Frankfurter Arbeitskreis Compliance & Governance: Erste Sitzung der Arbeitsgruppe Auslagerung

Martin Daumann, Rechtsanwalt Head of Compliance, Degussa Bank AG

Am 04.07.2018 fand auf Einladung der dwpbank die erste Sitzung der neu gegründeten Arbeitsgruppe Auslagerung statt. Daran nahmen insbesondere Experten der LBBW, der apoBank, der Degussa Bank, der Bank für Sozialwirtschaft sowie der Deutschen Leasing teil. Die Teilnehmer waren sich rasch in der gemeinsamen Zielsetzung einig. Primär solle die Arbeitsgruppe eine Plattform für den praktisch orientierten Austausch zum Schwerpunktthema Auslagerung darstellen, wie er themenübergreifen schon seit längerem im Frankfurter Arbeitskreis gepflegt werde. Darüber hinaus herrschte Konsens, dass die Arbeitsgruppe aus der Perspektive der Inhouse-Experten und Verantwortlichen in geeigneten Praxisfällen Positionen erarbeiten und einen Austausch bspw. mit der Aufsicht und Vertretern der Prüferseite suchen solle. Die Teilnehmer möchten zudem die Erkenntnisse aus der Arbeitsgruppe auch als Multiplikatoren in die Arbeit mit ihren jeweiligen Verbänden einfließen lassen. Zudem soll der Diskussionsstand der Arbeitsgruppe möglichst auch durch eine Veröffentlichung von Protokollen in die Meinungsbildung einfließen.

Position der dwpbank zum Regulierungsstand

Im zweiten Tagesordnungspunkt fasste Matthias Rozok die aktuellen Erfahrungen und Erkenntnisse der dwpbank rund um die Auslagerung zusammen. So habe die dwpbank nicht zuletzt von vielen Kundeninstituten das Feedback erhalten, dass in der Prüfung von Auslagerungssachverhalten hinsichtlich der Anforderungen bspw. an eine Risikoanalyse kaum zwischen der Auslagerung an beaufsichtigte Institute und an nicht beaufsichtigte Drittdienstleister unterschieden werde. Zudem bestehe bei Kunden wie Insourcern gleichermaßen zunehmende Besorgnis über redundante Anforderungen an die Steuerungs-, Kontroll- und Prüfungsaufgaben im Rahmen einer bestehenden Auslagerungsbeziehung. Die dwpbank plädiere dafür, dass Aufsicht und Prüfer im Sinne einer Entlastung der auslagernden Unternehmen stärker auf die Steuerungs- und Kontrollmechanismen des Insourcers abstellen sollen. Beim Ausblick auf künftige Regulierung solle der Gesetzgeber sich aus der aktuellen Position des Misstrauens und der Risikoüberschätzung hinausbewegen und auch die Vorteile von Auslagerung berücksichtigten, z. B. bei der standardisierten und damit auch aufsichtsfreundlichen Umsetzung von Regulatorik. Dies habe sich nicht zuletzt bei der Umsetzung der MiFID II zu Jahresbeginn erwiesen. Auslagerung sei damit eben in vielen Fällen gerade ein Instrument zur Risikoreduzierung, was auch aufsichtsrechtlich anerkannt werden müsse.

Aufschaukelungseffekte in Prüfungen

Im anschließenden Austausch zu aktuellen Erfahrungen wurde die Einschätzung eines Teilnehmers bestätigt, dass auch viele andere Institute die Erfahrung gemacht hatten, dass externe Prüfer nicht selten bereits das Abweichen von einer verbands- oder gesellschaftsinternen Prüfungscheckliste als Normabweichung thematisieren oder zumindest entsprechende Empfehlungen gäben. Damit erweise sich vielfach nicht das Gesetz oder die Aufsichtspraxis, sondern vielmehr die internen Standards und das Absicherungsbedürfnis der Prüfer als Praxisproblem. Zudem wurde die Einschätzung geteilt, dass die Prüfer die jeweils höchsten Standards zu Einzelfunktionen aus verschiedenen Häusern in Summe zur Benchmark für die nächste Prüfungsrunde machten. Hieraus resultiere ein „Aufschaukelungseffekt“, der insbesondere bei Dokumentationsstandards nicht wirtschaftlich umsetzbar und in der Regel auch nicht risikoangemessen sei.

Chancen durch digitale Lösungen

Eine intensive Diskussion ergab sich anschließend über die Möglichkeiten und Grenzen des Einsatzes von digitalen Lösungen (v. a. Workflow-Applikationen) zur Steuerung und Kontrolle von Auslagerungsbeziehungen. Viele Teilnehmer favorisierten hier Lösungen, die eine Steuerung auf der Grundlage der mit dem Anbieter vereinbarten Kennziffern und Service Levels ermöglichen. Ein Workflow-Tool könne hier bspw. die Messung und das Reporting, aber auch ein gezieltes Eskalationsverfahren in Richtung des Anbieters ermöglichen. Aus der Arbeitsgruppe wurde über den Einsatz einer Standardsoftware berichtet. Ein Teilnehmer gab zu bedenken, dass neben der berechtigten Entwicklung digitaler Lösungen, je nach Komplexität der Auslagerung und Risikoeinschätzung, in jedem Fall eine individuelle und nicht ausschließlich an Kennziffern orientierte Steuerung des Dienstleisters erforderlich sei. Digitalisierung könne hierfür eine Unterstützung, nicht aber ein Allheilmittel sein. Er betonte, dass ein Auslagerungsverhältnis nicht alleine auf der notwendigen Grundlage von Vertrauen geführt werden könne, sondern insbesondere ein hohes Maß an Transparenz bestehen müsse. Matthias Rozok (dwpbank) ergänzte, diese Transparenz könne aber insbesondere durch eine aktive Kundenbeteiligung bei der fortlaufenden Weiterentwicklung von Dienstleistungen und Service Levels geschaffen werden und sei damit nicht erst Teil von Kontrolle und Prüfung.

Die Teilnehmer der Arbeitsgruppe waren sich abschließend einig, dass die Diskussion, wie erwartet, sehr konkret und kollegial verlaufen sei. Trotz unterschiedlicher Erfahrungen und Positionen im Detail, wird die Regulierung, insbesondere aber die Aufsichts- und Prüfungspraxis von Auslagerung als klar verbesserungswürdig angesehen. Die nächste Sitzung der Arbeitsgruppe soll voraussichtlich im vierten Quartal 2018 stattfinden.

Im Nachgang zur Sitzung wurden den Teilnehmern aus dem aktuellen Arbeitsbuch MaRisk 6.0 des Verlages der Finanz Colloquium Heidelberg GmbH mögliche Ansatzpunkte für übergeordnete Kennziffern und Service-Level-Leistungsmessung von Dienstleistern aufgezeigt.

Deutsche Banken im Kampf gegen Geldwäsche und Terrorismusfinanzierung

Die Bedeutung von Geldwäschebekämpfung für Finanzinstitute wächst stetig, u. a. forciert durch Terroranschläge oder auch Enthüllungen wie den Panama-Papers. So wurde innerhalb kürzester Zeit nach der vierten EU-Geldwäscherichtlinie im April 2018 die fünfte EU-Geldwäscherichtlinie verabschiedet, die u. a. die Sorgfaltspflichten konkretisiert und erweitert. Binnen 18 Monaten muss diese auf nationaler Ebene umgesetzt werden. Im Zuge dieser Verabschiedungen wurde auch in Deutschland mit dem „GwG-Neu“ ein neues Geldwäschegesetz erlassen. Allerdings sind die erforderlichen Aufwände für die Umsetzung des „GwG-Neu“ für die beteiligten Institute umfangreich und betreffen inzwischen auch neue Geschäftsmodelle. Viele Banken befürchten zudem, dass sich das Risiko für Geldwäsche und Betrug durch die Digitalisierung erhöhen wird. Zu diesem Ergebnis kommt eine Studie der Management- und Technologieberatung BearingPoint, die seit 2005 mit insgesamt mehr als 100 Banken aus dem privaten, öffentlich-rechtlichen und genossenschaftlichen Bereich den Status Quo und die aktuellen Entwicklungen der Bekämpfung von Geldwäsche, Terrorismusfinanzierung und sonstigen strafbaren Handlungen aufzeigt.

Laut Studienergebnissen ist die Wertschätzung und Akzeptanz für das Thema Geldwäschebekämpfung bei Geschäftsleitung und Mitarbeitern der Banken seit 2012 deutlich gestiegen: Im Vergleich zur Vorgängerstudie messen mehr als doppelt so viele Befragte den Themen Terrorismusfinanzierung, Geldwäsche- und Betrugsbekämpfung Relevanz bei.

Als Hauptantriebsfaktoren zur Bekämpfung von Betrugsfällen und Geldwäsche nennen die Finanzinstitute die Vermeidung von Reputationsschäden sowie die Verhinderung von Bußgeldern und Sanktionszahlungen. Diese können im Zuge des „GwG-Neu“ mit bis zu zehn Prozent des Jahresumsatzes erheblich sein. Bei Kunden mit einem erhöhten Geldwäscherisiko zeigen sich die Banken in Teilen jedoch nachlässig: 25 % beziehen den Bereich Geldwäschebekämpfung bei der Votumsvergabe für Hochrisikokunden nur unzureichend oder teilweise gar nicht ein. Ähnlich wie 2012 schätzt auch in der aktuellen Untersuchung die Mehrheit (50–70 %) der Teilnehmer die erforderlichen Aufwände für die Umsetzung des „GwG-Neu“ auf mittel bis hoch ein. Mittlerweile sehen 25 % steigenden Mehraufwand bei neuen Geschäftsmodellen, sodass regulatorische Anforderungen eine zunehmend strategische Rolle spielen.

