Bußgeld-Bilanz ein Jahr DSGVO



Erkenntnisse aus der Bußgeldpraxis nach neuer Datenschutzgrundverordnung.

Thomas Göhrig, Beauftragter für Informationssicherheit und Datenschutz, FCH Compliance GmbH,

Dr. Dorothea Baranyai, Datenschutzberaterin.

I. Rechtliche Rahmenbedingungen

Der Begriff „Verletzung des Schutzes personenbezogener Daten“ wird in Art. 4 Nr. 12 der Datenschutzgrundverordnung (DSGVO) definiert als „eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“.

Neben den häufig in diesem Zusammenhang postulierten Hacker-Angriffen oder rechtswidriger Datenverarbeitungen intransparenter Großunternehmen wie Google, Facebook & Co. stellen somit auch unbeabsichtigte Handlungen einen Datenschutzverstoß dar. Gerade in mittelständischen Unternehmen stellen versehentliche Verstöße im Alltag die häufigere Problemquelle dar.

Eine der wesentlichen Neuerungen der DSGVO sind abschreckende Sanktionen bei Verstößen. Waren bisher Bußgelder bis zu 300.000 € möglich, sind sie es nun bis zu 20 Mio. €. Genauer gesagt, sind abgestufte Bußgelder je nach Verstoß von

  • maximal 10 Mio. € bzw. zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (Art. 83 Abs. 4 DSGVO) oder
  • maximal 20 Mio. € bzw. vier Prozent des Jahresumsatzes (Art. 83 Abs. ...

    Weiterlesen?


    Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

    Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

    Anmeldung/Registrierung

    Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Neue Aufgaben der IT-Revision durch die Digitalisierung



Die Interne Revision stellt sich neuen Risiken und Chancen

Michaela Duda, Revisorin, Schwerpunkt IT, Berliner Sparkasse

           

Kerstin Klimek, Revisorin, Schwerpunkt IT, Berliner Sparkasse

   

       

Stefanie Majunke, Prüfungsleiterin, Schwerpunkt IT, Berliner Sparkasse

           

I. Einleitung

Das Schlagwort Digitalisierung scheint in vielen Arbeitsbereichen omnipräsent. Ob Heilsbringer, Kostentreiber, Segen oder Fluch – klar ist, die (Arbeits-)Welt verändert sich durch neue Technologien wie Künstliche Intelligenz, Cloud Computing, Big Data und Social Media rasend schnell und stellt Unternehmen und nahezu jeden einzelnen Mitarbeiter vor neue Herausforderungen.

Im Jahr 1994 machte Bill Gates die vielzitierte Aussage „Banking is necessary, banks are not“[1]. Die damals wohl provokativ gemeinte Aussage gewinnt heute durch die Digitalisierung immer mehr an Bedeutung. Neue Marktteilnehmer dringen in die Finanzindustrie vor, beispielsweise ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Meldewesendaten als wesentliche Bemessungsgrundlage für den SREP



Verschärfter Fokus der Aufsicht auf die Datenqualität von Meldewesen-Daten im SSM und daraus resultierende Folgen im SREP

Sonja, Olivier, Spezialistenteam Aufsichtsrecht/Meldewesen, AWADO GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft

I. Bedeutung der Datenqualität im Rahmen des Meldeprozesses im Single Supervisory Mechanism (SSM)

Der Single Supervisory Mechanism (SSM) wurde zur Sicherstellung einer einheitlichen Aufsicht sowie zur Stärkung der Stabilität und Sicherheit des europäischen Bankensektors gegründet[1]. Während die Europäische Zentralbank (EZB) für die direkte Aufsicht bedeutender Institute (SIs) und die übergeordnete Systemüberwachung verantwortlich ist, wird die Bankenaufsicht weniger bedeutenden Institute (LSI) durch die nationalen Zentralbanken (NZB) erfüllt. Hinsichtlich der LSI erfolgt anhand der Vorgaben von einheitlichen Aufsichtspraktiken und Leitlinien eine indirekte Aufsicht durch die EZB.

Kreditinstitute unterliegen im SSM einer Vielzahl von Anzeigepflichten sowie aufsichtsrechtlicher Meldeanforderungen, die sich aus nationalen und europäischen Rechtsgrundlagen begründen. Die Einreichung der Meldungen erfolgt über die nationale Zentralbank. Diese werden an die EZB und für die von der EBA Decision 2015/130 betroffenen Institute an die European Banking Authority (EBA) weitergeleitet. Jede Instanz führt unterschiedliche, ihren Aufgabenbereich betreffende Validierungs- und Vollständigkeitsüberprüfungen der Meldedaten durch, sodass die Meldungen, die fehlerfrei bei der nationalen Zentralbank eingereicht wurden, bei einer darauffolgenden Instanz zu Validierungsfehlern führen können

Prozessprüfung und agree21Vorgang



Michael Claaßen, Bereichsleiter, Interne Revision, Volksbank Marl-Recklinghausen eG.

I. Grundlagen

Innerhalb des genossenschaftlichen Bereiches werden seit einiger Zeit die Banken, die in der Vergangenheit das Kernbankverfahren bank21 genutzt haben, auf das Kernbankverfahren agree21 migriert. Das Kernbankverfahren führt zur Implementierung neuer Prozesse. Die risikomanagementgestaltenden Softwarelösungen für die aufsichtsrechtlichen Anforderungen werden in den betroffenen Banken somit neugestaltet. So werden nach AT 4.3.1 Tz. 2 der MaRisk die Prozesse und die damit verbundenen Aufgaben, Kompetenzen, Kontrollen und teils auch Kommunikationswege softwarebasiert neu geordnet. Berechtigungen und Kompetenzen sind dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) in agree21 neu zu vergeben. Zur Administration gehört weiterhin der Institutskennsatz (IKESA), der die Parametrisierung wesentlicher Vorgaben beinhaltet.

Eine der wesentlichen Stärken des Kernbankverfahrens stellt die Vorgangssteuerung dar. Für die einzelnen Geschäftsaktivitäten können Vorgänge genutzt werden. Diese können einen Standard definieren. Es ergibt sich ein Workflow, der die einzelnen Prozessschritte mit teils unterschiedlichen Aufgabenträgern, der Nutzung von Formularen und Checklisten sowie systembasierten Kontrollroutinen beinhalten kann. Notwendige Aufgaben können in der Aufgabenliste eines Mitarbeiters erzeugt werden. Ein Eskalationsverfahren und ein Prozesscontrolling sind wichtige Komponenten im Rahmen dieses Prozessmanagements. Vorgänge werden über eine bankindividuelle Menüstruktur (BIM) aufgerufen. Diese BIM kann für unterschiedliche Verteiler, wie Markt oder Marktfolge ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Linksammlung Handreichung der deutschen Datenaufsichtsbehörden

Übersicht über die von den deutschen Aufsichtsbehörden bereitgestellten Auslegungs- und Orientierungsschreiben, sowie Musterdokumenten.

