• Die Leitlinien 5 und 6 richten sich an die zuständigenBehörden bezüglich der Bewertung und Meldung einesVorfalls an andere nationale Behörden, einschließlich derdann erforderlichen Mindestangaben.
• DieLeitlinien7und8regelnAnforderungenandieInformati- onsweitergabe an EBA und EZB.
DieLeitlinientretenam13.Januar2018inKraft.
PSD2 - FINALE LEITLINIEN ZUR MELDUNGSCHWERWIEGENDER VORFÄLLE
BERICHT MIT EMPFEHLUNGEN DER BAFIN „LIQUIDITÄTSSTRESSTESTS DEUTSCHER KAPITALVERWALTUNGSGESELLSCHAFTEN“ VOM 13. OKTOBER 2017
EU-DSGVO: SECHS AUSGEWÄHLTE KERNTHEMENUND PRAKTISCHE INFORMATIONEN ZU DSGVO-GERECHTEN LÖSUNGEN
CHATBOTS: EINSATZBEREICHE, COMPLIANCE- UND HAFTUNGSFRAGEN SOWIE ASPEKTE DES DATENSCHUTZES UND DER DATENSICHERHEIT
DIE HERAUSFORDERUNGEN DER FINANZINSTITUTE IM RAHMEN DER 4. EU-GELDWÄSCHE-RICHTLINIE
LEITLINIE ZUR VERMEIDUNG VON GELDWÄSCHE UND TERRORISMUSFINANZIERUNG IM ELEKTRONISCHEN ZAHLUNGSVERKEHR
In der PSD21bestimmtderArtikel96Absatz3:
„Bis zum 13. Januar 2018 gibt die EBA in enger Zusammenarbeit mit der EZB […] für jeden der folgenden Akteure heraus:
a) Zahlungsdienstleister: Klassifizierung der schwerwiegendenVor- fälleimSinnedesAbsatzes1sowieInhalt,Format—einschließ- lichStandardformblätternfürdieMeldungen—undVerfahrenfür
dieMeldungsolcherVorfälle;b) diezuständigenBehörden:KriterienfürdieBewertungderRele- vanzeinesVorfallsundEinzelheitenderMeldungvonVorfällenan
anderenationaleBehörden.“
SUMMARY
Die Leitlinien richten sich an Zahlungsdienstleister und die zu-ständigen nationalen Behörden. Sie legen von Zahlungsdienst-leistern anzuwendende Kriterien, Schwellenwerte und Metho-denfest,damitdiesebeurteilenkönnen,obeinschwerwiegenderBetriebs- oder Sicherheitsvorfall vorliegt, der den zuständigennationalenBehördenzumeldenist.
UmdieRelevanzeinesBetriebs-oderSicherheitsvorfallsfüran-derenationaleBehördenbewerten zukönnen, legendieLeitli-nienKriterienfest,anhanddererdiezuständigenBehördendieBewertungvorzunehmenhaben.
DieLeitliniengliedernsichindreiTeile:• Die Leitlinien 1 bis 4 richten sich an Zahlungsdienstleisterund spezifizieren die Kriterien zur Klassifizierung einesschwerwiegendenVorfalls. ZudemwirddasMeldeformblatt benanntunddasMeldeverfahrenbeschrieben.
1 PSD2-RICHTLINIE(EU)2015/2366DESEUROPÄISCHENPARLAMENTSUNDDESRATESvom25.November2015überZahlungsdiensteimBinnenmarkt,zurÄnderungderRichtlinien2002/65/EG,2009/110/EGund2013/36/EUundderVerordnung(EU)Nr.1093/2010sowiezurAufhebungderRichtlinie2007/64/EG
THEMEN DIESER AUSGABE
Seite 1
PSD2 - FINALE LEITLINIEN ZUR MELDUNG
SCHWERWIEGENDER VORFÄLLE
EXXETA.COM
AUSGABE 4/2017
EXXETA FINANCIAL SERVICESREGULATORY NEWSLETTER
KRITERIEN FÜR ZAHLUNGSDIENSTLEISTER ZUR KLAS-SIFIZIERUNG EINES SCHWERWIEGENDEN VORFALLS
Zahlungsdienstleister müssen einen Vorfall als schwerwiegenden Betriebs-oderSicherheitsvorfalleinstufen,wenneinodermeh-rereKriterien fürstarkeAuswirkungerfüllt sind,oderdreiodermehrereKriterienfürgeringeAuswirkungerfülltsind(vgl.Abb.1).
Zahlungsdienstleister müssen einen Vorfall anhand der in Abbil-dung2aufgeführtenKriterienbewerten,obvorBeseitigungdesVorfallsdiedefiniertenSchwellenwerteerreichtwerdenoderbe-reitsüberschrittensind.
Dabei ist unter „Betroffene Transaktionen“ der Gesamtwert derbetroffenen Transaktionen (alle nationalen und Cross-BorderTransaktionen) zu ermitteln, sowie der Prozentwert der Anzahlder betroffenen Transaktionen bezogen auf die übliche AnzahlderTransaktionenderbetroffenenDienste(täglicherJahresdurch-schnitt).Der für dieAusfallzeit zubewertendeZeitraumbeziehtsichaufdenZeitraum,indemderDienstwahrscheinlichnichtfürdenZahlungsdienstnutzerverfügbarseinwirdoderderZahlungs-auftragimSinnevonArtikel4Absatz13derPSD2vomZahlungs-dienstleisternichtausgeführtwerdenkann.Unter„HoherinternerEskalationsgrad“istzuprüfen,obderVorfallandieFührungskräfteberichtet wurde bzw. werden wird. Unter „Andere Zahlungsdienst-leister oder relevante Infrastruktur betroffen“ sind die systemi-schenFolgenfürandereZahlungsdienstleister,Finanzmarktinfra-strukturenund/oderKartenzahlungssystemezubestimmen.
MELDEVERFAHREN FÜR ZAHLUNGSDIENSTLEISTER
Zahlungsdienstleister haben alle relevanten Informationen zusammelnundeineVorfallmeldung,gemäßAnhang1derRichtlinie,zu erstellen und diese an die zuständige Behörde zu senden. Im weiteren Verlauf des Vorfalls ist die Vorfallmeldung fortzuschrei-ben.HierzusinddiejeweiligenAbschnittedesFormblattszuver-wenden.DesWeiteren ist der zuständigen nationalen Behördedarzulegen,wieBenutzerüberdenVorfallinformiertwerdenundsindaufAnforderungweitereInformationenoderKlarstellungenzubereitseingereichtenUnterlagenzukommenzulassen.
Ist ein oder sind mehrere Kriterien für starkeAuswirkungerfüllt?
Sind 3 oder mehrere Kriterien für geringe Auswirkungerfüllt?
Kein schwerwiegenderVorfall
Nein
Nein
Ja
Ja
Schwerwiegender Vorfall
Schwerwiegender Vorfall
BetroffeneTransaktionen
Betroffene Zahlungsdienstnutzer
Ausfallzeit
ÖkonomischeAuswirkung
HoherinternerEskalationsgrad
AndereZahlungsdienstleisteroderrelevanteInfrastrukturbetroffen
AuswirkungaufdieReputation
Mehrals10%derüblichenAnzahlderTransaktionender betroffenen Dienste
und mehr als 100.000 EUR
Mehr als 5.000 und mehr als 10% der Zahlungsdienstnutzer des
Zahlungsdienstleisters
Größer2Stunden
Nichtanwendbar
Ja
Ja
Ja
Mehrals25%derüblichenAnzahlderTransaktionender betroffenen Dienste
oder mehr als 5 Millionen EUR
Mehr als 50.000oder mehr als 25% der Zahlungsdienstnutzer des
Zahlungsdienstleisters
Nichtanwendbar
GrößeralsdasMax.(0,1%desKernkapital,200.000EUR)
oderGrößerals5MillionenEUR
Ja,undeinKrisenmodusoderVergleichbaresvoraussichtlich
ausgerufen werden wird
Nichtanwendbar
Nichtanwendbar
Kriterium Geringe Auswirkung Starke Auswirkung
Seite 2
Abbildung1:KriterienfürZahlungsdienstleisterzurKlassifizierungeinesschwerwiegendenVorfalls
Abbildung2:KriterienzurErreichungoderÜberschreitungdefinierterSchwellenwerte
EXXETA.COM
Erstmeldung: Zahlungsdienstleister sollten der zuständigen Be-hörde eineErstmeldung (AbschnittAdesFormblatts)vorlegen,wenneinschwerwiegenderbetrieblicherodersicherheitsrelevan-terVorfallentdecktwurde.DieseErstmeldungistinnerhalbvonvierStundennachdemerstenAuftretendesschwerwiegendenVorfallsandiezuständigeBehördezusenden.FürdenFall,dasseinzuvornichtwesentlicherVorfallzueinemschwerwiegendenVorfallwird,hatderZahlungsdienstleisterdieErstmeldungunver-züglichnachFeststellungderStatusänderungandiezuständigeBehörde zu senden. In der Erstmeldung ist u. a. das Datum für dienächsteAktualisierunganzugeben.DiesessolltesobaldwiemöglichseinundaufkeinenFallmehralsdreiGeschäftstagenachder Erstmeldung liegen.
Zwischenmeldung: Zahlungsdienstleister sollten Zwischenmel-dungenspätestenszumgenanntenDatumdernächstenAktuali-sierungeinreichenunddannvornehmen,wenneseinerelevanteStatusänderung gibt. In der ersten Zwischenmeldung ist eine de-taillierteBeschreibungdesVorfallsundseinerFolgenvorzulegen(AbschnittBdesFormblatts).
ZusätzlicheZwischenmeldungensindzuerstellen,wenn indenAbschnittenAundBenthaltenenInformationenaktualisiertwer-den (z.B.beineuen relevanten InformationenoderbeiEintrittvonwesentlichenÄnderungen). In jedemFall solltenZahlungs-dienstleister auf Verlangen der zuständigen Behörde eine Zwi-schenmeldungvorlegen.SolltederTerminfürdieAktualisierungdervorherigenMeldungnichteingehaltenwerdenkönnen,dannhat der Zahlungsdienstleister sich an die zuständige Behörde zu wendenunddieGründefürdieVerzögerungzuerläutern,sowieeinneues,plausiblesDatumfürdieAktualisierungvorzuschlagen(nichtlängeralsdreiArbeitstage).
Die letzteZwischenmeldung ist zusenden,wenndie regulärenAktivitätenwiederaufgenommenwurdenunddieGeschäftstä-tigkeitwiedernormalverläuft.SolltesichdasGeschäftnormalisie-ren,bevorvierStundenseitdemErkennendesVorfallsvergangensind,solltederZahlungsdienstleisterversuchen,dieErstmeldungundden letztenZwischenbericht (d.h.dieAbschnitteAundBdesFormblatts)zusammenzuversenden.
Abschlussmeldung: Eine Abschlussmeldung ist auch dann zu senden,wennbereitsAbhilfemaßnahmendurchgeführtoderdieendgültigenUrsachen festgestelltwurden.SindaufderGrund-lagedurchgeführterUrsachenanalysendie tatsächlichenZahlenverfügbar,sogiltesdiebisherigenSchätzungenzuersetzen.DieAbschlussmeldungsollteinnerhalbvonhöchstenszweiWochennach Normalisierung der Geschäftstätigkeit an die zuständigeBehördeübermitteltwerden.EinegewünschteFristverlängerungmitBegründungsolltevorAblaufdieserzweiWochenandiezu-ständige Behörde ergehen.
Sollte sich dasGeschäftnormalisieren, bevorvier Stunden seitdemErkennendesVorfallsvergangensind,solltederZahlungs-dienstleisterversuchen,dieErstmeldung,denletztenZwischen-berichtunddenAbschlussbericht(d.h.dieAbschnitteA,BundCdesFormblatts)zusammenzuversenden.
WEITERER ABLAUF
NachEingangderMeldungunterrichtetdiezuständigeBehördedesHerkunftsmitgliedstaatsdieEBAunddieEZBunverzüglichüber diemaßgeblichen Einzelheiten desVorfalls. Nachdem diezuständigeBehördedieRelevanzdesVorfalls fürdiemaßgebli-chenBehördendesbetreffendenMitgliedstaatsgeprüfthat,sindauch diese entsprechend zu unterrichten.
