„Die Kreissparkasse Düsseldorf betraut die SIZ GmbH seit 2013 als Dienstleister mit der Durchführung von Prüfungen im IT-Bereich. Dank der kompetenten und professionellen Mitarbeiter der SIZ GmbH konnten wir eine nahtlose Integration in unsere internen Revisionsprozesse erreichen. Durch die intensive Vernetzung der SIZ-Spezialisten in der S-Finanzgruppe werden die Prüffelder stets den aktuellen Entwicklungen und Strömungen ange-passt, was sich sehr positiv auf die Qualität der Prüfungen für unser Haus auswirkt. Die Prüfungsergebnisse und aufgezeigten Maßnahmen finden auch bei den Fach- bereichen hohe Anerkennung. Von Beginn an hat sich die SIZ GmbH als verläss- liche Partnerin an unserer Seite erwiesen, mit der wir gerne zusammenarbeiten.“

Monika Knipp, Bereichsleiterin Revision, Kreissparkasse Düsseldorf

„IT-Revision – aus der Sparkassen-Finanzgruppe für die Sparkassen-Finanzgruppe“

Im Zuge der Bekämpfung von Terrorismus und Bandenkriminalität ste-

hen Finanzdienstleister in der Verantwortung, Geldwäsche und andere

kriminelle Transaktionen zuverlässig zu unterbinden. Gesetzgeber und

Bankaufsicht stellen strenge Anforderungen an die Sicherungssys-teme

und das interne Risikomanagement der Sparkassen. Wir bieten das nötige

Know-how, ausgereifte Konzepte und Tools sowie die entsprechenden

Experten zur Unterstützung der Geldwäschebeauftragten – bis hin zur

Outsourcing-Lösung.

Die Fachgruppen „Geldwäsche- und Betrugsprävention“ sowie „Beratung“

unterstützen seit 2010 Institute innerhalb und außerhalb der Sparkassen-

Finanzgruppe mit professionellen Compliance-Services. Unsere Lösungen

und unser Expertenpool setzen Standards in der Sparkassen-Welt.

Folgende Leistungen bieten wir unseren Kunden:

• Funktionsauslagerung: Wir stellen Ihnen einen kompetenten Geldwäsche-

beauftragten einschließlich Stellvertretung sowie ein Team motivierter

Mitarbeiter im Hintergrund zur Verfügung. Er übernimmt alle gesetzlich

bzw. aufsichtsrechtlich vorgegebenen Aufgaben, ist der Geschäftsleitung

Ihres Unternehmens direkt unterstellt und integriert sich reibungslos in die

internen Prozesse und Verfahren Ihres Hauses.

• Flexible Unterstützung: Als „verlängerte Werkbank“ entlasten wir Ihr Team

punktgenau und zeitlich befristet. Auf der Basis unserer standardisierten

und geprüften Prozesse sind unsere Experten in der Lage, Ihre personellen

Engpässe besonders zeitnah und unkompliziert aufzufangen.

• Beratung: Mit einem ersten Quick-Check geben wir Ihnen einen allgemei-

nen Überblick. Im Rahmen eines gemeinsamen Workshops gleichen wir

Ist- und Soll-Zustand ab. Auf dieser Basis definieren wir den Optimierungs-

bedarf und unterstützen Sie bei der Umsetzung von standardisierten,

prüfungssicheren Prozessen.

• GFA-Tool aus der SIZ Compliance-Suite: Die SIZ Compliance-Suite ist eine

digitale Plattform, auf der wir das gesamte Know-how der SIZ und unserer

Experten verdichtet haben. Das GFA-Tool fasst unter anderem unsere Tag

für Tag in ganz Deutschland gesammelten Erfahrungen mit Geldwäsche-

und Betrugstypologien zusammen. Entlang unserer erprobten und geprüf-

ten Methodik werden alle Risiken systematisch erhoben, Sicherungsmaß-

nahmen gezielt zugeordnet und Kontrollhandlungen risikoorientiert

abgeleitet.

Mit Standards und Know-how gegen kriminelle Finanztrans- aktionen: Risiken minimieren mit Unterstützung der SIZ.