Banken müssen die Geldwäschebekämpfung weiterhin ernsthaft vorantreiben, damit sie selbst keinem erhöhten Risiko ausgesetzt seien, kommentiert ein Partner bei BearingPoint. Dabei sei es entscheidend, dass sich Mitarbeiter mit neuen Technologien wie Data Analytics auseinandersetzen und über ein breites Wissen zu Produkten, Prozessen und IT-Systemen verfügen. Nur so könne man die Auswirkungen rechtlicher Anforderungen umfassend beurteilen und Prozesse zur Geldwäschebekämpfung effizient implementieren. Zudem solle der Bereich Geldwäschebekämpfung bei Hochrisikokunden stärker eingebunden werden.

Die Studie untersuchte ebenfalls, wie sich die Digitalisierung auf Compliance-Prozesse in Unternehmen oder Banken auswirkt. Die digitale Transformation wird sich in Zukunft insbesondere im Bereich der Sorgfaltspflichten, Kundengewinnung oder auch bei automatisierten Risikoanalysen zeigen. Weitere digitale Lösungen mit Potential zur Verbesserung der Geschäftsanbahnungsprozesse und zur Minderung von Betrugsfällen sind neue Legitimationstechnologien wie Video-Ident-Verfahren oder der Personalausweis mit e-Signatur. Diese werden von 35 bzw. 42 % der Banken zwar eher als Chance statt als Risiko wahrgenommen. Dennoch wird die Legitimation vor Ort weiterhin bevorzugt und von rund drei Viertel der befragten Teilnehmer als risikoärmer eingeschätzt. Gleichzeitig sehen sich die meisten Banken durch die Digitalisierung neuen Risiken ausgesetzt: So rechnen 60 % der Teilnehmer mit einer künftigen Erhöhung des Geldwäsche- und Betrugsrisikos. Beim digitalen Zahlungsverkehr im Rahmen der EU-Zahlungsdienstrichtlinie (PSD 2) werden insbesondere die Bereiche Datensicherheit und Betrugsbekämpfung als die größten Risikobereiche eingeschätzt. Allerdings setzen sich nur knapp 35 % mit entsprechenden Maßnahmen konkret auseinander.

Die Zahlen zeigen, dass die Finanzinstitute in neuen Technologien eine Gefahrenquelle für kriminelles Verhalten sehen. Man müsse hierbei aber auch in Betracht ziehen, dass Robotic-Technologien und künstliche Intelligenz Banken enorm unterstützen können, potentielle Risiken besser einzuschätzen und Prozesse effizienter aufzusetzen. Durch neue Technologien könne man verdächtige Muster aufdecken und den Aufwand für komplexe Analysen und Überprüfungen erheblich reduzieren. Kreditinstitute sollen sich also verstärkt mit neuen digitalen Lösungen auseinandersetzen und lernen, wie Technologien wie KI und Blockchain bei der Prozessoptimierung und Risikoidentifizierung unterstützen können, so ein Partner bei BearingPoint.

Laut Studie bringen die deutschen Banken den neuen Gesetzesinitiativen zwar immer mehr Wertschätzung entgegen, jedoch greifen Maßnahmen zur Betrugsbekämpfung in weiten Teilen noch nicht. Über die Hälfte der befragten Banken gibt an, dass nur maximal 10 % der Verluste durch Präventionsmaßnahmen vermieden werden können. Bei fast 50 % der Betrugsfälle sind Mitarbeiter involviert, die Zahl ging jedoch im Vergleich zu den vorangegangenen Studien um fast 20 % zurück. Ein Großteil der Vergehen wird weiterhin erst nach Auftreten des Schadens identifiziert. In Fragen der Betrugsverhinderung hat sich herausgestellt, dass spezielle IT-Systeme und auch Mitarbeiter bei der Aufdeckung von Betrugsfälle am erfolgreichsten sind. Die meisten Banken haben den nötigen Handlungsbedarf bereits erkannt: Im Vergleich zu 2012 haben mittlerweile doppelt so viele Banken (72 %) Notfallkonzepte entwickelt, damit sie im Falle von größeren Betrugsfällen schnell reagieren können, um Reputationsrisiken zu minimieren.

Interview mit Seyfi Günay, Direktor für Finanzkriminalität und Terrorismus bei LexisNexis Risk Solutions

Sascha Sychov, Bereichsleiter Digitalisierung und IT, Finanz Colloquium Heidelberg GmbH

Sychov: Erklären Sie uns bitte den Begriff „Kryptowährung“.

Günay: Unter Kryptowährungen versteht man Zahlungsmittel, die ausschließlich in digitaler Form existieren. Zu den bekanntesten zählen Bitcoin, Ethereum und Ripple. Eine Kryptowährung ist dabei nicht einfach nur eine Datei auf dem Computer – es handelt sich vielmehr um einen Eintrag in eine öffentlich zugängliche Datenbank, die sogenannte Blockchain.

Vereinfacht ausgedrückt stellen Kryptowährungen ein „Bezahlnetzwerk“ im Internet dar, mit dem man Münzen hin- und herschicken kann – nur dass die Münzen in diesem Fall aus Computercodes bestehen. Wer diesen Code hat, verfügt auch über die Coins dahinter.

Sychov: Was ist das Besondere an der digitalen Währung?

Günay: Im Gegensatz zu herkömmlichen Währungen, die von Zentralbanken ausgegeben werden, werden Kryptowährungen ausschließlich auf den Computern von Millionen von Nutzern verwaltet, was sie theoretisch immun gegen staatliche Eingriffe oder Manipulationen macht. Ein weiterer Unterschied zum normalen Geld: Der Zahlungsverkehr findet ebenfalls direkt zwischen den Teilnehmern des Währungssystems statt – und somit ganz ohne Banken und andere Mittelsmänner.

Bei Kryptowährungen werden Bankkonten zudem durch sogenannte Wallets ersetzt, auf die nur der jeweilige Nutzer Zugriff hat. Das Kassenbuch einer Kryptowährung ist die Blockchain, in der jede Coin und jede Überweisung aufgezeichnet wird. Obwohl diese Vorgänge für alle einsehbar sind, ist eine Identifizierung der Handelspartner dennoch nicht möglich. Man spricht in diesem Zusammenhang von sogenannter „Pseudoanonymität“.

Sychov: Wie entstehen diese?

Bitcoin und zahlreiche andere digitale Währungen werden im Computernetzwerk der User generiert – man spricht dabei vom sogenannten „Mining“. Einzelne Transaktionen werden dabei als Blöcke zusammengefasst und innerhalb des Kryptowährungsnetzwerks an die Computer aller Teilnehmer gesendet. Jeder neue Block mit Transaktionen wird mit einem mathematischen Problem versehen, das es zu lösen gilt – und das erfordert viel Rechenpower, da die Computer die Lösung mit Millionen von Versuchen erraten müssen. Für das richtige Ergebnis werden die schnellsten unter ihnen dann mit Coins „belohnt“. Dieser „Rechenwettbewerb“ dient aber nicht nur der bloßen Erzeugung der Währung, sondern wickelt gleichzeitig den verschlüsselten Finanztransfer zwischen den digitalen Konten ab.

Sychov: Kryptos sind sehr umstritten, wenn es sich um den legalen Gebrauch handelt. Selbst Bill Gates sagte, dass deren Hauptfunktion die Anonymität sei. Was denken Sie über eine Regulierung? Macht das Sinn, da sonst die Innovation „verloren” geht?

Günay: Obwohl viele in virtuellen Währungen eine Gefährdung der Finanzstabilität sehen, macht es meiner Ansicht nach dennoch wenig Sinn, Bitcoin & Co. zu regulieren. Kryptowährungen werden nämlich erst dann richtig wertvoll, wenn sie aus der diffusen Grauzone, in der sie sich momentan befinden, in den offiziellen, überwachten Finanzkreislauf überführt werden. Dazu muss man wissen, dass virtuelle Währungen keinen fundamentalen Wert haben – dieser bemisst sich lediglich nach der Erwartung der User, dass Kryptogeld irgendwann einmal ein akzeptiertes Zahlungsmittel ist. Wenn der Staat regulierend eingreift und Kryptowährungen offiziell zu einem gesetzlichen Zahlungsmittel macht, sorgt er also dafür, dass die Wette der Krypto-Pioniere aufgeht – und das kommt einer Lizenz zum Gelddrucken gleich.

Sychov: Viele behaupten, dass sich Kryptos hauptsächlich für Kriminelle eignen. Klar, da die dezentrale Währung nicht zurückzuverfolgen ist. Aber wo ist der Gewinn für die legalen Nutzer?

Günay: Die Technologie, auf der Kryptowährungen basieren, ist viel sicherer als herkömmliche Verschlüsselungen. Alle Informationen, von der Geldmenge über die Guthaben der Teilnehmer, bis hin zu Transaktionen, werden in der gemeinschaftlichen Blockchain gesichert, also in einem fortlaufenden, kryptographisch verschlüsselten Protokoll.