Christian Maull, Datenschutzbeauftragter, Compliance, TeamBank AG

Die Vielzahl an Quellen und Auslegungen zu datenschutzrechtlichen Themen in Deutschland ist immens. Unzählige Fachbücher oder -artikel sowie Kommentare zur DS-GVO und dem BDSG befassen sich mit den verschiedensten Fragestellungen. Für Datenschutzbeauftragte ist es hierbei nicht immer leicht, den Überblick über die verschiedenen, teils voneinander abweichenden Auffassungen der Literatur oder der Aufsichtsbehörden zu behalten. Nachfolgend sind die aktuellen Handreichungen und Orientierungshilfen der deutschen Datenschutzaufsichtsbehörden, Stand August 2019, aufgelistet, um Ihnen einen schnellen Überblick zu ermöglichen. Die Auflistung ist als nicht abschließend zu betrachten.

SEMINARTIPP

Datenschutz Kompakt, 21.11.2019, Frankfurt/M.

 

 

 

BUCHTIPP

Duncker/Hallermann/Maull (Hrsg.), Bearbeitungs- und Prüfungsleitfaden: Neues Datenschutzrecht, 2019.

 

 

 FORUM Logo   

 

 

Thema Link Datum Veröffentlicht durch
Akkreditierung gem. Art 43 DSGVO i. V. m. DIN EN ISO/IEC 17065 https://www.datenschutzkonferenz-online.de/media/ah/20180828_ah_
DIN17065-Ergaenzungen-full-V10-final_V3_DSK.pdf
2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Akkreditierungsprozess gem. Art. 42, 43 DSGVO https://www.datenschutzkonferenz-online.de/media/oh/20190315_oh_akk_c.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Amtssprache https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Amtssprache.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
App-Entwicklunger und -Anbieter https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/oh_app.pdf 2014 Düsseldorfer Kreis – Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
Arzt- und Zahnarztpraxen FAQs https://datenschutz-hamburg.de/assets/pdf/Datenschutz_Arztpraxis.pdf 2019 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Arztbewertungsportale https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/
Leitlinien_Arztbewertung_final.pdf
2013 Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Arztpraxen – Rechtsgrundlage für die Verarbeitung personenbezogener Daten https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Rechtsgrundlage_der_Verarbeitung.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Arztpraxen FAQs https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/07/
FAQ-Datenschutz-in-der-Arztpraxis-Stand-18.07.2018.pdf
2018 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Arztpraxis – Praxisübergabe, -nachfolge https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Praxis%C3%BCbergabe_Arztpraxis.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auftragsverarbeitung – Musterübersicht über Verarbeitungstätigkeiten https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_muster_auftragsverarbeiter.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Auftragsverarbeitung – Orientierungshilfe des BayLfD https://www.datenschutz-bayern.de/technik/orient/oh_auftragsverarbeitung.pdf 2019 Der Bayerische Landesbeauftragte für den Datenschutz
Auftragsverarbeitung Abgrenzung https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Abgrenzung_Auftragsverarbeitung.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auftragsverarbeitung Arztpraxis https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Auftragsverarbeitung_Arzt.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auftragsverarbeitung Hosting statischer Websites https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Hosting_keine_Auftragsverarbeitung.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auftragsverarbeitung nach der DS-GVO https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/06/
Auftragsdatenverarbeitung-DS-GVO.pdf
2018 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Auftragsverarbeitungsvertrag Formerfordernisse https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_ADV_Formerfordernis.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auftragsverarbeitungsvertrag Formulierungshilfe https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/Formulierungshilfe-
Auftragsverarbeitungsvertrag%20nach%20DSGVO_0.pdf
Der Hessische Datenschutzbeauftragte
Auskunfteien https://www.lda.bayern.de/media/veroeffentlichungen/Auskunfteien_Fragen_und_Antworten.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Auskunftsrecht im Bayerischen Datenschutzgesetz https://www.datenschutz-bayern.de/3/auskunftsrecht.pdf 2017 Der Bayerische Landesbeauftragte für den Datenschutz
Berliner Datenschutzgesetzt (BlnDSG) https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/
informationsmaterialien/2018-BlnBDI_BlnDSG.pdf
2018 Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Beschäftigtendatenschutz Ratgeber https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/
Ratgeber-Besch%C3%A4ftigtendatenschutz.pdf
2019 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Betroffenenrechte Erläuterungen der LDA Brandenburg https://www.lda.brandenburg.de/media_fast/4055/Infoblatt_Betroffenenrechte.pdf 2018 Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Betroffenenrechte Erläuterungen des LfDI BW https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/03/
Betroffenenrechte.pdf
2019 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Bilddatenverarbeitung per Software https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/Schutzprofil.pdf 2007 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Bundesamt für Sicherheit in der Informationstechnik
Biometrische Analyse https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_positionspapier_biometrie.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Biometrische Authentisierung https://lfd.niedersachsen.de/download/60599/Orientierungshilfe_Biometrische_
Authentisierung_AK_Technik_.pdf
2009 Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Bodycams https://www.datenschutzkonferenz-online.de/media/oh/20190222_oh_bodycams.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Broschüre Datenschutz bei der Polizei https://www.datenschutz-bayern.de/0/Broschuere_Polizei.pdf Der Bayerische Landesbeauftragte für den Datenschutz
Broschüre Datenschutz im Krankenhaus https://www.datenschutz-bayern.de/0/Broschuere_Krankenhaus.pdf Der Bayerische Landesbeauftragte für den Datenschutz
Broschüre Datenschutz im Rathaus https://www.datenschutz-bayern.de/0/Broschuere_Rathaus.pdf Der Bayerische Landesbeauftragte für den Datenschutz
Broschüre Datenschutz in Schulen https://www.datenschutz-bayern.de/0/Broschuere_Schule.pdf Der Bayerische Landesbeauftragte für den Datenschutz
Bußgeldverfahren – Ablaufbeschreibung https://www.tlfdi.de/mam/tlfdi/ablauf_bussgeldverfahrens.pdf Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Checkliste DS-GVO für KMUs https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Checkliste_
KMU_DS-GVO_v3.pdf
2018 Der Sächsische Datenschutzbeauftragter
Cloud Computing https://www.datenschutzkonferenz-online.de/media/oh/20141009_oh_cloud_computing.pdf 2014 Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises
Dashcams https://www.datenschutzkonferenz-online.de/media/oh/20190128_oh_positionspapier_dashcam.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Data Warehouse und Data Mining im öffentlichen Bereich https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/dwh.pdf 2002 Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Der Landesbeauftragte für den Datenschutz und das Recht auf Akteneinsicht Brandenburg
Datenhandel https://www.datenschutzzentrum.de/uploads/blauereihe/blauereihe-kontodatenhandel.pdf 2009 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
