Grenzüberschreitende (EU) Datenfernverarbeitung im Bankbuchführungswesen

Nachdem in den vorangegangenen Jahren durch eine intensive EG-Gesetzgebung die Voraussetzungen für die Entstehung eines EG-Binnenmarktes für Bankleistungen geschaffen worden sind, halte ich an meinem Schreiben vom 1. Dezember 1982 nicht mehr fest, mit dem ich die Ausführung von Buchführungsarbeiten deutscher Kreditinstitute oder inländischer Zweigstellen ausländischer Kreditinstitute (im folgenden: "Bank") durch Datenverarbeitungsanlagen im Ausland (im folgenden: "grenzüberschreitende Datenfernverarbeitung") für unzulässig erklärt habe. Gegen eine grenzüberschreitende Datenfernverarbeitung innerhalb des Gebietes der Europäischen Gemeinschaften habe ich in Zukunft keine Bedenken, sofern dabei die Durchführung der gesetzlich vorgeschriebenen Prüfung des Jahresabschlusses und der Prüfungen des Geschäftsbetriebes gemäß § 44 KWG auch ohne Zugriff auf EDV-Anlagen außerhalb des Hoheitsgebietes der Bundesrepublik Deutschland ohne Einschränkung möglich bleibt und die rechtzeitige und vollständige Abgabe vorgeschriebener bankaufsichtlicher und statistischer Meldungen und Anzeigen nicht beeinträchtigt wird. Unter Beachtung der datenschutzrechtlichen Bestimmungen ist eine Datenfernverarbeitung in einem EG-Mitgliedstaat danach zulässig, wenn folgende Voraussetzungen erfüllt sind:

1. Belege, Handelsbücher sowie die zu ihrem Verständnis erforderlichen Arbeitsanweisungen und sonstigen Organisationsunterlagen müssen als Bestandteil einer ordnungsmäßigen Buchführung nach wie vor gegenständlich im Inland vorhanden sein.
2. Die in Deutschland gültigen Grundsätze ordnungsmäßiger Buchführung bei computergestützten Verfahren und deren Prüfung, insbesondere FAMA 1/1987 (Stellungnahme des Fachausschusses für moderne Abrechnungssysteme beim Institut der Wirtschaftsprüfer in Deutschland e.V.), sind zu beachten.
3. Von buchungsrelevanten Geschäftsvorfällen betroffene Dateien müssen der Bank binnen 24 Stunden ab Übermittlung des der Buchung zugrundeliegenden Geschäftsvorfalls in aktualisierter Form vorliegen und so eine vollständige, richtige, zeitgerechte, geordnete sowie für einen sachverständigen Dritten innerhalb angemessener Zeit nachvollziehbare, den gesetzlichen Bestimmungen und den Grundsätzen ordnungsmäßiger Buchführung (GoB) entsprechende Buchführung gewährleisteten (24-Stunden-Regel). Für Kontrollzwecke müssen der Veranlasser sowie alle anderen bankaufsichtlich relevanten Details der Buchung ersichtlich sein.
4. Die Daten dürfen grundsätzlich im Stapelbetrieb (Batch-Betrieb) verarbeitet werden. Den aktuellen Stand ihrer Handelspositionen muß die Bank indes jederzeit in Echtzeit ("Realtime") abrufen können oder aber auf lokaler Ebene vorhalten.
5. Über öffentliche Fernmeldenetze dürfen die Daten nur kryptographisch verschlüsselt (chiffriert) übertragen werden. Das Verschlüsselungssystem darf in seiner Sicherheit dem "Data Encryption Standard" (DES) der US-amerikanischen Regierung nicht nachstehen. Falls die aktualisieren Buchführungsdateien auf dem Versandweg nach Deutschland zurücktransportiert werden, ist sicherzustellen, daß Unbefugte während des Versands oder Transports der Datenträger keinen Zugriff auf die Dateien haben.
6. Die Zugriffsrechte im Rahmen der Fernverarbeitung der Buchführungsdaten der Bank werden ausschließlich von dieser vergeben.
7. Das System muß seinen Benutzer (user) identifizieren und authentisieren, um die Integrität und Verfügbarkeit der bankaufsichtlich relevanten Daten sicherzustellen. Es muß hierbei wenigstens den Anforderungen für die Funktionalitätsklasse "F-C2" der "Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC)" genügen (derzeitiger Stand - Juni 1991 - veröffentlicht im Bundesanzeiger Jahrgang 44 Nr. 147a, ausgegeben am 8. August 1992, S. 123-125).