Des Weiteren prüfen EBA und EZB in Zusammenarbeit mit der zuständigen Behörde desHerkunftsmitgliedstaats die RelevanzdesVorfallsfüranderemaßgeblicheBehördenderUnionundderMitgliedstaaten und informieren diese entsprechend.
DieEZBunterrichtet dieMitglieder des Europäischen SystemsderZentralbankenüber die für dasZahlungssystem relevantenAspekte.
AufderGrundlagederUnterrichtungtreffendiezuständigenBe-hörden gegebenenfalls alle für die unmittelbare Sicherheit desFinanzsystemsnotwendigenSchutzvorkehrungen.
UND IN DEUTSCHLAND?
In Deutschland sieht die Neufassung des Zahlungsdiensteauf-sichtsgesetzes(ZAG)in§54Absatz1Satz1vor,dasseinZah-lungsdienstleisterdieBaFinunverzüglichüberschwerwiegendeBetriebs-undSicherheitsvorfälleunterrichtenmuss.DieseRege-lungersetztdiebisherigeMeldepflichtgemäßNr.3.2desRund-schreiben4/2015(BA)-MindestanforderungenandieSicherheitvonInternetzahlungen(MaSI).
DieBaFinbeabsichtigt,dieseLeitliniendurcheinaufsichtlichesRundschreibenumzusetzen.FürdieErfüllungdieserMeldepflichtwirddieBaFineinelektronischesMeldeverfahrenzurVerfügungstellen,dasaufderMelde-undVeröffentlichungsplattform(MVP)derBaFinberuht.DasneueVerfahrensollebenfallszum13.Ja-nuar 2018 in Betrieb gehen und den bisherigen Meldeweg über E-Mailersetzen.DieBaFinweistdaraufhin,dassdieMeldungennachderEntgegennahmeandieEZB,dieEBAunddieDeutscheBundesbankweitergeleitetwerden.DieBaFinprüftdannferner,obeineWeiterleitunganandereinihrerZuständigkeitbetroffeneinländische Behörden geboten ist.
Seite 3
EXXETA.COM
WAS MÜSSEN ZAHLUNGSDIENSTLEISTER ODER EIN VON IHNEN BEAUFTRAGTER DIENSTLEISTER TUN?
UmZahlungssicherheitsvorfälleandieBaFinmeldenzukönnen,müsseneinZahlungsdienstleisterodereinvonihmbeauftragterDienstleisterfolgendeSchrittedurchführen.
Selbstregistrierung am MVP-Portal: Der Melder muss sich als NutzeramMVP-Portalregistrieren,soweiterdortnichtbereitsregistriertist.DieseRegistrierungkannbereitsjetztdurchgeführtwerden.
Freischaltung für das Meldeverfahren „PSD2-Zahlungssicher- heitsvorfälle“ beantragen: InnerhalbdesMVP-PortalskannderMelderübereinenAntragdieFreischaltungfürdasMeldeverfah-ren„PSD2-Zahlungssicherheitsvorfälle“beantragen.DerMeldermussdenFreischaltungsantragausfüllenundunterschriebenanfolgendeAdressesenden:
BundesanstaltfürFinanzdienstleistungsaufsichtBA51–PSD2-ZahlungssicherheitsvorfälleGraurheindorferStr.10853117 Bonn
EinMelder,derfürmehrereZahlungsdienstleistermeldenmöch-te,hatderBaFineineExcel-DateizurVerfügungzustellen,inderallebetroffenenZahlungsdienstleistermitFirmaundBAK-Num-mern eingetragen sind. Diese Datei ist an „[email protected]“zusenden.FürZahlungsdienstleister,die indieserTabellenichtaufgeführtsind,kannkeineMeldungabgegeben werden. Die Freischaltung für das Meldeverfahren„PSD2-Zahlungssicherheitsvorfälle“kannimMVP-Portalseitdem4.Oktober2017beantragtwerden.
Benachrichtigung der BaFin: Der Melder wird über die erfolg-reiche/nicht erfolgreiche Freischaltung für dasMeldeverfahren„PSD2-Zahlungssicherheitsvorfälle“ informiert Die Benachrich-tigung erfolgt per E-Mail, über die im MVP-Portal hinterlegteE-MailAdresse.SobalddieBenachrichtigungüberdieerfolgrei-cheFreischaltungerfolgtist,kannderMelder,abdem13.Januar2018,MeldungenüberschwerwiegendeZahlungssicherheitsvor-fälle abgeben.
LINKS ZUM DOKUMENT
• GuidelinesonmajorincidentreportingunderPSD2• InformationenzumMeldeverfahrenfürschwerwiegende Betriebs-undSicherheitsvorfällebeiZahlungsdienstleistern
MARTIN SEEPrincipalConsultantBanking
Seite 4
AUTOR
EXXETA.COM
1 Vgl.dazuauchdierechtlichenDefinitionengem.derVerordnungzurKonkretisierungderVerhaltensregeln undOrganisationsregelnnachdemKapitalanlagegesetzbuch(KAVerOV,§5Abs.3)unddem Kapitalanlagegesetzbuch(KAGB,§30Abs.3KAGB)inVerbindungmitArtikel46Level2-VO13sowieArtikel49 Abs.2Level2-VOderAlternativeInvestmentFundManagersDirective(AIFMRichtlinie)undden MindestanforderungenandasRisikomanagementfürKapitalverwaltungsgesellschaften(KAMaRisk4.6Tz.2)
2 Vgl.dazuKAGB(§§28,29,30),derAIFMLevel2-VO(Artikel38bis49),derKAVerOV(§§4bis6)sowieder KAMaRisk(insbesondereAbschnitt4.3und4.8)
Seite 5
Anfang des Jahres hat das Financial Stability Board (FSB) vondennationalenAufsichtsbehördengefordert,denKapitalverwal-tungsgesellschaften(KVGen)eineOrientierungshilfefüreingu-tes Liquiditätsrisikomanagement und für dieDurchführungvonLiquiditätsstresstests zu geben.
Am13.Oktober2017hatdieBaFineinenBerichtveröffentlicht,derdiewichtigstenErgebnisseeinerStatus-quo-AnalysedesLi-quiditätsmanagementsundderLiquiditätsstresstestsaufFondse-benevondeutschenKVGenundindiesemZusammenhangauchvereinzeltEmpfehlungenfüreinewünschenswertePraxisenthält.
ImFokusderAnalysenderBaFinstandenausschließlichoffeneFonds,dahier–imGegensatzzugeschlossenenFonds–grund-sätzlichRücknahmenwährendderLaufzeiterlaubtsind.
DasgesamteVolumendeutscherInvestmentfondshatzumJuni20172,0Bio.EURbetragen,wobeiderGroßteildesFondsvolu-mensinHöhevon1,51Bio.EURaufSpezialfondsunddieübri-gen481Mrd.EURaufPublikumsfondszurückgehen.ExchangeTradedFunds(ETFs)undGeldmarktfondshabenamFondsstand-ort Deutschland eine geringere Bedeutung.
Nachfolgend wird auf der Basis einer Skizzierung des Liquidi-tätsrisikobegriffs und des regulatorischen Rahmens von Liqui-ditätsmanagement und Liquiditätsstresstests von KVGen aufdie Ergebnisse der BaFin Analyse und den möglichen ImpactaufdieKVGeneingegangen.DabeiwirdderFokusaufdieSta-tus-quo-AnalysenderStresstestsgelegt.
LIQUIDITÄTSRISIKO UND REGULATORISCHER RAHMEN
EinbesonderesmakroökonomischesRisikoimKontextdesLiqui-ditätsrisikos bei Kapitalanlagegesellschaften stellen sogenannteLiquiditätsspiralen dar, die aufgrund einer erhöhten RückgabevonFondsanteilenandieAnlegerunderforderlicheVerkäufevonVermögensgesellschaftenzueinemPreisrückgangundzuAnste-ckungseffektenführenkönnen.
ImmikroökonomischenSinnebestehtdasgrößteLiquiditätsrisikovonKVGendarin,dassdiekurzfristigenZahlungsverpflichtungen–beispielsweiseausRückgabeverlangenderAnleger–nichter-fülltwerdenkönnen.DiesesRisikokanndannschlagendwerden,
wenn die im Investmentvermögen enthaltenen Vermögensge-genständeamMarktnichtveräußertwerdenkönnenunddamitdiegenerierbarebzw.dievorhandeneLiquiditätdesInvestment-vermögensnichtausreicht.1
Im Rahmen des Liquiditätsrisikomanagements muss eine KVGstets sicherstellen, dass die vorhandene Liquidität des Invest-mentvermögens auf derAktivseite grundsätzlich die Höhe dertatsächlichenunderwartetenRücknahme-sowiesonstigenZah-lungsverpflichtungenaufderPassivseitedeckt.
Vor dem Hintergrund der rechtlichen Rahmenbedingungen2 gilt esvondenKGVen imLiquiditätsmanagement einendenBankenrechtähnlichenRisikomanagementprozesszuetablie-ren:
Risikoidentifikation: IdentifikationdesvorhandenenLiquiditäts-risikosderKVGaufderAktiv-(Marktliquiditätsrisiko)alsauchaufder Passivseite (Rücknahmerisiko) unter Berücksichtigung derVertragsbedingungen, Anlagerichtlinien, Rücknahmebedingun-gen und unter Durchführung von LiquiditätskategorisierungenderVermögenswertebzw.AnalysederAnlegerstrukturen (z.B.ArtderAnlegerundrelativeUmfangderAnlagen).
Risikobeurteilung bzw. -messung: Bewertung der relativen Li-quiditätdesFondsamMarktundder tatsächlichenunderwar-tetenMittelabflüsse sowie Zahlungsverpflichtungen. In diesemZusammenhang gilt es, angemessene Liquiditätsmessverfahrenvorzuhalten,dieesaucherlauben,ErkenntnisseüberdieLiquidi-tätssituationunternormalenundaußergewöhnlichenLiquiditäts-bedingungen zu erlangen.
Risikosteuerung: DieRisikosteuerungsollteimEinklangderbe-trieblichenRisikostrategieund-politikerfolgenundMaßnahmenzurMitigationder Liquiditätsrisiken (wie z.B.OptimierungdesPortfolios über eineVeränderung derAllokationsstrategie,Auf-nahme von Krediten zur Deckung von etwaigen Liquiditätslü-cken)vorsehen.EinewesentlicheGrundlagederRisikosteuerungstelltdieÜberwachungdar.
Risikoüberwachung:RegelmäßigeÜberprüfungderRisikosituati-onunterVerwendungvonRisikoindikatorenoderRisikolimitsundderWirksamkeit derMaßnahmen ausderRisikosteuerung.DieRisikoüberwachungzieltdaraufab,erstgarkeineLiquiditätseng-pässeoderNotfallsituationenentstehenzulassen.
Risikokommunikation: Regelmäßige (zumindest auf jährlicherBasis) und anlassbezogeneBerichterstattung an dieGeschäfts-leitung und andereAdressaten (Risikomanager, Fondsmanager)überdieDarstellungundBeurteilungderRisikosituation,erfolgteundpotenzielleLimitüberschreitungenundggfs.Handlungsvor-schlägezurRisikosteuerung.
BERICHT MIT EMPFEHLUNGEN DER BAFIN
„LIQUIDITÄTSSTRESSTESTS DEUTSCHER
KAPITALVERWALTUNGSGESELLSCHAFTEN“
VOM 13. OKTOBER 2017
EXXETA.COM
Seite 6
NachdenrechtlichenRahmenbedingungengiltfürdieAusgestal-tung des Liquiditätsmanagements das Proportionalitätsprinzip.SokannsichetwadieFestlegungvonquantitativenundquali-tativenRisikolimitsoder auchdieAuswahlundderAufbauderStresstestsnachArt,Umfang,KomplexitätundRisikogehaltderGeschäftsaktivitätenderKVGrichten.
DiekonkretenregulatorischenAnforderungenandieStresstestswerden in Abbildung 1 dargestellt.
ImfolgendenKapitelwerdendieErgebnisseausderStatus-quo-AnalysederInvestment-fondsdeutscherKVGenskizziert.