GELDWÄSCHE- UND BETRUGSPRÄVENTION / COMPLIANCE-BERATUNG

Steffen Schöffler, Leiter Compliance-Beratung

16 17

„Im Jahr 2012 haben wir uns entschieden, die Geldwäsche- und Betrugsprävention an die SIZ auszulagern. Überzeugt hatten uns die Vorteile der durch die SIZ möglichen Bündelung von Spezialistenwissen und die standardisierte Vorgehensweise. Beides ist heute – mehr noch als damals – ein Gebot der Stunde. Auslage-rungen an leistungsfähige Partner sind aktuell ein Mittel, um auf die betriebswirtschaftlichen Herausforde-rungen der Niedrigzinsphase und die steigenden gesetzlichen Regelungen durch die Regulatorik reagieren zu können. Die Bündelung von Fachwissen, der regelmäßige Informationsaustausch der SIZ-Spezialisten, die für viele Sparkassen arbeiten – all das stellt die hohe Qualität in der Geldwäsche- und Betrugspräven- tion sicher. Auch der gut organisierte Überleitungsprozess von den Kollegen, die die Aufgabe des Geld- wäschebeauftragten in der Sparkasse wahrgenommen hatten, und die seitdem gemachten positiven Erfahrungen in der Praxis bestätigen uns, dass die Entscheidung für die SIZ die richtige war.“

Dr. Marcus Walden, Vorstandsvorsitzender der Sparkasse Worms-Alzey-Ried

Michael Bumberger, Leiter Geldwäsche-/ Betrugsprävention

„Für unsere Kunden geht es nicht nur darum, die neuesten regulatorischen Vorgaben rechtssicher zu erfüllen. Auch die täglichen Prozesse müssen absolut „wasserdicht“ sein. Denn Nachlässig- keiten gerade bei der Bekämpfung der Terroris-musfinanzierung sind heute alles andere als ein Kavaliersdelikt. Vermeidbare Fehler können sich zu einem dramatischen Imageschaden auswach-sen. Unsere Experten kennen diese Verantwor-tung, wir bieten unseren Kunden Lösungen auf höchstem Standard.“

„Die Sparkasse Gießen hat sich im Jahr 2012 für die Auslagerung der Wertpapier- Compliance-Funktion an die SIZ GmbH Bonn (SIZ) entschieden. Neben dem angebotenen Leistungsumfang und dem Auslagerungs-modell, das u. a. eine volle Integration des externen Beauftragten in die Prozesse und das Risikomanagement unserer Sparkasse ermög-licht, war die enge Vernetzung der SIZ mit der

Sparkassen-Organisation aufgrund ihrer Gesellschafterstruktur ausschlaggebend für unsere Entscheidung. Die bisherigen Erfah-rungen im Regelbetrieb haben uns gezeigt, dass die Auslagerung der WpHG-Compliance-Funktion die richtige Entscheidung war. Die sich aus der Fortentwicklung und Detaillierung der Regulatorik ergebenden zunehmenden fachlichen Anforderungen an den Wertpapier-Compliance-Beauftragten und seine Vertretung unterstreichen diese Einschätzung.“

Peter Wolf, Vorstandsvorsitzender der Sparkasse Gießen

Die rechtlichen Anforderungen an Kreditinstitute und deren Mitarbeiter werden

kontinuierlich ausgeweitet. Vor allem die Leitungs- und Überwachungsorgane stehen

im Fokus: Sie können bei fehlerhaften Prozessen in Haftung genommen werden. Wer

sich in dieser Hinsicht mit maximaler Zuverlässigkeit absichern will, muss sich auf

die Fähigkeiten seiner Compliance-Beauftragten uneingeschränkt verlassen können.

Wir bieten das entsprechende Know-how – von der Prozessunterstützung bis zur

kompletten Auslagerung der Compliance-Funktion.

Seit 2010 bieten die Fachgruppen „WpHG- und MaRisk-Compliance“ und „Beratung“

im Rahmen unserer Compliance-Services professionelle Dienstleistungen für Institute

innerhalb und außerhalb der Sparkassen-Finanzgruppe an.

Unsere Leistungen umfassen:

• Funktionsauslagerung: Wir stellen unseren Kunden einen kompetenten Wertpapier-

Compliance- oder MaRisk-Compliance-Beauftragten einschließlich Stellvertretung und

Backoffice-Team zur Verfügung. Die Beauftragten übernehmen die gesetzlich bzw.

aufsichtsrechtlich vorgegebenen Aufgaben und sind der Geschäftsleitung unserer

Kunden direkt unterstellt. Die Geschäftsleitung wird regelmäßig und ggf. auch ad hoc

über die Ergebnisse der Risikoanalysen sowie der Angemessenheit und Wirksamkeit

der implementierten Grundsätze und Verfahren informiert.

