IM GESPRÄCH: PEGGY STEFFEN

"BaFin schießt über das Ziel hinaus"

Branchenverband BVI hält Vorstoß zur IT-Sicherheit für überzogen

"BaFin schießt über das Ziel hinaus"

Von Christiane Lang, FrankfurtNach Umsetzung des EU-Regelwerks Mifid II kommen neue Vorgaben auf die Investmentfondsbranche zu. Wie bereits für Banken und Versicherer umgesetzt, will die BaFin nun auch für Kapitalverwaltungsgesellschaften (KVGs) die Anforderungen an die technische und organisatorische IT-Ausstattung ausweiten. Anfang April hat die Aufsicht den Entwurf des Rundschreibens “Kapitalverwaltungsrechtliche Anforderungen an die IT” (KAIT) veröffentlicht. Die Konsultationsphase endet nach Verlängerung am heutigen Mittwoch.Ziel ist vor allem die Erhöhung der IT-Sicherheit. Auf Fondsgesellschaften kommt mit den KAIT einiges zu, sagt Peggy Steffen, Abteilungsdirektorin Recht beim deutschen Fondsverband BVI, im Gespräch mit der Börsen-Zeitung. Regeln für Dokumentation einer IT-Strategie, zum Risikomanagement und zur Auslagerung von Dienstleistungen forderten die Branche heraus. Auch die Bestellung einer unabhängigen Person, die als Beauftragte die Informationssicherheit verantwortet, sorgt in der Fondsbranche für Verdruss. “Das ist alles sehr aufwendig”Zwar haben die Häuser bereits eigene IT-Prozesse definiert. Diese müssen aber überprüft und an die neuen Regeln angepasst werden. So werden unter anderem für bestimmte IT-Geschäftsaktivitäten Risikoeinschätzungen notwendig. “Jede Anwendung wie zum Beispiel Softwareentwicklungen oder selbst entwickelte Anwendungen muss in Schutzbedarfsklassen kategorisiert werden”, sagt Steffen. “Das muss im Rahmen des IT-Risikomanagementprozesses berücksichtigt, bewertet und nachgehalten werden. Das ist alles sehr aufwendig.”Auch das Thema Informationssicherheit sei nichts Neues für die Branche, so Steffen weiter. So sei in den vom BVI 2017 formulierten Wohlverhaltensregeln bereits festgelegt, dass sich die Unterzeichner verpflichten, entsprechende Prozesse und Kontrollfunktionen einzurichten. “Allerdings weicht unser Ansatz von dem ab, den die BaFin nun vorschlägt”, erläutert die Expertin.Denn die Aufsicht verlange einen organisatorisch und prozessual unabhängigen Informationssicherheitsbeauftragten. Das habe sie für Banken und Versicherer bereits umgesetzt und beziehe sich dabei auf Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Steffen: “Wir glauben aber, dass die BaFin hier über das Ziel hinausschießt und damit den KVGs einen hohen Aufwand aufbürdet, der zudem gesetzlich nicht vorgesehen ist.” In den allermeisten Häusern gebe es keine in diesem Sinne unabhängige Person für diese Aufgabe.Dabei wehrt sich der Fondsverband nicht grundsätzlich gegen die Idee eines Informationssicherheitsbeauftragten. Es sei notwendig, dass sich eine Person im Unternehmen mit dem Thema befasse, erklärt Steffen. Der Streit drehe sich aber um die Vorgaben zur Unabhängigkeit dieser Funktion. Nach Verständnis des Fondsverbands empfiehlt das BSI lediglich, dass die Geschäftsleitung die Gesamtverantwortung für die Informationssicherheit trägt und als Teil des Prozesses eine beauftragte Person benennen muss. “Unserer Ansicht nach muss es im Ermessen der Geschäftsleitung liegen, welche Einheit oder Person sie mit dem Thema betraut.” Vergleich mit