Anzeige
Zebra - das Magazin für Sustainable Finance
STRATEGIE15. April 2019

Nach BAIT und VAIT kommt KAIT – Nun trifft es Kapital­verwaltungs­gesellschaften!

Nach BAIT und VAIT kommt KAIT – Dr. Christian Conreder erläutert, was da die IT der Kapitalverwaltungsgesellschaften trifft!
Dr. Christian Conreder, Rechtsanwalt, ist Associate Partner bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftDr. Christian Conreder

Nun kommt KAIT: In Sachen Banken- und Versicherungs-IT sind die Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Versicherungs­aufsicht­lichen Anforderungen an die IT (VAIT) in aller Munde. Mit den Ka­pi­tal­ver­wal­tungs­auf­sicht­li­chen An­for­de­run­gen an die IT (KAIT) wer­den Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten (KV­Gen) zu­künf­tig Adres­sa­ten ei­nes ver­gleich­ba­ren Re­ge­lungs­werks. Was ist neu? Was müs­sen KV­Gen zu­künf­tig bei ih­rer IT beachten?

Mit Datum vom 8. April 2019 hat die BaFin den überarbeiteten Entwurf ihres Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“ zur Konsultation gestellt. Das Ziel der KAIT ist im Wesentlichen die Erhöhung der IT-Sicherheit bei KVGen. Die bereits aus dem BaFin-Rundschreiben „Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk)“ bestehenden Anforderungen an die KVG-IT bleiben durch die KAIT grundsätzlich unberührt und werden teilweise konkretisiert.

Nach BAIT und VAIT kommt KAIT – RA Fabian Hausemann erläutert, was da die IT der Kapitalverwaltungsgesellschaften trifft!
Fabian Hausemann, Rechtsanwalt, ist als Associate bei der Rödl Rechtsanwaltsgesellschaft SteuerberatungsgesellschaftFabian Hausemann

Mit der KAIT möchte die BaFin einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der KVGen insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement vorgeben.”

Im Rahmen der Konsultation können Marktteilnehmer der BaFin bis zum 26. April 2019 Feedback geben. Die Veröffentlichung der finalen KAIT ist – ohne offizielle Übergangsfrist – Mitte / Ende Juni 2019 geplant.

Inhaltlich sind folgende Neuerungen durch die KAIT hervorzuheben:

1. Funktion des Informationssicherheitsbeauftragten (ISB)

Als wichtige Neuerung sieht die KAIT die Ein­füh­rung der Funk­ti­on des In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB) vor. Die­se Funk­ti­on um­fasst die Ver­ant­wor­tung für die Wahr­neh­mung al­ler Be­lan­ge der In­for­ma­ti­ons­si­cher­heit in­ner­halb der KVG und ge­gen­über Drit­ten. Der ISB soll si­cher­stel­len, dass die in der IT-Stra­te­gie  und den In­for­ma­ti­ons­si­cher­heits­leit­li­ni­en der KVG nie­der­ge­leg­ten Zie­le und Maß­nah­men hin­sicht­lich der In­for­ma­ti­ons­si­cher­heit KVG-in­tern so­wie ge­gen­über Drit­ten trans­pa­rent ge­macht und de­ren Ein­hal­tung über­wacht wer­den. Die Funk­ti­on des ISB ist or­ga­ni­sa­to­risch und pro­zes­su­al un­ab­hän­gig aus­zu­ge­stal­ten, um et­wai­ge In­ter­es­sen­kon­flik­te zu ver­mei­den. Ei­ne Kom­bi­na­ti­on mit an­de­ren Funk­tio­nen bspw. aus dem Com­p­li­an­ce-Be­reich soll mög­lich sein. Nach dem vor­lie­gen­den KAIT-Ent­wurf ist die Funk­ti­on des ISB von den KV­Gen grund­sätz­lich im ei­ge­nen Haus vor­zu­hal­ten.

Autor Dr. Christian Conreder
Dr. Christian Conreder, Rechtsanwalt, ist As­so­cia­te Part­ner bei der Rödl Rechts­­an­walts­­ge­sel­l­­schaft Steu­er­be­ra­tungs­ge­sell­schaft mbH am Stand­ort Ham­burg und lei­tet den Be­reich Ka­pi­tal­an­la­ge­recht. Der Schwer­punkt sei­ner an­walt­li­chen Tä­tig­keit liegt im Bank- und Ka­pi­tal­markt­recht, na­ment­lich in den Be­rei­chen des Zah­lungs­ver­kehrs- und Ka­pi­tal­an­la­ge­rechts. Ne­ben Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten, Emis­si­ons­häu­sern und Fa­mi­ly Of­fices be­rät Herr Dr. Con­re­der u a. Ban­ken, Zah­lungs­dienst­leis­ter, Kar­te­n­e­mit­ten­ten und Fin­Techs in zi­vil- und auf­sichts­recht­li­chen Fragestellungen.
Eine Auslagerung an Dritte soll nur in den folgenden Fällen möglich sein:

KVGen mit geringer Mitarbeiterzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen die IT-Dienstleistungen im Wesentlichen durch einen externen IT-Dienstleister erbracht werden.
Konzernangehörige KVGen mit geringer Mitarbeiterzahl und ohne wesentlichen eigenen IT-Betrieb, bei denen Dienstleistungen im Wesentlichen durch konzernangehörige Unternehmen erbracht werden.

2. Abgrenzung von Auslagerung und sonstigem Fremdbezug bei IT-Dienstleistungen

Der KAIT-Entwurf konkretisiert die bestehenden Vorgaben zur Abgrenzung von Auslagerung und sonstigem Fremdbezug bei IT-Dienstleistungen. Als Auslagerung wird in der Regel eingestuft (Auswahl):
die Anpassung der Software an die Erfordernisse der KVG (Parametrisierung und Customising)
die entwicklungstechnische Erstellung von Programmen oder Programmteilen und die Umsetzung von Änderungswünschen
das Testen, die Freigabe und die Implementierung der Software sowie
sonstige Unterstützungsleistungen (bspw. der Betrieb und die Wartung von IT-Systemen durch Dritte)

… sofern dies längerfristig angelegt ist oder kritische Auswirkungen auf die Portfolioverwaltung, das Risikomanagement oder sonstige geschäftskritische Prozesse hat oder haben kann.

Autor Fabian Hausemann
Fabian Hausemann, Rechtsanwalt, ist als As­so­cia­te bei der Rödl Rechts­­an­walts­­ge­sel­l­­schaft Steu­er­be­ra­tungs­ge­sell­schaft mbH am Stand­ort Ham­burg tä­tig. Als Teil des bank- und ka­pi­tal­an­la­ge­recht­li­chen Teams hat sich Herr Hau­se­mann auf auf­sichts­recht­li­che Fra­ge­stel­lun­gen ins­be­son­de­re aus den Be­rei­chen des Ka­pi­tal­an­la­ge­ge­setz­buchs (KAGB), Ver­mö­gens­an­la­ge­ge­setz­buchs (Verm­An­lG) und Kre­dit­we­sen­ge­set­zes (KWG) spe­zia­li­siert. Hau­se­mann be­rät bspw. Ka­pi­tal­­ver­­­wal­­tungs­­­ge­sel­l­­schaf­ten, Fond­sin­itia­to­ren und Fin­Techs bei kon­zep­tio­nel­len und ope­ra­ti­ven Themen.
Als sonstiger Fremdbezug von Leistungen gilt hingegen (Auswahl):

der isolierte Bezug von handelsüblicher Standard-Software, d.h. von Software ohne unternehmensspezifische Anpassungen und
die Personalgestellung zugunsten der KVG, wenn die Tätigkeit auf den Systemen der KVG und nach ihrer Weisung und unter ihrer Kontrolle erfolgt.

Das KAIT-Fazit

Mit der Implementierung der KAIT wird auf Seiten der KVGen eine nicht unerhebliche Anpassung der internen Organisationsstruktur erforderlich. Dies gilt namentlich für die (erneute) Überprüfung, ob in Anspruch genommene IT-Dienstleistungen neuerdings als Auslagerung zu qualifizieren sind. Aufgrund der Vielzahl der denkbaren Fallkonstellationen wird eine trennscharfe Abgrenzung oftmals kaum möglich sein. Der Fokus wird in der Regel bei der Fragestellung liegen, welche Risiken aus der IT-Dienstleitung für das Portfoliomanagement und das Risikomanagement resultieren.

Darüber hinaus ist durchaus bemerkenswert, dass die KAIT – nach jetzigem Stand – ohne offizielle Übergangsfrist Mitte / Ende Juni 2019 in Kraft treten sollen. Zwar hat die BaFin erkennen lassen, dass sie mit bestimmten Vorgaben „großzügig“ umgehen wird. Allerdings würde eine offizielle Regelung für ein höheres Maß an Rechtssicherheit aufseiten der KVGen sorgen. Diesbezüglich ist die Entwicklung nach der Durchführung der aktuell laufenden Konsultation abzuwarten.Dr. Christian Conreder und Fabian Hausemann

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/88061

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert