• Die Leitlinien 5 und 6 richten sich an die zuständigenBehörden bezüglich der Bewertung und Meldung einesVorfalls an andere nationale Behörden, einschließlich derdann erforderlichen Mindestangaben.

• DieLeitlinien7und8regelnAnforderungenandieInformati- onsweitergabe an EBA und EZB.

DieLeitlinientretenam13.Januar2018inKraft.

PSD2 - FINALE LEITLINIEN ZUR MELDUNGSCHWERWIEGENDER VORFÄLLE

BERICHT MIT EMPFEHLUNGEN DER BAFIN „LIQUIDITÄTSSTRESSTESTS DEUTSCHER KAPITALVERWALTUNGSGESELLSCHAFTEN“ VOM 13. OKTOBER 2017

EU-DSGVO: SECHS AUSGEWÄHLTE KERNTHEMENUND PRAKTISCHE INFORMATIONEN ZU DSGVO-GERECHTEN LÖSUNGEN

CHATBOTS: EINSATZBEREICHE, COMPLIANCE- UND HAFTUNGSFRAGEN SOWIE ASPEKTE DES DATENSCHUTZES UND DER DATENSICHERHEIT

DIE HERAUSFORDERUNGEN DER FINANZINSTITUTE IM RAHMEN DER 4. EU-GELDWÄSCHE-RICHTLINIE

LEITLINIE ZUR VERMEIDUNG VON GELDWÄSCHE UND TERRORISMUSFINANZIERUNG IM ELEKTRONISCHEN ZAHLUNGSVERKEHR

In der PSD21bestimmtderArtikel96Absatz3:

„Bis zum 13. Januar 2018 gibt die EBA in enger Zusammenarbeit mit der EZB […] für jeden der folgenden Akteure heraus:

a) Zahlungsdienstleister: Klassifizierung der schwerwiegendenVor- fälleimSinnedesAbsatzes1sowieInhalt,Format—einschließ- lichStandardformblätternfürdieMeldungen—undVerfahrenfür

dieMeldungsolcherVorfälle;b) diezuständigenBehörden:KriterienfürdieBewertungderRele- vanzeinesVorfallsundEinzelheitenderMeldungvonVorfällenan

anderenationaleBehörden.“

SUMMARY

Die Leitlinien richten sich an Zahlungsdienstleister und die zu-ständigen nationalen Behörden. Sie legen von Zahlungsdienst-leistern anzuwendende Kriterien, Schwellenwerte und Metho-denfest,damitdiesebeurteilenkönnen,obeinschwerwiegenderBetriebs- oder Sicherheitsvorfall vorliegt, der den zuständigennationalenBehördenzumeldenist.

UmdieRelevanzeinesBetriebs-oderSicherheitsvorfallsfüran-derenationaleBehördenbewerten zukönnen, legendieLeitli-nienKriterienfest,anhanddererdiezuständigenBehördendieBewertungvorzunehmenhaben.

DieLeitliniengliedernsichindreiTeile:• Die Leitlinien 1 bis 4 richten sich an Zahlungsdienstleisterund spezifizieren die Kriterien zur Klassifizierung einesschwerwiegendenVorfalls. ZudemwirddasMeldeformblatt benanntunddasMeldeverfahrenbeschrieben.

1 PSD2-RICHTLINIE(EU)2015/2366DESEUROPÄISCHENPARLAMENTSUNDDESRATESvom25.November2015überZahlungsdiensteimBinnenmarkt,zurÄnderungderRichtlinien2002/65/EG,2009/110/EGund2013/36/EUundderVerordnung(EU)Nr.1093/2010sowiezurAufhebungderRichtlinie2007/64/EG

THEMEN DIESER AUSGABE

Seite 1

PSD2 - FINALE LEITLINIEN ZUR MELDUNG

SCHWERWIEGENDER VORFÄLLE

EXXETA.COM

AUSGABE 4/2017

EXXETA FINANCIAL SERVICESREGULATORY NEWSLETTER

KRITERIEN FÜR ZAHLUNGSDIENSTLEISTER ZUR KLAS-SIFIZIERUNG EINES SCHWERWIEGENDEN VORFALLS

Zahlungsdienstleister müssen einen Vorfall als schwerwiegenden Betriebs-oderSicherheitsvorfalleinstufen,wenneinodermeh-rereKriterien fürstarkeAuswirkungerfüllt sind,oderdreiodermehrereKriterienfürgeringeAuswirkungerfülltsind(vgl.Abb.1).

Zahlungsdienstleister müssen einen Vorfall anhand der in Abbil-dung2aufgeführtenKriterienbewerten,obvorBeseitigungdesVorfallsdiedefiniertenSchwellenwerteerreichtwerdenoderbe-reitsüberschrittensind.

Dabei ist unter „Betroffene Transaktionen“ der Gesamtwert derbetroffenen Transaktionen (alle nationalen und Cross-BorderTransaktionen) zu ermitteln, sowie der Prozentwert der Anzahlder betroffenen Transaktionen bezogen auf die übliche AnzahlderTransaktionenderbetroffenenDienste(täglicherJahresdurch-schnitt).Der für dieAusfallzeit zubewertendeZeitraumbeziehtsichaufdenZeitraum,indemderDienstwahrscheinlichnichtfürdenZahlungsdienstnutzerverfügbarseinwirdoderderZahlungs-auftragimSinnevonArtikel4Absatz13derPSD2vomZahlungs-dienstleisternichtausgeführtwerdenkann.Unter„HoherinternerEskalationsgrad“istzuprüfen,obderVorfallandieFührungskräfteberichtet wurde bzw. werden wird. Unter „Andere Zahlungsdienst-leister oder relevante Infrastruktur betroffen“ sind die systemi-schenFolgenfürandereZahlungsdienstleister,Finanzmarktinfra-strukturenund/oderKartenzahlungssystemezubestimmen.

MELDEVERFAHREN FÜR ZAHLUNGSDIENSTLEISTER

Zahlungsdienstleister haben alle relevanten Informationen zusammelnundeineVorfallmeldung,gemäßAnhang1derRichtlinie,zu erstellen und diese an die zuständige Behörde zu senden. Im weiteren Verlauf des Vorfalls ist die Vorfallmeldung fortzuschrei-ben.HierzusinddiejeweiligenAbschnittedesFormblattszuver-wenden.DesWeiteren ist der zuständigen nationalen Behördedarzulegen,wieBenutzerüberdenVorfallinformiertwerdenundsindaufAnforderungweitereInformationenoderKlarstellungenzubereitseingereichtenUnterlagenzukommenzulassen.

Ist ein oder sind mehrere Kriterien für starkeAuswirkungerfüllt?

Sind 3 oder mehrere Kriterien für geringe Auswirkungerfüllt?

Kein schwerwiegenderVorfall

Nein

Nein

Ja

Ja

Schwerwiegender Vorfall

Schwerwiegender Vorfall

BetroffeneTransaktionen

Betroffene Zahlungsdienstnutzer

Ausfallzeit

ÖkonomischeAuswirkung

HoherinternerEskalationsgrad

AndereZahlungsdienstleisteroderrelevanteInfrastrukturbetroffen

AuswirkungaufdieReputation

Mehrals10%derüblichenAnzahlderTransaktionender betroffenen Dienste

und mehr als 100.000 EUR

Mehr als 5.000 und mehr als 10% der Zahlungsdienstnutzer des

Zahlungsdienstleisters

Größer2Stunden

Nichtanwendbar

Ja

Ja

Ja

Mehrals25%derüblichenAnzahlderTransaktionender betroffenen Dienste

oder mehr als 5 Millionen EUR

Mehr als 50.000oder mehr als 25% der Zahlungsdienstnutzer des

Zahlungsdienstleisters

Nichtanwendbar

GrößeralsdasMax.(0,1%desKernkapital,200.000EUR)

oderGrößerals5MillionenEUR

Ja,undeinKrisenmodusoderVergleichbaresvoraussichtlich

ausgerufen werden wird

Nichtanwendbar

Nichtanwendbar

Kriterium Geringe Auswirkung Starke Auswirkung

Seite 2

Abbildung1:KriterienfürZahlungsdienstleisterzurKlassifizierungeinesschwerwiegendenVorfalls

Abbildung2:KriterienzurErreichungoderÜberschreitungdefinierterSchwellenwerte

EXXETA.COM

Erstmeldung: Zahlungsdienstleister sollten der zuständigen Be-hörde eineErstmeldung (AbschnittAdesFormblatts)vorlegen,wenneinschwerwiegenderbetrieblicherodersicherheitsrelevan-terVorfallentdecktwurde.DieseErstmeldungistinnerhalbvonvierStundennachdemerstenAuftretendesschwerwiegendenVorfallsandiezuständigeBehördezusenden.FürdenFall,dasseinzuvornichtwesentlicherVorfallzueinemschwerwiegendenVorfallwird,hatderZahlungsdienstleisterdieErstmeldungunver-züglichnachFeststellungderStatusänderungandiezuständigeBehörde zu senden. In der Erstmeldung ist u. a. das Datum für dienächsteAktualisierunganzugeben.DiesessolltesobaldwiemöglichseinundaufkeinenFallmehralsdreiGeschäftstagenachder Erstmeldung liegen.

Zwischenmeldung: Zahlungsdienstleister sollten Zwischenmel-dungenspätestenszumgenanntenDatumdernächstenAktuali-sierungeinreichenunddannvornehmen,wenneseinerelevanteStatusänderung gibt. In der ersten Zwischenmeldung ist eine de-taillierteBeschreibungdesVorfallsundseinerFolgenvorzulegen(AbschnittBdesFormblatts).

ZusätzlicheZwischenmeldungensindzuerstellen,wenn indenAbschnittenAundBenthaltenenInformationenaktualisiertwer-den (z.B.beineuen relevanten InformationenoderbeiEintrittvonwesentlichenÄnderungen). In jedemFall solltenZahlungs-dienstleister auf Verlangen der zuständigen Behörde eine Zwi-schenmeldungvorlegen.SolltederTerminfürdieAktualisierungdervorherigenMeldungnichteingehaltenwerdenkönnen,dannhat der Zahlungsdienstleister sich an die zuständige Behörde zu wendenunddieGründefürdieVerzögerungzuerläutern,sowieeinneues,plausiblesDatumfürdieAktualisierungvorzuschlagen(nichtlängeralsdreiArbeitstage).

Die letzteZwischenmeldung ist zusenden,wenndie regulärenAktivitätenwiederaufgenommenwurdenunddieGeschäftstä-tigkeitwiedernormalverläuft.SolltesichdasGeschäftnormalisie-ren,bevorvierStundenseitdemErkennendesVorfallsvergangensind,solltederZahlungsdienstleisterversuchen,dieErstmeldungundden letztenZwischenbericht (d.h.dieAbschnitteAundBdesFormblatts)zusammenzuversenden.

Abschlussmeldung: Eine Abschlussmeldung ist auch dann zu senden,wennbereitsAbhilfemaßnahmendurchgeführtoderdieendgültigenUrsachen festgestelltwurden.SindaufderGrund-lagedurchgeführterUrsachenanalysendie tatsächlichenZahlenverfügbar,sogiltesdiebisherigenSchätzungenzuersetzen.DieAbschlussmeldungsollteinnerhalbvonhöchstenszweiWochennach Normalisierung der Geschäftstätigkeit an die zuständigeBehördeübermitteltwerden.EinegewünschteFristverlängerungmitBegründungsolltevorAblaufdieserzweiWochenandiezu-ständige Behörde ergehen.

Sollte sich dasGeschäftnormalisieren, bevorvier Stunden seitdemErkennendesVorfallsvergangensind,solltederZahlungs-dienstleisterversuchen,dieErstmeldung,denletztenZwischen-berichtunddenAbschlussbericht(d.h.dieAbschnitteA,BundCdesFormblatts)zusammenzuversenden.

WEITERER ABLAUF

NachEingangderMeldungunterrichtetdiezuständigeBehördedesHerkunftsmitgliedstaatsdieEBAunddieEZBunverzüglichüber diemaßgeblichen Einzelheiten desVorfalls. Nachdem diezuständigeBehördedieRelevanzdesVorfalls fürdiemaßgebli-chenBehördendesbetreffendenMitgliedstaatsgeprüfthat,sindauch diese entsprechend zu unterrichten.

