Auch MiFID II und WAG 2018 beschäftigen sich mit Datenschutz & IT-Sicherheit

Header_Datenschutz_clean

Nicht nur DSGVO und Datenschutzgesetze beschäftigen sich mit dem Thema Datenschutz und IT-Sicherheit. Auch MiFID II und das Wertpapieraufsichtsgesetz WAG 2018 verlangen angemessenen und wirksamen Schutz jener Daten, die Wertpapierdienstleister erheben und verarbeiten.

Einerseits formulieren die Delegierte Verordnung (EU) 2017/565 (MiFID II) sowie das WAG 2018 im Vergleich zur DSGVO eher kurz und bündig. Andererseits umfassen die Bestimmungen der DelVO sowie des WAG 2018 nicht nur personenenbezogenen Daten, sondern sämtliche Daten und Informationen, die von Banken und Wertpapierdienstleistern verarbeitet werden. DIe sich daraus ergebenden Pflichten für Rechtsträger sind durchaus weitreichend.

Delegierte Verordnung (EU) 2017/565

  • Art. 21 (2) Die Wertpapierfirmen richten Systeme und Verfahren ein, die die Sicherheit, die Integrität und die Vertraulichkeit der Informationen gewährleisten, …
  • Art. 21 (3) Die Wertpapierfirmen sorgen für die Festlegung, Umsetzung und Aufrechterhaltung einer angemessenen Notfallplanung, die bei einer Störung ihrer Systeme und Verfahren gewährleisten soll, dass wesentliche Daten und Funktionen erhalten bleiben und Wertpapierdienstleistungen und Anlagetätigkeiten fortgeführt werden …

Wertpapieraufsichtsgesetz 2018 – Allgemeine organisatorische Anforderungen

  • §29. (4) Ein Rechtsträger (Anmerkung: dazu zählen auch Erfüllungsgehilfen wir VgV und WPV) hat angemessene Vorkehrungen zu treffen, um die Kontinuität und Regelmäßigkeit der Wertpapierdienstleistungen und Anlagetätigkeiten zu gewährleisten. Zu diesem Zweck hat er geeignete und angemessene Systeme, Ressourcen und Verfahren einzurichten.
  • §29. (6) … hat ein Rechtsträger über solide Sicherheitsmechanismen zu verfügen, durch die die Sicherheit und Authentifizierung der Informationsübermittlungswege gewährleistet werden, das Risiko der Datenverfälschung und des unberechtigtenZugriffs minimiert und ein Durchsickern von Informationen verhindert wird, so dass die Vertraulichkeit der Daten jederzeit gewährleistet ist.

Die Finanzmarktaufsicht hat bereits Ende August 2018 einen Leitfaden zur IT-Sicherheit in Wertpapierdienstleistungsunternehmen und Wertpapierfirmen veröffentlicht. Auch beim diesjährigen FMA-Praxisdialog im vergangenenen Mai stand dieses Thema im Fokus eines Vortrages. Es ist also anzunehmen, dass die FMA zukünftig vermehrt ein Auge auf Datenschutz und IT-Sicherheit – auch bei VgV & WPV – werfen wird.

IT-Sicherheitshandbuch für Wertpapierunternehmen

Unter den konzessionierten Rechtsträgern kristallisiert sich daher die Ansicht heraus, dass Wertpapierunternehmen angemessene Maßnahmen hinsichtlich Schutz von Daten und Informationen setzen sollten, die im Sinne der FMA auch entsprechend dokumentiert sind. Dabei stehen unter anderem Themen wie die folgenden im Fokus:

  • IT-Strategie & Sicherheitsrichtlinien (Schutzmaßnahmen)
  • Informationsrisikomanagement / Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • Schwachstellenmanagement
  • IT-Auslagerungen (Outsourcing-Risiko)
  • Besondere Aspekte beim Heranziehen von Erfüllungsgehilfen (VgV/WPV-Richtlinie)

Zur Klarstellung: DSGVO und nationale Datenschutzgesetze beziehen sich „nur“ auf personenbezogene Daten. MiFID II und WAG 2018 umfassen alle Daten und Informationen, die von Wertpapierdienstleistern verarbeitet werden.

Ein repräsentativer Kreis von Wertpapierunternehmen hat sich auf meine Initiative bereits zusammengetan, um im SInne von MiFID II und WAG 2018 sowie dem Leitfaden der FMA ein IT-Sicherheitshandbuch zu entwerfen. Sollten auch Sie in diesem Zusammenhang Handlungsbedarf für sich und Ihr konzessioniertes Wertpapierunternehmen erkennen, dann …

Kontaktieren Sie mich noch heute!


Nur ein Klick zur Newsletter-Anmeldung!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzinformation.


Weitere interessante Beiträge:

DSK zu Online-Diensten: Maßnahmen zur Zugangssicherung

Mangelhafte Datenschutzerklärung machte die Behörde neugierig

Datenschutz: Tragen Sie im Job ein Namensschild?