Datenpannenmeldung https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/merkblatt_
datenpannen_lfdiberlin.pdf
2014 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Datenschutzbeauftragte in Behörden oder Betrieben https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/content-downloads/Der%20beh%C3%
B6rdliche%20und%20betriebliche%20Datenschutzbeauftragte.pdf
2017 Der Hessische Datenschutzbeauftragte
Datenschutzbeauftragter – Bestellpflicht https://www.lda.brandenburg.de/media_fast/4055/InfoblattDatenschutzbeauftragter.pdf 2018 Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Datenschutzbeauftragter Bestellpflicht https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/Beschluss-zur-
DSB-Bestellpflicht-bei-Arztpraxen-Apotheken-und-sonstigen-Angehrigen-eines-Gesundheitsberufs.pdf
2018 Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Datenschutzbeauftragter Bestellungspflicht https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Bestellpflicht
_von_DSB_wegen_staendiger_Beschaeftigung.pdf
2019 Bayerisches Landesamt für Datenschutzaufsicht
Datenschutzbeauftragter in Arztpraxen https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_DSB_im_medizinischen_Bereich.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Datenschutzbeauftragter in Schulen https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/
Besondere_Hinweise_zum_schulischen_Datenschutzbeauftragten.pdf
2017 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Datenschutzgerechte Nutzung von E-Mail und anderen Internetdiensten am Arbeitsplatz https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_ZurDatenschutzgerechtenNutzung
VonEMailUndAnderenInternetdienstenAmArbeitsplatz.pdf?__blob=publicationFile&v=5
2016 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Datenschutzmanagement in bayerischen öffentlichen und privaten Krankenhäusern https://www.datenschutz-bayern.de/2/kh_leitfaden_datenschutzmanagement.pdf 2018 Der Bayerische Landesbeauftragte für den Datenschutz Bayerisches Landesamt für Datenschutzaufsicht
Datenträgervernichtung – Ermittlung des Schutzbedarfs https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/vernichtung.pdf 2014 Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Datenverarbeitung im Fahrzeug – Mustertext VDA https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_vda_mustertext.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Dokumentenmanagementsysteme https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/oh_dms.pdf 2006 Arbeitsgruppe des Arbeitskreises eGovernment der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Dortmunder Entwicklungsscreening für den Kindergarten (DESK) https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/desk.pdf 2011 Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Drahtlose Netze https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/oh_wlan.pdf 2005 Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
DSFA – Liste der Verarbeitungstätigkeiten https://www.datenschutzkonferenz-online.de/media/ah/20181017_ah_DSK_DSFA_
Muss-Liste_Version_1.1_Deutsch.pdf
2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 1 – Verzeichnis von Verarbeitungstätigkeiten https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 10 – Informationspflichten https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_10.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 11 – Recht auf Löschung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_11.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 12 – Datenschutzbeauftragte https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_12.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 13 – Auftragsverarbeitung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 14 – Beschäftigtendatenschutz https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 15 – Videoüberwachung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_15.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 16 – Gemeinsame Verantwortlichkeit https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_16.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 17 – Besondere Kategorien personenbezogener Daten https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_17.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 18 – Risiko für die Rechte und Freiheiten https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 19 – Unterrichtun und Verpflichtung von Beschäftigten auf den Datenschutz https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 2 – Befugnisse der Aufsicht / Sanktionsmöglichkeiten https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_2.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 20 – Einwilligung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_20.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 3 – Werbung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_3.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 4 – Datenübermittlung in Drittländer https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_4.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 5 – Datenschutz-Folgenabschätzung https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_5.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 6 – Auskunftsrecht https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_6.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 7 – Marktortprinzip https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_7.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 8 – Maßnahmenplan “DS-GVO” https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_8.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
DSK Kurzpapier Nr. 9 – Zertifizierung nach Art. 42 DSGVO https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_9.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
eGovernment https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/dsb_info_egovernment.pdf Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
E-Mail und Internetdienste am Arbeitsplatz https://www.datenschutzkonferenz-online.de/media/oh/201601_oh_email_und_internetdienste.pdf 2016 Düsseldorfer Kreis – Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich
E-Mail-Versand Patientenunterlagen Verschlüsselung https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Zip.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Facebook Fanpages https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen_
Datenschutzkonferenz/Inhalt/Entschliessungen_zwischen_den_Konferenzen/20180905_Beschluss-der-
DSK-zu-Facebook-Fanpages/05_09_18-Facebook-Fanpages.pdf
2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Facebook Muster-Datenschutzerklärung https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Muster_Datenschutzerklaerung_Facebook.pdf 2016 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Fernwartung von IT-Systemen https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/hinweise_fernwartung.pdf Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Fotografien https://www.lda.brandenburg.de/media_fast/4055/RechtlicheAnforderungenFotografie.pdf 2018 Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Fotografien bei Schulaufnahmeveranstaltungen https://www.saechsdsb.de/images/stories/sdb_inhalt/behoerde/oea/SPR-0121858-Pressemitteilung-
wegen-Fotografien_rs.pdf
2018 Der Sächsische Datenschutzbeauftragter