Des Weiteren prüfen EBA und EZB in Zusammenarbeit mit der zuständigen Behörde desHerkunftsmitgliedstaats die RelevanzdesVorfallsfüranderemaßgeblicheBehördenderUnionundderMitgliedstaaten und informieren diese entsprechend.

DieEZBunterrichtet dieMitglieder des Europäischen SystemsderZentralbankenüber die für dasZahlungssystem relevantenAspekte.

AufderGrundlagederUnterrichtungtreffendiezuständigenBe-hörden gegebenenfalls alle für die unmittelbare Sicherheit desFinanzsystemsnotwendigenSchutzvorkehrungen.

UND IN DEUTSCHLAND?

In Deutschland sieht die Neufassung des Zahlungsdiensteauf-sichtsgesetzes(ZAG)in§54Absatz1Satz1vor,dasseinZah-lungsdienstleisterdieBaFinunverzüglichüberschwerwiegendeBetriebs-undSicherheitsvorfälleunterrichtenmuss.DieseRege-lungersetztdiebisherigeMeldepflichtgemäßNr.3.2desRund-schreiben4/2015(BA)-MindestanforderungenandieSicherheitvonInternetzahlungen(MaSI).

DieBaFinbeabsichtigt,dieseLeitliniendurcheinaufsichtlichesRundschreibenumzusetzen.FürdieErfüllungdieserMeldepflichtwirddieBaFineinelektronischesMeldeverfahrenzurVerfügungstellen,dasaufderMelde-undVeröffentlichungsplattform(MVP)derBaFinberuht.DasneueVerfahrensollebenfallszum13.Ja-nuar 2018 in Betrieb gehen und den bisherigen Meldeweg über E-Mailersetzen.DieBaFinweistdaraufhin,dassdieMeldungennachderEntgegennahmeandieEZB,dieEBAunddieDeutscheBundesbankweitergeleitetwerden.DieBaFinprüftdannferner,obeineWeiterleitunganandereinihrerZuständigkeitbetroffeneinländische Behörden geboten ist.

Seite 3

EXXETA.COM

WAS MÜSSEN ZAHLUNGSDIENSTLEISTER ODER EIN VON IHNEN BEAUFTRAGTER DIENSTLEISTER TUN?

UmZahlungssicherheitsvorfälleandieBaFinmeldenzukönnen,müsseneinZahlungsdienstleisterodereinvonihmbeauftragterDienstleisterfolgendeSchrittedurchführen.

Selbstregistrierung am MVP-Portal: Der Melder muss sich als NutzeramMVP-Portalregistrieren,soweiterdortnichtbereitsregistriertist.DieseRegistrierungkannbereitsjetztdurchgeführtwerden.

Freischaltung für das Meldeverfahren „PSD2-Zahlungssicher- heitsvorfälle“ beantragen: InnerhalbdesMVP-PortalskannderMelderübereinenAntragdieFreischaltungfürdasMeldeverfah-ren„PSD2-Zahlungssicherheitsvorfälle“beantragen.DerMeldermussdenFreischaltungsantragausfüllenundunterschriebenanfolgendeAdressesenden:

BundesanstaltfürFinanzdienstleistungsaufsichtBA51–PSD2-ZahlungssicherheitsvorfälleGraurheindorferStr.10853117 Bonn

EinMelder,derfürmehrereZahlungsdienstleistermeldenmöch-te,hatderBaFineineExcel-DateizurVerfügungzustellen,inderallebetroffenenZahlungsdienstleistermitFirmaundBAK-Num-mern eingetragen sind. Diese Datei ist an „Zahlungssicherheits-vorfall-Meldung@bafin.de“zusenden.FürZahlungsdienstleister,die indieserTabellenichtaufgeführtsind,kannkeineMeldungabgegeben werden. Die Freischaltung für das Meldeverfahren„PSD2-Zahlungssicherheitsvorfälle“kannimMVP-Portalseitdem4.Oktober2017beantragtwerden.

Benachrichtigung der BaFin: Der Melder wird über die erfolg-reiche/nicht erfolgreiche Freischaltung für dasMeldeverfahren„PSD2-Zahlungssicherheitsvorfälle“ informiert Die Benachrich-tigung erfolgt per E-Mail, über die im MVP-Portal hinterlegteE-MailAdresse.SobalddieBenachrichtigungüberdieerfolgrei-cheFreischaltungerfolgtist,kannderMelder,abdem13.Januar2018,MeldungenüberschwerwiegendeZahlungssicherheitsvor-fälle abgeben.

LINKS ZUM DOKUMENT

• GuidelinesonmajorincidentreportingunderPSD2• InformationenzumMeldeverfahrenfürschwerwiegende Betriebs-undSicherheitsvorfällebeiZahlungsdienstleistern

MARTIN SEEPrincipalConsultantBanking

Seite 4

AUTOR

EXXETA.COM

1 Vgl.dazuauchdierechtlichenDefinitionengem.derVerordnungzurKonkretisierungderVerhaltensregeln undOrganisationsregelnnachdemKapitalanlagegesetzbuch(KAVerOV,§5Abs.3)unddem Kapitalanlagegesetzbuch(KAGB,§30Abs.3KAGB)inVerbindungmitArtikel46Level2-VO13sowieArtikel49 Abs.2Level2-VOderAlternativeInvestmentFundManagersDirective(AIFMRichtlinie)undden MindestanforderungenandasRisikomanagementfürKapitalverwaltungsgesellschaften(KAMaRisk4.6Tz.2)

2 Vgl.dazuKAGB(§§28,29,30),derAIFMLevel2-VO(Artikel38bis49),derKAVerOV(§§4bis6)sowieder KAMaRisk(insbesondereAbschnitt4.3und4.8)

Seite 5

Anfang des Jahres hat das Financial Stability Board (FSB) vondennationalenAufsichtsbehördengefordert,denKapitalverwal-tungsgesellschaften(KVGen)eineOrientierungshilfefüreingu-tes Liquiditätsrisikomanagement und für dieDurchführungvonLiquiditätsstresstests zu geben.

Am13.Oktober2017hatdieBaFineinenBerichtveröffentlicht,derdiewichtigstenErgebnisseeinerStatus-quo-AnalysedesLi-quiditätsmanagementsundderLiquiditätsstresstestsaufFondse-benevondeutschenKVGenundindiesemZusammenhangauchvereinzeltEmpfehlungenfüreinewünschenswertePraxisenthält.

ImFokusderAnalysenderBaFinstandenausschließlichoffeneFonds,dahier–imGegensatzzugeschlossenenFonds–grund-sätzlichRücknahmenwährendderLaufzeiterlaubtsind.

DasgesamteVolumendeutscherInvestmentfondshatzumJuni20172,0Bio.EURbetragen,wobeiderGroßteildesFondsvolu-mensinHöhevon1,51Bio.EURaufSpezialfondsunddieübri-gen481Mrd.EURaufPublikumsfondszurückgehen.ExchangeTradedFunds(ETFs)undGeldmarktfondshabenamFondsstand-ort Deutschland eine geringere Bedeutung.

Nachfolgend wird auf der Basis einer Skizzierung des Liquidi-tätsrisikobegriffs und des regulatorischen Rahmens von Liqui-ditätsmanagement und Liquiditätsstresstests von KVGen aufdie Ergebnisse der BaFin Analyse und den möglichen ImpactaufdieKVGeneingegangen.DabeiwirdderFokusaufdieSta-tus-quo-AnalysenderStresstestsgelegt.

LIQUIDITÄTSRISIKO UND REGULATORISCHER RAHMEN

EinbesonderesmakroökonomischesRisikoimKontextdesLiqui-ditätsrisikos bei Kapitalanlagegesellschaften stellen sogenannteLiquiditätsspiralen dar, die aufgrund einer erhöhten RückgabevonFondsanteilenandieAnlegerunderforderlicheVerkäufevonVermögensgesellschaftenzueinemPreisrückgangundzuAnste-ckungseffektenführenkönnen.

ImmikroökonomischenSinnebestehtdasgrößteLiquiditätsrisikovonKVGendarin,dassdiekurzfristigenZahlungsverpflichtungen–beispielsweiseausRückgabeverlangenderAnleger–nichter-fülltwerdenkönnen.DiesesRisikokanndannschlagendwerden,

wenn die im Investmentvermögen enthaltenen Vermögensge-genständeamMarktnichtveräußertwerdenkönnenunddamitdiegenerierbarebzw.dievorhandeneLiquiditätdesInvestment-vermögensnichtausreicht.1

Im Rahmen des Liquiditätsrisikomanagements muss eine KVGstets sicherstellen, dass die vorhandene Liquidität des Invest-mentvermögens auf derAktivseite grundsätzlich die Höhe dertatsächlichenunderwartetenRücknahme-sowiesonstigenZah-lungsverpflichtungenaufderPassivseitedeckt.

Vor dem Hintergrund der rechtlichen Rahmenbedingungen2 gilt esvondenKGVen imLiquiditätsmanagement einendenBankenrechtähnlichenRisikomanagementprozesszuetablie-ren:

Risikoidentifikation: IdentifikationdesvorhandenenLiquiditäts-risikosderKVGaufderAktiv-(Marktliquiditätsrisiko)alsauchaufder Passivseite (Rücknahmerisiko) unter Berücksichtigung derVertragsbedingungen, Anlagerichtlinien, Rücknahmebedingun-gen und unter Durchführung von LiquiditätskategorisierungenderVermögenswertebzw.AnalysederAnlegerstrukturen (z.B.ArtderAnlegerundrelativeUmfangderAnlagen).

Risikobeurteilung bzw. -messung: Bewertung der relativen Li-quiditätdesFondsamMarktundder tatsächlichenunderwar-tetenMittelabflüsse sowie Zahlungsverpflichtungen. In diesemZusammenhang gilt es, angemessene Liquiditätsmessverfahrenvorzuhalten,dieesaucherlauben,ErkenntnisseüberdieLiquidi-tätssituationunternormalenundaußergewöhnlichenLiquiditäts-bedingungen zu erlangen.

Risikosteuerung: DieRisikosteuerungsollteimEinklangderbe-trieblichenRisikostrategieund-politikerfolgenundMaßnahmenzurMitigationder Liquiditätsrisiken (wie z.B.OptimierungdesPortfolios über eineVeränderung derAllokationsstrategie,Auf-nahme von Krediten zur Deckung von etwaigen Liquiditätslü-cken)vorsehen.EinewesentlicheGrundlagederRisikosteuerungstelltdieÜberwachungdar.

Risikoüberwachung:RegelmäßigeÜberprüfungderRisikosituati-onunterVerwendungvonRisikoindikatorenoderRisikolimitsundderWirksamkeit derMaßnahmen ausderRisikosteuerung.DieRisikoüberwachungzieltdaraufab,erstgarkeineLiquiditätseng-pässeoderNotfallsituationenentstehenzulassen.

Risikokommunikation: Regelmäßige (zumindest auf jährlicherBasis) und anlassbezogeneBerichterstattung an dieGeschäfts-leitung und andereAdressaten (Risikomanager, Fondsmanager)überdieDarstellungundBeurteilungderRisikosituation,erfolgteundpotenzielleLimitüberschreitungenundggfs.Handlungsvor-schlägezurRisikosteuerung.

BERICHT MIT EMPFEHLUNGEN DER BAFIN

„LIQUIDITÄTSSTRESSTESTS DEUTSCHER

KAPITALVERWALTUNGSGESELLSCHAFTEN“

VOM 13. OKTOBER 2017

EXXETA.COM

Seite 6

NachdenrechtlichenRahmenbedingungengiltfürdieAusgestal-tung des Liquiditätsmanagements das Proportionalitätsprinzip.SokannsichetwadieFestlegungvonquantitativenundquali-tativenRisikolimitsoder auchdieAuswahlundderAufbauderStresstestsnachArt,Umfang,KomplexitätundRisikogehaltderGeschäftsaktivitätenderKVGrichten.

DiekonkretenregulatorischenAnforderungenandieStresstestswerden in Abbildung 1 dargestellt.

ImfolgendenKapitelwerdendieErgebnisseausderStatus-quo-AnalysederInvestment-fondsdeutscherKVGenskizziert.