ERGEBNISSE AUS DER STATUS-QUO-ANALYSE DER BA-FIN (BETRACHTUNG DER STRESSTESTS)
AlleuntersuchtenKapitalverwaltungsgesellschaftenführenregel-mäßig Stresstests unter normalen als auch außergewöhnlichenLiquiditätsbedingungen durch. In Abhängigkeit von dem Ge-schäftsmodell und dem jeweiligen Modellierungsansatz unter-scheidetsichallerdingsdieKomplexitätdergewähltenMethodenund die Frequenz derDurchführung deutlichvoneinander.Die
Ergebnisse der Studie werden in der Abbildung 2 dargestellt. Die betrachtetenKVGenverwendenAmpelsystemezurKategorisie-rungundgrafischenAufbereitungderErgebnissederStresstests.Dabei erfolgt eine genauereAnalyse der Fonds, wenn die Er-gebnissederStresstestsaufeineschlechte(gelberBereich)odernichtvorhandene(roterBereich)Liquiditäthindeuten.
Laut der Studie liegt das weitere Vorgehen bei den meisten KV-GenimErmessendesRisikomanagements.VordefinierteklareEs-
kalationswegehabendiemeistenderuntersuchtenKVGennicht.DabeiistdieStellungderBaFinzudiesemPunktganzklar:Eska-lationsstufenunddieeinzelnenSchrittemüssenindenRichtlini-enklardefiniertwerdenunddenVerantwortlichenauchbewusstsein.
DieStudiezeigtaußerdem,dassdieHäufigkeitundGestaltungderBerichterstattungdurchdiemeistenKVGen in ihrenRicht-liniengeregeltsind.Dabeiwerdensowohlregelmäßigealsauchanlassbezogene Berichte erstellt. In Abbildung 3 wird der Bericht-erstattungsprozessverdeutlicht.DievomUnternehmendefinier-tenBerichterstattungs-undEskalationswegesollendazudienen,dieRisiken rechtzeitigzuerkennenundgeeigneteMaßnahmen
KAGB • PflichtzurDurchführungvonregelmäßigenStresstests• BerücksichtigungvonnormalenundaußergewöhnlichenLiquiditätsbedingungen(KAGB§30Abs.2KAGB)
• BerücksichtigungvonRisikokonzentrationen(KAMaRisk4.3Tz.10)• DurchführungderStresstestssowohlaufEbenedesInvestmentvermögensalsauchGesellschaftsebene (KAMaRisk4.3Tz.10)• BeioffenenImmobilienfondssinddieStresstestsmindestensvierteljährlichdurchzuführen(KAMaRisk4.8Tz.6)
• DurchführungderStresstestsaufBasisvonquantitativenoder,fallsdiesnichtangemessenist,qualitativer Informationen• Simulationvonggf.mangelnderLiquiditätderVermögenswerteimFondssowieatypischerRücknahmeforderungen• AbdeckungvonMarktrisikenundderenAuswirkung• BerücksichtigungvonBewertungssensitivitätenunterStressbedingungen• TurnuszurDurchführungderStresstests(mindestensjährlich)unterBerücksichtigungderAnlagestrategie,des Liquiditätsprofils,derAnlegerartundderRücknahmegrundsätzedesFonds• KVGsollmitBlickaufdieErgebnisseimbestenInteressederAnlegerhandeln• ZeitanalyseinnerhalbderStressszenarienzurErfüllungderRücknahmeforderungen(Erwägungsgrund2derAIFM Level2-VO)
KAMaRisk
AIFM Level 2-VO(Artikel 48)
Abbildung1:RegulatorischeAnforderungenfürLiquiditätsstresstests
Stresstests auf der Passivseite
Liquiditätsstresstests bei deutschen Investmentfonds
• Gegenstand:SimulationeineserhöhtenRückgabeverhaltensderInvestoren• Vorgehen: • ModellierungderMittelabflüsseunterNormal-undStressbedingungenmitHilfestatistischerMethodenoder anhand eigener Einschätzung• Ergebnis: 1. DifferenzierungderStresstestsinSpezialfondsundPublikumsfonds 2. StresstestsfürMittelabflüssebeiSpezialfondssindwegendembesonderenAnlegerverhalten (wenigeundrechtzeitigangekündigteRückgaben)wenigeraussagekräftig 3. StresstestsfürMittelabflüssebeiPublikumsfondswerdenanhandhistorischerMittelabflusswerteoder ExpertenschätzungunterBerücksichtigungderAnlegerstrukturdurchgeführt
EXXETA.COM
Seite 7
rechtzeitig einzuleiten. Im nachfolgenden Kapitel werden die ErgebnissederStudiederBaFinundmöglicheAuswirkungenaufdieKVGenzusammengefasst.
MÖGLICHE AUSWIRKUNG DER ERGEBNISSE AUF DIE KVGEN
DerBerichtderBaFinhatkeinenrechtsverbindlichenCharak-ter, enthält aber Empfehlungen für die Ausgestaltung eines
guten Liquiditätsmanagements und kann als Grundlage füreineÜberprüfungundModifikationderbetriebsinternenEnt-wicklungundDurchführungder Liquiditätsstresstests heran-gezogen werden.
Grundsätzlich ist die Ausgestaltung der Stresstests von derGröße und dem Geschäftsmodell der einzelnen KVG sowiedem Risikogehalt der verwalteten Fonds abhängig. InsoferngibteskeineverbindlichenVorgabenandieStresstestszena-rien.
AusdemBerichtderBaFinkönnenmitBlickaufdieAusgestal- tungderStresstestsundderValidierung sowieKommunikationder Stresstestergebnisse die in Abbildung 4 aufgeführten Emp-fehlungen abgeleitet werden.
NebenderBerücksichtigungderEmpfehlungenandieStresstestssolltenKGVendenBerichtalsAnlassnehmen,auch ihrLiquidi-tätsmanagementzuüberprüfenundzuverfeinern.FüreingutesLiquiditätsmanagementisteinerseitseinegründlicheAnalysederAnlageschwerpunkteaufderVermögensseitebedeutungsvoll.
DieBaFinweist hier zuRecht darauf hin, dass aussagekräftigeMarkdaten und Marktusancen oder auch das ExpertenwissenvonHändlern genutztwerden sollten.Andererseits gilt es, dasAnlegerverhaltengründlichzuüberprüfenundbestenfallsaucheineengeKommunikation insbesonderezuden institutionellenAnlegernzupflegen.
Abbildung2:LiquiditätsstresstestsbeideutschenInvestmentfonds
Stresstests auf der Aktivseite
• Gegenstand:Simulationeinerverschlechtertenbzw.mangelndenLiquiditätder VermögenswerteimFonds• Vorgehen: • BestimmungderLiquiditäteinzelnerProdukteunterNormalbedingungenmittelsProduktspezifika/ Marktdaten/eigenenEinschätzungen • AbleitungderLiquiditätdesFondsunterNormalbedingungen • AbleitungderLiquiditätdesFondsunteraußergewöhnlichenBedingungenanhandvonhistorischenDaten undEreignissen,hypothetischenzukunftsbezogenenStressszenarienoderExpertenschätzung• Ergebnis(allerbetrachtetenKVGen): 1. VerwendungvonhistorischenDatenfürdieStresstestszenarien(ErgänzungdurcheigeneEinschätzungen) 2. DurchführungvonanlassbezogenenStresstests 3. KeineBerücksichtigungvonhistorischenEreignissen 4. AnzahlderverwendetenStressszenarienwarunterschiedlich˃ EskonntekeinZusammenhangzwischenderGrößederKVGenundKonstruktionsowieAnzahlderverwendeten Stresstestserkanntwerden
Zusammenführen der Stresstests auf der
Aktiv- und Passivseite
• Vorgehen: • VergleichvonAktiv-undPassivseiteoderDefinitioneinerLiquiditätskennzahl • AusreichendeLiquidität:LiquiditätAktivseite>LiquiditätPassivseiteoderKennzahlliegtinnerhalbeines bestimmtenBereichs• Ergebnis: 1. KVGenverwendenoftmalsAmpelsystemezurVerdeutlichungderLiquiditätssituation 2. FrequenzderStresstestsliegtzwischentäglichundvierteljährlich 3. ValidierungderfürdieStresstestsgetroffenenAnnahmenundverwendetenMethoden˃ EskonntekeinZusammenhangzwischenderFrequenzderStresstestsundderGröße derKVGenerkanntwerden
Intern
Extern
Tägliche Berichte zur Liquiditätssituation andenRisiko-undFondsmanager
MonatlicheBerichteinaggregierterFormandasRisikokomitee/dieMitgliederderGF
Quartalsweise Berichte zur RisikosituationanBaFin
Abbildung3:Berichtsprozess
EXXETA.COM
Seite 8
ImHinblickaufdieweiterenVorhabenderBankenaufsichtindie-semThemaistesratsam,dieDurchführungderStresstests–vorallemaufgrundderzuerwartendenBerichtspflichten–möglichstautomatisiertbzw.systembasiertvorzunehmen.SohatdasFSBimRahmenderEmpfehlungenzurBekämpfungvonRisiken fürdieFinanzstabilitätebenfallsErwartungenandieDurchführungvonsystemweitenStresstestsformuliert.
LINKS ZUM DOKUMENT
• EmpfehlungenfürLiquiditätsstresstestsdeutscherKapital- verwaltungsgesellschaften
ALESIA PRYTULCHYKSeniorConsultantFinancialMarkets
VOLKER SMIELICKExecutiveConsultantRisk,Finance&Compliance
Abbildung4:AusdemBerichtderBaFinabgeleiteteEmpfehlungen
Position
Durchführung der Stresstest
Aktiv-undPassivseite
Gegenüberstellung
Aktivseite
Validierung der Stresstests
Kommunikation&Berichterstattung
Passivseite
• BerücksichtigungvonzusätzlichenStresstestszenarien(z.B.anlassbezogeneSzenarienoderkonkrete historischeEreignisse)nebendengesetzlichgefordertenSzenarien• DurchführungvonvertieftenAnalysen(NutzungvonMarktdatenundderExpertisevonHändlern,Analyse derMarktusancen)inAnlageschwerpunktenzurBestimmungderLiquiditätunterNormalbedingungen
• Validierung der Annahmen und Methoden der Stresstests auf formalisierter Basis bestenfalls über Validierungsberichte • ÜberprüfungderExperteneinschätzungen
• KlareRegelungundDokumentationderEskalationswegebeientsprechenderVeränderungdes RisikoprofilsunterBerücksichtigungderjeweiligenAusprägungenderRisikolimitsbzw.Risikoindikatoren• AnpassungderBerichtsinhalteandenjeweiligenAdressatenkreis
• IntensivereBetrachtungderPublikumsfonds(InformationenüberAnlegerstrukturundAnlegerverhalten)• VollständigeBetrachtungderZahlungsverpflichtungen(auchZins-oderKreditzahlungenoder Instandhaltungskosten)beidenStresstestszenarien
• BerücksichtigungeinerausreichendenDatengrundlage(hinreichendlangeHistorie)fürdieVerwendung vonstatistischenMethoden
• EinschätzungderFondsliquiditätunterGegenüberstellungderliquideMittelundzuerwartenden Verbindlichkeiten
Empfehlung BaFin
AUTOREN
EXXETA.COM
Seite9
Der vorliegende Beitrag ist eine Ergänzung zum Beitrag „DieEU-Datenschutz-Grundverordnung (DSGVO) schafft ein ho-hesMaßanDatenschutzinderEU“(EXXETAFinancialServicesNewsletter,Ausgabe2/2016)unddientalsOrientierungshilfefürdieUmsetzungderDSGVO1.
NachfolgendwerdenbedeutungsvolleAnforderungenaussechsvon insgesamtelfKurzpapieren zurDSGVO (sieheAbb.1) be-schrieben.
DieKurzpapierewurdenimJuli2017vonderDatenschutzkonfe-renz(DSK)veröffentlichtundbeschreibeneineeinheitlicheSicht-
weise der deutschen Aufsichtsbehörden zu den Kernthemen der DSGVO.Der Bundesbeauftragte für denDatenschutz und dieInformationsfreiheit(BfDI)weistexplizitdaraufhin,dassdieAuf-fassungen in den elf Kurzpapieren „[…] unter dem Vorbehalt einer zukünftigen–möglicherweiseabweichenden–AuslegungdurchdenEuropäischenDatenschutzausschuss“stehen2.
NebendenbedeutungsvollenAnforderungenwerdenindiesemBeitragauchInformationenzuLösungenaufgezeigt,diezurErfül-lungderDSGVObeitragenkönnen.