Die Beauftragten unterstützen und beraten die Geschäftsleitung und die Mitarbeiter/-

innen des Unternehmens hinsichtlich der Umsetzung und Einhaltung der Vorgaben.

Sie nehmen Vor-Ort-Prüfungen vor und sorgen für die regelmäßige Information des

Aufsichtsgremiums. Ein bewährtes Auslagerungsmodell stellt sicher, dass unsere

WpHG- oder MaRisk-Compliance-Beauftragten in die internen Prozesse und Verfahren

unserer Kunden unter Beachtung individueller Gegebenheiten unkompliziert einge-

bunden werden. Dabei bleibt die geforderte Unabhängigkeit der Beauftragten

erhalten.

• Flexible Unterstützung: Wir entlasten den Compliance-Beauftragten unserer Kunden –

vom einmaligen Einsatz bis zur Langfristunterstützung. Im Rahmen einer individu-

ellen Vereinbarung stellen wir spezialisierte Mitarbeiter/-innen für die definierten Auf-

gaben zur Verfügung. Unsere Kunden bleiben dabei „Herrscher des Verfahrens“,

können ihren Überwachungsprozess optimieren und sich dabei auf das Know-how

eines geprüften Dienstleisters der Sparkassen-Finanzgruppe verlassen.

• Beratung: Auch bei der Implementierung bzw. Optimierung der Compliance-Manage-

mentprozesse stehen wir unseren Kunden mit profunden Fachkenntnissen und

langjähriger Erfahrung zur Verfügung.

Maximale Rechtssicherheit erfordert umfassendes Know-how.

WPHG- UND MARISK-COMPLIANCE / COMPLIANCE-BERATUNG 18 19

„Das Thema Compliance und Compliance-Management stellt enorm hohe und zudem stetig wachsende Anforde-rungen an die fachliche Qualifikation und kontinuierliche Weiterbildung der entsprechenden Mitarbeiter. Für viele Institute ist das kaum zu leisten. Wir haben deshalb einen Pool spezialisierter Mitarbeiter/-innen aufgebaut, der un-sere Kunden bei der Umsetzung der Anforderungen an die Compliance-Funktionen gemäß § 33 Abs. 1 WpHG und AT 4.4.2 MaRisk sowie deren organisatorischer Verankerung in den Prozessen des Unternehmens flexibel unterstützt.“

Martina Brodkorb, Leiterin WpHG- Compliance

20 21

Kunden und Öffentlichkeit stehen Fragen des Datenschutzes zunehmend

sensibel gegenüber. Besonders dann, wenn es um die Finanzbranche geht.

Auch vonseiten der Gesetzgeber steigen die Anforderungen an die Daten-

schutzbeauftragen ständig. Nicht jedes Institut kann oder will sich ent-

sprechend hoch qualifizierte Experten und deren ständige Weiterbildung

leisten – zumal auch eine gleichwertige Stellvertretung sichergestellt

werden muss. Hier kommt die SIZ ins Spiel.

Die Fachgruppe Datenschutz ist Partner für das Outsourcing von Daten-

schutzleistungen und Ansprechpartner in allen Datenschutzfragen. Wir

unterstützen unsere Kunden dabei, die zunehmenden regulatorischen Anfor-

derungen an den Datenschutz optimal umzusetzen. So werden Compliance-

Risiken auf ein Minimum reduziert, Personalausfälle effizient kompensiert,

interne Prozesse optimiert und Kosten im Hinblick auf die Aus- und Weiter-

bildung sowie die Stellvertretung des betrieblichen Datenschutzbeauftragten

eingespart.

Unsere Leistungen im Überblick:

• Outsourcing: Unsere erfahrenen Experten arbeiten für unsere Kunden

als Datenschutzbeauftragte, führen Datenschutzaudits durch und

unterstützen bei der Umsetzung der EU-Datenschutz-Grundverord-

nung sowie der Sensibilisierung der Mitarbeiter/-innen für Datenschutz-

themen.

• Datenschutzaudits: Wir überprüfen Prozesse, Formulare, Verträge und

Technik auf die Einhaltung der datenschutzrechtlichen Vorgaben.

• Individuelle Unterstützung: Wir beraten und vertreten die Datenschutz-

beauftragten unserer Kunden und bieten Schulungen sowie Workshops

rund um das Thema Datenschutz an.