ERGEBNISSE AUS DER STATUS-QUO-ANALYSE DER BA-FIN (BETRACHTUNG DER STRESSTESTS)

AlleuntersuchtenKapitalverwaltungsgesellschaftenführenregel-mäßig Stresstests unter normalen als auch außergewöhnlichenLiquiditätsbedingungen durch. In Abhängigkeit von dem Ge-schäftsmodell und dem jeweiligen Modellierungsansatz unter-scheidetsichallerdingsdieKomplexitätdergewähltenMethodenund die Frequenz derDurchführung deutlichvoneinander.Die

Ergebnisse der Studie werden in der Abbildung 2 dargestellt. Die betrachtetenKVGenverwendenAmpelsystemezurKategorisie-rungundgrafischenAufbereitungderErgebnissederStresstests.Dabei erfolgt eine genauereAnalyse der Fonds, wenn die Er-gebnissederStresstestsaufeineschlechte(gelberBereich)odernichtvorhandene(roterBereich)Liquiditäthindeuten.

Laut der Studie liegt das weitere Vorgehen bei den meisten KV-GenimErmessendesRisikomanagements.VordefinierteklareEs-

kalationswegehabendiemeistenderuntersuchtenKVGennicht.DabeiistdieStellungderBaFinzudiesemPunktganzklar:Eska-lationsstufenunddieeinzelnenSchrittemüssenindenRichtlini-enklardefiniertwerdenunddenVerantwortlichenauchbewusstsein.

DieStudiezeigtaußerdem,dassdieHäufigkeitundGestaltungderBerichterstattungdurchdiemeistenKVGen in ihrenRicht-liniengeregeltsind.Dabeiwerdensowohlregelmäßigealsauchanlassbezogene Berichte erstellt. In Abbildung 3 wird der Bericht-erstattungsprozessverdeutlicht.DievomUnternehmendefinier-tenBerichterstattungs-undEskalationswegesollendazudienen,dieRisiken rechtzeitigzuerkennenundgeeigneteMaßnahmen

KAGB • PflichtzurDurchführungvonregelmäßigenStresstests• BerücksichtigungvonnormalenundaußergewöhnlichenLiquiditätsbedingungen(KAGB§30Abs.2KAGB)

• BerücksichtigungvonRisikokonzentrationen(KAMaRisk4.3Tz.10)• DurchführungderStresstestssowohlaufEbenedesInvestmentvermögensalsauchGesellschaftsebene (KAMaRisk4.3Tz.10)• BeioffenenImmobilienfondssinddieStresstestsmindestensvierteljährlichdurchzuführen(KAMaRisk4.8Tz.6)

• DurchführungderStresstestsaufBasisvonquantitativenoder,fallsdiesnichtangemessenist,qualitativer Informationen• Simulationvonggf.mangelnderLiquiditätderVermögenswerteimFondssowieatypischerRücknahmeforderungen• AbdeckungvonMarktrisikenundderenAuswirkung• BerücksichtigungvonBewertungssensitivitätenunterStressbedingungen• TurnuszurDurchführungderStresstests(mindestensjährlich)unterBerücksichtigungderAnlagestrategie,des Liquiditätsprofils,derAnlegerartundderRücknahmegrundsätzedesFonds• KVGsollmitBlickaufdieErgebnisseimbestenInteressederAnlegerhandeln• ZeitanalyseinnerhalbderStressszenarienzurErfüllungderRücknahmeforderungen(Erwägungsgrund2derAIFM Level2-VO)

KAMaRisk

AIFM Level 2-VO(Artikel 48)

Abbildung1:RegulatorischeAnforderungenfürLiquiditätsstresstests

Stresstests auf der Passivseite

Liquiditätsstresstests bei deutschen Investmentfonds

• Gegenstand:SimulationeineserhöhtenRückgabeverhaltensderInvestoren• Vorgehen: • ModellierungderMittelabflüsseunterNormal-undStressbedingungenmitHilfestatistischerMethodenoder anhand eigener Einschätzung• Ergebnis: 1. DifferenzierungderStresstestsinSpezialfondsundPublikumsfonds 2. StresstestsfürMittelabflüssebeiSpezialfondssindwegendembesonderenAnlegerverhalten (wenigeundrechtzeitigangekündigteRückgaben)wenigeraussagekräftig 3. StresstestsfürMittelabflüssebeiPublikumsfondswerdenanhandhistorischerMittelabflusswerteoder ExpertenschätzungunterBerücksichtigungderAnlegerstrukturdurchgeführt

EXXETA.COM

Seite 7

rechtzeitig einzuleiten. Im nachfolgenden Kapitel werden die ErgebnissederStudiederBaFinundmöglicheAuswirkungenaufdieKVGenzusammengefasst.

MÖGLICHE AUSWIRKUNG DER ERGEBNISSE AUF DIE KVGEN

DerBerichtderBaFinhatkeinenrechtsverbindlichenCharak-ter, enthält aber Empfehlungen für die Ausgestaltung eines

guten Liquiditätsmanagements und kann als Grundlage füreineÜberprüfungundModifikationderbetriebsinternenEnt-wicklungundDurchführungder Liquiditätsstresstests heran-gezogen werden.

Grundsätzlich ist die Ausgestaltung der Stresstests von derGröße und dem Geschäftsmodell der einzelnen KVG sowiedem Risikogehalt der verwalteten Fonds abhängig. InsoferngibteskeineverbindlichenVorgabenandieStresstestszena-rien.

AusdemBerichtderBaFinkönnenmitBlickaufdieAusgestal- tungderStresstestsundderValidierung sowieKommunikationder Stresstestergebnisse die in Abbildung 4 aufgeführten Emp-fehlungen abgeleitet werden.

NebenderBerücksichtigungderEmpfehlungenandieStresstestssolltenKGVendenBerichtalsAnlassnehmen,auch ihrLiquidi-tätsmanagementzuüberprüfenundzuverfeinern.FüreingutesLiquiditätsmanagementisteinerseitseinegründlicheAnalysederAnlageschwerpunkteaufderVermögensseitebedeutungsvoll.

DieBaFinweist hier zuRecht darauf hin, dass aussagekräftigeMarkdaten und Marktusancen oder auch das ExpertenwissenvonHändlern genutztwerden sollten.Andererseits gilt es, dasAnlegerverhaltengründlichzuüberprüfenundbestenfallsaucheineengeKommunikation insbesonderezuden institutionellenAnlegernzupflegen.

Abbildung2:LiquiditätsstresstestsbeideutschenInvestmentfonds

Stresstests auf der Aktivseite

• Gegenstand:Simulationeinerverschlechtertenbzw.mangelndenLiquiditätder VermögenswerteimFonds• Vorgehen: • BestimmungderLiquiditäteinzelnerProdukteunterNormalbedingungenmittelsProduktspezifika/ Marktdaten/eigenenEinschätzungen • AbleitungderLiquiditätdesFondsunterNormalbedingungen • AbleitungderLiquiditätdesFondsunteraußergewöhnlichenBedingungenanhandvonhistorischenDaten undEreignissen,hypothetischenzukunftsbezogenenStressszenarienoderExpertenschätzung• Ergebnis(allerbetrachtetenKVGen): 1. VerwendungvonhistorischenDatenfürdieStresstestszenarien(ErgänzungdurcheigeneEinschätzungen) 2. DurchführungvonanlassbezogenenStresstests 3. KeineBerücksichtigungvonhistorischenEreignissen 4. AnzahlderverwendetenStressszenarienwarunterschiedlich˃ EskonntekeinZusammenhangzwischenderGrößederKVGenundKonstruktionsowieAnzahlderverwendeten Stresstestserkanntwerden

Zusammenführen der Stresstests auf der

Aktiv- und Passivseite

• Vorgehen: • VergleichvonAktiv-undPassivseiteoderDefinitioneinerLiquiditätskennzahl • AusreichendeLiquidität:LiquiditätAktivseite>LiquiditätPassivseiteoderKennzahlliegtinnerhalbeines bestimmtenBereichs• Ergebnis: 1. KVGenverwendenoftmalsAmpelsystemezurVerdeutlichungderLiquiditätssituation 2. FrequenzderStresstestsliegtzwischentäglichundvierteljährlich 3. ValidierungderfürdieStresstestsgetroffenenAnnahmenundverwendetenMethoden˃ EskonntekeinZusammenhangzwischenderFrequenzderStresstestsundderGröße derKVGenerkanntwerden

Intern

Extern

Tägliche Berichte zur Liquiditätssituation andenRisiko-undFondsmanager

MonatlicheBerichteinaggregierterFormandasRisikokomitee/dieMitgliederderGF

Quartalsweise Berichte zur RisikosituationanBaFin

Abbildung3:Berichtsprozess

EXXETA.COM

Seite 8

ImHinblickaufdieweiterenVorhabenderBankenaufsichtindie-semThemaistesratsam,dieDurchführungderStresstests–vorallemaufgrundderzuerwartendenBerichtspflichten–möglichstautomatisiertbzw.systembasiertvorzunehmen.SohatdasFSBimRahmenderEmpfehlungenzurBekämpfungvonRisiken fürdieFinanzstabilitätebenfallsErwartungenandieDurchführungvonsystemweitenStresstestsformuliert.

LINKS ZUM DOKUMENT

• EmpfehlungenfürLiquiditätsstresstestsdeutscherKapital- verwaltungsgesellschaften

ALESIA PRYTULCHYKSeniorConsultantFinancialMarkets

VOLKER SMIELICKExecutiveConsultantRisk,Finance&Compliance

Abbildung4:AusdemBerichtderBaFinabgeleiteteEmpfehlungen

Position

Durchführung der Stresstest

Aktiv-undPassivseite

Gegenüberstellung

Aktivseite

Validierung der Stresstests

Kommunikation&Berichterstattung

Passivseite

• BerücksichtigungvonzusätzlichenStresstestszenarien(z.B.anlassbezogeneSzenarienoderkonkrete historischeEreignisse)nebendengesetzlichgefordertenSzenarien• DurchführungvonvertieftenAnalysen(NutzungvonMarktdatenundderExpertisevonHändlern,Analyse derMarktusancen)inAnlageschwerpunktenzurBestimmungderLiquiditätunterNormalbedingungen

• Validierung der Annahmen und Methoden der Stresstests auf formalisierter Basis bestenfalls über Validierungsberichte • ÜberprüfungderExperteneinschätzungen

• KlareRegelungundDokumentationderEskalationswegebeientsprechenderVeränderungdes RisikoprofilsunterBerücksichtigungderjeweiligenAusprägungenderRisikolimitsbzw.Risikoindikatoren• AnpassungderBerichtsinhalteandenjeweiligenAdressatenkreis

• IntensivereBetrachtungderPublikumsfonds(InformationenüberAnlegerstrukturundAnlegerverhalten)• VollständigeBetrachtungderZahlungsverpflichtungen(auchZins-oderKreditzahlungenoder Instandhaltungskosten)beidenStresstestszenarien

• BerücksichtigungeinerausreichendenDatengrundlage(hinreichendlangeHistorie)fürdieVerwendung vonstatistischenMethoden

• EinschätzungderFondsliquiditätunterGegenüberstellungderliquideMittelundzuerwartenden Verbindlichkeiten

Empfehlung BaFin

AUTOREN

EXXETA.COM

Seite9

Der vorliegende Beitrag ist eine Ergänzung zum Beitrag „DieEU-Datenschutz-Grundverordnung (DSGVO) schafft ein ho-hesMaßanDatenschutzinderEU“(EXXETAFinancialServicesNewsletter,Ausgabe2/2016)unddientalsOrientierungshilfefürdieUmsetzungderDSGVO1.

NachfolgendwerdenbedeutungsvolleAnforderungenaussechsvon insgesamtelfKurzpapieren zurDSGVO (sieheAbb.1) be-schrieben.

DieKurzpapierewurdenimJuli2017vonderDatenschutzkonfe-renz(DSK)veröffentlichtundbeschreibeneineeinheitlicheSicht-

weise der deutschen Aufsichtsbehörden zu den Kernthemen der DSGVO.Der Bundesbeauftragte für denDatenschutz und dieInformationsfreiheit(BfDI)weistexplizitdaraufhin,dassdieAuf-fassungen in den elf Kurzpapieren „[…] unter dem Vorbehalt einer zukünftigen–möglicherweiseabweichenden–AuslegungdurchdenEuropäischenDatenschutzausschuss“stehen2.

NebendenbedeutungsvollenAnforderungenwerdenindiesemBeitragauchInformationenzuLösungenaufgezeigt,diezurErfül-lungderDSGVObeitragenkönnen.

ANFORDERUNGEN ZU AUSGEWÄHLTEN KURZPAPIE-REN VON DER DSK

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO (Kurzpapier Nr. 1)3: Das neue Verfahrensverzeichnis (im BDSG„Übersicht“genannt) isteinschriftlichesoderelektronischesVer-zeichnisallerVerarbeitungstätigkeitenmitpersonenbezogenenDa-tenundisteinNachweisdergeforderten„Rechenschaftspflicht“4.

ImVergleichzumaltenVerfahrensverzeichnis istdasneueVer-zeichnis nicht mehr für jedermann zugänglich, muss aber aufAnfrage der Aufsichtsbehörde zur Verfügung gestellt werden.5

Unternehmen mit weniger als 250 Mitarbeitern müssen keinVerzeichnisführen,esseidenn,eswerdenVerarbeitungenper-sonenbezogenerDatendurchgeführt,dieRisikenfürdieRechteundFreiheitdesBetroffenenbergen.BeispieledafürsindBoni-tätsscoringverfahrenundBetrugspräventionsverfahren.

Die erforderlichen Angaben für das Verfahrensverzeichnis dif-ferenzierensichnachdenVerantwortlichen,z.B.Unternehmen(nachArt.30Abs.1DSGVO6)undAuftragsverarbeiter7(nachArt.30Abs.2DSGVO).BeidebildeneineguteGrundlage füreinestrukturierteDatenschutzdokumentationundkönnensomit zurEinhaltungderDSGVObeitragen.

DadieDSGVOeinbreitesSpektrumanDokumentationspflich-tenumfasst,kanndiebloßeErstellungeinesVerfahrensverzeich-nisses nicht alleine zur Erfüllung der Dokumentationspflichtenbeitragen.GemäßderDSKkanneineDSGVO-konformeDoku-mentationwiefolgtnachgewiesenwerden:• durchdasVorhandenseineinerEinwilligungserklärungder betroffenenPerson,• Beachtung der Grundsätze für die Verarbeitung perso- nenbezogener Daten und • der Dokumentation des Ergebnisses einer Datenschutz- folgenabschätzung.

Datenübermittlung in Drittländer (Kurzpapier Nr. 4)8: Bei der ÜbermittlungpersonenbezogenerDatenineinDrittland9 gibt es dreibesondereMöglichkeiten.

1 DiemeistendeutschenUnternehmenhabenUmsetzungsschwierigkeitenbeiderErfüllungderAnforderungen ausderEU-DSGVO,vgl.dazuSchmoll-Trautmann,A.(2017)2 BfDI(2017)3 KurzpapierNr.1VerzeichnisvonVerarbeitungstätigkeiten,S.1ff.4 KriterienzurErfüllungderRechenschaftspflichtsind:Transparenz,Zweckbindung,Datensparsamkeit, Datenrichtigkeit,zeitlichbegrenzteSpeicherungundIntegritätsowieVertraulichkeit5 Siehe§4dund§4eBDSG

6 AngabenfürdasVerfahrensverzeichnissindz.B.AngabenzurVerarbeitung,ZweckderVerarbeitung, BeschreibungderKategorienderpersonenbezogenenDaten,derbetroffenenPersonundEmpfänger.7 AuftragsverarbeitersindnatürlicheoderjuristischePersonen,Behörden,EinrichtungenoderandereStellen, diepersonenbezogeneDatenimAuftragdesVerantwortlichenverarbeiten.8 KurzpapierNr.4DatenübermittlunginDrittländer,S.1ff.9 Drittland:GemäßderDSGVOsindsog.DrittländerLänderaußerhalbderEU/desEWR

EU-DSGVO: SECHS AUSGEWÄHLTE KERNTHEMEN

UND PRAKTISCHE INFORMATIONEN ZU

DSGVO-GERECHTEN LÖSUNGEN

Abb.1:ÜbersichtzudenelfKurzpapierenvonderDSK(Quelle:EigeneDarstellunginAnlehnungandieDSK)

EXXETA.COM

Übersicht der Kurzpapiere zum neuen Datenschutzrecht

Kurzpapier Nr. 1: VerzeichnisvonVerarbeitungstätigkeiten

Kurzpapier Nr. 5: DatenschutzFolgeabschätzung

Kurzpapier Nr. 9: ZertifizierungnachArt.42DSGVO

Kurzpapier Nr. 11: RechtaufLöschung/„RechtaufVergessenwerden“

Kurzpapier Nr. 3: Verarbeitung personenbezogener Daten für Werbung

Kurzpapier Nr. 7: Marktortprinzip:RegelungenfüraußereuropäischeUnternehmen

Kurzpapier Nr. 2: Aufsichtsbefugnisse/Sanktionen

Kurzpapier Nr. 6: AuskunftsrechtderbetroffenenPersonen,Artikel15DSGVO

Kurzpapier Nr. 4: Datenübermittlung in Drittländer

Kurzpapier Nr. 8: Maßnahmenplan„DSGVO“fürUnternehmen

Kurzpapier Nr. 10: InformationspflichtenbeiDritt-undDirekterhebung

Seite 10

Die ersteMöglichkeit ist die Feststellung der AngemessenheitdesDatenschutzniveaus imDrittlanddurchdieEU-Kommission(Art.45DSGVO).Umzuerfahren,obeinangemessenesSchutz-niveau besteht,wird in demDrittland geprüft, ob einschlägigeRechtsvorschriftenundwirksameFunktionsweisenunabhängigerAufsichtsbehördenimSinnederDSGVOexistieren.Einadäqua-tesDatenschutzniveauhatdieKommissionfürdas„EU-US-Pri-vacyShield“10 festgestellt.

EinezweiteMöglichkeit fürdieDatenübermittlung ineinDritt-landistbeimVorliegengeeigneterGarantienzulässig(Art.46DS-GVO).ZudiesenangemessenenGarantiengehörenzumBeispiel• dieverbindlicheninternenDatenschutzvorschriften(Binding CorporateRules),• StandarddatenschutzklauselnderKommissionodereinerAuf- sichtsbehörde,• genehmigte Verhaltensregeln und genehmigte Zertifizie- rungsmechanismen sowie • einzelnausgehandelteVertragsklauseln(Art.46Abs.3DSGVO).

Wenn bei einer Datenübermittlung kein Angemessenheitsbe-schluss der EU-Kommission und keine geeigneten Garantienvorliegen,kanndieÜbermittlungüberAusnahmenfürbestimmteFällefestgelegtwerden(Art.49DSGVO).Beispielehierfürsind:• die Einwilligung der betroffenen Person, aus Gründen des öffentlichenInteresses(z.B.KooperationvonWettbewerbs- undSteuerbehörden)und• umlebenswichtigeInteressendesBetroffenenzuschützen• und insbesondere in Fällen, wenn „die betroffene Person […] aus physischen oder rechtlichen Gründen außerstande (ist),ihreEinwilligung[…]“11 abzugeben.

Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Kurzpa-pier Nr. 5)12:EineDatenschutz-Folgenabschätzung (DSFA)wirddurchgeführt,wenneinhohesRisikofürdieRechteundFreiheitdesBetroffenenbesteht.ImSinnedesArt35Abs.1DSGVOistdiesbeispielsweisederFall,wenneineautomatisierteVerarbei-tungeinschließlichProfilinggemäßArt.22Abs.1und4DSGVOerfolgt.BeiderDurchführungeinerDSFA istdaraufzuachten,dass sich diese auf konkrete und einzelneVerarbeitungsgängebeziehtunddieMindestanforderungenaneineDSFAgemäßArt.35Abs.7berücksichtigtwerdenmüssen.ZudiesenMindestan-forderungengehörenz.B.diesystematischeBeschreibungundBewertungderRisikendesBetroffenen sowieMaßnahmenzurEindämmung dieser Risiken.13 Die detaillierten ProzessschrittezurDurchführungeinerDSFAkönnenimKurzpapierNr.5nach-gelesen werden.14 Grundsätzlichistanzumerken,dassdieDSFAdurch ein effektives Datenschutz-Managementsystem unter-stütztwerdenkann.

Auskunftsrecht der betroffenen Person nach Art. 15 DSGVO (Kurzpapier Nr. 6)15: Art. 15 DSGVO besagt, dass betroffene

PersonendasRecht haben,Auskunftüber gespeicherte perso-nenbezogeneDatenundderenVerarbeitungzuverlangen.DerAntragkannformlos(schriftlich,elektronisch,mündlich)undohnevorherigeBegründunggestelltwerden.

VomVerantwortlichenwirdverlangt,dasserdenAntragunver-züglich,spätestensaberinnerhalbeinesMonatsbeantwortetundineinemgängigenelektronischenFormatzurVerfügungstellt(z.B. imPDF-Format).Dievorerst kostenloseDatenauskunftvomVerantwortlichenumfasstzumBeispiel:• die„[…]Verarbeitungszwecke,• die Kategorien personenbezogener Daten, die verarbeitet werden und • (die)geplanteSpeicherdauer,fallsmöglich.“16

WerdenweitereAuskünftedurchdiebetroffenePersoneingefor-dert,z.B.„(b)eioffenkundigunbegründetenoder–insbesondereimFallvonhäufigerWiederholung– exzessivenAnträgen […]“,kannderVerantwortlichedieVerträgeablehnenodereinEntgelteinfordern.17

Gemäß der DSGVO steht jeder betroffenen Person ein Aus-kunftsanspruch zu. Falls aber ein berechtigter Zweifel an derIdentitätdesAntragstellersbesteht,mussdiebetroffenePersondurchzusätzlicheInformationenihreIdentitätnachweisen(z.B.durcheinePostadresseodereineKontoinformation).

WennessichbeiderAuskunftumeinegroßeMengeangespei-chertenInformationenhandelt,wirddiebetroffenenPersonauf-gefordert,dieInformationenzupräzisieren.

Zertifizierungen nach Art. 42 DSGVO (Kurzpapier Nr. 9)18: Mit denArtikeln § 42 und § 43 derDSGVO legt derGesetzgebereineneinheitlichenGrundsteinfüreineuropäischeseinheitlichesAkkreditierungs- und Zertifizierungsverfahren fest. DemnachkönnensowohlakkreditierteZertifizierungsstellen(z.B.dieDeut-scheAkkreditierungsstelleGmbH–DAKKS)alsauchdiezustän-digenAufsichtsbehördeneineDatenschutzzertifizierung fürdieHöchstdauervondreiJahrennachDSGVOerteilen.19

EinedatenschutzspezifischeZertifizierungistinsofernwichtig,daesbisherlediglichZertifizierungengab,dienureinzelneTeilberei-chedesDatenschutzesabgedeckthaben,z.B.ISO27001(NormfürInformationssicherheits-Managementsysteme).

Gemäß der DSK kann eine Zertifizierung zur Einhaltung der DSGVO beispielweise für die folgenden Anwendungsbereicheherangezogenwerden:• DatenübermittlunganeinDrittland,• einer Datenschutzfolgeabschätzung sowie • bei der Erfüllung der Anforderungen an Technikgestaltung und datenschutzrechtliche Voreinstellungen.20

10 SieheEXXETAFinancialServicesNewsletterAusgabe3/2016EU-USDatenschutzabkommen PrivacyShield(„SchutzschildfürdiePrivatsphäre“)–NachfolgervonSafeHarbor(„Sicherer Hafen“)11 Artikel49Abs.1fDSGVO12 KurzpapierNr.5Datenschutz-Folgeabschätzung,S.1ff.13 Bsp.fürVerarbeitungsgänge:SummevonDaten,Systeme(HW,SW)undProzessen14 KurzpapierNr.5Datenschutz-FolgenabschätzungS.2ff.(nachArt.35DSGVO)15 KurzpapierNr.6AuskunftsrechtderbetroffenenPerson,S.1ff.

16 Art.15Abs.1DSGVO17 WeitereBeispielesieheKurzpapier,Art.15Abs.1DSGVOundArt.12Abs.5DSGVO18 KurzpapierNr.9:Zertifizierungen,S.1ff.19 Art.42Abs.5und7DSGVO20 AuszugvonBeispielen.WeitereBeispielesieheKurzpapierNr.9:Zertifizierungen,S.1

EXXETA.COM

Seite 11

WenneinUnternehmendieZertifizierungerfolgreichdurchlau-fenmöchte,müssendieDatenverarbeitungsvorgänge (u. a. beiderAuftragsverarbeitung)transparentdokumentiertsein.

Recht auf Löschung / „Recht auf Vergessenwerden“ nach Art. 17 DSGVO (Kurzpapier Nr. 11): Bereits in § 35Abs. 2 BDSGwurdedasRechtaufLöschungdefiniert.GemäßdemArt.17Abs.1DSGVOerfolgteinestriktereAuslegung.Sosindpersonenbe-zogene Daten unverzüglich zu löschen, wenn die Zwecke, fürwelche dieDatenverbreitetwurden entfallen, die EinwilligungdurchdenBetroffenenwiderrufenundeinWiderspruchgegendie Verarbeitung eingelegt wird. Weiterhin sind personenbezo-geneDatenunverzüglichzu löschen,wenndieseunrechtmäßigverarbeitetwurden.

UmdasRecht auf Löschung zu erfüllen,müssen angemesseneTechnologieneingesetztunddieVerantwortlichenbzw.Auftrags-verarbeiter informiertwerden,wenndiebetroffenePersondasRecht auf Löschung in Anspruch nehmen möchte.

Gemäß Art. 19 DSGVO „Mitteilungspflicht im ZusammenhangmitderBerichtigungoderLöschungpersonenbezogenerDatenoderderEinschränkungderVerarbeitung“ isteinUnternehmenverpflichtet,dieDatenempfängerzubenachrichtigen,wenneineLöschung erfolgt ist. Allerdings wird dieser Anspruch ausge-schlossen,wennsichdieAuftragserteilungals„[…]unmöglicher-weistodereinenunverhältnismäßigenAufwand[…]“22 erfordert.Abschließendbleibtanzumerken,dassdieNachberichtspflichten,z.B.beiderinkorrektenÜbermittlungvonDateneinerPersonanDritte,zurLöschunggemäߧ35Abs.7BDSGbestehenbleiben.

DSGVO-GERECHTE LÖSUNGEN

UmdiegenanntenDSGVOAnforderungenzuerfüllen,werdenLösungenbenötigt,diebeiderErfüllungderDSGVOunterstüt-zenkönnen.NachfolgendwerdenentsprechendeLösungenvor-gestellt.

Enterprise Mobility Management System23:FürUnternehmen,dieihreCloud-DiensteübermobileEndgeräte(z.B.Office365)anbieten, kann durch eine EMM Lösung eine klare TrennungvongeschäftlichenundprivatenDatenaufdenEndgerätenvor-genommenwerden.Dies hilft zum einen bei der Erfüllung derDSGVORechenschaftspflicht(siehe1.VerzeichnisvonVerarbei-tungstätigkeiten)undzumanderenbeiderErfüllungdesArt.32„Sicherheit der Verarbeitung“ personenbezogener Daten (z. B.PseudonymisierungundVerschlüsselung).Weiterhinistesmög-lich,dassdurchdieEMMLösungerkennbarist,welcheEndgeräteundApps auf bestimmteDienste zugreifen.Demnach kann imFall einer Datenschutzverletzung durch ein Audit-Protokoll einNachweiserbrachtwerden,beiwelchenVerarbeitungsvorgängen

eine Verletzung des Schutzes personenbezogener Daten erfolgt istundwelcheAbhilfemaßnahmendurchdasUnternehmenggf.schon erbracht worden sind.

DSGVO-gerechte Cloud-Lösung24: Da aktuell drei Viertel derCloud-Anwendungen noch nicht die DSGVO Anforderungen inpuncto Datenspeicherung, Verschlüsselung und der Datenverar-beitungsverträgeerfüllenkönnen25,werdenLösungenbenötigt,diebeiderEinhaltungderDSGVOhelfen.Demnachisteswichtig,dasseineÜbersichtübersämtliche IT-Assets imUnternehmenermög-lichtwird, die personenbezogeneDaten enthalten undAuskunftüberderenDatenerfassungund-verwendunggebenkönnen.

Weiterhinisteswichtig,dassdieLösungeineIdentifizierung,Be-wertungundEinschätzungvonRisikenermöglicht.BasierendaufdiesenInformationenkanndanneineaggregierteDatenlandkar-teerstelltwerden.FürUnternehmenistdannklarersichtlich,woihreDatengespeichertsindundfürwelcheZweckesieverwen-detwerden(TransparenzüberdieDatenverwendung).Daraufhinkanngeprüftwerden,welchesicherheitstechnischenKontrollenzum Schutz personenbezogenen Daten oder sensibler Daten er-forderlich sind.

Automatisierte Bedrohungsmanagement-Lösung26: Eine auto-matisierte Bedrohungsmanagement-Lösung basiert aufmaschi-nellenLernenundKünstlicher Intelligenzundsolldabeihelfen,IT-Sicherheitsverletzungenfrühzeitigzuerkennenundabzuweh-ren,bevorCyberkriminellediesefürsichausnutzenkönnen.

DerVorteileinersolchenintelligentenLösungist,dassbestimm-teFunktionenautomatisiertbereitgestelltwerdenkönnen,z.B.Monitoring im Netzwerk, Echtzeit-Bedrohungserkennung, Ka-tegorisierung vonAngriffen sowie Berichterstattung zu Sicher-heitsvorfällen (Incident Reporting). Weitere Funktionen einerDSGVO-gerechten Cyber Security Lösung können detailliert27

nachgelesen werden.

FAZIT UND AUSBLICK

Die genannten bedeutungsvollenAspekte aus den ausgewähl-tenKurzpapierenderDSKgebeneinenÜberblicküberdiesig-nifikantenDSGVOAnforderungen.KurzvorAblaufderCompli-ance-FristempfehlenwirUnternehmen,sichintensivmitdiesenAnforderungen auseinanderzusetzen, da bei NichteinhaltungBußgeldervonbiszu20MillionenEURoderbiszu4Prozentdesweltweiten Jahresumsatzes sowie andere Sanktionen drohen.28

DieDSGVOverweistanvielenStellenauf„geeignetetechnischeund organisatorische Maßnahmen“. In diesem Beitrag wurdendaherkonkreteEMM-,Cloud-undautomatisierteBedrohungs-managementlösungenvorgestellt,dieeineanforderungsgerechteUmsetzungderDSGVOermöglichen.

21 KurzpapierNr.11RechtaufLöschung/RechtaufVergessenwerden,S.1ff.22 Art.14Abs.5bDSGVO23 Komotoglou,S.(2017)24 Schmitz,P.(2017)25 Witmer-Goßner,E.(2017)26 Bauer,G.(2017)27 Bauer,G.(2017)28 Faust,S./Spittka,J./Wybitul,T.(2016)

EXXETA.COM

Seite 12

MitBlickaufdieZukunfträtderIDC(2016),dassUnternehmenbestehende IT-Sicherheitslösungsansätze prüfen, umfassendeIT-SicherheitsprogrammeimplementierenundOptimierungsmaß-nahmenimBereichfolgenderTechnologienvornehmensollen29:• Netzwerk-Sicherheit(z.B.„SecureRemoteAccess“)• Identity & Access Management (z. B. „Privileged Account Management“)• Verschlüsselung(z.B.Datentransfer)

UNSER BERATUNGSSPEZIFISCHES ANGEBOT

DieEXXETAExpertenausdenBereichenFinancialServicesundIT-Transformation Consulting können bei der Erarbeitung voninternen Studien,Durchführung einerGAP-Analyse, Complian-ce-Heatmap, bei einem Maßnahmenkatalog zur Erfüllung derregulatorischen Anforderungen sowie bis zur ImplementierungeinesDatenschutzmanagementsunterstützen:• Regulatory• DataManagement&Integration• SearchandDataVisualization

WeiterhinkannunserPartnerLEXETAbeirechtlichenAspektenundunserEXXETADigitalisierungsteambeieinermöglichenagi-lenUmsetzungvonDSGVOLösungenberaten:• LEXETA• DigitalDisruption&Transformation

LINKS ZUM DOKUMENT

• BfDI(2017)• Bauer,G.(2017)• Faust,S./Spittka,J./Wybitul,T.(2016)• IDC(2016)• Komotoglou,S.(2017)• KurzpapierNr.6:AuskunftsrechtderbetroffenenPerson • KurzpapierNr.5:Datenschutz-Folgeabschätzung• KurzpapierNr.4:DatenübermittlunginDrittländer• KurzpapierNr.11:RechtaufLöschung/Rechtauf Vergessenwerden• KurzpapierNr.1:VerzeichnisvonVerarbeitungstätigkeiten• KurzpapierNr.9:Zertifizierungen• Schmitz,P.(2017)• Schmoll-Trautmann,A.(2017)• Witmer-Goßner,E.(2017)

LILIAN HUGSeniorConsultantRisk,Finance&Compliance

AUTOR

29 IDC(2016)

EXXETA.COM

Seite 13

In Anlehnung an den Beitrag „Künstliche Intelligenz („ArtificalIntelligence“) im Kontext von IT-sicherheits- und datenschutz-rechtlichen,regulatorischensowieethischenAspekten“(EXXETAFinancialServicesNewsletter,Ausgabe3/2017)liegtderFokusindiesemBeitragaufderKI-Anwendung„Chatbots“.ObwohlChat-botsindiesemJahrzudenTop-Technologietrendsgehören,gibtesdieautonomagierendenComputerprogrammebereitsseitun-gefähr50Jahren(z.B.das1966entwickelteComputerprogrammELIZA).1

HINTERGRUND UND EINSATZBEREICHE

LautGartnerwerdenChatbots2zukünftigeinensostarkenEin-fluss inunseremAlltaghaben,dasswirunsvermehrtmit ihnenaustauschen werden.3 Bereits heute helfen uns die virtuellenOnline-Assistenten bei der Beantwortung standardisierter undkonkreterFragen.EinaktuellesBeispielistdieIntegrationdesFa-cebook-Bots in denFacebook-Kommunikationskanal „FacebookMessenger“.NunkönnenFacebook-NutzerindenUSAüberden„FacebookMessengerBot“u.a.PizzaundKinokartenbestellen.

ZudenbekanntestenChatbotsgehörenApplesSiri (2011)undAmazonsAlexa(2015),dieaberimVergleichzuihrerMarktein-führungnunkomplexereundvielfältigereKommunikationsaufga-benwahrnehmenkönnen.

Chatbotskönnenbranchenübergreifendeingesetztwerdenundsogibtes imBankingbereitsdievielfältigstenEinsatzbereiche,die zunehmend mit einer Art künstlicher Intelligenz erweitertwerden.SokönnenBankkundenbereitsheuteperLive-ChatmitdemChatbotRechnungenundÜberweisungendurchführenso-wieihrenaktuellenZinssatzüberprüfenlassen.4

COMPLIANCE-ASPEKTE MÜSSEN BEIM EINSATZ VON CHATBOTS BEACHTET WERDEN5

Beim Einsatz von Chatbots müssen Compliance-Aspekte imWettbewerbs- und Urheberrecht, Telekommunikationsgesetz(TKG),Telemediengesetz (TMG)sowie imDatenschutz (EU-DS-GVO)berücksichtigtwerden.BeiLetzteremistanzumerken,dassdurchdieDSGVOca.70Öffnungsklauselnexistieren,dieesdenMitgliedstaatenermöglicht,eigeneRegelungenaufzustellen.6 Zu diesenSpezialregelungengehörenz.B.dasTKGunddasTMG,

die eigene datenschutzrechtliche Regelungen definiert habenundauchmitderDSGVOEinführungweiterhingültigsind.

KonkreteBeispiele imWettbewerbsrechtwerdenaneinemBei-spielausdemDirectMarketingerläutert.SokannesimFalldesFacebook Messengers sein, dass dieser als internes Nachrich-tensystembetrachtetwirdunddahermitderRechtspositionderE-Mailgleichzustellenist.DemnachkönntenNachrichtenzuneu-en Produktangeboten eine unzumutbare Belästigung darstellen(siehe § 7Abs. 2Gesetz gegen den unlauterenWettbewerb –UWG).

BeiderWerbunganBestandskundengibteseinigewenigeAus-nahmen und es müssen mehrere Voraussetzungen erfüllt sein. DaherwirdfüreinezulässigeWerbungeinevorherigeEinwilligungdesEmpfängersbenötigt.DieseEinwilligungkannz.B.durcheineOpt-in7Lösungeingeholtwerden.WennallerdingskeineEinwilli-gung durch den potenziellen Kunden erteilt und dieser weiterhin perE-Mail-Werbungkontaktiertwird,kanneinUnterlassungsan-spruch gegen den Werbenden geltend gemacht werden.8

Neben demWettbewerbsrechts ist beimEinsatzvonChatbotsdasUrheberrechteinweiteresgroßesjuristischesStreitthema.SoliegteineUrheberrechtsverletzungvor,wenneinNutzereinBildhochlädtundderChatbotdiesesdannohneeineentsprechendeEinverständniserklärunganweitereNutzerversendet.