ANFORDERUNGEN ZU AUSGEWÄHLTEN KURZPAPIE-REN VON DER DSK
Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO (Kurzpapier Nr. 1)3: Das neue Verfahrensverzeichnis (im BDSG„Übersicht“genannt) isteinschriftlichesoderelektronischesVer-zeichnisallerVerarbeitungstätigkeitenmitpersonenbezogenenDa-tenundisteinNachweisdergeforderten„Rechenschaftspflicht“4.
ImVergleichzumaltenVerfahrensverzeichnis istdasneueVer-zeichnis nicht mehr für jedermann zugänglich, muss aber aufAnfrage der Aufsichtsbehörde zur Verfügung gestellt werden.5
Unternehmen mit weniger als 250 Mitarbeitern müssen keinVerzeichnisführen,esseidenn,eswerdenVerarbeitungenper-sonenbezogenerDatendurchgeführt,dieRisikenfürdieRechteundFreiheitdesBetroffenenbergen.BeispieledafürsindBoni-tätsscoringverfahrenundBetrugspräventionsverfahren.
Die erforderlichen Angaben für das Verfahrensverzeichnis dif-ferenzierensichnachdenVerantwortlichen,z.B.Unternehmen(nachArt.30Abs.1DSGVO6)undAuftragsverarbeiter7(nachArt.30Abs.2DSGVO).BeidebildeneineguteGrundlage füreinestrukturierteDatenschutzdokumentationundkönnensomit zurEinhaltungderDSGVObeitragen.
DadieDSGVOeinbreitesSpektrumanDokumentationspflich-tenumfasst,kanndiebloßeErstellungeinesVerfahrensverzeich-nisses nicht alleine zur Erfüllung der Dokumentationspflichtenbeitragen.GemäßderDSKkanneineDSGVO-konformeDoku-mentationwiefolgtnachgewiesenwerden:• durchdasVorhandenseineinerEinwilligungserklärungder betroffenenPerson,• Beachtung der Grundsätze für die Verarbeitung perso- nenbezogener Daten und • der Dokumentation des Ergebnisses einer Datenschutz- folgenabschätzung.
Datenübermittlung in Drittländer (Kurzpapier Nr. 4)8: Bei der ÜbermittlungpersonenbezogenerDatenineinDrittland9 gibt es dreibesondereMöglichkeiten.
1 DiemeistendeutschenUnternehmenhabenUmsetzungsschwierigkeitenbeiderErfüllungderAnforderungen ausderEU-DSGVO,vgl.dazuSchmoll-Trautmann,A.(2017)2 BfDI(2017)3 KurzpapierNr.1VerzeichnisvonVerarbeitungstätigkeiten,S.1ff.4 KriterienzurErfüllungderRechenschaftspflichtsind:Transparenz,Zweckbindung,Datensparsamkeit, Datenrichtigkeit,zeitlichbegrenzteSpeicherungundIntegritätsowieVertraulichkeit5 Siehe§4dund§4eBDSG
6 AngabenfürdasVerfahrensverzeichnissindz.B.AngabenzurVerarbeitung,ZweckderVerarbeitung, BeschreibungderKategorienderpersonenbezogenenDaten,derbetroffenenPersonundEmpfänger.7 AuftragsverarbeitersindnatürlicheoderjuristischePersonen,Behörden,EinrichtungenoderandereStellen, diepersonenbezogeneDatenimAuftragdesVerantwortlichenverarbeiten.8 KurzpapierNr.4DatenübermittlunginDrittländer,S.1ff.9 Drittland:GemäßderDSGVOsindsog.DrittländerLänderaußerhalbderEU/desEWR
EU-DSGVO: SECHS AUSGEWÄHLTE KERNTHEMEN
UND PRAKTISCHE INFORMATIONEN ZU
DSGVO-GERECHTEN LÖSUNGEN
Abb.1:ÜbersichtzudenelfKurzpapierenvonderDSK(Quelle:EigeneDarstellunginAnlehnungandieDSK)
EXXETA.COM
Übersicht der Kurzpapiere zum neuen Datenschutzrecht
Kurzpapier Nr. 1: VerzeichnisvonVerarbeitungstätigkeiten
Kurzpapier Nr. 5: DatenschutzFolgeabschätzung
Kurzpapier Nr. 9: ZertifizierungnachArt.42DSGVO
Kurzpapier Nr. 11: RechtaufLöschung/„RechtaufVergessenwerden“
Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung
Kurzpapier Nr. 7: Marktortprinzip:RegelungenfüraußereuropäischeUnternehmen
Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen
Kurzpapier Nr. 6: AuskunftsrechtderbetroffenenPersonen,Artikel15DSGVO
Kurzpapier Nr. 4: Datenübermittlung in Drittländer
Kurzpapier Nr. 8: Maßnahmenplan„DSGVO“fürUnternehmen
Kurzpapier Nr. 10: InformationspflichtenbeiDritt-undDirekterhebung
Seite 10
Die ersteMöglichkeit ist die Feststellung der AngemessenheitdesDatenschutzniveaus imDrittlanddurchdieEU-Kommission(Art.45DSGVO).Umzuerfahren,obeinangemessenesSchutz-niveau besteht,wird in demDrittland geprüft, ob einschlägigeRechtsvorschriftenundwirksameFunktionsweisenunabhängigerAufsichtsbehördenimSinnederDSGVOexistieren.Einadäqua-tesDatenschutzniveauhatdieKommissionfürdas„EU-US-Pri-vacyShield“10 festgestellt.
EinezweiteMöglichkeit fürdieDatenübermittlung ineinDritt-landistbeimVorliegengeeigneterGarantienzulässig(Art.46DS-GVO).ZudiesenangemessenenGarantiengehörenzumBeispiel• dieverbindlicheninternenDatenschutzvorschriften(Binding CorporateRules),• StandarddatenschutzklauselnderKommissionodereinerAuf- sichtsbehörde,• genehmigte Verhaltensregeln und genehmigte Zertifizie- rungsmechanismen sowie • einzelnausgehandelteVertragsklauseln(Art.46Abs.3DSGVO).
Wenn bei einer Datenübermittlung kein Angemessenheitsbe-schluss der EU-Kommission und keine geeigneten Garantienvorliegen,kanndieÜbermittlungüberAusnahmenfürbestimmteFällefestgelegtwerden(Art.49DSGVO).Beispielehierfürsind:• die Einwilligung der betroffenen Person, aus Gründen des öffentlichenInteresses(z.B.KooperationvonWettbewerbs- undSteuerbehörden)und• umlebenswichtigeInteressendesBetroffenenzuschützen• und insbesondere in Fällen, wenn „die betroffene Person […] aus physischen oder rechtlichen Gründen außerstande (ist),ihreEinwilligung[…]“11 abzugeben.
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Kurzpa-pier Nr. 5)12:EineDatenschutz-Folgenabschätzung (DSFA)wirddurchgeführt,wenneinhohesRisikofürdieRechteundFreiheitdesBetroffenenbesteht.ImSinnedesArt35Abs.1DSGVOistdiesbeispielsweisederFall,wenneineautomatisierteVerarbei-tungeinschließlichProfilinggemäßArt.22Abs.1und4DSGVOerfolgt.BeiderDurchführungeinerDSFA istdaraufzuachten,dass sich diese auf konkrete und einzelneVerarbeitungsgängebeziehtunddieMindestanforderungenaneineDSFAgemäßArt.35Abs.7berücksichtigtwerdenmüssen.ZudiesenMindestan-forderungengehörenz.B.diesystematischeBeschreibungundBewertungderRisikendesBetroffenen sowieMaßnahmenzurEindämmung dieser Risiken.13 Die detaillierten ProzessschrittezurDurchführungeinerDSFAkönnenimKurzpapierNr.5nach-gelesen werden.14 Grundsätzlichistanzumerken,dassdieDSFAdurch ein effektives Datenschutz-Managementsystem unter-stütztwerdenkann.
Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO (Kurzpapier Nr. 6)15: Art. 15 DSGVO besagt, dass betroffene
PersonendasRecht haben,Auskunftüber gespeicherte perso-nenbezogeneDatenundderenVerarbeitungzuverlangen.DerAntragkannformlos(schriftlich,elektronisch,mündlich)undohnevorherigeBegründunggestelltwerden.
VomVerantwortlichenwirdverlangt,dasserdenAntragunver-züglich,spätestensaberinnerhalbeinesMonatsbeantwortetundineinemgängigenelektronischenFormatzurVerfügungstellt(z.B. imPDF-Format).Dievorerst kostenloseDatenauskunftvomVerantwortlichenumfasstzumBeispiel:• die„[…]Verarbeitungszwecke,• die Kategorien personenbezogener Daten, die verarbeitet werden und • (die)geplanteSpeicherdauer,fallsmöglich.“16
WerdenweitereAuskünftedurchdiebetroffenePersoneingefor-dert,z.B.„(b)eioffenkundigunbegründetenoder–insbesondereimFallvonhäufigerWiederholung– exzessivenAnträgen […]“,kannderVerantwortlichedieVerträgeablehnenodereinEntgelteinfordern.17
Gemäß der DSGVO steht jeder betroffenen Person ein Aus-kunftsanspruch zu. Falls aber ein berechtigter Zweifel an derIdentitätdesAntragstellersbesteht,mussdiebetroffenePersondurchzusätzlicheInformationenihreIdentitätnachweisen(z.B.durcheinePostadresseodereineKontoinformation).
WennessichbeiderAuskunftumeinegroßeMengeangespei-chertenInformationenhandelt,wirddiebetroffenenPersonauf-gefordert,dieInformationenzupräzisieren.
Zertifizierungen nach Art. 42 DSGVO (Kurzpapier Nr. 9)18: Mit denArtikeln § 42 und § 43 derDSGVO legt derGesetzgebereineneinheitlichenGrundsteinfüreineuropäischeseinheitlichesAkkreditierungs- und Zertifizierungsverfahren fest. DemnachkönnensowohlakkreditierteZertifizierungsstellen(z.B.dieDeut-scheAkkreditierungsstelleGmbH–DAKKS)alsauchdiezustän-digenAufsichtsbehördeneineDatenschutzzertifizierung fürdieHöchstdauervondreiJahrennachDSGVOerteilen.19
EinedatenschutzspezifischeZertifizierungistinsofernwichtig,daesbisherlediglichZertifizierungengab,dienureinzelneTeilberei-chedesDatenschutzesabgedeckthaben,z.B.ISO27001(NormfürInformationssicherheits-Managementsysteme).
Gemäß der DSK kann eine Zertifizierung zur Einhaltung der DSGVO beispielweise für die folgenden Anwendungsbereicheherangezogenwerden:• DatenübermittlunganeinDrittland,• einer Datenschutzfolgeabschätzung sowie • bei der Erfüllung der Anforderungen an Technikgestaltung und datenschutzrechtliche Voreinstellungen.20
10 SieheEXXETAFinancialServicesNewsletterAusgabe3/2016EU-USDatenschutzabkommen PrivacyShield(„SchutzschildfürdiePrivatsphäre“)–NachfolgervonSafeHarbor(„Sicherer Hafen“)11 Artikel49Abs.1fDSGVO12 KurzpapierNr.5Datenschutz-Folgeabschätzung,S.1ff.13 Bsp.fürVerarbeitungsgänge:SummevonDaten,Systeme(HW,SW)undProzessen14 KurzpapierNr.5Datenschutz-FolgenabschätzungS.2ff.(nachArt.35DSGVO)15 KurzpapierNr.6AuskunftsrechtderbetroffenenPerson,S.1ff.
16 Art.15Abs.1DSGVO17 WeitereBeispielesieheKurzpapier,Art.15Abs.1DSGVOundArt.12Abs.5DSGVO18 KurzpapierNr.9:Zertifizierungen,S.1ff.19 Art.42Abs.5und7DSGVO20 AuszugvonBeispielen.WeitereBeispielesieheKurzpapierNr.9:Zertifizierungen,S.1
EXXETA.COM
Seite 11
WenneinUnternehmendieZertifizierungerfolgreichdurchlau-fenmöchte,müssendieDatenverarbeitungsvorgänge (u. a. beiderAuftragsverarbeitung)transparentdokumentiertsein.