Während der Überweisungen wird die Blockchain ständig weltweit synchronisiert. Jeder Nutzer im gesamten Netzwerk hat die gleiche Ausgabe der Blockchain – und da die Blockchain öffentlich ist, kann sie von niemandem kontrolliert werden. Es gibt keine Möglichkeit, die Blockchain zu hacken, es sei denn, den Hackern gelingt es, zeitgleich Millionen von Computern anzugreifen, die auf der ganzen Welt verteilt sind. Manipulationen sind somit nahezu unmöglich.

Sychov: Welches Potenzial können Banken aus Kryptowährungen erzielen?

Günay: Banken auf der ganzen Welt erkennen zunehmend die potenziellen Vorteile digitaler Währungen. Überweisungen im internationalen Zahlungsverkehr können durch den Einsatz von Kryptowährungen beispielsweise deutlich schneller und günstiger als bisher abgewickelt werden. Eine Partnerschaft zwischen Kryptowährungen und etablierter Finanzwelt ist somit durchaus möglich.

Sychov: Welche Vorteile lassen sich mittels Kryptowährungen erzielen?

Günay: Transaktionen mit Kryptowährungen sind kostenfrei und wesentlich schneller als herkömmliche Überweisungen. Eine normale Banküberweisung ins Ausland braucht beispielsweise vier Tage und verschlingt aufgrund der Umwege über Korrespondenzbanken und der damit einhergehenden Gebühren eine nicht unerhebliche Menge an Geld. Mit Kryptowährungen ist der Zahlungsvorgang fast umsonst und in zehn Minuten erledigt.

Darüber hinaus sind Kryptowährungen das perfekte Gegenteil des heutigen Banksystems: Sie sind absolut transparent und niemand kann die Menge an Coins oder die mathematischen Grundlagen ändern. Durch die begrenzte Anzahl an Coins ist die Währung außerdem nicht durch Inflation gefährdet.

Sychov: Welche Nachteile?

Günay: Während die Blockchain-Technologie als sicher gilt, geraten Wallets und Tauschbörsen immer wieder ins Visier von Hackern. Beispielsweise haben anonyme Hacker auf einer Tauschplattform in Hong Kong im August 2016 Bitcoins im Wert von 58 Mio. € gestohlen. Trotzdem boomen Kryptowährungen und immer mehr Coins geraten in Umlauf. Experten warnen mittlerweile vor einer Spekulationsblase und raten davon ab, in Kryptowährungen zu investieren. Sie finden, dass ihr Wert künstlich in die Höhe getrieben wird, was die Blase früher oder später zum Platzen bringen könnte.

Sychov: Haben Kryptowährungen eine Zukunft?

Günay: Dass Bitcoin, Ripple & Co. auf absehbare Zeit den etablierten Zahlungsverkehr komplett ersetzen werden, ist eher unwahrscheinlich, da kaum eine Regierung bereit sein wird, auf das Monopol eines eigenen gesetzlichen Zahlungsmittels zu verzichten. Folglich wird sich auch der Einfluss von Kryptowährungen auf die Geschäftswelt in Grenzen halten, da Finanzakteure und Privatpersonen nicht verpflichtet sind, Bitcoin und andere Kryptowährungen zu akzeptieren.

Doch selbst wenn Kryptowährungen ihren Platz in der Finanzwelt finden – was keinesfalls ausgeschlossen werden kann – kann niemand prophezeien, welche der zahlreichen virtuellen Währungen sich auf längere Sicht halten wird. Viele Experten gehen beispielsweise davon aus, dass Bitcoin aufgrund des hohen Energieeinsatzes, der für das Mining benötigt wird, wieder in der Versenkung verschwinden wird.

Eine eindeutige Prognose lässt sich somit nicht abgeben. Die Situation, in der sich die Finanzwelt derzeit befindet, ist mit der Einführung des Internets in die Telefonbranche vergleichbar: Das Aufregendste an Kryptowährungen ist nicht, was sie jetzt schon sind – sondern was sie in Zukunft noch sein werden.

Herr Günay, ich bedanke mich ganz herzlich für das Interview und dass Sie sich die Zeit genommen haben.

Mit den besten Grüßen

Sascha Sychov, Bereichsleiter Digitalisierung und IT, Finanz Colloquium Heidelberg GmbH

EBA konsultiert „Guidelines on Outsourcing arrangements“

Lukas Walla, Berater, FCH Consult GmbH

Am 22.06.2018 hat die European Banking Authority (EBA) das Konsultationspapier „Draft Guidelines on Outsourcing arrangements” veröffentlicht. Bis zum 24.09.2018 können Stellungnahmen abgegeben werden. Die Guidelines sollen voraussichtlich zum 30.06.2019 Anwendung finden. Hierdurch sollen die CEBS-Guidelines zum Outsourcing aus dem Jahr 2006 aktualisiert und eine weitere Harmonisierung der Regelungen erreicht werden.

Auf insgesamt 62 Seiten werden Anforderungen an die Dienstleistersteuerung formuliert. Dabei wird zunächst seitens der EBA erneut hervorgehen, welche enorme Stellung das Thema Outsourcing in den verschiedenen Instituten eingenommen hat.

Erst im Jahr 2017 hat die EBA Empfehlungen bezüglich der Behandlung von Cloud-Diensten veröffentlicht, die nun in die Guideline eingearbeitet wurden. Folglich wird die Guideline EBA/REC/2017/03 mit Inkrafttreten der vorliegenden Guideline aufgehoben.

Die EBA hat sehr detaillierte Anforderungen aufgestellt, die wie üblich proportional umzusetzen sind. So wird beispielsweise ausgeführt, dass und wie Interessenkonflikten analysiert und vermieden werden sollen. Ebenfalls werden klare Mindestanforderungen an das Auslagerungsregister gestellt. In den meisten Instituten dürften Anpassungen im Register notwendig werden.

Die Steuerung von Drittleistungen haben sich oftmals lediglich auf Auslagerungen gem. MaRisk bezogen und sonstige Fremdbezüge außen vor gelassen. In der Tz. 57 wird nun klargestellt, dass die Erwartungshaltung der EBA zur Steuerung von Drittleistungen sich nicht nur auf Auslagerungen bezieht, sondern ebenfalls die sonstigen Fremdbezüge umfasst, wenn auch in einem geringeren Maße. Die BAIT fordern bereits bei sonstigen IT-Dienstleistungen Ähnliches.

Das Konsultationspapier „Guideline on Outsourcing“ geht teilweise über die Anforderungen der MaRisk hinaus und wird voraussichtlich nochmals weitere Anpassungen in der Dienstleistersteuerung nach sich ziehen. Abzuwarten bleibt, welche Anforderungen in der finalen Guideline bestehen bleiben.

Neue Reputationsrisiken aus MiFID II?

David Paal, Teamleiter Firmenkundengeschäft, WpHG-Compliance Privat- und Firmenkundengeschäft, Deutsche Bank AG

Die BaFin hat in ihren Journalen aus Mai und Juni 2018 diverse Themen aus der MiFID II aufgegriffen und ihre ersten Erkenntnisse, insbesondere aus der Marktuntersuchung zu Beginn des Jahres 2018, dargelegt. Dabei hat die Aufsicht u. a. Ausführungen zu den Themen Kostentransparenz und Aufzeichnung elektronischer Kommunikation getroffen.

Gerade diese beiden Themen stehen in einem engen Zusammenhang, was die prozessualen Abläufe im beratungsfreien Geschäft und in der Anlageberatung per Fernkommunikationsmittel vor Herausforderungen stellt und neue Risikopotentiale, im Speziellen im Hinblick auf die Reputation der Banken, mit sich bringt.

SEMINARTIPP

 

Überprüfung der Wertpapier-Sachkunde durch Vor-Ort-Prüfungen von Aufsicht, Compliance & Revision, 10.10.2018, Berlin.

 

Kunden haben weder im beratungsfreien Geschäft noch in der Anlageberatung per Fernkommunikationsmittel die Möglichkeit auf die Zur-Verfügung-Stellung von Kosteninformationen vor Geschäftsabschluss zu verzichten, auch dann nicht, wenn Kunden im Rahmen des aufgezeichneten Telefongespräches kundtun, dass sie eine Kosteninformation vor Geschäftsabschluss nicht wünschen.

Die prozessualen Abläufe im beratungsfreien Geschäft und in der Anlageberatung per Fernkommunikationsmittel müssen demnach sicherstellen, dass Kunden die Kosteninformationen auf einem dauerhaften Datenträger zur Verfügung gestellt bekommen und die Informationen müssen beim Kunden vor dem entsprechenden Geschäftsabschluss vorliegen. Übermittlungskanäle können demnach bspw. Papier (auch als Brief), E-Mail oder eine Online-Postbox sein.

Dies, wie auch die Telefonaufzeichnung an sich, sorgt auch gem. den Ausführungen der BaFin in ihren Journalen für Unverständnis auf Kundenseite, welche dieses Unverständnis gegenüber Ansprechpartnern in den Banken artikulieren. Folglich richtet sich diese Unzufriedenheit in erster Linie an die Prozesse innerhalb der Bank, wodurch im äußersten Fall die Reputation der Bank leiden kann.

Weiterhin weist die BaFin in ihrem Journal vom Juni 2018 auf die Rechte der Anleger in diesem Zusammenhang hin. Dabei hebt die Aufsicht das Recht der Anleger hervor, dass sie die Telefonaufzeichnungen der aufgezeichneten Gespräche anfordern dürfen.