Aufgrund der tiefgreifendenVeränderung in der Kommunikati-onsbranche durchMessenger-Dienste,wie z. B. der FacebookMessengeroderWhatsApp,hatderDeutscheBundesratam22.April2016eineGesetzesnovellierungimTelekommunikationsbe-reichvorgenommen.

Gemäß des Beschlusses zur „Anpassung des Rechtsrahmens andas Zeitalter der Digitalisierung im Telekommunikationsbereich– Rechtssicherheit bei Messengerdiensten, standortbezogenenDienstenundanderenneuenGeschäftsmodellen“sollensichdieAnbieterderOver-The-Top-Dienste9 den deutlich strengeren ge-setzlichenRegelungenderherkömmlichenTelekommunikationsan-bieter unterwerfen.10 BeispielehierfürsinddieAchtungdesFern-meldegeheimnisses(§88TKG),desDatenschutzes(§§91ff.TKG)sowiederVorschriftenzurVorratsdatenspeicherung(§113bTKG).

HAFTUNGSFRAGEN BEIM EINSATZ VON CHATBOTS11

EinweitererAspekt,derbeimEinsatzvonChatbotszubetrachtenist,sinddiesichdarausergebendeHaftungsfragen.Waspassiert,wenn ein Chatbot Fehlinformationen verbreitet? Haftet dannderAnbietervonChatbotsoderderNutzer?Hierkannineinemersten Schritt zwischen „normalen Bots“ und „lernenden Bots“differenziertwerden.

CHATBOTS: EINSATZBEREICHE, COMPLIANCE-

UND HAFTUNGSFRAGEN SOWIE ASPEKTE

DES DATENSCHUTZES UND DER DATENSICHERHEIT

1 Kühl,E.(2016)2 GrundsätzlichwirdzwischenvierArtenvonBotsdifferenziert:Entertainment-Bots,News-Bots,Utility-Botsund Kundenservice-Bots.DieBotsunterscheidensichz.B.imHinblickaufihreInteraktionskomplexität. Quelle:iadvizeBlog(2016)3 Tönnesmann,J.(2017)4 Leichsenring,H.(2017)5 Conrad,C.(2016)6 Netzpolitik(2017)7 Opt-in:EinausdrücklichesZustimmungsverfahrenbeidemderEndverbraucher,Werbekontaktaufnahmenim Vorausdurchz.B.durcheineE-Mailexplizitbestätigenmuss.

8 §§823,1004IIBGBi.V.m.§8UWG9 OTT:DieOTTDiensteermöglichdiekostenloseÜbermittlungvondiversenInhalten(z.B.Text,Video,Audio).10BeschlussdesBundesrates(2016)11Detektor(2016)

EXXETA.COM

Seite 14

Wennein normalerBot Fehlinformationenverbreitet und z. B.Verträgeabgeschlossenwerden,diezuSchädenfürdenBetrof-fenenführen,mussgeprüftwerden,obdasjeweiligeUnterneh-menhaftbargemachtwerdenkann.Grundsätzlichistesso,dassdas Unternehmen für die Einrichtung und Programmierung eines Chatbots z. B. Entscheidungsbäume und Regeln zurMusterer-kennungdefiniert.DadurchgibtdasUnternehmeneineWillens-erklärungabundkannfüreinenSchadenhaftbargemachtwer-den.Esbleibtaberzubetonen,dassdiejuristischenFeinheitennochnichtfinalgeklärtwordensind.

BeieinemlernendenBot(d.h.BotserweitertumkünstlicheIn-telligenz–lernfähigeBots)istesinderRegelso,dassdasUnter-nehmeneinenBasisalgorithmusdefiniertundderChatbotdurchnutzergenerierteAntwortenkontinuierlichdazulernt.Diesistin-sofernproblematisch,daesdazuführenkann,dassdurchBotsBeleidigungen generiertwerden,wie imBeispiel desMicrosoftTayBot.DieserBothatBeleidigungenaufTwittergeneriert,dieimRahmenderChatkonversationmitdenNutzernentstandensind.

DATENSCHUTZ UND DATENSICHERHEIT12

NebendenCompliance-undHaftungsaspektendarfderDaten-schutzunddieDatensicherheitbeidemEinsatzeinesChatbotsnicht außer Acht gelassen werden. Bei der Chatbot-Technolo-gie stehtderAustauschvon Informationen imZentrumundeswerdenunzähligepersonenbezogeneDaten,z.B.Standortdatenoder sensible Daten wie Gesundheitsdaten gesammelt. DaherkommenzweifelsohnedatenschutzrechtlicheFragenaufundesist ein korrekterUmgangmitpersonenbezogenenDatenerfor-derlich(sieheAbb.1).

GemäßderAbb.1gibtessiebenEU-DSGVOVorgaben,die imUmgang mit personenbezogenen Daten beachtet werden müs-sen.NachfolgendwerdenvereinzelteBeispielezudenEU-DSG-VOVorgabendargestellt.

Vorweg ist zu erwähnen, dass bei der Interaktion zwischenMensch und Chatbot zunächst eine datenschutzrechtlicheEinwilligungserklärung benötigt wird. Die Einwilligung kannvorbzw.beiBeginnderDialogabläufeeingeblendetwerden,musswiderrufbar sein und über die Betroffenenrechte13 des Endnutzers informieren. Beispielsweise wird die Rechtslage zusätzlicherschwert,wenneinDatentransfer ineinDrittlanderfolgen soll.

Diesliegtu.a.daran,dassbeiderSimulationzwischenmenschli-cherKommunikationinnerhalbkürzesterZeitUnmengenanper-sonenbezogenen Daten verwendet, analysiert und verarbeitetwerden. Inwieweit alle Informationen für eine rechtskonformeEinwilligungserklärung über ein Chatfenster abbildbar sind, istnochnichtfinal geklärt.Unternehmen sinddaher aufgefordert,ihreIT-SystemeanzupassenunddieFülleanInformationenklarundverständlichineinemChatfensterabzubilden.

ImFolgendenfindenSieausgewählteBeispielezudenEU-DSG-VOVorgaben(sieheAbb.1).

Speicherfristen und Zweckbindung: Bei dem Beispiel einer Piz-zabestellungüberden„FacebookMessengerBot“werdenperso-nenbezogeneDaten(z.B.derProfilnameunddieLieferadresse)andenFacebook-Serverübermitteltundgespeichert.Grundsätz-lichdürfendieseDatenundProtokolledesChatverlaufsnurwe-nigeTagegespeichertwerden(siehe§100TKG).

Gesetzeskonforme,angemesseneund transparente Verarbeitung

Speicherfristen

Zweckbindung

Datenrichtigkeit

Verantwortlichkeit/Dokumentation

IT-Sicherheit

Datensparsamkeit

FürdieVerarbeitungVerantwortlichemüssentriftigeGründezurVerarbeitungderpersonenbezogenenDaten haben.

DieDatensolltennursolangegespeichertwerden,wieesfürdenbetreffendenZweckerforderlichist.

EsmusseinenklarenundexplizitenGrundfürdieVerarbeitungderpersonenbezogenenDatengeben.

DieDatensolltenkorrektsein,Fehlersolltensichleichtbeseitigenlassen.

DerfürdieVerarbeitungVerantwortlichesolltedieKonformitätmitdenobenerwähntenGrundsätzennachweisenkönnen.

DieDatensolltensoverarbeitetwerden,dasseineentsprechendeSicherheitderpersonenbezogenenDatengewährleistetist,siebeispielsweisegegenVerarbeitungdurchUnbefugteundgegenversehentlichenVerlustdurch

angemessenetechnischeundorganisatorischeMaßnahmengeschütztsind.

DieverarbeitetenDatensolltenaufdasfürdenbetreffendenZweckbenötigteMinimumbegrenztwerden.ZugangdarfnurdenPersonengewährtwerden,dieihnfürdenbetreffendenZweckbenötigen.

EU-DSGVO Vorgaben im Umgang mit personenbezogenen Daten

12 Conrad,C.(2016)13 Betroffenenrechte:RechtedervoneinerDatenanwendungbetroffenenPerson(=Betroffener)gegenüberdem Verantwortliche(z.B.Unternehmen).Dazugehören:Informationspflicht,Auskunftsrecht,Rechtauf Berichtigung,RechtaufLöschung,RechtaufEinschränkungderVerarbeitung,Widerspruchsrecht,Rechtauf Daten-übertragbarkeit.

Abb.1:EU-DSGVOVorgabenimUmgangmitpersonenbezogenenDaten

EXXETA.COM

Seite 15

WirddiePizzanunbestelltundes folgteinVertragsabschluss,richtet sich die Dauer der Speicherung nach dem „Grundsatzder zweckgebundenenDatenverwendung“.DerGrundsatz derzweckgebundenenDatenverwendungbesagt,dasspersonenbe-zogeneDatennursolangeverarbeitetundgespeichertwerdendürfen,wiefürdieZwecke,fürdiesiemitgeteiltwurden.Bezo-genaufdiePizzabestellungbedeutetdieskonkret,dassKunden-datenzunächstnurgespeichertwerdendürfen,wenneinVer-tragsabschlusserfolgtist.GemäßdemZweckbindungsgrundsatzdürfenDatendannnurbiszurBezahlungbzw.fürdiejeweiligeAbrechnungsperiode gespeichertwerden. Da es verschiedeneArtenvonpersonenbezogenenDatengibt,könnendieSpeicher-fristenunterschiedlichausgelegtwerden.Einelängere(endlose)SpeicherungvonpersonenbezogenenDatenistnurinAusnah-mefällen möglich. Zu diesen Ausnahmefällen gehören z. B. „die VerarbeitungzuimöffentlichenInteresseliegendenArchivzwe-cken, zuwissenschaftlichen oder historischen Forschungszwe-ckenoderzustatistischenZwecken“.14ImFalldesPizzabeispielsüber den „Facebook Messenger Bot“ muss geprüft werden,welchepersonenbezogenenDatenfürwelchenZweckaufdenFacebook-Servern gespeichert bleiben dürfen, ohne dabeimitdenstrengerenSpeicherfristenunddem„RechtaufLöschung“zukollidieren.

Datensparsamkeit: Im Sinne der Datensparsamkeit wird denNutzernbeimEinsatzvonChatbotsempfohlen,sowenigInfor-mationenwiemöglichbeiderKommunikationmiteinemChatbotpreiszugeben.Dieswirddamitbegründet,dassdieAnbietervonChatbots, basierend auf der gespeicherten IP-Adresse und derEingabe weiterer personenbezogener Daten, Rückschlüsse aufeinzelnePersonenziehenkönnen.15

Datenrichtigkeit: Bei demGrundsatz derDatenrichtigkeit sindUnternehmen(z.B.AnbietervonChatbots)dafürverantwortlich,dassdieEingabedaten,z.B.desAlgorithmus,vollständigundak-tuell sind.

IT-Sicherheit:InpunctoIT-SicherheitzeigteineStudiezuKünst-licher Intelligenz, dass sichdeutscheVerbrauchervermehrt umdie Datensicherheit sorgen.16 NachAnsichtderBefragtenstellenpersonenbezogeneundsensibleDatenbeimEinsatzvonChat-botseingroßesSicherheitsrisikodar.Dies lässtsichu.a.damitbegründen, dass Chatbots vermehrt aktuellen Bedrohungssze-narien ausgesetzt sind, z. B. Compliance-Problemen, Distribu-ted-Denial-of-Services (DDoS)Attacken, Phishing,Attacken aufkritische Infrastrukturen, Internetof things (IoT)Bedrohungen17

etc.).SokönnenNutzer,fürdieoftnichterkennbarist,obsiemiteinemBotkommunizieren,aufAnrateneinesinfiziertenBots,z.B.durchdasAnklickeneinesvorgeschlagenenLinks,Schadpro-grammeauf ihrenRechner installieren.DieshatzurFolge,dasspersönlicheDaten(z.B.Kreditkartendaten)indiefalschenHän-degeraten.Deutlichherausfordernderwirdes,wenndieChat-

bot-TechnologieimRahmenvonDDoS-Angriffen18 genutzt wird. Durch solche Angriffe werden Server über das Internet über-lastet, bis diese ihrenDienst einstellenmüssen.DiesebeliebteAngriffsmethodekannverwendetwerden,umdenWettbewerbnegativzubeeinflussen.