Recht auf Löschung / „Recht auf Vergessenwerden“ nach Art. 17 DSGVO (Kurzpapier Nr. 11): Bereits in § 35Abs. 2 BDSGwurdedasRechtaufLöschungdefiniert.GemäßdemArt.17Abs.1DSGVOerfolgteinestriktereAuslegung.Sosindpersonenbe-zogene Daten unverzüglich zu löschen, wenn die Zwecke, fürwelche dieDatenverbreitetwurden entfallen, die EinwilligungdurchdenBetroffenenwiderrufenundeinWiderspruchgegendie Verarbeitung eingelegt wird. Weiterhin sind personenbezo-geneDatenunverzüglichzu löschen,wenndieseunrechtmäßigverarbeitetwurden.
UmdasRecht auf Löschung zu erfüllen,müssen angemesseneTechnologieneingesetztunddieVerantwortlichenbzw.Auftrags-verarbeiter informiertwerden,wenndiebetroffenePersondasRecht auf Löschung in Anspruch nehmen möchte.
Gemäß Art. 19 DSGVO „Mitteilungspflicht im ZusammenhangmitderBerichtigungoderLöschungpersonenbezogenerDatenoderderEinschränkungderVerarbeitung“ isteinUnternehmenverpflichtet,dieDatenempfängerzubenachrichtigen,wenneineLöschung erfolgt ist. Allerdings wird dieser Anspruch ausge-schlossen,wennsichdieAuftragserteilungals„[…]unmöglicher-weistodereinenunverhältnismäßigenAufwand[…]“22 erfordert.Abschließendbleibtanzumerken,dassdieNachberichtspflichten,z.B.beiderinkorrektenÜbermittlungvonDateneinerPersonanDritte,zurLöschunggemäߧ35Abs.7BDSGbestehenbleiben.
DSGVO-GERECHTE LÖSUNGEN
UmdiegenanntenDSGVOAnforderungenzuerfüllen,werdenLösungenbenötigt,diebeiderErfüllungderDSGVOunterstüt-zenkönnen.NachfolgendwerdenentsprechendeLösungenvor-gestellt.
Enterprise Mobility Management System23:FürUnternehmen,dieihreCloud-DiensteübermobileEndgeräte(z.B.Office365)anbieten, kann durch eine EMM Lösung eine klare TrennungvongeschäftlichenundprivatenDatenaufdenEndgerätenvor-genommenwerden.Dies hilft zum einen bei der Erfüllung derDSGVORechenschaftspflicht(siehe1.VerzeichnisvonVerarbei-tungstätigkeiten)undzumanderenbeiderErfüllungdesArt.32„Sicherheit der Verarbeitung“ personenbezogener Daten (z. B.PseudonymisierungundVerschlüsselung).Weiterhinistesmög-lich,dassdurchdieEMMLösungerkennbarist,welcheEndgeräteundApps auf bestimmteDienste zugreifen.Demnach kann imFall einer Datenschutzverletzung durch ein Audit-Protokoll einNachweiserbrachtwerden,beiwelchenVerarbeitungsvorgängen
eine Verletzung des Schutzes personenbezogener Daten erfolgt istundwelcheAbhilfemaßnahmendurchdasUnternehmenggf.schon erbracht worden sind.
DSGVO-gerechte Cloud-Lösung24: Da aktuell drei Viertel derCloud-Anwendungen noch nicht die DSGVO Anforderungen inpuncto Datenspeicherung, Verschlüsselung und der Datenverar-beitungsverträgeerfüllenkönnen25,werdenLösungenbenötigt,diebeiderEinhaltungderDSGVOhelfen.Demnachisteswichtig,dasseineÜbersichtübersämtliche IT-Assets imUnternehmenermög-lichtwird, die personenbezogeneDaten enthalten undAuskunftüberderenDatenerfassungund-verwendunggebenkönnen.
Weiterhinisteswichtig,dassdieLösungeineIdentifizierung,Be-wertungundEinschätzungvonRisikenermöglicht.BasierendaufdiesenInformationenkanndanneineaggregierteDatenlandkar-teerstelltwerden.FürUnternehmenistdannklarersichtlich,woihreDatengespeichertsindundfürwelcheZweckesieverwen-detwerden(TransparenzüberdieDatenverwendung).Daraufhinkanngeprüftwerden,welchesicherheitstechnischenKontrollenzum Schutz personenbezogenen Daten oder sensibler Daten er-forderlich sind.
Automatisierte Bedrohungsmanagement-Lösung26: Eine auto-matisierte Bedrohungsmanagement-Lösung basiert aufmaschi-nellenLernenundKünstlicher Intelligenzundsolldabeihelfen,IT-Sicherheitsverletzungenfrühzeitigzuerkennenundabzuweh-ren,bevorCyberkriminellediesefürsichausnutzenkönnen.
DerVorteileinersolchenintelligentenLösungist,dassbestimm-teFunktionenautomatisiertbereitgestelltwerdenkönnen,z.B.Monitoring im Netzwerk, Echtzeit-Bedrohungserkennung, Ka-tegorisierung vonAngriffen sowie Berichterstattung zu Sicher-heitsvorfällen (Incident Reporting). Weitere Funktionen einerDSGVO-gerechten Cyber Security Lösung können detailliert27
nachgelesen werden.
FAZIT UND AUSBLICK
Die genannten bedeutungsvollenAspekte aus den ausgewähl-tenKurzpapierenderDSKgebeneinenÜberblicküberdiesig-nifikantenDSGVOAnforderungen.KurzvorAblaufderCompli-ance-FristempfehlenwirUnternehmen,sichintensivmitdiesenAnforderungen auseinanderzusetzen, da bei NichteinhaltungBußgeldervonbiszu20MillionenEURoderbiszu4Prozentdesweltweiten Jahresumsatzes sowie andere Sanktionen drohen.28
DieDSGVOverweistanvielenStellenauf„geeignetetechnischeund organisatorische Maßnahmen“. In diesem Beitrag wurdendaherkonkreteEMM-,Cloud-undautomatisierteBedrohungs-managementlösungenvorgestellt,dieeineanforderungsgerechteUmsetzungderDSGVOermöglichen.
21 KurzpapierNr.11RechtaufLöschung/RechtaufVergessenwerden,S.1ff.22 Art.14Abs.5bDSGVO23 Komotoglou,S.(2017)24 Schmitz,P.(2017)25 Witmer-Goßner,E.(2017)26 Bauer,G.(2017)27 Bauer,G.(2017)28 Faust,S./Spittka,J./Wybitul,T.(2016)
EXXETA.COM
Seite 12
MitBlickaufdieZukunfträtderIDC(2016),dassUnternehmenbestehende IT-Sicherheitslösungsansätze prüfen, umfassendeIT-SicherheitsprogrammeimplementierenundOptimierungsmaß-nahmenimBereichfolgenderTechnologienvornehmensollen29:• Netzwerk-Sicherheit(z.B.„SecureRemoteAccess“)• Identity & Access Management (z. B. „Privileged Account Management“)• Verschlüsselung(z.B.Datentransfer)
UNSER BERATUNGSSPEZIFISCHES ANGEBOT
DieEXXETAExpertenausdenBereichenFinancialServicesundIT-Transformation Consulting können bei der Erarbeitung voninternen Studien,Durchführung einerGAP-Analyse, Complian-ce-Heatmap, bei einem Maßnahmenkatalog zur Erfüllung derregulatorischen Anforderungen sowie bis zur ImplementierungeinesDatenschutzmanagementsunterstützen:• Regulatory• DataManagement&Integration• SearchandDataVisualization
WeiterhinkannunserPartnerLEXETAbeirechtlichenAspektenundunserEXXETADigitalisierungsteambeieinermöglichenagi-lenUmsetzungvonDSGVOLösungenberaten:• LEXETA• DigitalDisruption&Transformation
LINKS ZUM DOKUMENT
• BfDI(2017)• Bauer,G.(2017)• Faust,S./Spittka,J./Wybitul,T.(2016)• IDC(2016)• Komotoglou,S.(2017)• KurzpapierNr.6:AuskunftsrechtderbetroffenenPerson • KurzpapierNr.5:Datenschutz-Folgeabschätzung• KurzpapierNr.4:DatenübermittlunginDrittländer• KurzpapierNr.11:RechtaufLöschung/Rechtauf Vergessenwerden• KurzpapierNr.1:VerzeichnisvonVerarbeitungstätigkeiten• KurzpapierNr.9:Zertifizierungen• Schmitz,P.(2017)• Schmoll-Trautmann,A.(2017)• Witmer-Goßner,E.(2017)
LILIAN HUGSeniorConsultantRisk,Finance&Compliance
AUTOR
29 IDC(2016)
EXXETA.COM
Seite 13
In Anlehnung an den Beitrag „Künstliche Intelligenz („ArtificalIntelligence“) im Kontext von IT-sicherheits- und datenschutz-rechtlichen,regulatorischensowieethischenAspekten“(EXXETAFinancialServicesNewsletter,Ausgabe3/2017)liegtderFokusindiesemBeitragaufderKI-Anwendung„Chatbots“.ObwohlChat-botsindiesemJahrzudenTop-Technologietrendsgehören,gibtesdieautonomagierendenComputerprogrammebereitsseitun-gefähr50Jahren(z.B.das1966entwickelteComputerprogrammELIZA).1
HINTERGRUND UND EINSATZBEREICHE
LautGartnerwerdenChatbots2zukünftigeinensostarkenEin-fluss inunseremAlltaghaben,dasswirunsvermehrtmit ihnenaustauschen werden.3 Bereits heute helfen uns die virtuellenOnline-Assistenten bei der Beantwortung standardisierter undkonkreterFragen.EinaktuellesBeispielistdieIntegrationdesFa-cebook-Bots in denFacebook-Kommunikationskanal „FacebookMessenger“.NunkönnenFacebook-NutzerindenUSAüberden„FacebookMessengerBot“u.a.PizzaundKinokartenbestellen.
ZudenbekanntestenChatbotsgehörenApplesSiri (2011)undAmazonsAlexa(2015),dieaberimVergleichzuihrerMarktein-führungnunkomplexereundvielfältigereKommunikationsaufga-benwahrnehmenkönnen.
Chatbotskönnenbranchenübergreifendeingesetztwerdenundsogibtes imBankingbereitsdievielfältigstenEinsatzbereiche,die zunehmend mit einer Art künstlicher Intelligenz erweitertwerden.SokönnenBankkundenbereitsheuteperLive-ChatmitdemChatbotRechnungenundÜberweisungendurchführenso-wieihrenaktuellenZinssatzüberprüfenlassen.4
COMPLIANCE-ASPEKTE MÜSSEN BEIM EINSATZ VON CHATBOTS BEACHTET WERDEN5
Beim Einsatz von Chatbots müssen Compliance-Aspekte imWettbewerbs- und Urheberrecht, Telekommunikationsgesetz(TKG),Telemediengesetz (TMG)sowie imDatenschutz (EU-DS-GVO)berücksichtigtwerden.BeiLetzteremistanzumerken,dassdurchdieDSGVOca.70Öffnungsklauselnexistieren,dieesdenMitgliedstaatenermöglicht,eigeneRegelungenaufzustellen.6 Zu diesenSpezialregelungengehörenz.B.dasTKGunddasTMG,
die eigene datenschutzrechtliche Regelungen definiert habenundauchmitderDSGVOEinführungweiterhingültigsind.
KonkreteBeispiele imWettbewerbsrechtwerdenaneinemBei-spielausdemDirectMarketingerläutert.SokannesimFalldesFacebook Messengers sein, dass dieser als internes Nachrich-tensystembetrachtetwirdunddahermitderRechtspositionderE-Mailgleichzustellenist.DemnachkönntenNachrichtenzuneu-en Produktangeboten eine unzumutbare Belästigung darstellen(siehe § 7Abs. 2Gesetz gegen den unlauterenWettbewerb –UWG).
BeiderWerbunganBestandskundengibteseinigewenigeAus-nahmen und es müssen mehrere Voraussetzungen erfüllt sein. DaherwirdfüreinezulässigeWerbungeinevorherigeEinwilligungdesEmpfängersbenötigt.DieseEinwilligungkannz.B.durcheineOpt-in7Lösungeingeholtwerden.WennallerdingskeineEinwilli-gung durch den potenziellen Kunden erteilt und dieser weiterhin perE-Mail-Werbungkontaktiertwird,kanneinUnterlassungsan-spruch gegen den Werbenden geltend gemacht werden.8
Neben demWettbewerbsrechts ist beimEinsatzvonChatbotsdasUrheberrechteinweiteresgroßesjuristischesStreitthema.SoliegteineUrheberrechtsverletzungvor,wenneinNutzereinBildhochlädtundderChatbotdiesesdannohneeineentsprechendeEinverständniserklärunganweitereNutzerversendet.
Aufgrund der tiefgreifendenVeränderung in der Kommunikati-onsbranche durchMessenger-Dienste,wie z. B. der FacebookMessengeroderWhatsApp,hatderDeutscheBundesratam22.April2016eineGesetzesnovellierungimTelekommunikationsbe-reichvorgenommen.
Gemäß des Beschlusses zur „Anpassung des Rechtsrahmens andas Zeitalter der Digitalisierung im Telekommunikationsbereich– Rechtssicherheit bei Messengerdiensten, standortbezogenenDienstenundanderenneuenGeschäftsmodellen“sollensichdieAnbieterderOver-The-Top-Dienste9 den deutlich strengeren ge-setzlichenRegelungenderherkömmlichenTelekommunikationsan-bieter unterwerfen.10 BeispielehierfürsinddieAchtungdesFern-meldegeheimnisses(§88TKG),desDatenschutzes(§§91ff.TKG)sowiederVorschriftenzurVorratsdatenspeicherung(§113bTKG).
HAFTUNGSFRAGEN BEIM EINSATZ VON CHATBOTS11
EinweitererAspekt,derbeimEinsatzvonChatbotszubetrachtenist,sinddiesichdarausergebendeHaftungsfragen.Waspassiert,wenn ein Chatbot Fehlinformationen verbreitet? Haftet dannderAnbietervonChatbotsoderderNutzer?Hierkannineinemersten Schritt zwischen „normalen Bots“ und „lernenden Bots“differenziertwerden.
CHATBOTS: EINSATZBEREICHE, COMPLIANCE-
UND HAFTUNGSFRAGEN SOWIE ASPEKTE
DES DATENSCHUTZES UND DER DATENSICHERHEIT
1 Kühl,E.(2016)2 GrundsätzlichwirdzwischenvierArtenvonBotsdifferenziert:Entertainment-Bots,News-Bots,Utility-Botsund Kundenservice-Bots.DieBotsunterscheidensichz.B.imHinblickaufihreInteraktionskomplexität. Quelle:iadvizeBlog(2016)3 Tönnesmann,J.(2017)4 Leichsenring,H.(2017)5 Conrad,C.(2016)6 Netzpolitik(2017)7 Opt-in:EinausdrücklichesZustimmungsverfahrenbeidemderEndverbraucher,Werbekontaktaufnahmenim Vorausdurchz.B.durcheineE-Mailexplizitbestätigenmuss.
8 §§823,1004IIBGBi.V.m.§8UWG9 OTT:DieOTTDiensteermöglichdiekostenloseÜbermittlungvondiversenInhalten(z.B.Text,Video,Audio).10BeschlussdesBundesrates(2016)11Detektor(2016)
EXXETA.COM
Seite 14
Wennein normalerBot Fehlinformationenverbreitet und z. B.Verträgeabgeschlossenwerden,diezuSchädenfürdenBetrof-fenenführen,mussgeprüftwerden,obdasjeweiligeUnterneh-menhaftbargemachtwerdenkann.Grundsätzlichistesso,dassdas Unternehmen für die Einrichtung und Programmierung eines Chatbots z. B. Entscheidungsbäume und Regeln zurMusterer-kennungdefiniert.DadurchgibtdasUnternehmeneineWillens-erklärungabundkannfüreinenSchadenhaftbargemachtwer-den.Esbleibtaberzubetonen,dassdiejuristischenFeinheitennochnichtfinalgeklärtwordensind.
BeieinemlernendenBot(d.h.BotserweitertumkünstlicheIn-telligenz–lernfähigeBots)istesinderRegelso,dassdasUnter-nehmeneinenBasisalgorithmusdefiniertundderChatbotdurchnutzergenerierteAntwortenkontinuierlichdazulernt.Diesistin-sofernproblematisch,daesdazuführenkann,dassdurchBotsBeleidigungen generiertwerden,wie imBeispiel desMicrosoftTayBot.DieserBothatBeleidigungenaufTwittergeneriert,dieimRahmenderChatkonversationmitdenNutzernentstandensind.
DATENSCHUTZ UND DATENSICHERHEIT12
NebendenCompliance-undHaftungsaspektendarfderDaten-schutzunddieDatensicherheitbeidemEinsatzeinesChatbotsnicht außer Acht gelassen werden. Bei der Chatbot-Technolo-gie stehtderAustauschvon Informationen imZentrumundeswerdenunzähligepersonenbezogeneDaten,z.B.Standortdatenoder sensible Daten wie Gesundheitsdaten gesammelt. DaherkommenzweifelsohnedatenschutzrechtlicheFragenaufundesist ein korrekterUmgangmitpersonenbezogenenDatenerfor-derlich(sieheAbb.1).
GemäßderAbb.1gibtessiebenEU-DSGVOVorgaben,die imUmgang mit personenbezogenen Daten beachtet werden müs-sen.NachfolgendwerdenvereinzelteBeispielezudenEU-DSG-VOVorgabendargestellt.
Vorweg ist zu erwähnen, dass bei der Interaktion zwischenMensch und Chatbot zunächst eine datenschutzrechtlicheEinwilligungserklärung benötigt wird. Die Einwilligung kannvorbzw.beiBeginnderDialogabläufeeingeblendetwerden,musswiderrufbar sein und über die Betroffenenrechte13 des Endnutzers informieren. Beispielsweise wird die Rechtslage zusätzlicherschwert,wenneinDatentransfer ineinDrittlanderfolgen soll.
Diesliegtu.a.daran,dassbeiderSimulationzwischenmenschli-cherKommunikationinnerhalbkürzesterZeitUnmengenanper-sonenbezogenen Daten verwendet, analysiert und verarbeitetwerden. Inwieweit alle Informationen für eine rechtskonformeEinwilligungserklärung über ein Chatfenster abbildbar sind, istnochnichtfinal geklärt.Unternehmen sinddaher aufgefordert,ihreIT-SystemeanzupassenunddieFülleanInformationenklarundverständlichineinemChatfensterabzubilden.
ImFolgendenfindenSieausgewählteBeispielezudenEU-DSG-VOVorgaben(sieheAbb.1).
Speicherfristen und Zweckbindung: Bei dem Beispiel einer Piz-zabestellungüberden„FacebookMessengerBot“werdenperso-nenbezogeneDaten(z.B.derProfilnameunddieLieferadresse)andenFacebook-Serverübermitteltundgespeichert.Grundsätz-lichdürfendieseDatenundProtokolledesChatverlaufsnurwe-nigeTagegespeichertwerden(siehe§100TKG).
Gesetzeskonforme,angemesseneund transparente Verarbeitung
Speicherfristen
Zweckbindung
Datenrichtigkeit
Verantwortlichkeit/Dokumentation
IT-Sicherheit
Datensparsamkeit
FürdieVerarbeitungVerantwortlichemüssentriftigeGründezurVerarbeitungderpersonenbezogenenDaten haben.
DieDatensolltennursolangegespeichertwerden,wieesfürdenbetreffendenZweckerforderlichist.
EsmusseinenklarenundexplizitenGrundfürdieVerarbeitungderpersonenbezogenenDatengeben.
DieDatensolltenkorrektsein,Fehlersolltensichleichtbeseitigenlassen.
DerfürdieVerarbeitungVerantwortlichesolltedieKonformitätmitdenobenerwähntenGrundsätzennachweisenkönnen.
DieDatensolltensoverarbeitetwerden,dasseineentsprechendeSicherheitderpersonenbezogenenDatengewährleistetist,siebeispielsweisegegenVerarbeitungdurchUnbefugteundgegenversehentlichenVerlustdurch
angemessenetechnischeundorganisatorischeMaßnahmengeschütztsind.
DieverarbeitetenDatensolltenaufdasfürdenbetreffendenZweckbenötigteMinimumbegrenztwerden.ZugangdarfnurdenPersonengewährtwerden,dieihnfürdenbetreffendenZweckbenötigen.
EU-DSGVO Vorgaben im Umgang mit personenbezogenen Daten
12 Conrad,C.(2016)13 Betroffenenrechte:RechtedervoneinerDatenanwendungbetroffenenPerson(=Betroffener)gegenüberdem Verantwortliche(z.B.Unternehmen).Dazugehören:Informationspflicht,Auskunftsrecht,Rechtauf Berichtigung,RechtaufLöschung,RechtaufEinschränkungderVerarbeitung,Widerspruchsrecht,Rechtauf Daten-übertragbarkeit.
Abb.1:EU-DSGVOVorgabenimUmgangmitpersonenbezogenenDaten
EXXETA.COM
Seite 15
WirddiePizzanunbestelltundes folgteinVertragsabschluss,richtet sich die Dauer der Speicherung nach dem „Grundsatzder zweckgebundenenDatenverwendung“.DerGrundsatz derzweckgebundenenDatenverwendungbesagt,dasspersonenbe-zogeneDatennursolangeverarbeitetundgespeichertwerdendürfen,wiefürdieZwecke,fürdiesiemitgeteiltwurden.Bezo-genaufdiePizzabestellungbedeutetdieskonkret,dassKunden-datenzunächstnurgespeichertwerdendürfen,wenneinVer-tragsabschlusserfolgtist.GemäßdemZweckbindungsgrundsatzdürfenDatendannnurbiszurBezahlungbzw.fürdiejeweiligeAbrechnungsperiode gespeichertwerden. Da es verschiedeneArtenvonpersonenbezogenenDatengibt,könnendieSpeicher-fristenunterschiedlichausgelegtwerden.Einelängere(endlose)SpeicherungvonpersonenbezogenenDatenistnurinAusnah-mefällen möglich. Zu diesen Ausnahmefällen gehören z. B. „die VerarbeitungzuimöffentlichenInteresseliegendenArchivzwe-cken, zuwissenschaftlichen oder historischen Forschungszwe-ckenoderzustatistischenZwecken“.14ImFalldesPizzabeispielsüber den „Facebook Messenger Bot“ muss geprüft werden,welchepersonenbezogenenDatenfürwelchenZweckaufdenFacebook-Servern gespeichert bleiben dürfen, ohne dabeimitdenstrengerenSpeicherfristenunddem„RechtaufLöschung“zukollidieren.
Datensparsamkeit: Im Sinne der Datensparsamkeit wird denNutzernbeimEinsatzvonChatbotsempfohlen,sowenigInfor-mationenwiemöglichbeiderKommunikationmiteinemChatbotpreiszugeben.Dieswirddamitbegründet,dassdieAnbietervonChatbots, basierend auf der gespeicherten IP-Adresse und derEingabe weiterer personenbezogener Daten, Rückschlüsse aufeinzelnePersonenziehenkönnen.15
Datenrichtigkeit: Bei demGrundsatz derDatenrichtigkeit sindUnternehmen(z.B.AnbietervonChatbots)dafürverantwortlich,dassdieEingabedaten,z.B.desAlgorithmus,vollständigundak-tuell sind.
IT-Sicherheit:InpunctoIT-SicherheitzeigteineStudiezuKünst-licher Intelligenz, dass sichdeutscheVerbrauchervermehrt umdie Datensicherheit sorgen.16 NachAnsichtderBefragtenstellenpersonenbezogeneundsensibleDatenbeimEinsatzvonChat-botseingroßesSicherheitsrisikodar.Dies lässtsichu.a.damitbegründen, dass Chatbots vermehrt aktuellen Bedrohungssze-narien ausgesetzt sind, z. B. Compliance-Problemen, Distribu-ted-Denial-of-Services (DDoS)Attacken, Phishing,Attacken aufkritische Infrastrukturen, Internetof things (IoT)Bedrohungen17
etc.).SokönnenNutzer,fürdieoftnichterkennbarist,obsiemiteinemBotkommunizieren,aufAnrateneinesinfiziertenBots,z.B.durchdasAnklickeneinesvorgeschlagenenLinks,Schadpro-grammeauf ihrenRechner installieren.DieshatzurFolge,dasspersönlicheDaten(z.B.Kreditkartendaten)indiefalschenHän-degeraten.Deutlichherausfordernderwirdes,wenndieChat-
bot-TechnologieimRahmenvonDDoS-Angriffen18 genutzt wird. Durch solche Angriffe werden Server über das Internet über-lastet, bis diese ihrenDienst einstellenmüssen.DiesebeliebteAngriffsmethodekannverwendetwerden,umdenWettbewerbnegativzubeeinflussen.