Dies birgt einerseits das Risiko, dass Kunden verstärkt von diesem Recht Gebrauch machen und auf Grundlage dieser Aufzeichnungen Beschwerdefälle oder gar Rechtsstreitigkeiten gegen Banken führen. Andererseits besteht aber auch gleichzeitig das Risiko der Beschädigung der Reputation der Bank, falls die entsprechenden Telefonate nicht gänzlich den prozessualen oder gesetzlichen/aufsichtsrechtlichen Vorgaben entsprechen. Die Telefonaufzeichnungen steigern das Risiko, dass solche Verhaltensweisen offenkundiger werden.

Welche Möglichkeiten bestehen nun aus Compliance-Sicht, um im Sinne einer Risikosteuerung risikominimierend auf diese Umstände einzuwirken?

Klassischer Weise sollte Compliance bereits bei der Entwicklung der entsprechenden Prozesse und auch bei der Formulierung der einschlägigen Arbeitsanweisungen einbezogen werden sowie auf eine ordnungsgemäße Gestaltung hinwirken. Ergänzend zu diesem eher theoretischen Ansatz ist ein Verständnis der Anwendung dieser Prozesse in der Praxis sinnvoll. Daher ist es für Compliance elementar, sich im Rahmen der Vor-Ort-Kontrollen in den Vertriebsstellen ein Bild hierüber zu verschaffen. Daher sollte Compliance die Aufzeichnung elektronischer Kommunikation und die zugehörigen Vertriebsprozesse mit in die risikobasierte Prüfungsplanung aufnehmen und die Arbeitsmittel für die Durchführung von Vor-Ort-Kontrollen ergänzen.

BUCHTIPP

 

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

 

Zusammenfassend ist festzuhalten, dass sich die Risikopotentiale aus dem beratungsfreien Wertpapiergeschäft und der Anlageberatung im Vergleich zum Vorgehen vor MiFID II im Grundsatz nicht wesentlich verändert haben. Erfolgt keine ordnungsgemäße Anlageberatung oder Geschäftsabwicklung bestehen weiterhin die gleichen Reputationsrisiken. Allerdings ist zu berücksichtigen, dass die sich durch die Aufzeichnung der elektronischen Kommunikation, insbesondere die Telefonaufzeichnung, die Wahrscheinlichkeit der Realisierung von Reputationsrisiken erhöht hat, da sich der tatsächliche Verlauf einer Anlageberatung per Telefon oder eines telefonischen Wertpapierauftrags einfach nachvollziehen lässt.

Daher sollten die entsprechenden Prozesse sorgfältig aufgesetzt und regelmäßig kontrolliert werden.

PRAXISTIPPS

  • Einbeziehung von Compliance in die Entwicklung von Prozessen zur Anwendung der Aufzeichnung elektronischer Kommunikation
  • Regelmäßige Kontrolle der Prozesse
  • Überwachung der praktischen Anwendung im Rahmen von Vor-Ort-Kontrollen

5. EU-Geldwäscherichtlinie

Änderungsrichtlinie zur aktuellen Rechtsprechung

Elmar Scholz, Chief Compliance Officer u. Abtl.-Direktor Marktservice, OE Compliance und Marktservice, Abteilungsleitung, Prävention gegen Geldwäsche/Terrorismusfinanzierung/sonstige strafbare Handlungen, Compliance (WpHG), Spezialthemen (z.B. FATCA, QI), Sparkasse am Niederrhein

Bekanntermaßen trat am 26.06.2017 das Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie in Kraft. Dies war eine Punktlandung für den deutschen Gesetzgeber, da an diesem Tag die zweijährige Umsetzungsfrist in nationales Recht endete. Auf Grund der vollen Ausschöpfung dieser Frist durch den Gesetzgeber, wurde in der Konsequenz den Verpflichteten nach dem Geldwäschegesetz eine solche nicht mehr eingeräumt. Dies war und ist insofern unglücklich, da die Umsetzung quasi „während des laufenden Betriebes“ erfolgen musste und teilweise, auf Grund noch nicht vorhandener (technischer) Möglichkeiten, zwischenzeitlich anderweitig darzustellen war. Die FIU, als neue Zentralstelle für Finanztransaktionsuntersuchungen, ist immer noch mit der Abarbeitung aller eingegangen Verdachtsmeldungen beschäftigt. Die Veröffentlichung der Auslegungs- und Anwendungshinweise der BaFin wird sich möglicherweise auch noch verschieben.

Am 14.05.2018 wurde nun die sog. 5. Geldwäscherichtlinie (Änderungsrichtlinie zur Ergänzung der 4. EU-Geldwäscherichtlinie) durch den EU-Rat gebilligt. Beispielhaft werden im Folgenden einige Punkte aufgegriffen, die dabei von Bedeutung sein werden.

SEMINARTIPPS

Risikoanalyse Geldwäsche nach neuem GWG (Anlagen 1, 2) & neuen ESA-Risikoindikatoren, 24.09.2018, Frankfurt/Offenbach.

Knackpunkte der Geldwäschebekämpfung, 27.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

Kundenidentifizierungen nach neuem GwG & StUmgBG, 28.11.2018, Frankfurt/M.

In der Richtlinie wird nun u. a. auch das Thema „Virtuelle Währungen“ aufgegriffen. Auch wenn in der Definition hierzu eine Abgrenzung zu Spielwährungen vorgenommen wird, so ist dabei auch zu beachten, dass diese Spielwährungen dann nur in der Spieleumgebung genutzt werden können. Denken wir zurück an die Spielerplattform „Second Life“ (die es übrigens immer noch gibt) und die hier gehandelte Währung „Lindendollars“. Der Umtausch von realen in virtuelle Währungen und umgekehrt war damals bereits möglich und dürfte unter dem Blickwinkel „Geldwäsche“ durchaus von Interesse gewesen sein. Dass es hier keine expliziten aufsichtlichen Regelungen gab, konnte im Zweifel für diese Klientel nur von Vorteil sein. Diese Lücke will die EU nun schließen, indem sie Dienstleister, die entsprechende Tauschvorgänge ermöglichen, in den Kreis der Verpflichteten nach Geldwäscheregularien sowie deren Registrierung mit aufnimmt. Gleiches gilt für die Anbieter von elektronischen Geldbörsen. Ferner sollen die Schwellenwerte in Bezug auf E-Geld gesenkt werden – Speicherbetrag max. 150,00 €, Rücktausch in Bargeld max. 50,00 € (Art. 12 der Richtlinie). Mit den heute schon in § 25i KWG geregelten niedrigeren Grenzwerten (100,00 €/20,00 €) wird diese Anforderung in der BRD bereits erfüllt.

Die Thematik „Ermittlung des wirtschaftlich Berechtigten/wirtschaftlichen Eigentümers (wB/wE)“ von juristischen Personen und anderen Rechtsgestaltungen/-vereinbarungen wird noch einmal geschärft. Neben der Pflicht zur risikoangemessenen Verifizierung des sog. „Fiktiven wirtschaftlichen Eigentümers“, die von den Instituten sicherlich heute schon auf Grund der aktuellen Gesetzgebung mit der entsprechenden Vehemenz betrieben wird, erhält nun die Kommission eine Befugniserweiterung. Sie kann nun Länder als Hochrisikoländer ermitteln/klassifizieren, die strategische Mängel in der Verfügbarkeit korrekter und aktueller Informationen über die wirtschaftlichen Eigentümer von juristischen Personen und Rechtsgestaltungen/-vereinbarungen für die zuständigen Behörden (Transparenzregister) aufweisen. Inwieweit es hier dann zukünftig eine Ausweitung der Hochrisikoländer in der EU-VO 2016/1675 kommt, bleibt abzuwarten. Änderungen in der Verordnung können auch heute schon zeitnah über die Adresse https://eur-lex.europa.eu/oj/direct-access.html?locale=de abgefragt werden. Gleichwohl ist anzumerken, dass seitens der EU ein besonderes Augenmerk auf Trusts und ähnliche Rechtsgestaltungen zu liegen scheint.

BUCHTIPP

 

Daumann/Leicht (Hrsg.), Arbeitsbuch Regulatorische Compliance, 2. Aufl. 2018.

 

Generell werden aber die Anforderungen im Rahmen der dann anzuwendenden verstärkten Sorgfaltspflichten bei entsprechenden Kundenverbindungen steigen, z. B. Ermittlung der Vermögensherkunft des wb/wE (Art. 18a Abs. 1 der Richtlinie). Als erfreulich kann gewertet werden, dass die seitens der Kommission beabsichtigte Herabsenkung des Schwellenwertes für die Ermittlung des wB/wE auf 10 % nun nicht mehr als Anforderung aufgeführt wird.

Eine Vernetzung der Register zwischen den Mitgliedstaaten wäre nicht nur für Trusts und ähnliche Rechtsgestaltungen (Erwägungsgrund 26 der Richtlinie) unter der Überschrift „Missbrauch für Geldwäsche-(vor-)taten und Terrorismusfinanzierung“ positiv zu sehen. Zusätzlichen Aufwand dürfte die Pflicht für Verpflichtete auslösen, bei Geschäftsbeziehungen mit juristischen Personen und Rechtsvereinbarungen, sich die Registrierung im Transparenzregister nachweisen oder einen Auszug daraus vorlegen zu lassen (Art. 14 der Richtlinie). Ist dies mit einer Abfrage – nach vorheriger Online-Registrierung – beim Transregister verbunden, dürften zusätzlich Gebühren hierfür anfallen (Erwägungsgrund 36, Art. 30 Abs. 5a der Richtlinie). Erweitert wird die o. g. Verpflichtung noch um das Erfordernis, den zuständigen Behörden festgestellte Abweichungen zum wb/wE zu melden (Art. 30 Abs. 4 der Richtlinie). Man darf gespannt sein, wie die Ergebnisse der Gespräche der Verbände mit dem Gesetzgeber bzgl. der Übernahme hoheitlicher Aufgaben aussehen werden.