Fotografien im Verein https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Bilder_und_Verein.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Fotografien und Videoaufnahmen in der Kindertageseinrichtung https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/publikationen/informationsmaterialien/
2018-BlnBDI_Flyer_Datenschutz_Inhalt_Web.pdf
2018 Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Fotografieren FAQs https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/09/FAQ-Fotografieren-und-DS.pdf 2018 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Gerichtsvollzieher https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/OH_Gerichtsvollzieher.pdf?
__blob=publicationFile&v=2
2004 Arbeitskreis Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Google Analytics Orientierungshilfe https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/oh_google-analytics.pdf 2017 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Google Streetview Muster-Widerspruch https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/google_streetview_widerspruch.rtf Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Hambacher Erklärung zur Künstlichen Intelligenz https://www.ldi.nrw.de/mainmenu_Service/submenu_Entschliessungsarchiv/Inhalt/Entschliessungen
_Datenschutzkonferenz/Inhalt/97_Konferenz/Hambacher-Erklaerung/20190405_Hambacher_Erklaerung.pdf
2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Hamburgisches Datenschutzgesetz (HmbDSG) https://datenschutz-hamburg.de/assets/pdf/HmbDSG_neu.pdf 2018 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Hotelgewerbe https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/Datenschutz_Hotel.pdf 2013 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Identitätsmanagement https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/id-mgt.pdf 2008 Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Informationspflichten https://www.lda.brandenburg.de/media_fast/4055/InfoblattInformationspflichten.pdf 2018 Die Landesbeauftragte für Datenschutz und Akteneinsicht Brandenburg
Informationspflichten im Verein https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Informationspflicht_im_Verein.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Informationspflichten Online-Shops, ausländische Kunden https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_Informationspflichten_Sprache.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Informationspflichten Telefonanruf https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_InformationspflichtenTelefon.pdf 2019 Bayerisches Landesamt für Datenschutzaufsicht
Informationssicherheit für deutsche Passbehörden https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/passbeh.pdf 2008 Bundesamt für Sicherheit in der Informationstechnik
Insolvenzdatenveröffentlichung https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/
veroeffentlichung_von_insolvenzdaten.pdf
2017 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Kameradrohnen https://www.datenschutzkonferenz-online.de/media/oh/20190116_oh_positionspapier_kameradrohnen.pdf 2019 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder
Kommunale Vertretungsorgane https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/oh_kommu.pdf 2003 Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Kommunalverwaltung – Best-Practice-Empfehlungen https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Publikationen/Kommunalprojekt/
BPE_DSM_Kommunalverwaltung_final_Stand_20170620_mit_Anlagen_und_internen_Links.pdf
2017 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Krankenhausinformationssysteme https://www.datenschutz-bayern.de/technik/orient/oh-kis.pdf 2014 Arbeitskreise Gesundheit und Soziales sowie Technische und organisatorische Datenschutzfragen der Konferenz der Datenschutzbeauftragten des Bundes und der Länder
Kryptografische Verfahren https://www.bfdi.bund.de/DE/Infothek/Orientierungshilfen/Artikel/
OHEinsatzKryptografischerVerfahren.pdf?__blob=publicationFile&v=5
2003 Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
Leistungsbewertungen in der Schule https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/leistung.pdf Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Leitlinien für die Anwendung und Festsetzung von Geldbußen https://www.datenschutzkonferenz-online.de/media/wp/20171003_wp253.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp244_rev01.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde – Anhang https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp244_rev01_anhang.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten https://www.datenschutzkonferenz-online.de/media/wp/20180206_wp250_rev01.docx 2018 Art. 29-Datenschutzgruppe
Leitlinien für Transparenz https://www.datenschutzkonferenz-online.de/media/wp/20180411_wp260_rev01.docx 2018 Art. 29-Datenschutzgruppe
Leitlinien in Bezug auf Datenschutzbeauftragte https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp243_rev01.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien in Bezug auf die Einwilligung https://www.datenschutzkonferenz-online.de/media/wp/20180410_wp259_rev01.pdf 2018 Art. 29-Datenschutzgruppe
Leitlinien zu automatisierten Einzelfallentscheidungen, inkl. Profiling https://www.datenschutzkonferenz-online.de/media/wp/20180206_wp251_rev01.docx 2018 Art. 29-Datenschutzgruppe
Leitlinien zu Binding Corporate Rules https://www.datenschutzkonferenz-online.de/media/wp/20180419_wp256_rev01.pdf 2018 Art. 29-Datenschutzgruppe
Leitlinien zu Binding Corporate Rules https://www.datenschutzkonferenz-online.de/media/wp/20180416_wp263_rev01.pdf 2018 Art. 29-Datenschutzgruppe
Leitlinien zu Binding Corporate Rules https://www.datenschutzkonferenz-online.de/media/wp/20180419_wp264.docx 2018 Art. 29-Datenschutzgruppe
Leitlinien zu Processor Binding Corporate Rules https://www.datenschutzkonferenz-online.de/media/wp/20180206_wp257_rev01.pdf 2018 Art. 29-Datenschutzgruppe
Leitlinien zum angemessenen Datenschutzniveau in Drittländern https://www.datenschutzkonferenz-online.de/media/wp/20180206_wp254_rev01.pdf 2018 Art. 29-Datenschutzgruppe
Leitlinien zum Recht auf Datenübertragbarkeit https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp242_rev01.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien zum Recht auf Datenübertragbarkeit – Anhang https://www.datenschutzkonferenz-online.de/media/wp/20170405_wp242_rev01_anhang.pdf 2017 Art. 29-Datenschutzgruppe
Leitlinien zur Datenschutz-Folgenabschätzung und zur Bemesseung eines “wahrscheinlich hohen Risikos” https://www.datenschutzkonferenz-online.de/media/wp/20171004_wp248_rev01.pdf 2017 Art. 29-Datenschutzgruppe
Löschfristen bei Behörden und öffentlichen Stellen in Niedersachsen https://lfd.niedersachsen.de/download/135513/Uebersicht_Loeschfristen.pdf 2018 Die Landesbeauftragte für den Datenschutz Niedersachsen
Mandentenfähigkeit – Trennung automatisierter Verfahren einer gemeinsamen IT-Infrastruktur https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/
2012-OH-Mandantenfaehigkeit.pdf
2012 Die Berliner Beauftragte für Datenschutz und Informationsfreiheit
Nutzung von Online- und Social Media-Diensten https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/Orientierungshilfen/
Empfehlungen_Nutzung_Social_Media.pdf
2019 Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz
Offenlegung Gehaltsstrukturen https://www.datenschutz-mv.de/static/DS/Dateien/Publikationen/Broschueren/gehalt.pdf 2005 Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern
Online-Lernplattformen im Schulunterricht https://www.datenschutzkonferenz-online.de/media/oh/20180426_oh_online_lernplattformen.pdf 2018 Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder

 

Weiterlesen

Aufbau eines Meldewesen-IKS

Datenqualität und Datenqualitätsindikator

Lars Schleifer, Referent Meldewesen-Risikocontrolling, Volksbank Mittelhessen eG

Die Jahre nach der Finanzmarktkrise wurden durch Gesetzgeber und Aufseher genutzt, um die Stabilität und Widerstandsfähigkeit des Bankensektors zu stärken. Insbesondere die Regelungen in Basel III, die neben höheren Kapitalanforderungen insgesamt eine strengere Regulierung der Banken vorsahen, waren eine Reaktion auf diese globale Krise. So wurden durch dieses Reformpaket des Baseler Ausschusses für Bankenaufsicht neue aufsichtliche Meldungen sowie die Meldungen zu den EZB-Finanzinformationen (FinRep) implementiert. Im ersten Schritt waren die Anforderungen an bedeutende Institute (Significant Institutions – SI) gerichtet. Die für SI zuständige europäische Aufsicht harmonisierte mit dem aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) die Prüfungspraxis. Zwischenzeitlich sind diese Meldeanforderungen auch auf die weniger bedeutenden Institute (Less Significant Institutions – LSI) übergegangen. Auch der Harmonisierungsgedanke der Aufseher, der sich u. a. im SREP widerspiegelt, weitet sich auf die kleineren Häuser aus. Mit der SSM-LSI-SREP-Methodik hat die Europäische Zentralbank (EZB) einen einheitlichen Standard für alle nationalen Aufsichtsbehörden zur Beaufsichtigung der weniger bedeutenden Institute geschaffen.

SEMINARTIPPS

Aufbau einer workflowbasierten Meldewesen-Datenbank, 15.10.2019, Köln.

Aktuelle § 44er Sonderprüfungen im Meldewesen, 02.12.2019, Frankfurt/M.

Datenqualitätsanforderungen an Banken

Damit haben sowohl bedeutende als auch weniger bedeutende Institute hohe qualitative Anforderungen an ihre Datenhaushalte zu erfüllen. Der Fokus liegt dabei auf der Datenqualitätssicherung für die neuen Meldeanforderungen. Da es sich bei dem aufsichtlichen Meldewesen um einen wesentlichen Regulierungsbereich handelt, sind für diesen Bereich die Anforderungen an interne Kontrollverfahren, insbesondere an ein Internes Kontrollsystem (IKS) gem. AT 4.3 der MaRisk, umzusetzen. Vor allem muss der Schwerpunkt auf der Richtigkeit der Meldungen liegen, die nur durch entsprechende Qualität des Datenbestands eines Instituts sichergestellt werden können.

FILMTIPP

(Neu-)Aufbau Meldewesen-IKS.

 

 

Aufsichtliches Umfeld

Gerade die Datenqualität stellt aufgrund des Umfangs der Regulatorik die wesentlichste Herausforderung an ein funktionierendes und effizientes Meldewesen dar. Allein die Meldefelder der Liquiditätskennzahlen haben sich zwischen 2013 und 2018, ausgehend von der Liquiditätsverordnung, verfünfzigfacht. Aber nicht allein der Umfang ist dabei entscheidend. Auch die Tatsache, dass die Aufsicht selbst die Datenqualität über den sogenannten Datenqualitätsindikator (DQI) bewertet und in diesem Zusammenhang quantitative Kapital- bzw. Liquiditäts- oder sonstigen Aufsichtsmaßnahmen aussprechen kann, birgt zusätzlichen Handlungsbedarf für die Banken.

BERATUNGSANGEBOT

Handbuch Meldewesen – Bankinterne MaRisk-Dokumentation/Melde(Anzeige)wesen.

 

Aufbau eines Meldewesen-IKS

Die Herausforderung für die Banken sollte die Vermeidung dieser aufsichtlichen Maßnahmen sein. Den neuen regulatorischen Anforderungen muss daher mit der Sicherstellung der Datenqualität begegnet werden. Das hierfür nicht nur aus rechtlicher Sicht notwendige interne Kontrollsystem stellt dabei ein zentrales Element dar. Bei diesem Meldewesen-IKS handelt es sich nicht um ein komplett neues IKS. Es ist organisatorisch in bestehende Überprüfungsprozesse einzubetten und basiert auf vorhandenen Schlüsselkontrollen sowie neuen Prüfungshandlungen. Es stellt einen zusätzlichen Baustein innerhalb eines vollumfänglichen Data Governance-Umfelds dar.

INHOUSETIPP

Meldewesen Kompakt.

 

 

Datenqualitätsindikator (DQI)

Für den Aufbau eines Meldewesen-IKS kann eine Orientierung am Datenqualitätsindikator der Aufsicht hilfreich sein. Die Banken müssen eine pünktliche Meldeabgabe (punctuality) innerhalb der Meldefristen sicherstellen. Im zweiten Schritt (accuracy and consistency) ist die Richtigkeit der Meldung in Bezug auf die Validierungsregeln des Reporting Frameworks der EBA zu gewährleisten. Hierbei sind zudem logische – nicht veröffentlichte – Konsistenzen zwischen einzelnen Meldebögen zu beachten. Als dritte Metrik werden Schwankungsbreiten (stability) zu vorhergehenden Meldestichtagen durch die Aufseher analysiert und können als Anknüpfungspunkt für mögliche Prüfungsinhalte herangezogen werden. Eine Beurteilung der Vollständigkeit (completeness) geht mit der Überprüfung der grundlegendsten Datenpunkte und Meldebögen einher. Plausibilitätsprüfungen (plausibility) erfolgen aktuell nur bei den bedeutenden Instituten. Hierbei werden Veränderungen im Zeitverlauf sowie Peer-Group-Vergleiche vorgenommen. Als Ergänzung zu bestehenden Datenkontrollen und -qualtitätssicherungen sollte das Meldewesen-IKS sicherstellen, dass die in den Datenqualitätsindikator eingeflossenen aufsichtlichen Anforderungen an die Datenqualität erfüllt werden.

PRAXISTIPPS

  • Sehen Sie das Meldewesen-IKS nicht als ein separates Thema, sondern als integralen Baustein einer Data Governance für das Gesamthaus.
  • Beschäftigen Sie sich mit der Data Governance. Räumen Sie der Datenqualität einen hohen Stellenwert ein.
  • Erweitern Sie Ihr bestehendes Kontrollsystem um die regulatorischen Datenanforderungen. Orientieren Sie sich dabei an dem Datenqualitätsindikator der EZB. Nutzen Sie darüber hinaus bestehende Datenkontrollen als Schlüsselkontrollen.
  • Analysieren Sie die Datenfelder in Hinblick auf Datenherkunft und -qualität. Dokumentieren Sie eventuelle Approximationen und Prämissen für die Datenermittlung.
  • Analysieren Sie Meldesachverhalte auf Inkonsistenzen innerhalb der jeweiligen Meldebögen sowie meldungsübergreifend.