Verantwortlichkeit/Dokumentation: Bei der letzten EU-DSG-VOVorgabemussderVerantwortlichebzw.Auftragsverarbeiterdie vorangegangenen Grundsätze in puncto Dokumentations-pflichtenundderRisikobewertungnachweisenkönnen(Rechen-schaftspflichtundTransparenz).

FAZIT UND AUSBLICK

DieBotswerdendieKommunikationinderZukunftprägenunddaher müssen Unternehmen rechtliche Rahmenbedingungen (Compliance-undHaftungsfragen)prüfenunddabeidenDaten-schutz unddieDatensicherheit nicht aus denAugenverlieren.DieanhaltendenDiskussionenumHaftungs-undSchadensersat-zansprüchebeiChatbotssindnochnichtfinalgeklärtundwerdenaufgrundderzunehmendenlernfähigenBotsinZukunftvermut-lichvermehrtauftauchen.

GeradeimKontextdesDatenschutzesundderDatensicherheitgibt es erhebliche Herausforderungen im Umgang mit perso-nenbezogenen Daten sowie der Erfüllung der entsprechenden EU-DSGVOVorgaben.

Mit Blick auf die Zukunft ist anzumerken, dass es Befürchtun-gengibt,dassdurchdenzunehmendenEinsatzvonChatbotsdieklassischenInternetseitenundAppsverdrängtwerdenkönnen.19 ZudemistderEinsatzvonKI-TechnologiegegenCyberkriminali-tätäußerstinteressantundsokanndiesebereitsheute,z.B.inBezug auf dieAnalysedesDatenverkehrs beiDDoSAngriffen,eingesetzt werden.20

UNSER BERATUNGSSPEZIFISCHES ANGEBOT

EXXETAempfiehltUnternehmenineinemerstenSchrittzuprü-fen, inwieweit Chatbots in ihre Unternehmensstrategie passenundwelcheneuenGeschäftspotenzialesichdadurchergeben.

DieEXXETAExpertenausdenBereichenFinancialServicesundIT-TransformationConsultingkönnenbeiderErarbeitungvonin-ternenVorstudien,DurchführungeinerGAP-Analyse,Complian-ce-HeatmapssowieeinemMaßnahmenkatalogzurErfüllungderregulatorischenAnforderungenunterstützen:• Regulatory• DataManagement&Integration• SearchandDataVisualization

14 Art.89DSGVO15 DatenschutzistPflicht(2016)16 VMware(2017)17 HenselM./Litzel,N.(2017)18 DieseAngriffekönnengegenüberkonkurrierendenUnternehmeneingesetztwerden,umdiesengezieltzu schaden.19 Scholz,H.(2016)20 Jung,H.M(2017)

EXXETA.COM

Seite 16

In Zusammenarbeit mit unserer Tochtergesellschaft anacisi-onGmbH imBereichData ScienceConsulting sowie unseremPartnerLEXETAkönnenwirSiezudembeiderEntwicklungundEvaluierung von Chatbot-Anwendungsfällen, Überprüfung vonChatbot-Lösungsangeboten von FinTech-Unternehmen sowierechtlichen Aspekten beraten. Weiterhin kann unser EXXETATeamimInnovationConsultingbeispielsweisebeideragilenUm-setzungvonChatbot-Lösungenunterstützen:• PredictiveAnalytics • LEXETA

LINKS ZUM DOKUMENT

• BeschlussdesBundesrates(2016):Entschließungdes Bundesrates zur Anpassung des Rechtsrahmens an das ZeitalterderDigitalisierungimTelekommunikationsbereich -RechtssicherheitbeiMessengerdiensten, standortbezogenen Diensten und anderen neuen Geschäftsmodellen• Conrad,C.(2016)• DatenschutzistPflicht(2016)• Detektor(2016)• Finch,L.(2017)• Härtel,M.(2016)• HenselM./Litzel,N.(2017)• IadvizeBlog(2016)• Jung,H.M(2017)• Kühl,E.(2016)• Leichsenring,H.(2017)• Netzpolitik(2017)• Scholz,H.(2016)• Tönnesmann,J.(2017)• VMware(2017)

AUTOR

LILIAN HUGSeniorConsultantRisk,Finance&Compliance

EXXETA.COM

Seite 17

Dasam23.Juni2017inKraftgetreteneGesetzzurUmsetzungder4.EU-Geldwäsche-RichtliniezieltaufdieVerhinderungvonGeldwäscheundTerrorismusfinanzierungab.DieEinhaltungver-stärkterTransparenzvorschriftensowieerhöhterSorgfaltspflich-tenstelltdieVerpflichtetenvorenormeHerausforderungenundprophezeit hohe Aufwendungen innerhalb der Kreditinstitute.FürdieVerpflichtetengiltes,dieneuenAnforderungenindiebe-stehendenProzesseundSystemezuintegrieren–nichtnurzurErfüllungdergesetzlichenVorgaben,sonderngleichermaßenzumSchutzderKundensowiedereigenenReputation.

WESENTLICHE VERPFLICHTUNGEN DER FINANZINSTI-TUTE

EinederzentralenNeuerungen,verglichenmitder3.EU-Geld-wäsche-Richtlinie, ist die Intensivierungdes risikobasiertenAn-satzes.DieVerpflichteten, zu denen nebenKredit- und Finan-zinstituten auch Dienstleister des Nicht-Finanzsektors zählen,wie beispielsweise Rechtsanwälte, Notare und Anbieter vonGlücksspieleinrichtungen, sindnunangehalten, jedeGeschäfts-beziehung sowieTransaktion individuell auf dasGeldwäscheri-sikozuprüfen.Faktoren,dienachder3.Geldwäsche-RichtliniezueinerEinschätzungeinesgeringenGeldwäscherisikosführten,wie die Begründung einer Geschäftsbeziehung zu einem insti-tutionellenKunden, einembörsennotiertenUnternehmenodereiner inländischen Behörde, sind seit dem Inkrafttreten der 4.Geldwäsche-Richtlinie als einzelneFaktoren zuberücksichtigenundkönnennurimZusammenspielallerdurchdasInstitutfestge-legterRisikofaktorenzueinemgesamthaftenRisikostatusführen.Die relevantenRisikofaktoren zurBeurteilung des individuellenGeldwäscherisikossind institutsspezifischzudefinierenundaufdieArt desGeschäftsmodells auszurichten.Automatismenhin-sichtlich der Risikobewertung sind nach den Neuerungen desGeldwäschegesetzeszuverhindern.

DasKonzeptzurVerhinderungvonautomatischenRisikoeinstu-fungenderKundenwirdbeibestimmtenHochrisikofällendurch-brochen. Handelt es sich um eine politisch exponierte Person(PeP),KundenausbestimmtenHochrisikoländernoderumeineKorrespondenzbankbeziehung,wirdautomatischeineRisikoein-schätzungals„Hochrisikokunde“vergeben.

JenachRisikoklassifizierungdesKunden,istdasKreditinstitutzurEinhaltungvonvereinfachtenoderbeiHochrisikokundenzuer-

höhtenSorgfaltspflichtenangehalten.Diesesollendazuführen,denKunden, seineGeschäftstätigkeit, dieMittelherkunft sowiealleimVerlaufderGeschäftsbeziehunggetätigtenTransaktionenmöglichstgutzukennen.NursokönnenverdächtigeVerhaltens-weisen auffallen und hinsichtlich des Geldwäscherisikos über-prüftwerden.

DanebenistdieIdentifizierungdesKunden„durchangemessenePrüfungdesvorOrtvorgelegtenDokumentsodermittelseinessonstigenVerfahrens, das zur geldwäscherechtlichen Überprü-fung der Identität geeignet ist“ vorzunehmen. Ebenso ist dieIdentifizierungdeswirtschaftlichenBerechtigtenBestandteilderallgemeinenSorgfaltspflichtenundzieltdaraufab,dieEigentums-und Kontrollstrukturen der Geschäftsbeziehung zu verstehen,insbesonderebeijuristischenPersonenwieGesellschaften,Stif-tungen oder Trusts.

Für jede Kundenbeziehung ist ein wirtschaftlich Berechtigterbzw.einfiktiverwirtschaftlichBerechtigterzuidentifizierenundzulegitimieren.DasGesetzverlangtdabeidieIdentifizierungei-ner natürlichen Person.

IndiesemZusammenhangwirdvonderGesetzgebungdieEin-richtungeineszentralenRegisterszurDokumentationdeswirt-schaftlichen Eigentümers sowie derwirtschaftlichen InteressendereingetragenenGesellschaftenverlangt.

BeiNichteinhaltungoderVerstößengegendieVorgabender4.EU-Geldwäsche-RichtliniesindbeijuristischenPersonenGeldbu-ßenvonmindestens5MillionenEURoder10Prozentdesjährli-chenGesamtumsatzesmöglich,wobeieineöffentlicheBekannt-machungdesVerstoßes,bisaufAusnahmen,vorgesehenistunderheblicheReputationsschädenbewirkenkann.

REALISIERUNG DES RISIKOBASIERTEN ANSATZES

ZurIdentifizierungrisikobehafteterGeschäftsvorfälleisteinedif-ferenzierteBetrachtungderGeschäftsbeziehunghinsichtlichderArt des Kunden sowie der damit in Verbindung stehenden zu er-wartendenTransaktionsstrukturenerforderlich.

Jenachdem,obes sichumPrivate-oderRetail-Banking,einenPrivat-oderFirmenkunden,BrokeroderinstitutionellenKundenhandelt, sind unterschiedlicheTransaktionsmuster zu erwarten.WährendbeiFirmenkundenTransaktionen inhöherenSummenzuerwartenwären,würdensiebeiPrivatkundeneinenVerdachtaufGeldwäscheauslösenundmüsstendurchComplianceüber-prüftwerden.

DasKnow-Your-Customer(KYC)PrinzipsiehtdieIdentifizierungdesVertragspartners, deswirtschaftlichBerechtigten sowiedie

DIE HERAUSFORDERUNGEN DER

FINANZINSTITUTE IM RAHMEN DER 4.

EU-GELDWÄSCHE-RICHTLINIE

EXXETA.COM

Seite 18

Abklärung derMittelherkunft vor. DesWeiteren sind FaktorenwieLänderrisiko,Branche,politischexponiertePersonoderderBerufdesKundenindieAnalyseeinzubeziehen.Branchenmitei-nemhohenGeldumlaufwiedasBaugewerbe,GastronomieoderGlücksspieleinrichtungensindmiteinemhöherenGeldwäscheri-sikozubewerten.

NebenderOffenlegungderwirtschaftlichenVerhältnisseisteinePrüfunggegendieEinträgeinSanktionslistenvondenFinanzin-stitutenvorzunehmen.EineVielzahlvon InstitutenprüftnebendenNamen auchAlias-Namen, unterschiedliche SchreibweisensowieNationalitätundGeburtsdatum.ZurVerhinderungvonun-verhältnismäßigenAufwändenbeiderÜberprüfungderAuffällig-keitenstehtdasInstitutvorderHerausforderung,dieRegelnindenErkennungssystemensozuhinterlegen,dassnurdierelevan-tenRisikofälleangezeigtwerden.

DanebenistbeijederTransaktionnachdemKnow-Your-Transac-tion(KYT)PrinzipeinelaufendeÜberwachungderTransaktionenvorzunehmen.GegenstandderTransaktionsüberwachungistdiePrüfung, obderAufraggeberoderEmpfänger aufeinerSankti-onslistesteht,dieLimitvereinbarungeingehaltenwird,dieÜber-prüfungdesVerwendungszwecks,dieÜberprüfungderHistoriedesKundensowiedieLänderlisten-PrüfungsanktionierterLän-der.

WESENTLICHE HERAUSFORDERUNGEN DER FINANZ- INSTITUTE

DiezentralenHerausforderungenderFinanzinstituteimRahmender Bekämpfung von Geldwäsche undTerrorismusfinanzierungbeinhalten die Risikoklassifizierung der Kunden, eine stetigeÜberwachungderTransaktionenundeine revisionssichereDo-kumentationallerAuffälligkeiten.AusZeit- undKostengründensowieaufgrundsteigenderDatenmengenistseitensderIT-Sys-temesicherzustellen,dassauchnurdiewirklichrelevantenAuf-fälligkeiteneinenTreffererzielenundzurweiterenÜberprüfungdesGeldwäscherisikosherangezogenwerden.DiesstelltenormhoheAnforderungenandieLeistungsfähigkeitundEffizienzderIT-SystemeinnerhalbderFinanzinstitute.