Als weiterer Punkt ist die Pflicht zur Errichtung von Informationssystemen in Bezug auf Konten und Schließfächer zu nennen. Dies bedeutet jedoch für die inländischen Institute keine Veränderung des Status quo, da dies den Vorgaben aus § 24c KWG entspricht und insoweit gelebte Praxis ist.

Art. 13 Abs. 1 Buchstabe a der Richtlinie (Identifizierung) wird u. a. erweitert auf elektronische Mittel zur Identitätsfeststellung und einschlägiger Vertrauensdienste gem. der EU-Verordnung 910/2014, sog. eiDAS-Verordnung. Mit dem Umsetzungsgesetz zur 4. EU-Geldwäscherichtlinie hatte der deutsche Gesetzgeber die ursprünglichen Anforderungen des GwG bei physischer Abwesenheit des zu Identifizierenden (=verstärkte Sorgfaltspflichten) aufgehoben und in den neuen § 12 GwG (Identitätsprüfung) verschoben. In Absatz 1 Nrn. 2–4 wird bereits Bezug auf die zuvor genannte EU-Verordnung genommen, so dass hier die neuen Anforderungen bereits geregelt sein dürften.

PRAXISTIPPS

  • Themenschwerpunkt „wirtschaftlich Berechtigter/wirtschaftlicher Eigentümer“. Ein korrekter Datenbestand hat gerade hier eine besondere Bedeutung. Mittel und Verfahren sollten daher darauf ausgelegt sein, dieses zu gewährleisten.
  • Inwieweit eine Altbestandsüberarbeitung vom Gesetzgeber vorgegeben wird, bleibt abzuwarten. Allerdings kann die Umsetzung des Steuer-Umgehungs-Bekämpfungsgesetz (bis 31.12.2019) dazu genutzt werden, vorhandene Daten ggfs. zu aktualisieren/zu ergänzen.
  • Bzgl. des Themas „Virtuelle Währungen“ kann auch ein Institut, welches keine Tauschvorgänge von realer in virtuelle Währung ermöglicht, versuchen, das Monitoring-Programm dazu zu nutzen, mögliche damit zusammenhängende Transaktionen zur Auffälligkeit zu bringen.

Danke, PSD2! Wie man Compliance-Auflagen in Wettbewerbsvorteile verwandelt.

Claudius van der Meulen, Direktor Europa Entersekt

I. Einleitung

Geld an Freunde senden in Echtzeit, zu jeder Zeit und an jedem Ort informiert sein über Zahlungsbewegungen und gegebenenfalls sofort reagieren können, ein Konto eröffnen ohne den üblichen administrativen Aufwand – das sind Angebote, wie sie Kunden heute erwarten. Es soll schnell gehen, keine Arbeit machen und überall verfügbar sein – im Café, in der Bahn zur Arbeit oder beim Familienbesuch in einer anderen Stadt. Kunden lassen sich nicht mehr vorschreiben, wann und wo sie ihre Finanzgeschäfte erledigen. Banken, die diesem Trend nicht folgen, werden es in Zukunft sehr schwer haben. Das Thema Sicherheit spielt dabei ebenfalls eine große Rolle – nur sehen Kunden das nicht auf ihrer To Do-Liste, sondern ganz eindeutig als Aufgabe der Banken, die diese selbstverständlich zu erfüllen haben. Am besten, ohne dass man als Kunde daran mitwirken muss und in die Verantwortung genommen wird.

 

 SEMINARTIPPS

Betrugsfälle in Kontoführung & Zahlungsverkehr erkennen und verhindern, 24.09.2018, Frankfurt/M.

Risiko Kontoführung & Zahlungsverkehr, 19.11.2018, Frankfurt/M.

Compliance-Tagung 2018, 14-15.11.2018, Berlin.

 

II. Die neue Rolle der Authentifizierung unter PSD2

1. Authentifizierung als zentrale Schnittstelle zwischen Bank und Kunde in der digitalen Welt

Diesen Anforderungen an Sicherheit, Schnelligkeit und Nutzerfreundlichkeit muss auch die Authentifizierungslösung einer Bank genügen. Kunden wollen sich nicht mehr mit Einmalpasswörtern herumärgern, komplizierte Bestätigungs-Verfahren durchlaufen oder gar einen Tan-Generator permanent dabei haben. All das passt nicht mehr in die Zeit. Insofern kommt die PSD2 (Payment Services Directive) gerade zum rechten Zeitpunkt. Um die geforderte Konformität mit den neuen Vorgaben zu erreichen, müssen Banken sich jetzt intensiv mit den Themen Open Banking und starke Authentifizierung (SCA – Strong Customer Authentication) beschäftigen. Sie sind dazu gezwungen, ihre Systeme auf den Prüfstand zu stellen. Dadurch erhalten sie aber gleichzeitig die Chance, mithilfe neuester Authentifizierungslösungen ihre Prozesse zu optimieren.

2. Anforderungen an eine PSD2-konforme „State-of-the-Art“-Authentifizierungs-Lösung

Sicher muss eine Bank an erster Stelle dafür sorgen, dass sie alle regulatorischen Anforderungen der PSD2 erfüllt. Daneben gibt es aber eine Reihe weiterer Aspekte, die bei der Auswahl einer zeitgemäßen SCA-Lösung beachtet werden sollten:

a) Audit-fähige SCA-Compliance sicherstellen

  • Die starke Kundenauthentifizierung ist für alle Nahfeld- und Online-Transaktionen über sämtliche Kanäle erforderlich. Im Rahmen der SCA müssen zwei von drei möglichen Faktoren (Wissen, Besitz und Eigenschaft) zur Authentifizierung eingesetzt werden. Dabei kommt dem Faktor Besitz die wichtigste Rolle zu. Das Smartphone eignet sich dafür im besonderen Maße – also ein mobiles Endgerät, das Kunden immer mit sich führen. In Kombination mit anderen Faktoren, wie z. B. einer festen PIN oder einem biometrischen Verfahren, entsteht so ein mehrschichtiger Ansatz.
  • Der Authentifizierungs-Code für jede Transaktion muss dynamisch mit dem Betrag und dem Zahlungsempfänger verknüpft sein.
  • SCA-Elemente müssen voneinander getrennt und unabhängig sein. Dies lässt sich durch vollständig verschlüsselte, so genannte „Out-of-Band“-Authentifizierungskanäle erzielen. „Out-of-Band“ bedeutet, dass ein unabhängiger zweiter Kommunikationskanal genutzt wird.
  • Es muss gewährleistet sein, dass personalisierte Anmeldeinformationen der zur Authentifizierung genutzten Geräte sowie jegliche im Authentifizierungsprozess verwendete Software zuverlässig dem jeweiligen Kunden zugeordnet werden können. Anders formuliert: One-Time-Passwörter (OTP) sind keine brauchbare Option mehr – führende Analysten wie Gartner sowie Regulierungs- und Branchenorganisationen bestätigen dies bereits seit Jahren.
  • Der Zugriff von Drittanbietern (TPP = Third Party Provider) auf Kundendaten muss überwacht und durch Verfahren geschützt werden, die eindeutig die Zustimmung des Kunden einholen. Damit Drittanbieter das Recht zum Datenzugriff erhalten, ist ein verbindlicher und signierter Nachweis der Kundenzustimmung erforderlich. Dies kann durch Einholung digital signierter Kundenmandate für alle Transaktionen erreicht werden.

b) Konsistente und überzeugende Anwendungserfahrung bieten

Bankkunden erwarten eine sichere Lösung, die gleichzeitig einfach zu bedienen ist. Um die Zahl der Transaktionsabbrüche zu verringern und das Kundenvertrauen zu stärken, sollte eine nutzerfreundliche Lösung Folgendes leisten:

  • Konvergenz der Authentifizierung. Sinnvoll ist es, eine SCA-Methode zu installieren, die sich für mehrere Anwendungsszenarien eignet, sodass die Anwendungserfahrung über alle Kanäle hinweg konsistent ist. Auf diesem Weg wird Authentifizierung nicht nur einfacher, sondern stärkt auch das Anwendervertrauen und führt zu reduzierten Gesamtbetriebskosten (TCO – Total Cost of Ownership), da nur noch eine einzige Authentifizierungsplattform unterstützt werden muss.
  • Einfache, intuitive Bedienung. Kunden bevorzugen Systeme, die sich ohne lange Erklärungen von selbst erschließen.
  • Verschlüsselung sensibler Daten innerhalb der Mobile-Banking-App.
  • Volle Kontrolle des Kunden durch Echtzeit-Eingabeaufforderungen über einen vertrauenswürdigen Kanal.

c) Kosten senken und Weiterentwicklung ermöglichen

Sind die oben genannten Anforderungen erfüllt, können verpflichtende Compliance-Anforderungen in einen strategischen Vorteil verwandelt werden. Dabei sind folgende Punkte zu beachten:

  • Vielseitigkeit. Die neue Lösung sollte den gesamten Anwender- und Authentifizierungs-Lebenszyklus abdecken: von Rollout, Wartung und Kontowiederherstellung bis zum Off-Boarding-Prozess und dem Hinzufügen neuer Kanäle.
  • Flexibilität. Lösungen, die von Grund auf für die mobile und Online-Welt entwickelt wurden, sichern die nötige Flexibilität, um sich – ohne neue Lösungen implementieren zu müssen – an zukünftige technische Standards der Regulierungsbehörden anzupassen.
  • Kosteneffizienz. Durch Nutzung einer einzigen Authentifizierungsplattform für alle Authentifizierungsszenarien können Kunden schneller, effizienter und damit wirtschaftlicher bedient werden.
  • Vertrauen. Sobald ein sicherer Kanal zum Kunden verfügbar ist, wird die Einführung neuer digitaler Angebote und Services wesentlich erleichtern.

