KWG und BaFin: Finanzielle Stabilität mit Sicherheit garantieren

Tresorit unterstützt Finanzdienstleister bei ihren Geschäften in der DACH-Region

Im Zuge der sich in der DACH-Region immer weiter verbreitenden Digitalisierung müssen Finanzdienstleistungsinstitute (FDI) sichere und über die Entfernung ausführbare Wege finden, um gemäß den im Bankengesetz und den BaFin-Verordnungen verankerten Berichts- und Auditbestimmungen konform zu handeln. Dazu gehört das Schaffen von IT-Systemen, die die aktuellsten Regeln einhalten.

KWG und BaFin – was, wo und warum?

Die Bundesanstalt für Finanzdienstleistungsaufsicht, allgemein bekannt als BaFin, ist Deutschlands Finanzregulierungsbehörde. Sie ist dafür verantwortlich, die Stabilität und Integrität des deutschen Finanzsystems zu garantieren. Ihre regulatorischen Aktivitäten basieren unter anderem auf dem Kreditwesengesetz (KWG), welches die Richtlinien für innerhalb des Landes agierende Banken festlegt. Der Aufgabenbereich der BaFin geht jedoch über den Bankensektor hinaus und umfasst quasi alle Finanzdienstleistungsanbieter mit Sitz in Deutschland, inklusive Banken, Maklerfirmen und Versicherungsunternehmen.

Aufgrund des deutschen Bundessystems beaufsichtigt die Organisation Institute, die über Bundeslandgrenzen hinaus tätig sind – lokale Behörden kontrollieren Anbieter, deren Betrieb auf ein einzelnes Bundesland beschränkt ist. Die größten Banken unterliegen dem Zuständigkeitsbereich des einheitlichen Bankenaufsichtsmechanismus (Single Supervisory Mechanism) – oder anders ausgedrückt: Kontrolle auf EU-Ebene. Aufgabe der BaFin ist die Regulierung und Beaufsichtigung von Aktivitäten zwischen diesen beiden administrativen Ebenen, was die meisten Finanzdienstleister innerhalb des Landes umfasst.

Was sind die Konsequenzen, wenn die KWG- oder BaFin-Richtlinien nicht befolgt werden?

Das KWG ordnet diverse Berichts- und Auditanforderungen für Banken und Maklerfirmen an. Aufgabe der BaFin ist zu überwachen, dass Unternehmen mit diesen Auflagen konform gehen. Darüber hinaus kann die BaFin norminterpretierende verbindliche Richtlinien festlegen, die die technischen Details von Bestimmungen konkretisieren, die in verschiedenen Gesetzen nur auf einer höheren Ebene kontrolliert werden.

Der BaFin stehen eine Reihe Optionen zur Verfügung, um ihren aufsichtsführenden Pflichten nachzukommen, inklusive obligatorische Berichte, Audits und vorangekündigte oder überraschende Besuche vor Ort. Unternehmen, die nicht konform handeln, können auf diverse Wege gemaßregelt werden.

In erster Linie wird die BaFin gemeinsam mit den Organisationen daran arbeiten festgestellte Probleme zu lösen. In schwerwiegenderen Fällen kann sie jedoch offizielle Maßnahmen in Form von schriftlichen Warnungen (bekannt als ‘ernstzunehmende Einwände’), Unterlassungsanordnungen oder Verwaltungsstrafen ergreifen. In extremen Situationen kann die BaFin Verwalter einsetzen, die das Management eines Finanzdienstleisters übernehmen, oder die Betriebserlaubnis gänzlich entziehen.

Von der BaFin wird verlangt, dass sie eine öffentliche Liste der zuwiderhandelnden Institute und der jeweiligen Sanktionen auf ihrer Webseite zusammenstellt. Im Mai 2021 wurde Invesco Ltd. mit einer Geldstrafe in Höhe von 260.000 Euro belegt, während im Jahr 2017 SKW Stahl-Metallurgie Holding AG eine Geldstrafe in Höhe von 660.000 Euro für verwaltungstechnische Versäumnisse erhielt.

Wie unterstützt Tresorits Ende-zu-Ende-Verschlüsselung Compliance mit dem KWG und der BaFin?

Auch wenn es auf den ersten Blick so scheint, als hätten KWG/BaFin und Verschlüsselung wenig gemeinsam, ist dies nicht der Fall – schließlich kann der Austausch von sensiblen Berichten und auditbezogenen Materialien ein immenses Sicherheitsrisiko in einer sicherheitsorientierten Branche darstellen.

Über Auditanforderungen hinaus verlangt das KGW von Banken und Versicherungsunternehmen, dass sie Risikomanagement praktizieren.

Die BaFin hat die technischen Vorgaben für diese Bemühungen (inklusive Risikomanagement für Computersysteme) in MaRiskkonkretisiert. Dementsprechend müssen “IT-Systeme (Hardware- und Software-Komponenten) und zugehörige IT-Prozesse […] die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.” Tresorits Ende-zu-Ende-verschlüsselte sichere Cloud mit Zero-Knowledge-Prinzip kann Finanzdienstleistungsanbieter bei ihrer Compliance mit den BaFin-Richtlinien unterstützen:

• Sicheres Speichern und Back-up: Der von Tresorit angebotene E2EE-Speicher mit Zero-Knowledge-Prinzip garantiert, dass sowohl At-Rest- als auch In-Transit-Daten stets sicher sind. Alle Informationen werden in mehreren Datenzentren gespeichert, um Datenverluste zu vermeiden.
• Nutzer verwalten und Dateiaktivität überwachen:Das Admin-Center bietet einfachen Zugriff auf detaillierte Aktivitätsberichte, Nutzerverwaltung, befugte Geräte, teambasierte Richtlinien und unentbehrliche Nutzerstatistiken.
• Effiziente Audits: Tresorit Content Shield sichert Auditdaten, selbst wenn Sie digital mit Regulierungsbehörden zusammenarbeiten. Tresorits detaillierte Protokolle sowie Berichtsfunktionen und -optionen machen Audits zum Kinderspiel.
• Teilen von Anhängen mittels sicherer Links: E-Mail-Anhänge sind unsicher, besonders dann, wenn der E-Mail-Verkehr nicht verschlüsselt ist. Ersetzen Sie Anhänge durch Tresorit-Links, um die Sicherheit der Daten zu garantieren. Verlieren Sie niemals die Kontrolle über Ihre Daten, dank Passwortschutz, Ablaufdatum und Deaktivierung von Downloads.
• Einfaches Integrieren von Tresorit in bereits bestehende, auf Office 365 basierende Workflows: Tresorits Outlook-Integration reduziert Bodenschwellen auf ein Minimum, indem Nutzer die Möglichkeit haben Dateien zu teilen, ohne dafür ihr E-Mail-Programm verlassen zu müssen, und jegliche Anhänge automatisch in sichere Tresorit-Links zum Teilen umzuwandeln.

Starten Sie jetzt damit durch, Ihre Berichte direkt mit Tresorit zu sichern.