Verantwortlichkeit/Dokumentation: Bei der letzten EU-DSG-VOVorgabemussderVerantwortlichebzw.Auftragsverarbeiterdie vorangegangenen Grundsätze in puncto Dokumentations-pflichtenundderRisikobewertungnachweisenkönnen(Rechen-schaftspflichtundTransparenz).
FAZIT UND AUSBLICK
DieBotswerdendieKommunikationinderZukunftprägenunddaher müssen Unternehmen rechtliche Rahmenbedingungen (Compliance-undHaftungsfragen)prüfenunddabeidenDaten-schutz unddieDatensicherheit nicht aus denAugenverlieren.DieanhaltendenDiskussionenumHaftungs-undSchadensersat-zansprüchebeiChatbotssindnochnichtfinalgeklärtundwerdenaufgrundderzunehmendenlernfähigenBotsinZukunftvermut-lichvermehrtauftauchen.
GeradeimKontextdesDatenschutzesundderDatensicherheitgibt es erhebliche Herausforderungen im Umgang mit perso-nenbezogenen Daten sowie der Erfüllung der entsprechenden EU-DSGVOVorgaben.
Mit Blick auf die Zukunft ist anzumerken, dass es Befürchtun-gengibt,dassdurchdenzunehmendenEinsatzvonChatbotsdieklassischenInternetseitenundAppsverdrängtwerdenkönnen.19 ZudemistderEinsatzvonKI-TechnologiegegenCyberkriminali-tätäußerstinteressantundsokanndiesebereitsheute,z.B.inBezug auf dieAnalysedesDatenverkehrs beiDDoSAngriffen,eingesetzt werden.20
UNSER BERATUNGSSPEZIFISCHES ANGEBOT
EXXETAempfiehltUnternehmenineinemerstenSchrittzuprü-fen, inwieweit Chatbots in ihre Unternehmensstrategie passenundwelcheneuenGeschäftspotenzialesichdadurchergeben.
DieEXXETAExpertenausdenBereichenFinancialServicesundIT-TransformationConsultingkönnenbeiderErarbeitungvonin-ternenVorstudien,DurchführungeinerGAP-Analyse,Complian-ce-HeatmapssowieeinemMaßnahmenkatalogzurErfüllungderregulatorischenAnforderungenunterstützen:• Regulatory• DataManagement&Integration• SearchandDataVisualization
14 Art.89DSGVO15 DatenschutzistPflicht(2016)16 VMware(2017)17 HenselM./Litzel,N.(2017)18 DieseAngriffekönnengegenüberkonkurrierendenUnternehmeneingesetztwerden,umdiesengezieltzu schaden.19 Scholz,H.(2016)20 Jung,H.M(2017)
EXXETA.COM
Seite 16
In Zusammenarbeit mit unserer Tochtergesellschaft anacisi-onGmbH imBereichData ScienceConsulting sowie unseremPartnerLEXETAkönnenwirSiezudembeiderEntwicklungundEvaluierung von Chatbot-Anwendungsfällen, Überprüfung vonChatbot-Lösungsangeboten von FinTech-Unternehmen sowierechtlichen Aspekten beraten. Weiterhin kann unser EXXETATeamimInnovationConsultingbeispielsweisebeideragilenUm-setzungvonChatbot-Lösungenunterstützen:• PredictiveAnalytics • LEXETA
LINKS ZUM DOKUMENT
• BeschlussdesBundesrates(2016):Entschließungdes Bundesrates zur Anpassung des Rechtsrahmens an das ZeitalterderDigitalisierungimTelekommunikationsbereich -RechtssicherheitbeiMessengerdiensten, standortbezogenen Diensten und anderen neuen Geschäftsmodellen• Conrad,C.(2016)• DatenschutzistPflicht(2016)• Detektor(2016)• Finch,L.(2017)• Härtel,M.(2016)• HenselM./Litzel,N.(2017)• IadvizeBlog(2016)• Jung,H.M(2017)• Kühl,E.(2016)• Leichsenring,H.(2017)• Netzpolitik(2017)• Scholz,H.(2016)• Tönnesmann,J.(2017)• VMware(2017)
AUTOR
LILIAN HUGSeniorConsultantRisk,Finance&Compliance
EXXETA.COM
Seite 17
Dasam23.Juni2017inKraftgetreteneGesetzzurUmsetzungder4.EU-Geldwäsche-RichtliniezieltaufdieVerhinderungvonGeldwäscheundTerrorismusfinanzierungab.DieEinhaltungver-stärkterTransparenzvorschriftensowieerhöhterSorgfaltspflich-tenstelltdieVerpflichtetenvorenormeHerausforderungenundprophezeit hohe Aufwendungen innerhalb der Kreditinstitute.FürdieVerpflichtetengiltes,dieneuenAnforderungenindiebe-stehendenProzesseundSystemezuintegrieren–nichtnurzurErfüllungdergesetzlichenVorgaben,sonderngleichermaßenzumSchutzderKundensowiedereigenenReputation.
WESENTLICHE VERPFLICHTUNGEN DER FINANZINSTI-TUTE
EinederzentralenNeuerungen,verglichenmitder3.EU-Geld-wäsche-Richtlinie, ist die Intensivierungdes risikobasiertenAn-satzes.DieVerpflichteten, zu denen nebenKredit- und Finan-zinstituten auch Dienstleister des Nicht-Finanzsektors zählen,wie beispielsweise Rechtsanwälte, Notare und Anbieter vonGlücksspieleinrichtungen, sindnunangehalten, jedeGeschäfts-beziehung sowieTransaktion individuell auf dasGeldwäscheri-sikozuprüfen.Faktoren,dienachder3.Geldwäsche-RichtliniezueinerEinschätzungeinesgeringenGeldwäscherisikosführten,wie die Begründung einer Geschäftsbeziehung zu einem insti-tutionellenKunden, einembörsennotiertenUnternehmenodereiner inländischen Behörde, sind seit dem Inkrafttreten der 4.Geldwäsche-Richtlinie als einzelneFaktoren zuberücksichtigenundkönnennurimZusammenspielallerdurchdasInstitutfestge-legterRisikofaktorenzueinemgesamthaftenRisikostatusführen.Die relevantenRisikofaktoren zurBeurteilung des individuellenGeldwäscherisikossind institutsspezifischzudefinierenundaufdieArt desGeschäftsmodells auszurichten.Automatismenhin-sichtlich der Risikobewertung sind nach den Neuerungen desGeldwäschegesetzeszuverhindern.
DasKonzeptzurVerhinderungvonautomatischenRisikoeinstu-fungenderKundenwirdbeibestimmtenHochrisikofällendurch-brochen. Handelt es sich um eine politisch exponierte Person(PeP),KundenausbestimmtenHochrisikoländernoderumeineKorrespondenzbankbeziehung,wirdautomatischeineRisikoein-schätzungals„Hochrisikokunde“vergeben.
JenachRisikoklassifizierungdesKunden,istdasKreditinstitutzurEinhaltungvonvereinfachtenoderbeiHochrisikokundenzuer-
höhtenSorgfaltspflichtenangehalten.Diesesollendazuführen,denKunden, seineGeschäftstätigkeit, dieMittelherkunft sowiealleimVerlaufderGeschäftsbeziehunggetätigtenTransaktionenmöglichstgutzukennen.NursokönnenverdächtigeVerhaltens-weisen auffallen und hinsichtlich des Geldwäscherisikos über-prüftwerden.
DanebenistdieIdentifizierungdesKunden„durchangemessenePrüfungdesvorOrtvorgelegtenDokumentsodermittelseinessonstigenVerfahrens, das zur geldwäscherechtlichen Überprü-fung der Identität geeignet ist“ vorzunehmen. Ebenso ist dieIdentifizierungdeswirtschaftlichenBerechtigtenBestandteilderallgemeinenSorgfaltspflichtenundzieltdaraufab,dieEigentums-und Kontrollstrukturen der Geschäftsbeziehung zu verstehen,insbesonderebeijuristischenPersonenwieGesellschaften,Stif-tungen oder Trusts.
Für jede Kundenbeziehung ist ein wirtschaftlich Berechtigterbzw.einfiktiverwirtschaftlichBerechtigterzuidentifizierenundzulegitimieren.DasGesetzverlangtdabeidieIdentifizierungei-ner natürlichen Person.
IndiesemZusammenhangwirdvonderGesetzgebungdieEin-richtungeineszentralenRegisterszurDokumentationdeswirt-schaftlichen Eigentümers sowie derwirtschaftlichen InteressendereingetragenenGesellschaftenverlangt.
BeiNichteinhaltungoderVerstößengegendieVorgabender4.EU-Geldwäsche-RichtliniesindbeijuristischenPersonenGeldbu-ßenvonmindestens5MillionenEURoder10Prozentdesjährli-chenGesamtumsatzesmöglich,wobeieineöffentlicheBekannt-machungdesVerstoßes,bisaufAusnahmen,vorgesehenistunderheblicheReputationsschädenbewirkenkann.
REALISIERUNG DES RISIKOBASIERTEN ANSATZES
ZurIdentifizierungrisikobehafteterGeschäftsvorfälleisteinedif-ferenzierteBetrachtungderGeschäftsbeziehunghinsichtlichderArt des Kunden sowie der damit in Verbindung stehenden zu er-wartendenTransaktionsstrukturenerforderlich.
Jenachdem,obes sichumPrivate-oderRetail-Banking,einenPrivat-oderFirmenkunden,BrokeroderinstitutionellenKundenhandelt, sind unterschiedlicheTransaktionsmuster zu erwarten.WährendbeiFirmenkundenTransaktionen inhöherenSummenzuerwartenwären,würdensiebeiPrivatkundeneinenVerdachtaufGeldwäscheauslösenundmüsstendurchComplianceüber-prüftwerden.
DasKnow-Your-Customer(KYC)PrinzipsiehtdieIdentifizierungdesVertragspartners, deswirtschaftlichBerechtigten sowiedie
DIE HERAUSFORDERUNGEN DER
FINANZINSTITUTE IM RAHMEN DER 4.
EU-GELDWÄSCHE-RICHTLINIE
EXXETA.COM
Seite 18
Abklärung derMittelherkunft vor. DesWeiteren sind FaktorenwieLänderrisiko,Branche,politischexponiertePersonoderderBerufdesKundenindieAnalyseeinzubeziehen.Branchenmitei-nemhohenGeldumlaufwiedasBaugewerbe,GastronomieoderGlücksspieleinrichtungensindmiteinemhöherenGeldwäscheri-sikozubewerten.
NebenderOffenlegungderwirtschaftlichenVerhältnisseisteinePrüfunggegendieEinträgeinSanktionslistenvondenFinanzin-stitutenvorzunehmen.EineVielzahlvon InstitutenprüftnebendenNamen auchAlias-Namen, unterschiedliche SchreibweisensowieNationalitätundGeburtsdatum.ZurVerhinderungvonun-verhältnismäßigenAufwändenbeiderÜberprüfungderAuffällig-keitenstehtdasInstitutvorderHerausforderung,dieRegelnindenErkennungssystemensozuhinterlegen,dassnurdierelevan-tenRisikofälleangezeigtwerden.
DanebenistbeijederTransaktionnachdemKnow-Your-Transac-tion(KYT)PrinzipeinelaufendeÜberwachungderTransaktionenvorzunehmen.GegenstandderTransaktionsüberwachungistdiePrüfung, obderAufraggeberoderEmpfänger aufeinerSankti-onslistesteht,dieLimitvereinbarungeingehaltenwird,dieÜber-prüfungdesVerwendungszwecks,dieÜberprüfungderHistoriedesKundensowiedieLänderlisten-PrüfungsanktionierterLän-der.
WESENTLICHE HERAUSFORDERUNGEN DER FINANZ- INSTITUTE
DiezentralenHerausforderungenderFinanzinstituteimRahmender Bekämpfung von Geldwäsche undTerrorismusfinanzierungbeinhalten die Risikoklassifizierung der Kunden, eine stetigeÜberwachungderTransaktionenundeine revisionssichereDo-kumentationallerAuffälligkeiten.AusZeit- undKostengründensowieaufgrundsteigenderDatenmengenistseitensderIT-Sys-temesicherzustellen,dassauchnurdiewirklichrelevantenAuf-fälligkeiteneinenTreffererzielenundzurweiterenÜberprüfungdesGeldwäscherisikosherangezogenwerden.DiesstelltenormhoheAnforderungenandieLeistungsfähigkeitundEffizienzderIT-SystemeinnerhalbderFinanzinstitute.
EssindProzessezuetablieren,dieeinegruppenweitstandardi-sierteundvereinheitlichteDurchführungderRisikoklassifizierunggarantieren.DanebenisteineregelmäßigeÜberprüfungderRisi-koeinstufungderKunden,abhängigvomRisikostatus,vorzuneh-men.ImFallevonÄnderungenderKundendaten,isteineerneuteÜberprüfungderRisikoeinschätzungvorzunehmenundzudoku-mentieren.Insbesonderedann,wenndieAnpassungenzueinerÄnderung des Risikostatus führen, ist eineDokumentation derwesentlichenEinflussfaktorenbedeutsam.
Auch die Steigerung derAnzahl risikobehafteter Personen unddieErweiterungderPeP-DefinitionaufdieInlands-PeP,bewirkeneineAufwandserhöhunginnerhalbderFinanzinstitute,daeinre-gelmäßigerAbgleichmitdenSanktionslistenunddenDaten imKundenbestand erfolgen muss.
WeiterhinwirdaufgrunddererhöhtenDatenanforderungen,wieBestimmungvonArtundUmfangderGeschäftsbeziehung,derBestimmungdeswirtschaftlichBerechtigtensowieAbklärungderMittelherkunft,einerhöhterDatenerfassungsaufwandaufdieFi-nanzinstitutezukommen.
Die Neuerungen der 4. EU-Geldwäsche-Richtlinie haben zurFolge,dassAnpassungenderFormulareundEingabemaskenauf-grunddererweitertenDatenanforderungen,Aktualisierungsauf-wände des Anweisungswesens und insbesondere weitreichende AnpassungenderIT-SystemeimCompliance-Umfeldvorgenom-menwerdenmüssen.MitzunehmenderKomplexitätsstrukturderFinanzinstitutewird eine zeitnaheUmsetzungderNeuerungenhinsichtlichder4.EU-Geldwäsche-Richtlinieunwahrscheinlicher.
AUTOR
KRISTINA DUVNJAKConsultantRisk,Finance&Compliance
EXXETA.COM
Seite19
Das gemeinsame Komitee der drei Europäischen Aufsichtsbehör-den(EuropeanBankingAuthority–EBA,EuropeanInsuranceandOccupationalPensionsAuthority–EIOPAundEuropeanSecu-ritiesandMarketsAuthority–ESMA;zusammenauchgenanntEuropeanSupervisoryAuthorities–ESAs)veröffentlichteam22.September2017die„LeitliniezurVermeidungvonGeldwäscheundTerrorismusfinanzierungimelektronischenZahlungsverkehr“.
DerelektronischeZahlungsverkehrkannzumBeispieldurchsei-neteilweisemangelndeTransparenzvonKundendatenfürGeld-wäscheundTerrorismusfinanzierungmissbrauchtwerden.UnterNutzung ausgestalteter Prozesse und Regeln sollen Zahlungs-dienstleistersicherstellen,dass InformationenüberdenEinzah-lendenunddenEmpfängerentlangderZahlungsketteverfügbarundvollständigsind.
Gegenwärtig besteht zwischenZahlungsdienstleistern und denjeweiligen Aufsichtsbehörden in Europa häufig kein Konsens,welcheMittel geeignet sind, umdiese Informationen zu erhal-ten.MitdengemeinsamenLeitliniensolleinkonsistenterAnsatzzurBekämpfungderGeldwäscheundzurBekämpfungderTer-rorismusfinanzierung (AML/CFT) erreicht und das gemeinsameVerständnisderVerpflichtungenvonZahlungsdienstleisternge-fördert werden.
Die gemeinsamen Leitlinien formulieren einheitliche Anforderun-genandieZahlungsdienstleister,umabweichenderegulatorischeStandardsindenverschiedenenEU-Ländern,diedieEffizienzderÜberwachungdesZahlungsverkehrsbeeinträchtigenkönnten,zureduzieren.EswirddieHarmonisierungderÜberwachungindeneinzelnen Ländern angestrebt.
Zudemwerden in den LeitlinienMaßnahmenwie zumBeispieldieFührungeinesProtokollsallerunvollständigenTransaktionengenannt,diedieZahlungsdienstleisterergreifensollen,umfeh-lendeoderunvollständigeInformationenüberdieEinzahlendensowie Zahlungsempfänger festzustellen. Für den Fall von nichtbeschaffbaren Informationenoderwiederholter unvollständigerInformationsbereitstellung von Kundendatenwerden den Zah-lungsdienstleisternexpliziteHandlungsanweisungenundVerfah-renvorgegeben.
Die gemeinsamen Leitlinienwurden gemäßArtikel 25 derVer-ordnung(EU)2015/847ausgearbeitet.SeitensderESAwirdver-langt,dassdenzuständigenBehördenundZahlungsdienstleistern
Leitlinien zu jenenMaßnahmen zurVerfügung gestelltwerden. Die gemeinsamen Leitlinien treten sechs Monate nach ihrer Ver-öffentlichunginKraft.
AUFBAU DER LEITLINIEN
ImerstenKapitelwerdenderAdressatenkreis,derRegelungsbe-reichundBegriffsbestimmungendargelegt.
Adressaten der gemeinsamen Leitlinien: Adressaten der gemein-samenLeitliniensindgemäßArtikel3Absatz5derVerordnung(EU)2015/847Zahlungsdienstleister(PSP),gemäßArtikel3Ab-satz6zwischengeschalteteZahlungsdienstleister(IPSPs)unddiezuständigenAufsichtsbehörden,diedieEinhaltungderVorgabendurchdiePSPsund IPSPs aus derVerordnung (EU)2015/847überwachen.
Regelungsbereich:DiegemeinsamenLeitlinienlegendieFakto-renfürPSPsundIPSPsfest,diebeachtetwerdensollten,wenneffektiveProzessezurErkennungundBewältigungvon fehlen-denInformationenimelektronischenZahlungsverkehrzwischenEinzahler und Zahlungsempfänger aufgesetzt werden.
Außerdemspezifizierensie,welcheMaßnahmenseitensderPSPsundIPSPszuergreifensind,wenndieerforderlichenInformatio-nenvonEinzahlendemundZahlungsempfängerfehlenoderun-vollständigsind,umdasGeldwäscherisikounddieTerrorismusfi-nanzierungabschätzenzukönnen.
Die zuständigen Aufsichtsbehörden sollen diese gemeinsamen Leitlinien zur Beurteilung der Angemessenheit der Prozesse und Maßnahmenheranziehen,welchediePSPsundIPSPsergreifen,umdieAnforderungenausdenArtikeln7,8,11und12derVer-ordnung(EU)2015/847zuerfüllen.
SchließlichsollendiePSPs,IPSPsunddiezuständigenAufsichts-behördendiegemeinsamenRichtlinienanwenden,umgemäßdenArtikeln9und13derVerordnung(EU)2015/847zuhandeln.
DerindengemeinsamenLeitliniengenannteMaßnahmenkatalogistnichtabschließend.PSPsundIPSPssolltenaucheigenständigandere geeignete Faktoren undMaßnahmen zurVerhinderungvonGeldwäscheundTerrorismusfinanzierunginBetrachtziehen.
Begriffsbestimmungen: Abschließend folgt ein Begriffsbestim-mungskatalog.HierbeiwirdindenmeistenFällenaufdieDefiniti-onenderVerordnung(EU)2015/847verwiesen.EineAufzählungvonabweichendenDefinitionschließtdenKatalogab.
Im zweiten Kapitel wird auf die Anforderungen im Speziellen eingegangen,dievondenZahlungsdienstleisternaberauchden
LEITLINIE ZUR VERMEIDUNG VON GELDWÄSCHE
UND TERRORISMUSFINANZIERUNG IM
ELEKTRONISCHEN ZAHLUNGSVERKEHR
EXXETA.COM
EXXETA.COM
Seite 20
zuständigen Aufsichtsbehörden einzuhalten sind. Dies sind ins-besonderedieAnforderungenausdenArtikeln7,8,11und12derVerordnung(EU)2015/847.SchwerpunkthierbeisinddiezutreffendenMaßnahmenseitensderPSPsundderIPSPszurAuf-deckungvonfehlendenInformationenentlangderZahlungskette.WeiterhinwerdenauchVerfahrenbeiAufdeckungsowieRegelnbeiwiederholtemVerstoßgegendiePflichtzurBereitstellungvonInformationenvorgegeben.DiePflichtenundVorgehensweisenderzuständigenAufsichtsbehörden,Artikel8und12derVerord-nung (EU)2015/847,werdenauch im zweitenKapitel der ge-meinsamenLeitlinienspezifiziert.ZudemwerdennochMaßnah-menzur IdentifikationvonverdächtigenTransaktionen,diedenVerdachtderGeldwäscheoderTerrorismusaktivitätennahelegen,erläutert.DieseMaßnahmenfindeninsbesondereErwähnungindenArtikeln9und13derVerordnung(EU)2015/847.
DasabschließendedritteKapitelregeltdasInkrafttretenderge-meinsamen Leitlinien zur Verordnung (EU) 2015/847. Die ge-meinsamenLeitlinientretensechsMonatenachVeröffentlichungam22.September2017inKraft.
IMPACT
Das angestrebte Ziel derVerordnung (EU) 2015/847, nämlichdie lückenloseNachvollziehbarkeitvonGeldtransfers,umGeld-wäscheundTerrorismusfinanzierungvorzubeugenundzu iden-tifizieren,wirddurchdieneuengemeinsamenLeitlinienkonkreti-siert.DieinderbisherigenVerordnung(EU)2015/847z.T.vageformuliertenAnforderungenandieZahlungsdienstleisterimelek-tronischenZahlungsverkehrwerdendeutlichspezifiziert.
DieImplementierungneuergeeigneterProzesse,dieAnpassungbestehenderProzesseandieneuenVorgabenunddieMaßnah-menzurEinführungvonneuenÜberwachungssystemenwerdengrundsätzlich zu deutlichen Mehraufwänden führen.
BisherexistiertimRegelungsbereichderEUeinkohärentesSys-tem,dassämtlicheInformationenbereithältbzw.fehlendeInfor-mationenentdeckt,indieserdetailliertenFormnochnicht.
Der nicht abschließende Maßnahmenkatalog zur Bekämpfungder Geldwäsche und Terrorismusfinanzierung gibt den Finanz-dienstleisternSpielraumimHinblickaufdiezutreffendenMaß-nahmen.BeibewussterAusgestaltungderMaßnahmenbestehtaber durchaus die Möglichkeit, die sich ergebenden Mehrauf-wändeinGrenzenzuhalten.
AuchbeidenAufsichtsbehördenistdurchdieexplizitereAufga-benbeschreibung eineAnpassung der Prüfungsmaßnahmen er-forderlich.
Insgesamtbleibtfestzuhalten,dassdieneuengemeinsamenLeit-linien in Verbindung mit der Verordnung (EU) 2015/847 einesinnvolleWeiterentwicklungdesInstrumentariumszureffektivenBekämpfungvonGeldwäscheundTerrorismusfinanzierungdar-stellen.
AUTOR
ADNAN HASSANConsultantRisk,Finance&Compliance
FürFragenundAnregungenrundumdenEXXETAFinancialServicesRegulatoryNewsletterstehenwirIhnen gerne unter [email protected] Verfügung.
EXXETA AG
Albert-Nestler-Straße1976131 Karlsruhe
t +4972150994-5000f +4972150994-5299
SPRECHEN SIE UNS AN
©2017EXXETAAG.AlleRechtevorbehalten.AlleNamenundWarenzeichen sinddasEigentum ihrerjeweiligen Inhaber undwerden hiermit anerkannt.DieAngaben imText sind unverbindlich und dienenlediglichzuInformationszwecken.IndieserPublikationenthalteneInformationenkönnenohnevorherigeAnkündigunggeändertwerden.EXXETAübernimmtkeinerleiHaftungoderGarantiefürFehleroderUn-vollständigkeitenindieserPublikation.AusdenindieserPublikationenthaltenenInformationenergibtsichkeineweiterführendeHaftung.
EXXETA.COMWIR VERBINDEN WELTEN