 

Beitragsnummer: 83539

 

Darstellung der neuen RTF-Vorgaben im Meldewesen

Dr. Daniel Baumgarten, Teamleiter Risikotragfähigkeit und Kapital, Sparkasse KölnBonn

Überarbeitete aufsichtliche Vorgaben zur Risikotragfähigkeit und Kapitalplanung

In Annäherung an die Erwartungen der EZB an die Ausgestaltung des ICAAP haben die BaFin und die Deutsche Bundesbank im Mai 2018 ein überarbeitetes Leitlinienpapier zur Risikotragfähigkeit (RTF) veröffentlicht. Der Leitfaden richtet sich an unmittelbar von der BaFin beaufsichtigte „Less Significant Institutions“ und enthält Vorgaben, die von der nationalen Aufsicht zukünftig bei der Beurteilung der bankinternen Risikotragfähigkeitskonzepte zugrunde gelegt werden und teilweise durch einzelne Institute bereits umgesetzt wurden.

Pflicht zur Meldung von Risikotragfähigkeitsinformationen

Mit dem CRD-IV-Umsetzungsgesetz wurde in § 25 KWG die Pflicht der Kreditinstitute und übergeordneten Unternehmen verankert, regelmäßig Risikotragfähigkeitsinformationen einzureichen. Die Einzelheiten der Meldepflicht einschließlich der Meldebögen sind in der am 30.12.2014 in Kraft getretenen Verordnung zur Einreichung von Finanz- und Risikotragfähigkeitsinformationen (FinaRisikoV) geregelt. Das Ziel der Meldung ist es, aufsichtsseitig regelmäßig und in einheitlich strukturierter Form Informationen über die von Instituten zur Steuerung ihrer Risikotragfähigkeit eingesetzten Methoden und Verfahren zu erhalten.

Abbildung der neuen Vorgaben im RTF-Meldewesen

Bereits für den Stichtag 31.12.2018 wurden durch die Deutsche Bundesbank Hinweise publiziert, wie Angaben zu RTF-Konzepten, die bereits den neuen Vorgaben entsprechen, übergangsweise in den bisherigen Vordrucken zu erfassen sind:

SEMINARTIPPS

Update: COREP & Liquiditätsmeldewesen 2020, 14.10.2019, Köln.

Aufbau einer workflowbasierten Meldewesen-Datenbank, 15.10.2019, Köln.

Herausforderung: Daten-Verzahnung Controlling, Melde- & Rechnungswesen, 16.10.2019, Köln.

Risikoinventur & Meldung zur Risikotragfähigkeit: Anpassungsdruck 2020, 12.11.2019, Frankfurt/M.

Aktuelle § 44er Sonderprüfungen im Meldewesen, 02.12.2019, Frankfurt/M.

So sind für die neue normative Perspektive hilfsweise vier Steuerungskriese anzulegen, einer für den aktuellen Stichtag und drei für zukünftige Planjahre. Für diese ist dann der bisherige Vordruck zur Abbildung von aus regulatorischen Vorgaben abgeleiteten Risikodeckungspotenzialen („RDP-R“) für das Basisszenario („Stichtagswert“) und ein adverses Szenario („angepasster Wert“) zu befüllen. Für den Fall mehrerer institutsindividueller adverser Szenarien ist bei der Meldung auf dasjenige adverse Szenario abzustellen, das den größten negativen Einfluss auf die Kapitalplanung hat.

Die Abbildung der neuen ökonomischen Perspektive ist vergleichbar mit der Erfassung der bisherigen Going Concern- und Liquidationsansätze. Es ist ein Steuerungskreis anzulegen und für diesen ein Vordruck zur Erfassung der Risiken und Limite („RSK“) sowie einer der vier Vordrucke zur Erfassung des Risikodeckungspotenzials zu befüllen. Welcher RDP-Vordruck zu wählen ist, ergibt sich daraus, ob ein barwertiger, barwertnaher oder „Säule 1+ Ansatz“ vorliegt.

Perspektivisch soll die oben beschriebene Übergangslösung durch eine Überarbeitung der FinaRisikoV und der damit verbundenen Einführung eines Vordrucks zur Erfassung der Kapitalplanung bzw. normativen Perspektive („KPL“) abgelöst werden. Ob dies vor dem nächsten Meldestichtag am 31.12.2019 möglich ist, ist nach Aussage der Deutschen Bundesbank auf Fachtagungen aktuell ungewiss, so dass ggf. zu diesem Stichtag weiterhin die oben beschriebene Übergangslösung oder ein zwischenzeitlich kommuniziertes alternatives Vorgehen zur Darstellung einer auf die neuen Vorgaben umgestellten RTF-Konzeption erforderlich sein wird. Aufgrund dieses Umstands sowie der zusätzlichen zukünftigen Anforderungen zur Erfassung von ILAAP-Informationen bleibt das Meldewesen nach FinaRisikoV in naher Zukunft ein spannendes Thema.

PRAXISTIPPS

  • Zeitnahe intensive Auseinandersetzung mit den überarbeiteten Vorgaben zur Risikotragfähigkeit und zum RTF-Meldewesen.
  • Frühzeitige Testerfassungen mit Beispieldaten vor dem Einreichungsstichtag.
  • Regelmäßiges Monitoring von aufsichtlichen Veröffentlichungen.

 

Beitragsnummer: 75263

 

Begleitung von IT-Projekten durch die IT-Revision



Wie der technologische Wandel Veränderungsprojekte in der Banken-IT erzwingt und warum sich die frühzeitige und proaktive Einbindung der IT-Revision lohnt.

Marianne Gottschall, IT-Revisorin, Revision, M.M.Warburg & CO.