• Sicherer Datenschutz: Mit diesem SIZ-Produkt liefern wir einen ganzheit-

lichen Ansatz zum Datenschutzmanagement, das den gesamten Lebens-

zyklus abdeckt. Es adressiert alle Ebenen im Unternehmen von der

Geschäftsführung bis zum Nutzer und Techniker. Der risikoorientierte

Ansatz des Produkts ermöglicht datenschutzrechtlich angemessene und

gleichzeitig wirtschaftlich sinnvolle und Lösungen.

Datenschutz braucht Profis. Mit den SIZ-Experten gewinnen Sie Sicherheit und sparen Ressourcen.

DATENSCHUTZ

Christof Rietzke, Leiter Datenschutz

„Immer neue Anforderungen, ständig neue technische Entwicklungen und immer mehr Bedrohungen: Die Aufgabe eines Datenschutzbeauftragten ist extrem fordernd, kostet viel Zeit und Ressourcen. Sehr viele Unternehmen entscheiden sich deshalb dafür, diese Aufgabe weitgehend auszulagern. Das schafft Freiraum, um sich auf die eigenen Kernkom-petenzen zu konzentrieren. Unsere Fachgruppe bietet Ihnen mit Experten aus verschiedensten Bereichen des Datenschutzes die Sicherheit, dass alle Compliance- relevanten Themen zuverlässig abgedeckt werden.“

„Datenschutz wird für die Institute immer wichtiger, daher werden unsere Services und Produkte schon im Vorfeld datenschutzkonform und gemeinsam mit unserem Datenschutz- beauftragten der SIZ GmbH gestaltet. Das sichert eine erfolgreiche vertriebliche Unterstützung für Institute, Verbände und Verbundpartner.“

Sebastian Garbe, Geschäftsführer Sparkassen Finanzportal GmbH

22 23

Alles neu macht der Mai: Am 25. Mai 2018 endet

die Übergangsfrist für die Umsetzung der EU-Daten-

schutz-Grundverordnung (EU-DSGVO). Wie viel Prüfungs-

und Anpassungsaufwand das konkret bedeutet, muss

jedes Unternehmen individuell klären. Klar ist nur, dass

es nicht wenig sein wird. Und dass die Zeit drängt.

Ziel der EU-DSGVO ist, einen neuen, europaweit einheitlichen Rechtsrahmen zum Schutz

natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schaffen.

Allerdings enthält die Verordnung zahlreiche Öffnungsklauseln, die dem nationalen Gesetz-

geber Spielraum geben. Die konkreten Anforderungen an die Institute der Sparkassen-

Finanzgruppe werden damit letztlich definiert durch das noch zu aktualisierende deutsche

Datenschutzgesetz und seine flankierenden Gesetze.

Die wichtigsten Neuerungen und Herausforderungen

Obgleich die detaillierten Regelungen noch ausstehen, liegen die wesentlichen Knackpunkte

auf der Hand. So muss bei der Verarbeitung von Daten mit hohem Risiko für die Rechte der

Betroffenen zukünftig die Aufsichtsbehörde zwingend einbezogen werden. Das betrifft alle

bislang Vorabkontrolle-pflichtigen Verfahren. Weiter wird die Pflicht zur Information der Be-

troffenen über Zweck, Umfang und Inhalt der Datenverarbeitung ausgeweitet. Die Verarbeitung

personenbezogener Daten durch Dritte wird neu geregelt. Zudem müssen die neuen Daten-

schutzprinzipien bereits bei der Entwicklung von Produkten und Dienstleistungen entspre-

chend dem Grundsatz „Privacy by Design“ umgesetzt werden. Gleiches gilt für die Standard-

einstellungen von Applikationen und Programmen („Privacy by Default“).

Gravierend verschärfte Sanktionen

Mit der neuen EU-DSGVO ist auch der Sanktionsrahmen deutlich ausgeweitet worden. Unter-

nehmen, die kein „risikoangemessenes Schutzniveau“ vorweisen können, müssen je nach

Verstoß mit einem Bußgeld von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Vor-

jahresumsatzes rechnen.

EU-DSGVO: 7 Buchstaben, die es in sich haben.

Was ist zu tun?

Grundsätzlich müssen alle etablierten Datenverarbeitungsprozesse,

das gesamte Datenschutzmanagement und die Datenschutz-

organisation auf den Prüfstand. Größeren Aufwand werden

auch die Überprüfung und ggf. erneute Anforderung bereits

erteilter Datenschutzeinwilligungen der Kunden bedeuten.