III. Schlüsselfertige PSD2-konforme Lösungen

1. Starke Authentifizierung mit dem Mobiltelefon

Die zuverlässige Identifikation und Authentifizierung von Anwendern über mobile und Online-Kanäle ist eine extrem komplexe Aufgabe. Durch den konstanten Wandel von Technologien und Anwenderverhalten entstehen fortlaufend veränderte Anforderungen. Die wenigsten Banken haben die Möglichkeit, selbst eine solche Lösung zu entwickeln und schauen sich nach schlüsselfertigen Angeboten am Markt um. Dabei stehen sie unter enormem Zeitdruck: Nicht erst zum offiziellen Stichtag am 14.09.2019, sondern sogar schon sechs Monate früher müssen die Banken ihre Lösung am Start haben. Ab dem 14.03.2019 sind sie nämlich verpflichtet, Kontoinformations- und Zahlungsauslösediensten eine angemessene Dokumentation der technischen Schnittstelle sowie eine entsprechende Testumgebung bereitzustellen.

Im Vergleich der schlüsselfertigen Lösungen, die in einer Mobile-first-Welt Sicherheit und Nutzerfreundlichkeit auf optimale Weise miteinander verbinden, kristallisiert sich ein Verfahren immer mehr als „State-of-the-Art“ heraus: Die Push-basierte Mobiltelefon-als-Token-Lösung für starke Authentifizierung. Die zentrale Rolle kommt dabei dem Mobiltelefon zu. Entersekt ist Pionier bei diesem Verfahren. Die schlüsselfertige, mit neuester Sicherheitstechnologie ausgestattete und einfach zu implementierende Lösung Transakt wird bereits seit Jahren erfolgreich von mehreren Millionen Anwendern in fast 50 Ländern verwendet. Sie hat sich bei der Abwehr unterschiedlichster Angriffsmethoden bewährt, darunter Phishing, Man-in-the-Middle- und Man-in-the-Browser-Attacken sowie Keylogging, Rufnummernportierung und SIM-Swap-Angriffe.

2. Wie funktioniert Transakt?

Über einen vom Browser komplett unabhängigen Out-of-Band-Kanal mit Ende-zu-Ende-Verschlüsselung kommunizieren Bank und Kunde dank Transakt in Echtzeit. Und beide können sich darauf verlassen, dass Authentifizierungsnachrichten und Signierungsanfragen bei Transaktionen immer aus einer vertrauenswürdigen Quelle stammen. Transakt kann problemlos in jede Mobile-Banking-App integriert werden und steht so innerhalb kürzester Zeit allen Kunden einer Bank als sichere und komfortable, PSD2-konforme Authentifizierungslösung zur Verfügung.

 

 VIDEOTIPP

PSD II – Auswirkungen auf Sonderbedingungen

 

 

3. Transaktion und Authentifizierung von ein und demselben Mobilgerät – sicher und PSD2-konform

Bei der Diskussion um mobile Bankgeschäfte steht ein Thema stets im Vordergrund: Die Sicherheitsfrage. Mit der starken Authentifizierung, wie sie von PSD2 gefordert wird, sollen Kunden in Zukunft besser geschützt werden. Vielfach wurde bislang argumentiert, dass Mobile-Banking nur mithilfe eines zweiten Gerätes zur Authentifizierung sicher sei. Dass es auch anders geht, zeigt die aktuelle Untersuchung der renommierten Bonner Security Research & Consulting GmbH (SRC). Sie bestätigt, dass eine Organisation mit der richtigen Technologie eine PSD2-konforme, starke Authentifizierung mit einem einzigen Gerät anbieten kann. Laut Abschnitt 3.2 des SRC-Berichts ist bei der Entersekt-Lösung „die sichere Kommunikation […] unabhängig vom restlichen Betriebssystem des mobilen Geräts. Dies ermöglicht die Implementierung getrennter sicherer Ausführungsumgebungen wie von der EBA RTS, Artikel 9, gefordert“.

Die RTS (Regulatory Technical Standards) der PSD2 erlauben die Verwendung von ein und demselben mobilen Gerät zur Zahlungsauslösung und anschließenden Authentifizierung, solange

  • die Software des Zahlungsdienstleisters (oder der Bank) auf diesem Gerät bestimmte Sicherheitsmaßnahmen wie eine vertrauenswürdige Ausführungsumgebung sowie Root-/Jailbreak-Erkennung nutzt,
  • eine Gerätebindung sichergestellt ist,
  • ein verschlüsselter Kanal für die Authentifizierungskommunikation zwischen dem Gerät und den Back-End-Servern des Dienstanbieters zur Verfügung steht, der vollständig vom Betriebssystem des Geräts getrennt ist.

Da die Entersekt-App Transakt nachweislich alle diese Maßnahmen nutzt, bietet die Software Banken eine ideale Sicherheitslösung. Mit Transakt benötigen Bankkunden kein zweites Gerät für eine starke Authentifizierung – sie brauchen nicht einmal eine zweite App.

 

 BUCHTIPP

Kontoführung & Zahlungsverkehr, 5. Aufl. 2017.

 

 

IV. Fazit

Wenn eine Bank als Wächter der Vermögenswerte ihrer Kunden in einer digitalisierten Welt wahrgenommen wird, verändert sich dadurch ihre strategische Position gegenüber Kunden und Drittanbietern. Die Bank bietet dann mehr als einen alltäglichen Standard-Service und wird zum Verwalter aller aktuellen und zukünftigen Vermögenswerte, welche Form diese auch haben mögen. Durch Services, die auf den Zugriff und das Management dieser Vermögenswerte fokussiert sind, untermauern Banken ihre Positionierung als wichtiger Bestandteil der Wertschöpfungskette. Banken schützen und erhalten ihre Kundenbeziehungen, während Drittanbieter zusätzliche Services bereitstellen.

Unter diesem Aspekt ist PSD2 nicht länger nur ein Kostentreiber. Stattdessen ist PSD2 eine Chance für Banken, ihr Leistungsversprechen auch in einer digitalen Welt der Zukunft zu unterstreichen. Banken, die diese Chance ergreifen, werden langfristig davon profitieren.

PRAXISTIPPS

  • Mobile-first: Die meisten Interaktionen mit Drittanbietern, die durch PSD2 möglich werden, erfolgen voraussichtlich über mobile Kanäle. Mobile Interaktion ist deshalb der Schlüssel für den Erfolg Ihrer Organisation.
  • Anstatt eine Kundeninteraktion bei der Authentifizierung zu vermeiden, sollten Sie die Authentifizierung als Chance begreifen: Jede Kundeninteraktion über Ihren SCA-Kanal stärkt das Vertrauen. Sobald PSD2 in Kraft ist, können viele neue Drittanbieter (TPPs) mit Ihren Anwendern interagieren, deshalb ist die Herstellung eines besonderen Vertrauensverhältnisses so wichtig.
  • Sicherheit ist für den Kunden selbstverständlich. Und dafür ist nicht er, sondern die Bank zuständig. Den Unterschied macht am Ende der Aspekt Nutzerfreundlichkeit. Nur Lösungen, die der Kunde liebt, werden sich am Ende durchsetzen.

Über Entersekt

Entersekt ist innovativer Anbieter von Mobile-first FinTech-Lösungen. Finanzdienstleister und Unternehmen entscheiden sich für die patentierte Entersekt Mobile-Identity- und Authentifizierungs-Technologie, um ihren Kunden über alle Service-Kanäle hinweg optimale Sicherheit bei gleichzeitig hoher Nutzerfreundlichkeit zu bieten. Weitere Informationen: www.entersekt.com

Prüfung von Vereinbarungen bei Auslagerungen

Aktuelle Anforderungen aus der MaRisk-Novelle 2017

Holger Aurisch, MBA, Bereichsdirektor MarktService/Prokurist | Recht & Compliance, Volksbank Breisgau Nord eG

Änderungen aus den MaRisk 2017

Die Aufsicht hat mit Rundschreiben 09/2017 die Anforderungen an das Outsourcing gegenüber der Fassung von 2012 deutlich konkretisiert und erweitert. So wurde beispielsweise klargestellt, dass die besonderen Funktionen des AT 4.4 nur unter bestimmten Konstellationen vollständig ausgelagert werden dürfen. Neu eingeführt wurde die Anforderung an ein zentrales Auslagerungsmanagement, sofern Art, Umfang und Komplexität der ausgelagerten Aktivitäten dies erfordern. Diese neue Funktion hat mindestens einen jährlichen Bericht über die wesentlichen Auslagerungen zu erstellen, in dem steht, ob die Qualität der erbrachten Dienstleistungen vertragskonform war und ob die Steuerung der Aktivitäten und Prozesse trotz Auslagerung möglich ist. Die Anforderungen an die Weiterverlagerung von Tätigkeiten wurden konkretisiert und im Zusammenspiel mit den Anforderungen aus den BAIT wurde das Thema Software als Auslagerung oder Fremdbezug geschärft.