EssindProzessezuetablieren,dieeinegruppenweitstandardi-sierteundvereinheitlichteDurchführungderRisikoklassifizierunggarantieren.DanebenisteineregelmäßigeÜberprüfungderRisi-koeinstufungderKunden,abhängigvomRisikostatus,vorzuneh-men.ImFallevonÄnderungenderKundendaten,isteineerneuteÜberprüfungderRisikoeinschätzungvorzunehmenundzudoku-mentieren.Insbesonderedann,wenndieAnpassungenzueinerÄnderung des Risikostatus führen, ist eineDokumentation derwesentlichenEinflussfaktorenbedeutsam.

Auch die Steigerung derAnzahl risikobehafteter Personen unddieErweiterungderPeP-DefinitionaufdieInlands-PeP,bewirkeneineAufwandserhöhunginnerhalbderFinanzinstitute,daeinre-gelmäßigerAbgleichmitdenSanktionslistenunddenDaten imKundenbestand erfolgen muss.

WeiterhinwirdaufgrunddererhöhtenDatenanforderungen,wieBestimmungvonArtundUmfangderGeschäftsbeziehung,derBestimmungdeswirtschaftlichBerechtigtensowieAbklärungderMittelherkunft,einerhöhterDatenerfassungsaufwandaufdieFi-nanzinstitutezukommen.

Die Neuerungen der 4. EU-Geldwäsche-Richtlinie haben zurFolge,dassAnpassungenderFormulareundEingabemaskenauf-grunddererweitertenDatenanforderungen,Aktualisierungsauf-wände des Anweisungswesens und insbesondere weitreichende AnpassungenderIT-SystemeimCompliance-Umfeldvorgenom-menwerdenmüssen.MitzunehmenderKomplexitätsstrukturderFinanzinstitutewird eine zeitnaheUmsetzungderNeuerungenhinsichtlichder4.EU-Geldwäsche-Richtlinieunwahrscheinlicher.

AUTOR

KRISTINA DUVNJAKConsultantRisk,Finance&Compliance

EXXETA.COM

Seite19

Das gemeinsame Komitee der drei Europäischen Aufsichtsbehör-den(EuropeanBankingAuthority–EBA,EuropeanInsuranceandOccupationalPensionsAuthority–EIOPAundEuropeanSecu-ritiesandMarketsAuthority–ESMA;zusammenauchgenanntEuropeanSupervisoryAuthorities–ESAs)veröffentlichteam22.September2017die„LeitliniezurVermeidungvonGeldwäscheundTerrorismusfinanzierungimelektronischenZahlungsverkehr“.

DerelektronischeZahlungsverkehrkannzumBeispieldurchsei-neteilweisemangelndeTransparenzvonKundendatenfürGeld-wäscheundTerrorismusfinanzierungmissbrauchtwerden.UnterNutzung ausgestalteter Prozesse und Regeln sollen Zahlungs-dienstleistersicherstellen,dass InformationenüberdenEinzah-lendenunddenEmpfängerentlangderZahlungsketteverfügbarundvollständigsind.

Gegenwärtig besteht zwischenZahlungsdienstleistern und denjeweiligen Aufsichtsbehörden in Europa häufig kein Konsens,welcheMittel geeignet sind, umdiese Informationen zu erhal-ten.MitdengemeinsamenLeitliniensolleinkonsistenterAnsatzzurBekämpfungderGeldwäscheundzurBekämpfungderTer-rorismusfinanzierung (AML/CFT) erreicht und das gemeinsameVerständnisderVerpflichtungenvonZahlungsdienstleisternge-fördert werden.

Die gemeinsamen Leitlinien formulieren einheitliche Anforderun-genandieZahlungsdienstleister,umabweichenderegulatorischeStandardsindenverschiedenenEU-Ländern,diedieEffizienzderÜberwachungdesZahlungsverkehrsbeeinträchtigenkönnten,zureduzieren.EswirddieHarmonisierungderÜberwachungindeneinzelnen Ländern angestrebt.

Zudemwerden in den LeitlinienMaßnahmenwie zumBeispieldieFührungeinesProtokollsallerunvollständigenTransaktionengenannt,diedieZahlungsdienstleisterergreifensollen,umfeh-lendeoderunvollständigeInformationenüberdieEinzahlendensowie Zahlungsempfänger festzustellen. Für den Fall von nichtbeschaffbaren Informationenoderwiederholter unvollständigerInformationsbereitstellung von Kundendatenwerden den Zah-lungsdienstleisternexpliziteHandlungsanweisungenundVerfah-renvorgegeben.

Die gemeinsamen Leitlinienwurden gemäßArtikel 25 derVer-ordnung(EU)2015/847ausgearbeitet.SeitensderESAwirdver-langt,dassdenzuständigenBehördenundZahlungsdienstleistern

Leitlinien zu jenenMaßnahmen zurVerfügung gestelltwerden. Die gemeinsamen Leitlinien treten sechs Monate nach ihrer Ver-öffentlichunginKraft.

AUFBAU DER LEITLINIEN

ImerstenKapitelwerdenderAdressatenkreis,derRegelungsbe-reichundBegriffsbestimmungendargelegt.

Adressaten der gemeinsamen Leitlinien: Adressaten der gemein-samenLeitliniensindgemäßArtikel3Absatz5derVerordnung(EU)2015/847Zahlungsdienstleister(PSP),gemäßArtikel3Ab-satz6zwischengeschalteteZahlungsdienstleister(IPSPs)unddiezuständigenAufsichtsbehörden,diedieEinhaltungderVorgabendurchdiePSPsund IPSPs aus derVerordnung (EU)2015/847überwachen.

Regelungsbereich:DiegemeinsamenLeitlinienlegendieFakto-renfürPSPsundIPSPsfest,diebeachtetwerdensollten,wenneffektiveProzessezurErkennungundBewältigungvon fehlen-denInformationenimelektronischenZahlungsverkehrzwischenEinzahler und Zahlungsempfänger aufgesetzt werden.

Außerdemspezifizierensie,welcheMaßnahmenseitensderPSPsundIPSPszuergreifensind,wenndieerforderlichenInformatio-nenvonEinzahlendemundZahlungsempfängerfehlenoderun-vollständigsind,umdasGeldwäscherisikounddieTerrorismusfi-nanzierungabschätzenzukönnen.

Die zuständigen Aufsichtsbehörden sollen diese gemeinsamen Leitlinien zur Beurteilung der Angemessenheit der Prozesse und Maßnahmenheranziehen,welchediePSPsundIPSPsergreifen,umdieAnforderungenausdenArtikeln7,8,11und12derVer-ordnung(EU)2015/847zuerfüllen.

SchließlichsollendiePSPs,IPSPsunddiezuständigenAufsichts-behördendiegemeinsamenRichtlinienanwenden,umgemäßdenArtikeln9und13derVerordnung(EU)2015/847zuhandeln.

DerindengemeinsamenLeitliniengenannteMaßnahmenkatalogistnichtabschließend.PSPsundIPSPssolltenaucheigenständigandere geeignete Faktoren undMaßnahmen zurVerhinderungvonGeldwäscheundTerrorismusfinanzierunginBetrachtziehen.

Begriffsbestimmungen: Abschließend folgt ein Begriffsbestim-mungskatalog.HierbeiwirdindenmeistenFällenaufdieDefiniti-onenderVerordnung(EU)2015/847verwiesen.EineAufzählungvonabweichendenDefinitionschließtdenKatalogab.

Im zweiten Kapitel wird auf die Anforderungen im Speziellen eingegangen,dievondenZahlungsdienstleisternaberauchden

LEITLINIE ZUR VERMEIDUNG VON GELDWÄSCHE

UND TERRORISMUSFINANZIERUNG IM

ELEKTRONISCHEN ZAHLUNGSVERKEHR

EXXETA.COM

EXXETA.COM

Seite 20

zuständigen Aufsichtsbehörden einzuhalten sind. Dies sind ins-besonderedieAnforderungenausdenArtikeln7,8,11und12derVerordnung(EU)2015/847.SchwerpunkthierbeisinddiezutreffendenMaßnahmenseitensderPSPsundderIPSPszurAuf-deckungvonfehlendenInformationenentlangderZahlungskette.WeiterhinwerdenauchVerfahrenbeiAufdeckungsowieRegelnbeiwiederholtemVerstoßgegendiePflichtzurBereitstellungvonInformationenvorgegeben.DiePflichtenundVorgehensweisenderzuständigenAufsichtsbehörden,Artikel8und12derVerord-nung (EU)2015/847,werdenauch im zweitenKapitel der ge-meinsamenLeitlinienspezifiziert.ZudemwerdennochMaßnah-menzur IdentifikationvonverdächtigenTransaktionen,diedenVerdachtderGeldwäscheoderTerrorismusaktivitätennahelegen,erläutert.DieseMaßnahmenfindeninsbesondereErwähnungindenArtikeln9und13derVerordnung(EU)2015/847.

DasabschließendedritteKapitelregeltdasInkrafttretenderge-meinsamen Leitlinien zur Verordnung (EU) 2015/847. Die ge-meinsamenLeitlinientretensechsMonatenachVeröffentlichungam22.September2017inKraft.

IMPACT

Das angestrebte Ziel derVerordnung (EU) 2015/847, nämlichdie lückenloseNachvollziehbarkeitvonGeldtransfers,umGeld-wäscheundTerrorismusfinanzierungvorzubeugenundzu iden-tifizieren,wirddurchdieneuengemeinsamenLeitlinienkonkreti-siert.DieinderbisherigenVerordnung(EU)2015/847z.T.vageformuliertenAnforderungenandieZahlungsdienstleisterimelek-tronischenZahlungsverkehrwerdendeutlichspezifiziert.

DieImplementierungneuergeeigneterProzesse,dieAnpassungbestehenderProzesseandieneuenVorgabenunddieMaßnah-menzurEinführungvonneuenÜberwachungssystemenwerdengrundsätzlich zu deutlichen Mehraufwänden führen.

BisherexistiertimRegelungsbereichderEUeinkohärentesSys-tem,dassämtlicheInformationenbereithältbzw.fehlendeInfor-mationenentdeckt,indieserdetailliertenFormnochnicht.

Der nicht abschließende Maßnahmenkatalog zur Bekämpfungder Geldwäsche und Terrorismusfinanzierung gibt den Finanz-dienstleisternSpielraumimHinblickaufdiezutreffendenMaß-nahmen.BeibewussterAusgestaltungderMaßnahmenbestehtaber durchaus die Möglichkeit, die sich ergebenden Mehrauf-wändeinGrenzenzuhalten.

AuchbeidenAufsichtsbehördenistdurchdieexplizitereAufga-benbeschreibung eineAnpassung der Prüfungsmaßnahmen er-forderlich.

Insgesamtbleibtfestzuhalten,dassdieneuengemeinsamenLeit-linien in Verbindung mit der Verordnung (EU) 2015/847 einesinnvolleWeiterentwicklungdesInstrumentariumszureffektivenBekämpfungvonGeldwäscheundTerrorismusfinanzierungdar-stellen.

AUTOR

ADNAN HASSANConsultantRisk,Finance&Compliance

FürFragenundAnregungenrundumdenEXXETAFinancialServicesRegulatoryNewsletterstehenwirIhnen gerne unter Regulatory_im_Blick@EXXETA.comzur Verfügung.

EXXETA AG

Albert-Nestler-Straße1976131 Karlsruhe

t +4972150994-5000f +4972150994-5299

SPRECHEN SIE UNS AN

©2017EXXETAAG.AlleRechtevorbehalten.AlleNamenundWarenzeichen sinddasEigentum ihrerjeweiligen Inhaber undwerden hiermit anerkannt.DieAngaben imText sind unverbindlich und dienenlediglichzuInformationszwecken.IndieserPublikationenthalteneInformationenkönnenohnevorherigeAnkündigunggeändertwerden.EXXETAübernimmtkeinerleiHaftungoderGarantiefürFehleroderUn-vollständigkeitenindieserPublikation.AusdenindieserPublikationenthaltenenInformationenergibtsichkeineweiterführendeHaftung.

EXXETA.COMWIR VERBINDEN WELTEN