Ebenso müssen Kundeninformationen geprüft und bei

Bedarf neu aufgesetzt werden, möglichweise sind auch neue

Informationsprozesse notwendig. Die interne Organisation

ist ebenfalls betroffen. Wichtige Beispiele sind die Verzeich-

nisse über Tätigkeiten im Bereich der Datenverarbeitung und

die technisch-organisatorischen Maßnahmen zur Daten-

sicherheit. Weiter sind neue Prozesse zur Identifikation

zwingender unternehmensinterner Datenschutzfolgenab-

schätzungen und Verfahren zur Einbeziehung der Datenschutz-

aufsichtsbehörden gefordert.

Der Planungsstand in der Sparkassen-Finanzgruppe

Auf der Basis eines DSGV-Projekts wird voraussichtlich Mitte

2017 ein Umsetzungsleitfaden für den Einsatz in den Instituten

bereitgestellt. Wir empfehlen deshalb, eigene Umsetzungsmaß-

nahmen ab Mitte 2017 einzuplanen und für die Umsetzungsphase

bis zum Inkrafttreten der EU-DSGVO genügend personelle Ressour-

cen bereitzustellen. Die SIZ selbst baut bereits seit einiger Zeit

gezielt Know-how auf und arbeitet aktiv im Umsetzungsprojekt

des DSGV mit. Dieses Wissen geben wir gerne an Sie weiter: Im

Rahmen von acht verschiedenen Arbeitspaketen machen wir

Ihr Unternehmen fit für die neuen Anforderungen des Daten-

schutzes – sprechen Sie uns an.

Anja Derkum, Seniorberaterin Datenschutz

Simone Heinz, Seniorberaterin Datenschutz

DATENSCHUTZ

Innovative FinTechs, aber auch große Internet- und Telekommunikations-

unternehmen bringen das Thema Payment beinahe täglich in die Schlag-

zeilen. Auch die S-Finanzgruppe bietet bereits entsprechende Lösungen

an. Dahinter stehen höchst komplexe Autorisierungs- und Zahlungsver-

kehrsprozesse. Wir sind seit vielen Jahren an der Entwicklung der notwen-

digen Kommunikations- und Sicherheitsstandards maßgeblich beteiligt

und unterstützen die S-Finanzgruppe in vielen innovativen Zahlungsver-

kehrsprojekten.

Der Bezahlvorgang selbst ist nur die Spitze des Eisbergs. Entscheidend für

Akzeptanz und Erfolg der Payment-Produkte ist, dass die Prozesse im Hinter-

grund perfekt und sicher funktionieren. Keine leichte Aufgabe, denn aufgrund

der Vielzahl an Beteiligten und Zugangskanälen sind die nötigen Autorisie-

rungs- und Zahlungsverkehrsprozesse äußerst komplex. Zudem müssen häu-

fige Veränderungen durch immer neue Anforderungen seitens Unternehmen,

Privatkunden und Regulatoren berücksichtigt werden. Wir können unseren

Kunden in all diesen Fragen ein wohl einmaliges Fachwissen bieten.

Als Partner der Deutschen Kreditwirtschaft sind wir maßgeblich beteiligt an:

• Entwicklung und Fortschreibung der Spezifikation für den Kommuni-

kations- und Sicherheitsstandard EBICS im Auftrag der europäischen

EBICS-Gesellschaft und der Deutschen Kreditwirtschaft (DK) im Rahmen

des DFÜ-Abkommens.

• Pflege und Weiterentwicklung des FinTS/HBCI-Standards für die DK

sowie der Modellierung von Verbundgeschäftsvorfällen für die Sparkassen-

Finanzgruppe.

• Pflege der Datenformatstandards der DK (insbesondere der ISO-20022-

XML-Formate für den SEPA-ZV und die Kontoauszugsinformationen).

• Mitarbeit bei der Weiterentwicklung der TRAVIC-Produktfamilie, des

Marktführers im Bereich der von Kreditinstituten und Rechenzentren

eingesetzten EBICS- und FinTS-Software.

Daneben unterstützen wir DSGV, FI, DSV, S-Payment, Sparkassen und Landes-

banken in einer Vielzahl von Projekten zum Zahlungsverkehr. Zudem arbeiten

wir intensiv an Zukunftsthemen wie Instant Payments, Blockchain, mobilen

und anderen neuen Bezahlverfahren: Wir begleiten unsere Kunden mit inno-

vativen IT-Lösungen in die Zukunft!

Die Zukunft des Zahlungs- verkehrs: Wir sind mittendrin.

PAYMENT – STANDARDS UND SERVICES

„Wir arbeiten seit vielen Jahren an der Entwicklung und Fort- schreibung der Banking-Standards EBICS und FinTS sowie der Datenformatstandards an der Kunde-Bank-Schnittstelle. Im Rahmen der intensiven Zusammenarbeit mit Experten aus allen kreditwirtschaftlichen Sektoren sind Spezifikationen entstan-den, die sowohl von Software-Herstellern als auch von Firmen-kunden stark nachgefragt werden. Auf dieser Basis können einheitliche, hausbankunabhängige Prozesse etabliert werden.

Bei aller Standardisierung bleibt dennoch genügend Raum für individuelle Angebote der Kreditinstitute, wie wir in unseren Kundenprojekten und Schulungen regelmäßig erfahren.“

Dr. Ralf Schopohl, Leiter Payment – Standards und Services

24 25

„Unsere langjährige Zusammenarbeit mit der SIZ basiert auf der hohen Fachkompetenz ihrer Mitarbeiter in technischen und prozessualen Fragestellungen des Zahlungsverkehrs und Banking. Die SIZ unterstützt uns dabei, die strategischen Vorgaben für die Sparkassen-Finanzgruppe in praxistaugliche Lösungen zu überführen. Beispiele hierfür sind die Weiterentwicklung des Electronic und Online Banking, der SEPA-Zahlverfahren und aktuell die Umsetzung von Instant Payments in der Sparkassen-Finanzgruppe.“

Axel Weiß, Abteilungsdirektor, Leiter Zahlungsstrategie/ Payment Deutscher Sparkassen- und Giroverband

Ist die Zahlungskarte aus Plastik ein Auslaufmodell?

Verbessert kontaktloses Bezahlen den Zahlungsvorgang

dauerhaft? Oder stellt es nur eine Übergangslösung auf dem

Weg zu weitestgehend digitalisierten und virtualisierten

Zahlungsinstrumenten dar? Wie wichtig ist es für Kunden

und Handel, unabhängig vom Kanal (stationär, online,

mobil) ein vertrautes Bezahlverfahren nutzen zu können?

Die Experten der SIZ sind in solchen Fragen nicht nur als

Berater gefragt, sondern arbeiten auch selbst an „vorders-

ter Front“ des digitalen Zahlungsverkehrs mit.

Ganz gleich, ob ein Einkauf vor Ort, über den PC oder per Smartphone erfolgt – am Ende muss

bezahlt werden. Während der Einkauf Freude macht, ist das Bezahlen ein notwendiges Übel, das

möglichst bequem, schnell, sicher und günstig erledigt sein soll. Daran arbeiten immer mehr Un-

ternehmen – und etablierte Anbieter bekommen es mit ganz neuen Wettbewerbern zu tun. Denn

neben dem klassischen Zahlungsverkehr und der Zahlung des Kunden mit seiner Plastikkarte ge-

winnen alternative Zahlungsverfahren zunehmend an Bedeutung. Der bequeme Einkauf im Inter-

net und die wachsende Verfügbarkeit von Smartphones generieren einerseits neue Möglichkeiten,

auf der anderen Seite auch stetig steigende Anforderungen an den Zahlungsvorgang. Global Player

wollen ihre eigenen Payment-Verfahren etablieren, FinTechs erblühen und vergehen, bewährte

Zahlungsverfahren werden online-fähig.

Stark steigende Anforderungen der Regulierer

Gleichzeitig rücken durch die fortschreitende Entwicklung eines einheitlichen europäischen

Zahlungsverkehrsraums die bargeldlosen Zahlverfahren zunehmend in den Fokus der Regulierer.

Anforderungen aus Europa wie die Umsetzung von SEPA Card Clearing (SCC), die Zahlungsver-

kehrsrichtlinie und die Mindestanforderungen an die Sicherheit von Zahlungen (MaSI, SecuRe Pay,

Mit dem virtuellen Warenkorb an die mobile Kasse: Quo vadis Retail Payment?

26 27

EBA RTS) mit der starken Kundenauthentifikation müssen frühzeitig bewertet werden.