BUCHTIPP

 

 Auslagerung nach MaRisk, 2018.

 

Dienstleistersteuerung: Aufsichtsrechtliches Übel oder betriebswirtschaftliche Pflicht?

Kennen Sie den Witz mit dem Vergleich der Fertigungstiefe von Automobilherstellern und derer von Banken? Demzufolge müssten die Autohersteller bei gleicher Fertigungstiefe wie Banken auch noch die Kühe züchten, aus denen das Leder für die Sitze gemacht wird. Diese Aussage ist nun auch schon einige Jahre alt und die Fertigungstiefe hat bei Banken in dieser Zeit sicher abgenommen, auch wenn die Eigenproduktion immer noch deutlich über der der Autohersteller liegt. Ob der Vergleich aber genau zutrifft oder nicht, der Grad der Professionalität bei der Dienstleistersteuerung ist gefühlt um ein Vielfaches höher als in der Bankbranche. Die modernen Produktionsprozesse mit just-in-time bzw. just-in-sequence Prozessen erfordern, dass der Hersteller in höchstem Maß sicherstellen muss, dass die vereinbarte Leistung in der vereinbarten Qualität zur richtigen Zeit am richtigen Ort vorhanden ist, sonst drohen Produktionsausfälle. Auch wenn die Bankprozesse diesen Reifegrad noch nicht erreicht haben, verwundert es doch nicht, dass die Aufsicht das Thema in der MaRisk-Novelle 2017 deutlich in den Vordergrund gestellt hat und den Aktivitäten der Dienstleistersteuerung deutlich mehr Beachtung in den Banken verschaffen will.

Soll dieser regulatorische Vorstoß nun also nur als Gängelei einer ohnehin schon stark und eng regulierten Branche verstanden werden, oder liegen in den neuen Anforderungen auch Chancen bzw. betriebswirtschaftliche Selbstverständlichkeiten? Um es vorweg zu nehmen: Die Steuerung von Dienstleistern ist eine Kernaufgabe im Qualitätsmanagement, denn ohne eine solche wird die Erreichung der erforderlichen Produkt- bzw. Dienstleistungsqualität nicht dauerhaft realisierbar sein, oder zu einem Zufallsergebnis verkommen.

Nähern wir uns der Fragestellung von der betriebswirtschaftlichen Seite wird ebenso klar, dass die Ansprüche an Effektivität und Effizienz von erworbenen Leistungen Dritter in einem angemessenen Verhältnis stehen müssen. Ansonsten handelt es sich um eine schlechte betriebswirtschaftliche Entscheidung. Es sollte also im ureigenen Interesse des Unternehmens liegen, dass sich die zuständigen Fachabteilungen mit ihren Dienstleistern intensiver befassen, als dies in der Vergangenheit der Fall war. Prüfungsseitige Grundlage ist neben dem generellen Auslagerungsprozess und dem Auslagerungsmanagement insbesondere der jeweilige Auslagerungsvertrag. Dieser kann in gewisser Weise auch das Machtgefüge zwischen Institut und Dienstleister widerspiegeln, nämlich anhand des Grades der bankseitig bestimmten und umgesetzten Individualisierungswünsche.

SEMINARTIPPS


Neue Pflichten für Dienstleister-Steuerung, 14.11.2018, Frankfurt/M.

Auslagerungsverträge auf dem Prüfstand, 15.11.2018, Frankfurt/M.

Prüfung Auslagerungsprozesse, 22.11.2018, Köln.

Auslagerungen im Fokus neuer MaRisk & BAIT, 10.–11.12.2018,
Frankfurt/M.

Der Auslagerungsvertrag

Kernelement der Dienstleistersteuerung ist der Auslagerungsvertrag. Im Gegensatz zu einem gewöhnlichen Vertrag zwischen zwei Unternehmen, z. B. über den Kauf von Produktionsmaterial in der Industrie, sind im bankgeschäftlichen Umfeld die in AT 9, Tz. 7 MaRisk geforderten Vereinbarungen aufzunehmen. Insbesondere ist auf den Einbezug folgender Inhalte zu achten:

  • Klare Spezifizierung der durch das Auslagerungsunternehmen zu erbringenden Leistungen und Definition von Leistungskriterien, um eine laufende Beurteilung der erbrachten Leistungen zu ermöglichen
  • Beachtung datenschutzrechtlicher Anforderungen (bei Altverträgen ggf. Update auf DSGVO) und Sicherheitsanforderungen
  • Festlegung von Kündigungsrechten und -fristen
  • Informationspflichten zu möglichen Beeinträchtigungen der ordnungsgemäßen Abwicklung der beauftragten Leistungen
  • Festlegung von Prüf- und Kontrollrechten der Internen Revision des Auftraggebers sowie externer Prüfer und Behörden der ausgelagerten Aktivitäten und Prozesse
  • Definition von Zustimmungsrechten für Weiterverlagerungen bzw. konkrete Voraussetzungen, welche das Auslagerungsunternehmen hierzu zu beachten hat.

Speziell dem erstgenannten Punkt kommt bei der Dienstleistersteuerung zentrale Bedeutung zu. Hier ist unbedingt darauf zu achten, dass sowohl im Vorfeld einer beabsichtigten Auslagerung als auch im laufenden Überwachungsprozess beurteilt wird, ob es sich um geeignete Kriterien handelt, um die Leistungsqualität dauerhaft sicherzustellen.

PRAXISTIPPS

  • Definieren Sie klare Verantwortlichkeiten im Auslagerungsmanagement.
  • Stellen Sie prozessual sicher, dass die Auslagerungsverträge regulatorischen und betriebswirtschaftlichen Anforderungen entsprechen.
  • Entwickeln Sie klare Kriterien zur Leistungsüberwachung im Rahmen der Dienstleistersteuerung.

Die Compliance-Management-Erklärung als Verhaltenskodex im Sinne der MaRisk 6.0

Dr. Henning v. Sethe, Leiter Stab Compliance/Geldwäsche Volksbank Ulm-Biberach eG

Die BaFin hat mit Schreiben vom 27.10.2017 (Rundschreiben 9/2017 BA) ihr Verständnis von Mindestanforderungen an das Risikomanagement überarbeitet und die Neufassung der MaRisk veröffentlicht. Sie hat die Kreditinstitute zugleich aufgefordert, die neuen Anforderungen bis zum 31.10.2018 umzusetzen.

In AT 4.4.2 (Compliance-Funktion) ergaben sich zwar keine Neuerungen. Nach wie vor heißt es dort nur recht allgemein, dass „die Compliance-Funktion (…) auf die Implementierung wirksamer Verfahren zur Einhaltung der für das Institut wesentlichen rechtlichen Regelungen und Vorgaben und entsprechender Kontrollen hinzuwirken“ hat. Neu ist aber eine zusätzliche Vorgabe für die internen Organisationsrichtlinien in AT 5:

AT 5 Tz. 3 Die Organisationsrichtlinien haben vor allem Folgendes zu beinhalten:

(…)

g. abhängig von der Größe des Instituts sowie der Art, dem Umfang, der Komplexität und dem Risikogehalt der Geschäftsaktivitäten, einen Verhaltenskodex für die Mitarbeiter.

Was ist mit diesem Verhaltenskodex gemeint und kann eine evtl. schon bei der Bank im Einsatz befindliche Compliance-Management-Erklärung diesen Verhaltenskodex ersetzen?

Im Begleitschreiben zum Konsultationsentwurf für die neuen MaRisk hat die BaFin im Februar 2016 darauf hingewiesen, dass sie es als Teil der Gesamtverantwortung der Geschäftsleiter sehen für eine ordnungsgemäße Geschäftsorganisation zu sorgen sowie künftig eine angemessene Risikokultur innerhalb des Instituts zu entwickeln, zu integrieren und zu fördern. Sie hat daher in die neuen MaRisk auch in AT 3 Tz. 1 einen neuen Satz 4 zur Verantwortung der Geschäftsleiter aufgenommen: „Hierzu zählt auch die Entwicklung, Förderung und Integration einer angemessenen Risikokultur innerhalb des Instituts und der Gruppe.“ Diese Anforderung hat ihren Ursprung im Erwägungsgrund 54 der Capital Requirements Directive IV, wonach die Institute Grundsätze und Standards einführen sollen, die eine wirksame Kontrolle von Risiken durch die Leitungsorgane gewährleisten. Diese Grundsätze sollen, als Teil eines wirksamen Risikomanagements, eine solide Risikokultur auf allen Unternehmensebenen fördern. Auch die EBA Leitlinien zu gemeinsamen Verfahren und Methoden für den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) erwarten eine Überprüfung der Risikokultur der Institute durch die zuständige Aufsichtsbehörde und setzen damit voraus, dass Institute eine angemessene Risikokultur als Teil ihres Risikomanagements implementiert haben. Vorfälle, wie die zahlreichen Verfehlungen im Investmentbanking der Deutschen Bank mit einem offenbar grundsätzlichen Moralproblem, werden der Aufsicht hierzu ausreichend Veranlassung gegeben haben.