         

I. Der technologische Wandel in der Bankenwelt

1. Die Entwicklung der IT zum strategischen Erfolgsfaktor

Der technologische Wandel der letzten Jahrzehnte hat weitreichende Auswirkungen auf die gesamte Finanzbranche. Auch die Geschwindigkeit, mit der technologische Änderungen auf den Markt gespült werden, steigt stetig. Allein im Rückblick auf die letzten 70 Jahre hat sich einiges getan. Zwischen den ersten Kreditkarten, die in den 1950er Jahren in den USA in Umlauf kamen und der erstmaligen Nutzung von Bankautomaten, welche auf 1971 datiert wird, vergingen ca. 20 Jahre. Fast zehn Jahre später, im Jahr 1980 begann das Thema Onlinebanking und weitere sieben Jahre danach wurde die Idee des Mobile Payments geboren. Mit den 1990er Jahren kam die „Dot-Com-Blase“, ein etwas zu enthusiastischer Vorgeschmack auf die wachsende Bedeutung des Internets.

Nach der Jahrtausendwende folgten Technologien wie Blockchain, auf denen „Smart Contracts“ und Kryptowährungen basieren und die die Diskussionen ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Einsatz von IT-Forensik im Bankensektor



Einführung in die IT-Forensik, Einordnung in Banken-Regulatorik und IT-Investigation Readiness.

Alexander Siebelt, freiberuflicher Dozent und IT-Forensiker, Mitarbeiter einer Privatbank.

I. Was ist IT-Forensik?

Bei „Forensik“ handelt es sich um einen Sammelbegriff für wissenschaftliche und technische Arbeitsgebiete, in denen kriminelle Handlungen systematisch untersucht werden[1]. Historisch stammt der Begriff aus der systematischen Aufklärung von Kriminalfällen. Frühe Beispiele sind etwa die Ballistik, der Nachweis von Vergiftungen oder auch die Sicherung von Tatortspuren wie Fingerabdrücken.

Die „IT-Forensik“ ist die analoge Anwendung von forensischen Techniken auf Sachverhalte, bei denen die Sicherung und Analyse digitaler Geräte eine Rolle spielt. Weitere Begrifflichkeiten in diesem Zusammenhang wären „Digitale Forensik“ oder „Computer-Forensik“. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) definiert IT-Forensik etwas formaler als die „streng methodisch vorgenommene Datenanalyse auf Datenträgern und in Computernetzen zur Aufklärung von Vorfällen unter Einbeziehung der Möglichkeiten der strategischen Vorbereitung insbesondere aus der Sicht des Anlagenbetreibers eines IT-Systems“[2].

Um sich dem Themengebiet zu nähern, lassen sich Ausprägungen in unterschiedlichen Dimensionen darstellen. Eine erste Ausprägungsdimension ist die Art des vorliegenden Verdachtes. Der klassische Fall, an den im Zusammenhang mit IT-Forensik immer alle denken, ist ein typischer Hackerangriff – also ein Sicherheitsvorfall im ...


Weiterlesen?


Dies ist ein kostenpflichtiger Beitrag aus unseren Fachzeitschriften.

Um alle Beiträge lesen zu können, müssen Sie sich bei meinFCH anmelden oder registrieren und danach eines unserer Abonnements abschließen!

Anmeldung/Registrierung

Wenn Sie angemeldet oder registriert sind, können Sie unter dem Menüpunkt "meinABO" Ihr aktives Abonnement anschauen oder ein neues Abonnement abschließen.

Konsistenz im Meldewesen: FINREP vs. FinaRisikoV lt. neuer FinaRisikoV

Prof. Dr. Svend Reuse, MBA, Mitglied des Vorstandes, Kreissparkasse Düsseldorf. Zudem Honorarprofessor an der FOM Hochschule für Oekonomie und Management, Fachbeirat im isf – Institute for Strategic Finance[1], [2].

1. Zielsetzung des Beitrags

Am 12.07.2018 hat die BaFin die FinaRisikoV novelliert. Inhaltlich sind wenige Neuerungen zu verzeichnen, gleichwohl führt die Harmonisierung der Meldetermine aus Sicht des Autors zu weiteren impliziten Anforderungen bezüglich der Konsistenz von FINREP und FinaRisikoV.

Dieser Beitrag verfolgt das Ziel, dem Leser diese Anforderungen näherzubringen und ihm erste Impulse für die Umsetzung in der Bankpraxis zu geben.

2. Harmonisierung der Meldetermine

Mit der Novellierung der FinaRisikoV in 2018 wurden die Abgabetermine an die FINREP-Termine angepasst. Abbildung 1 verdeutlicht hierbei die Veränderungen der Einreichungsfristen.

Abbildung 1: Änderung der Abgabefristen in der FinaRisikoV

Dies bedeutet für die Institute eine Entlastung um ca. 11 Kalendertage bei der Einreichung der Ertrags- und Bestandsdaten nach FinaRisikoV. Als Begründung hierzu heißt es dort wörtlich: „Um den Kreditinstituten die Meldungen von Finanzinformationen auf nationaler und harmonisierter Basis zu erleichtern, werden die Einreichungsfristen für die Meldungen von Finanzinformationen nach der FinaRisikoV den bestehenden harmonisierten Einreichungsterminen angeglichen. Allein durch abweichende Einreichungsstichtage bedingte Unterschiede in den Meldeinhalten sollen möglichst vermieden werden. [FinaRisikoV Begründung (2018), S. 11.]“

3. Prüfung der Konsistenz von FINREP und FinaRisikoV

Dies hat neben einer Erleichterung in der FinaRisikoV-Meldung aber auch noch andere Implikationen: Die Ergebnisse aus FINREP und der FinaRisikoV sollten identisch sein, so dass die Aufsicht hier keine Inkonsistenzen feststellen kann. Da in der Praxis die Datentöpfe, die die beiden Meldesysteme füllen, mittlerweile identisch sind, sollte dies in Summe auch unproblematisch sein.

Allerdings steckt hier der Teufel im Detail. Viele größere Positionen lassen sich auch aufgrund der gestiegenen Datenqualität mittlerweile gut abstimmen. Viele Unterpositionen und auch viele kleinere Posten sind jedoch nicht ohne weiteres ineinander überführbar. Oft liegt dies in unterschiedlichen Ansätzen in FINREP und FinaRisikoV begründet.

Gleichwohl lassen sich einige Konsistenzprüfungen vornehmen. Abbildung 2 visualisiert die Gegenüberstellung des FINREP-Bogens F0200 und des FinaRisikoV-Bogens GVKI hier fiktiv per Jahresende. Die Darstellung ist angelehnt an die Originalmeldebögen.

SEMINARTIPPS

Meldewesen Kompakt: Neuerungen für Praxis & Prüfung, 03.06.2019, Düsseldorf.

Aufbau einer workflowbasierten Meldewesen-Datenbank, 15.10.2019, Köln.

Herausforderung: Daten-Verzahnung Controlling, Melde- & Rechnungswesen, 16.10.2019, Köln.

Herausforderungen im Risikotragfähigkeit-Meldewesen 2020, 12.11.2019, Frankfurt/M.

Die Beispielbank bildet in diesem Jahr keine Reserven nach § 340g HGB. In diesem Fall muss das Ergebnis der normalen Geschäftstätigkeit in beiden Bögen (Felder F0200-610 und GVKIP-200) identisch sein. Auf dem Weg zu diesem Wert kann es jedoch zu Differenzen kommen. Abbildung 2 zeigt typische Differenzen, die bei einer DataPoint Bank nach FINREP auf Einzelinstitutsebene – repräsentativ für die meisten Sparkassen und Volksbanken – auftreten können. Diese Zwischensummen sind mit *) und **) gekennzeichnet und sind idealerweise identisch. Die in Abbildung 2 als 1:1 ineinander überführbar gekennzeichneten Positionen sollten sich bei den meisten Instituten so wiederfinden lassen. Wenn nicht, gibt dies Aufschluss über die Datenqualität und impliziert Korrekturbedarf für die aktuelle Meldung.

Zu erkennen ist allerdings auch, dass FINREP hier deutlich tiefer und weiter geht, nämlich bis zum Jahresergebnis. Steuern o. Ä. sind im Rahmen der FinaRisikoV nicht relevant, was wiederum dafür spricht, dass der GVKI perspektivisch abgelöst werden kann.

Abbildung 2: Abgleich FINREP – FinaRisikoV

4. Auswirkungen auf den Meldeworkflow

Es ist nicht auszuschließen, dass je nach Konstellation im Institut weitere Differenzen auftauchen können. Die Schaffung der Konsistenz zwischen beiden Meldebögen bedingt, dass die handelnden Personen identisch sind und über ein tiefes Fachwissen auch im Bereich der Bilanzierung verfügen. Dann können fallbezogene Differenzen auch im Operativsystem ausgeräumt und die Datenqualität sukzessive verbessert werden.

Die ca. 12 Tage mehr Zeit bis zur Meldeabgabe sollten genutzt werden, um eine Konsistenzprüfung analog Abbildung 2 durchzuführen. Letztlich ist die GuV auch für die Aufsicht der am einfachsten abzugleichende Bogen. Durch die Konsistenzprüfung lassen sich viele Nachfragen der Aufsicht vermeiden: Ob die Zahlen, die gemeldet werden „richtig“ sind, kann sie nicht prüfen – wohl aber, ob diese inkonsistent sind, was wiederum auch Fragen bezüglich der Sorgfalt der Meldungserstellung aufwerfen kann.

5. Fazit und Ausblick

Es wird deutlich: Das deutsche und europäische Meldewesen nähern sich einander an. Die Harmonisierung der Meldetermine ist ein guter Schritt in die richtige Richtung gewesen. Je konsistenter das Meldewesen im Bereich FINREP und FinaRisikoV ist, desto redundanter wird es. Es bleibt zu hoffen, dass die Aufsicht dies erkennt und ggf. das nationale Meldewesen zu Gunsten der europäischen Varianten zurückbaut. Hierbei gilt es jedoch auch immer, die Besonderheiten des deutschen Bankensektors im Blick zu haben. Eine Harmonisierung des Meldewesens wird gerade in Bezug auf die Meldung der Risikotragfähigkeitsinformationen auf europäischer Ebene in naher Zukunft nur bedingt möglich sein.

 

 

PRAXISTIPPS

  • Führen Sie einen Konsistenzabgleich, wie dargestellt, regelmäßig durch.
  • Verankern Sie diesen in Ihrem operativen Meldewesenworkflow.
  • Achten Sie bei der Besetzung der Position darauf, dass die Mitarbeiter tiefe und umfassende Kenntnisse in beiden Meldewesenformaten sowie im Jahresabschluss besitzen.
  • Ändern Sie Fehler immer auch im Operativsystem ab und verbessern Sie Ihre Datenqualität systematisch.
  1. Der Artikel stellt die persönliche Meinung des Verfassers dar, die nicht notwendigerweise mit der des Arbeitgebers übereinstimmen muss. Er basiert auf den Ausführungen aus Reuse (2019-E), Kapitel B.I.3.11 und erweitert diese.
  2. LITERATURHINWEISE

    FinaRisikoV (2018): Finanz- und Risikotragfähigkeitsinformationenverordnung vom 06.12.2013 (BGBl. I S. 4209), die zuletzt durch Artikel 1 der Verordnung vom 04.07.2018 (BGBl. I S. 1086) geändert worden ist, erhältlich auf: http://www.gesetze-im-internet.de/finav/FinaRisikoV.pdf, Abfrage vom 07.04.2019.

    FinaRisikoV Anschreiben (2018): Überarbeitung der FinaRisikoV – Zweite Verordnung zur Änderung der Finanz- und Risikotragfähigkeitsinformationenverordnung (FinaRisikoV), erhältlich auf: https://www.bafin.de/DE/Aufsicht/BankenFinanzdienstleister/Anzeige-Meldepflichten/FinaRisikoV/FinaRisikoV_artikel.html, Abfrage vom 07.04.2019.

    FinaRisikoV Begründung (2018): Begründung zur zweiten Verordnung zur Änderung der Finanz- und Risikotragfähigkeitsinformationenverordnung, erhältlich auf: https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2018/dl_kon__Zweite_VO_zur_aenderung_der_FinaRisikoV_mit_Begruendung.docx;jsessionid=E7A3A2B264567ECFADA49DBAE149742C.2_cid381?__blob=publicationFile&v=3, Abfrage vom 07.04.2019.

    FinaV (2013): Verordnung zur Einreichung von Finanzinformationen nach dem Kreditwesengesetz (Finanzinformationenverordnung – FinaV), 06.12.2013, inkl. Anlagen, in: Bundesgesetzblatt Jahrgang 2013, Teil 1, Nr. 73. S. 4209 – 4237.

    Reuse, S. (2019, Hrsg.): Zinsrisikomanagement, 3. Aufl. Heidelberg 2019.

    Reuse, S. (2019-E): Basismeldewesen nach FinaRisikoV – Aufbereitung valider Plan-, Ertrags-, und Risikodaten zur unterjährigen Meldung an die Bankenaufsicht, in: Bankaufsichtliches Meldewesen, 3. Aufl. Heidelberg 2019.

 

Beitragsnummer: 60325