Geschäftspolitische Strategien und wirtschaftliche Vereinbarungen wie das Electronic-Cash-

Händlerentgelt oder das direkte Kundenentgelt am Geldautomaten bewirken weit greifende

Systemänderungen.

Mobile Payment kommt in Fahrt

Über mobile Bezahlverfahren wird viel gesprochen. Trotz aller Ankündigungen und

Pilotversuche haben nur einige Lösungen überlebt und noch weniger haben relevante

Marktanteile gewinnen können. Aktuell scheinen Markt und Technologie aber bereit,

den nächsten Schritt zu gehen. Dabei kann das Smartphone sowohl als Akzeptanz-

gerät beim Händler dienen als auch als Zahlungsinstrument im Besitz des Kunden

genutzt werden. Auch für den mobilen Check-out innerhalb von Apps müssen ge-

eignete Bezahlverfahren angeboten werden. Technische Schlagwörter sind hier zum

Beispiel NFC, HCE, Wallets und Tokenization.

Markterfolg braucht Marktkenntnis – und technisches Know-how

Ob der Ausbau von kontaktlosen Zahlungen, die Virtualisierung von Karten, die An-

wendungsauswahl am Point of Sale oder mobile Bezahlverfahren: Wer hier dauerhaften

Erfolg haben will, muss innovative Lösungen bieten und dabei dem Endkunden einen

tatsächlichen Nutzen, aber auch allen Beteiligten einen wirtschaftlich attraktiven Betrieb

ermöglichen.

Ganz entscheidend dabei ist die Frage der technischen Machbarkeit. An dieser Schnittstelle

zwischen geschäftspolitischen und fachlichen Anforderungen einerseits sowie der techni-

schen Realisierung andererseits bieten die Berater der SIZ GmbH Orientierung, Entschei-

dungshilfe und Umsetzungsunterstützung – auch über die Sparkassen-Finanzgruppe hinaus.

Die Erfahrung der SIZ mit dem Aufbau und der Weiterentwicklung nationaler Zahlungssyste-

me, der Umsetzung internationaler Zahlungsverkehrsstandards und regulatorischer Anfor-

derungen sowie der Integration mobiler Bezahlverfahren wird in der gesamten Branche

geschätzt. Entsprechend wird die Expertise der SIZ gerne für Konzeption, Spezifikation,

Pilotierung und Projektmanagement in Anspruch genommen.

Dr. Beate Schmitz, Managementberaterin

PAYMENT – STANDARDS UND SERVICES

IMPRESSUM

SIZ GmbH

Simrockstraße 4

53113 Bonn

Telefonzentrale: +49 (0)228 4495-0

Fax (zentral): +49 (0)228 4495-7335

Internet: www.siz.de

E-Mail: info@siz.de

Konzeption: AM | COMMUNICATIONS, Stuttgart

Textredaktion und Gesamtkoordination:

SIZ, Georges Peltier, Ulrike Loewel

Gestaltung: AM | COMMUNICATIONS, Stuttgart

© 2017 SIZ GmbH - Ein Unternehmen der

Sparkassen-Finanzgruppe. Alle Rechte vorbehalten.

Vervielfältigung nur mit Genehmigung der SIZ GmbH.

29

Bayerische Landesbank

DekaBank Deutsche Girozentrale

Deutsche Sparkassen Leasing AG & Co. KG

Deutscher Sparkassen Verlag GmbH

Finanz Informatik GmbH & Co. KG

Hanseatischer Sparkassen- und Giroverband

Landesbank Hessen-Thüringen

LBS Westdeutsche Landesbausparkasse

NORD/LB Norddeutsche Landesbank

Ostdeutscher Sparkassenverband

Rheinischer Sparkassen- und Giroverband

SIZ GmbH

Sparkassen- und Giroverband Hessen-Thüringen

Sparkassenverband Baden-Württemberg

Sparkassenverband Bayern

Sparkassenverband Niedersachsen

Sparkassenverband Rheinland-Pfalz

Sparkassenverband Saar

Sparkassenverband Westfalen-Lippe

Sparkasse Hannover

Stadtsparkasse München

Verband öffentlicher Versicherer

(Stand 31.01.2017)

Unsere Gesellschafter: Ein Querschnitt durch die Sparkassen-Finanzgruppe.

GESELLSCHAFTER 28

Finanzgruppe

SIZ GmbH

Simrockstraße 4

53113 Bonn

www.siz.de