Der BaFin ist es daher, wie sie im Anschreiben zur Veröffentlichung der neuen MaRisk im Oktober 2017 schreibt, wichtig, dass sich die Institute zukünftig stärker mit dieser Thematik auseinandersetzen und für sich definieren, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht. Sie fordert deshalb die Führungsebenen in den Instituten auf, ihre Mitarbeiter auf gemeinsame Werte und Praktiken einzuschwören und den kritischen Dialog über die mit den Geschäften verbundenen Risiken zu fördern. In diesem Zusammenhang sieht die BaFin den in AT 5 geforderten Verhaltenskodex – neben dem „Vorleben“ dessen, was die Geschäftsleitung wünscht, durch diese selbst – als wertvollen Beitrag dazu sicherzustellen, dass tatsächlich nur solche Geschäfte abgeschlossen und nur solche Geschäftspraktiken an den Tag gelegt werden, die von der Geschäftsleitung als zulässig bzw. wünschenswert deklariert wurden.

 

Bei der Umsetzung dieser neuen Anforderung zur Aufstellung eines Verhaltenskodex kann von den Instituten je nach Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten unterschiedlich gehandelt werden. Die BaFin sieht selbst, dass ein Verhaltenskodex bei größeren Instituten mit weiter verzweigten Geschäftsaktivitäten, wie eben z. B. der Deutschen Bank, ein sinnvolles Instrument ist, bei kleineren Instituten jedoch oftmals die persönliche Ansprache der Mitarbeiter durch die Führungskräfte des Instituts das direktere und im Zweifel auch effektivere Mittel ist, die Mitarbeiter auf die gemeinsamen Werte und Ziele einzuschwören. Bei kleineren Instituten mit weniger komplexen Aktivitäten sieht sie sogar einen solchen Kodex für verzichtbar an. Die BaFin hat hier sogar überraschenderweise Verständnis für reale Praxisprobleme und äußert sich dahingehend, dass Institute dann, wenn sie sich auf die persönliche Ansprache beschränken, hierfür keine entsprechende Dokumentation vorhalten müssten.

Die BaFin erwartet also von den Banken, dass diese den kritischen Dialog innerhalb der Bank fördern und ein offenes und kollegiales Führungskonzept installieren. Mitarbeiter sollen dazu motiviert werden, sich entsprechend dem Wertesystem und dem Verhaltenskodex zu verhalten und innerhalb der festgelegten Risikotoleranzen zu agieren. Sie sollen aber auch Überzeugungsarbeit dafür leisten, dass ethisch und ökonomisch wünschenswertes Verhalten nicht nur durch finanzielle Anreize vermittelt wird.

Der Leitfaden MaRisk des BVR in der Version vom 21.02.2018 gibt hierzu wenig umsetzbare Empfehlungen ab. Handlungsbedarf wird den Verhaltenskodex betreffend nur für systemrelevante Banken gesehen. Wichtig sei, dass die in dem Institut gelebte Praxis der Geschäftstätigkeit und Managemententscheidungen die selbst definierte Risikokultur in konsistenter Weise widerspiegelt. Im Übrigen werden die Ausführungen der BaFin wiederholt. Inhaltlich wird nur darauf verwiesen, dass in einem Verhaltenskodex beschrieben werden sollte, welche Geschäfte, Verhaltensweisen und Praktiken letztlich als wünschenswert angesehen werden und welche nicht.

Wenn wir von diesem zentralen Satz in der BaFin-Verlautbarung ausgehen („welche Geschäfte, Verhaltensweisen und Praktiken sind wünschenswert“) und ihn darum ergänzen, was die BaFin zum Führungsstil innerhalb des Instituts geschrieben hat („Förderung des kritischen Dialogs“, „offenes und kollegiales Führungskonzept“) und auch ethische Werte verankert sehen möchte („Wertesystem“), so sind dies alles typische Gegenstände einer Compliance-Management-Erklärung (CME) mit den Bausteinen

  • Toleranz und Respekt
  • Verantwortung und Nachhaltigkeit
  • Risiko- und Fehlerkultur sowie offene Kommunikation
  • Integrität durch Einhalten von Bestimmungen
  • Offenlegung von Interessenkonflikten
  • Fairness

und lassen dann, wenn dies einmal so gelebt wird, zusätzliche Inhalte einer CME wie Hinweise auf das Hinweisgebersystem sowie Einhaltung von Datenschutz- und Geldwäschebestimmungen als bloße Formalia für die aufsichtliche Prüfung überflüssig werden:

Toleranz und Respekt sind für eine offene Führungskultur wie auch für eine moderne Fehlerkultur wesentlich. Wer anderen Wertschätzung entgegen bringt, macht es leicht, Fehlentwicklungen zu kommunizieren. Ein Klima der Angst dagegen und blinder Erfolgsdruck führt dagegen, wie man es wohl bei einem großen Autobauer annehmen kann, zu Kommunikationshindernissen, die für ein Unternehmen gefährlich werden können.

SEMINARTIPPS

 

 Compliance-Tagung 2018, 14.–15.11.2018, Berlin.

WpHG und MaComp AKTUELL!, 26.11.2018, Frankfurt/M.

 

Verantwortung und Nachhaltigkeit bedeuten, sich nicht auf kurzfristige Erfolge zu konzentrieren, sondern mit den Kunden und den Mitarbeitern langfristig zusammenzuarbeiten und für alle dauerhafte Mehrwerte zu schaffen. Hier kann unter Umständen auch gefordert werden, dass umweltpolitische und soziale Folgen von Handlungen bedacht werden.

Es sollte Aufgabe aller Führungskräfte sein, eine Leitkultur zu schaffen, die eine offene Kommunikation und einen kritischen Dialog ermöglicht, klare Verantwortlichkeiten der Mitarbeiter festlegt, Verstöße konsequent ahndet und angemessene Anreizstrukturen schafft. Dann sind die Grundlagen für eine gesunde Risiko- und Fehlerkultur geschaffen.

Integrität bedeutet das Einhalten von externen wie internen Bestimmungen und zwar auch dann, wenn ein Verstoß für die Bank von wirtschaftlichem Vorteil sein könnte, aber auch die Abkehr von persönlicher Bereicherung oder Nutzung von Informationen zum eigenen privaten Vorteil.

Die Offenlegung von Interessenkonflikten hängt mit der Integrität zusammen, fordert aber zusätzlich aktives Handeln und die Anzeige von solchen Konflikten gegenüber Compliance oder einer anderen benannten Stelle in der Bank, und sollte auch so formuliert werden, dass bereits der Anschein eines Interessenkonflikts vermieden werden sollte.

Fairness ist gegenüber Kunden wie gegenüber Mitarbeitern zu wahren und geht über das Erfordernis der Integrität insoweit hinaus, als ein ethisches Verhalten gefordert wird. Es geht um partnerschaftliches Verhalten anderen gegenüber in der Geschäftsverbindung wie in der Führung von Mitarbeitern oder Mitarbeitern untereinander.

Zu ergänzen wäre eine entsprechende CME ggf. um konkretere Aussagen zur Risikostrategie, da die BaFin ausdrücklich angesprochen hat, dass die Mitarbeiter „innerhalb der festgelegten Risikotoleranzen agieren“ sollen. Hier sollte nicht nur zusätzlich auf die internen Richtlinien zum Kredit- bzw. Eigengeschäft verwiesen werden, sondern auch auf die Risikostrategie des Instituts. Damit werden beide Leitplanken, die ein Institut für das Handeln der Mitarbeiter im unmittelbaren banktypischen Risikobereich vorhält, ausdrücklich hervorgehoben.

Eine im Unternehmen bereits vorhandene Compliance-Management-Erklärung kann daher – eventuell nach Ergänzung um Punkte zur Risikokultur – zugleich den von der BaFin mit der MaRisk-Novelle geforderten Verhaltenskodex darstellen. Die Schaffung einer solchen CME empfiehlt sich auch für kleinere Banken. Bei diesen muss sie zwar nicht schriftlich vorliegen, aber allein die Befassung mit der Formulierung einer entsprechenden Erklärung wird der Geschäftsleitung oft erst verdeutlichen, welche Werte und Verhaltensweisen sie wünscht, welche Geschäfte und Praktiken sie von sich und den Mitarbeitern fordern will und darüber nachdenken lassen, ob der Führungsstil innerhalb des Instituts dem entspricht, was die BaFin erwartet. Und dann kann sie dazu dienen, bei der Kommunikation in das Institut hinein behilflich zu sein und auch später wieder als Leitfaden herangezogen werden. Bei mittelgroßen Banken kann sie wiederum – im Sinne der hier von der BaFin zugelassenen Differenzierung – so eingesetzt werden, dass die Führungskräfte sich auf die CME verpflichten müssen und anschließend an ihre Mitarbeiter im Wege der persönlichen Ansprache weitergeben.

PRAXISTIPPS

  • Haben Sie bisher weder einen Verhaltenskodex noch eine Compliance-Management-Erklärung sollten Sie in Diskussion mit Ihrer Geschäftsleitung ein solches Papier formulieren, auch wenn hierfür nach Ihrer Unternehmensgröße und/oder dem Risikogehalt der Geschäfte Ihres Hauses dafür keine zwingende Notwendigkeit besteht.
  • Haben Sie bereits eine Compliance-Management-Erklärung, dann ergänzen Sie diese ggf. um Verweise auf die hohe Bedeutung der Einhaltung der internen Richtlinien zum Kredit- bzw. Eigengeschäft und die Risikostrategie des Instituts und bezeichnen Sie die Erklärung zugleich als Verhaltenskodex im Sinne von MaRisk AT 5.

Prüfung von Auslagerungen durch die Interne Revision

Jan H. Meyer im Hagen, CIA Director Interne Revision der Sparkasse Paderborn-Detmold