AssekuranzDer BVI setzt sich auch dafür ein, dass Fondshäuser diese Funktion auslagern dürfen. Den Versicherern sei das uneingeschränkt erlaubt. Der Fondsbranche soll das dem KAIT-Entwurf zufolge aber nur erlaubt sein, wenn eine Gesellschaft nur wenige Mitarbeiter oder eine sehr kleine IT-Struktur hat. Der Verband fordert nun eine Gleichbehandlung mit der Assekuranz.Auch die Abgrenzung zwischen Auslagerung und Fremdbezug von IT-Dienstleistungen führt aus BVI-Sicht zu weit. Anders als für Banken und Versicherer gelten für Fondsgesellschaften strenge Anforderungen an die Auslagerung von Funktionen und Dienstleistungen. So muss etwa jede Auslagerung vor ihrer Umsetzung der BaFin angezeigt werden, heißt es. Das betrifft auch die Verlagerung an Dritte. Es müssen alle Auslagerungen in den Fondsprospekten offengelegt werden und es besteht eine schärfere Haftung für Auslagerungen.Zwar hat die BaFin hier keine starren Kriterien definiert und gibt lediglich einige Regelbeispiele vor. Jedoch sind diese aus Sicht des BVI zu strikt. “Zum Beispiel sollen Unterstützungsleistungen von Drittanbietern, die längerfristig angelegt sind, grundsätzlich als Auslagerung qualifiziert werden”, erläutert Steffen.Lasse eine Fondsgesellschaft etwa von einem Drittanbieter individuell die IT für einen Risikomanagementprozess entwickeln, dauere das mehrere Monate. Werde dies aufgrund der Zeitdauer als Auslagerung eingestuft, müsse die KVG den Drittanbieter strengen Anforderungen unterwerfen. “Wir halten daher das von der BaFin angelegte alleinige Kriterium der Längerfristigkeit für fragwürdig”, sagt die Rechtsexpertin. “Realitätsferne” SchätzungDer BVI fürchtet hohen Aufwand. Die BaFin hat in ihrer Konsultation bereits versucht, den Erfüllungsaufwand zu schätzen – und komme auf “realitätsferne” Werte, sagt Steffen. Der laufende Aufwand solle pro Jahr lediglich 7,3 Stunden und 478 Euro betragen. Diverse Kosten wie für Ansätze im Risikomanagement, für die Umsetzung der IT-Projekte oder für die Entwicklung von Anwendungen fehlten in der BaFin-Rechnung.Eine Umsetzungsfrist für die neuen IT-Anforderungen, die bereits im Sommer in Kraft treten sollen, hat die BaFin nicht vorgesehen. Fondsadressen, die in einen Bank- oder Versicherungskonzern eingebunden sind, haben bereits einen Vorsprung. Sie haben sich im Rahmen der Gruppenaufsicht mit den für Banken und Versicherer geltenden Anforderungen an die IT bereits befasst. Doch durften Fondshäuser bisher auf den Informationssicherheitsbeauftragten im Konzern zurückgreifen – de facto eine Auslagerung -, müssen sie künftig einen eigenen Beauftragten einstellen, wie die Expertin sagt. Ausnahmen sollen demnach nur für Fondsanbieter mit geringer Mitarbeiterzahl oder kleiner IT-Struktur gelten, wobei beides nicht definiert ist.Der BVI hofft, dass die BaFin auch mit Blick auf die anstehenden IT-Regeln auf EU-Ebene nicht zu weit vorprescht. Denn dort seien viele Fragen weitgehend unbeantwortet. Der Verband fürchtet, dass die BaFin vorab strengere Regeln aufstellt, als sie hinterher von der EU eingeführt werden.Vor allem könnten zu strikte Regeln zur Auslagerung und zum Sicherheitsbeauftragten gerade in Deutschland besondere Hürden schaffen und damit den Wettbewerb von Fondsadressen in der EU maßgeblich beeinflussen, warnt Steffen.