   Das System muß jeden Zugriffsversuch, unabhängig davon, ob dieser erfolgreich war, benutzerunabhängig protokollieren. Die Protokolle der vom System endgültig abgewiesenen Zugriffsversuche sind durch die Innenrevision der Bank in Deutschland täglich auszuwerten.

8. Der Zutritt zum eigentlichen Rechenzentrum (die Räumlichkeiten des Datenzentrums, die die Computer-Hardware umschließen) darf nur bestimmten, besonders autorisierten Personen möglich sein. Das Rechenzentrum ist durch geeignete organisatorische, personelle, technische und bauliche Vorkehrungen gegen unbefugten Zutritt zu sichern.
9. Das Verfahren muß gegen Ausfall gesichert sein; das schließt ein geeignetes Datensicherungssystem und ein technisches und betriebliches Ausfallverfahren außerhalb des Stützpunktes des Datenzentrums ein, das bei Ausfall des Rechenzentrums eine zeitige Fortführung des Rechenbetriebes zu den Voraussetzungen dieser Verlautbarung gestattet ("Off-Site-Disaster-Recovery-Fazilitäten"). Zerstörte Dateien müssen grundsätzlich so zeitig wiederhergestellt werden können, daß von Buchungen betroffene Dateien der Bank in Deutschland binnen 24 Stunden in aktualisierter Form vorliegen (Nr. 3). In Ausnahmefällen darf die 24-Stunden-Regel um eine den besonderen Umständen angemessene Frist, jedoch nicht um mehr als 48 Stunden, überschritten werden. Ein Ausnahmefall wird in der Regel nur bei Totalausfall des Systems (total disaster) Vorliegen. Jedes Überschreiten der 24-Stunden-Regel ist mir unverzüglich unter Angabe der Gründe mitzuteilen.
10. Die Softwaredokumentation muß in Deutsch oder Englisch verfügbar sein. Die Anwendungs- und Ablaufdokumentationen müssen in einer Amtssprache der Europäischen Gemeinschaften geführt werden. Auf Anforderung ist dem Bundesaufsichtsamt eine deutsche Übersetzung vorzulegen.
11. Die Bank hat dem Bundesaufsichtsamt vor Aufnahme der grenzüberschreitenden Datenfernverarbeitung ein DV-Konzept (Datenverarbeitungskonzept einschließlich eines Datensicherungskonzeptes) vorzulegen; in dem DV-Konzept hat sie insbesondere darzustellen, wie sie in Zusammenarbeit mit ihrem ausländischen Datenzentrum die vorgenannten Voraussetzungen der grenzüberschreitenden Datenfernverarbeitung erfüllt; spätere Änderungen und Abweichungen von dem vorgelegten Konzept hat sie unverzüglich mitzuteilen.
12. Die Datenfernverarbeitung muß Gegenstand der Innenrevision der Bank sein. Das Datenzentrum muß dabei einer internen, mit der Überwachung der Gesetz- und Ordnungsmäßigkeit des gesamten EDV-Betriebes betrauten Revision unterliegen. Die Grundsätze des Bundesaufsichtsamtes über die Anforderungen für die Ausgestaltung der Innenrevision (vgl. mein Schreiben an die Spitzenverbände der Kreditinstitute vom 28. Mai 1976)[*] sind entsprechend anzuwenden.

    Die Zusammenarbeit der Innenrevision der Bank mit der internen Revision des Datenzentrums muß gewährleistet sein. Die Innenrevision der Bank muß Einsicht in die Unterlagen der internen Revision des Datenzentrums haben, soweit diese den Datenbestand der Bank betreffen. Sie hat nach pflichtgemäßem Ermessen Prüfungen im Datenzentrum durchzuführen.

    1. Da die gesetzlich vorgeschriebene Prüfung des Jahresabschlusses und nach Maßgabe von § 44 KWG angeordnete Prüfungen auch ein im Ausland befindliches Datenzentrum einschließen, müssen sich die Bank und der Träger des Datenzentrums in einer Erklärung gegenüber dem Bundesaufsichtsamt verpflichten, jederzeit die Einbeziehung des Datenzentrums in derartige Prüfungen zu gestatten und diese in keiner Weise zu erschweren oder zu behindern.
    2. Die zuständigen nationalen Aufsichtsbehörden am Sitz des Datenzentrums dürfen keine Einwände gegen die Datenfernverarbeitung haben. Das Sicherheitskonzept des Datenzentrums muß auch ihren Anforderungen genügen.

       Darüber hinaus muß sichergestellt sein, daß die zuständigen nationalen Aufsichtsbehörden die Einbeziehung des Datenzentrums in die nach deutschem Recht vorgeschriebene Prüfung des Jahresabschlusses oder in nach Maßgabe von § 44 KWG angeordnete Prüfungen in keiner Weise erschweren oder behindern werden.

       Schließlich muß die Gewähr dafür bestehen, daß die zuständigen nationalen Aufsichtsbehörden im Rahmen der externen Prüfung des Jahresabschlusses wie auch nach Maßgabe von § 44 KWG angeordneten Prüfungen dem Bundesaufsichtsamt und seinen Beauftragten jederzeit die erforderlichen Auskünfte über die Ordnungsmäßigkeit der Datenfernverarbeitung in dem Datenzentrum erteilen werden.

       Die national zuständigen Aufsichtsbehörden müssen dem Bundesaufsichtsamt vor Aufnahme der grenzüberschreitenden Datenfernverarbeitung die Gewährleistung der unter Abs. 1 bis 3 genannten Voraussetzungen bestätigen. Zu Abs. 1 Satz 2 genügt die Erklärung, daß Mängel im Sicherheitskonzept des Datenzentrums nicht bekannt geworden sind.

       1. Der Dienstleistungsvertrag mit dem Träger des Datenzentrums muß vorsehen, daß dieser jederzeit die Einbeziehung des Datenzentrums in die Prüfung des Jahresabschlusses wie auch nach Maßgabe von § 44 KWG angeordnete Prüfungen gestatten und solche Prüfungen in keiner Weise erschweren oder behindern wird.
       2. Das Prüfungsmandat des Abschlußprüfers darf durch die Verlagerung der Datenfernverarbeitung ins Ausland nicht beeinträchtigt werden; der Abschlußprüfer muß seine Tätigkeit entsprechend den gesetzlichen Vorschriften so ausüben können, als wäre die Anlage in der Bundesrepublik Deutschland gelegen.

          Der Abschlußprüfer muß nicht mit dem Prüfer des Datenzentrums identisch sein. Die Verwendung von Prüfungsergebnissen und Untersuchungen Dritter ist jedoch stets in das pflichtgemäße Ermessen des Abschlußprüfers gestellt. Da Prüfungsergebnisse Dritter eigene Prüfungshandlungen nicht entbehrlich machen können, muß es dem Abschlußprüfer jederzeit möglich sein, selbst Prüfungshandlungen vor Ort im Datenzentrum vorzunehmen. Seine Zusammenarbeit mit dem Prüfer des Datenzentrums muß jederzeit gewährleistet sein.

          Der Abschlußprüfer muß dem Bundesaufsichtsamt vor der Aufnahme der grenzüberschreitenden Datenfernverarbeitung bestätigen, daß die in Nr. 16 Absatz 1 und 2 genannten Voraussetzungen erfüllt sind. Bei Wechsel des Abschlußprüfers ist die Bestätigung erneut, und zwar unverzüglich vorzulegen.

          1. Der Abschlußprüfer hat im Prüfungsbericht im Abschnitt über die Darstellung der rechtlichen, wirtschaftlichen und organisatorischen Grundlagen zur Ordnungsmäßigkeit der computergestützten Buchführung unter besonderer Berücksichtigung der in dieser Verlautbarung enthaltenen Voraussetzungen Stellung zu nehmen. Er hat im Prüfungsbericht insbesondere darzulegen, ob die Ausgestaltung der Innenrevision von Bank- und Datenzentrum den Anforderungen dieser Verlautbarung (Nr. 12) genügt.