MaRisk, BAIT, OPDV und DORA
Rendite & Derivate jetzt von Wirtschaftsprüfungsunternehmen geprüft
- Bescheinigung der OPDV-Konformität von Rendite & Derivate
Ein Wirtschaftsprüfungsunternehmen mit Expertise im Bereich Ordnungsmäßigkeit und Prüfung der Datenverarbeitung (OPDV) hat unser Programmeinsatzverfahren (Programm- und Einsatzfreigabe) geprüft und den erfolgreichen Abschluss bescheinigt. Die Anforderungen des Fachausschusses OPDV in seiner Stellungnahme 1/2015 sind damit erfüllt. Unseren Kunden aus dem Sparkassen- und Landesbanksektor stellen wir die Bescheinigung des Wirtschaftsprüfungsunternehmens auf Anfrage gern zur Verfügung.
Vorschriften zur Produktion von Rendite & Derivate
- Internes Kontrollsystem "IKS"
Wir haben unseren Produktionsprozess zu Rendite & Derivate in einem dienstleistungsbezogenen "Internen Kontrollsystem" (IKS) beschrieben, das wir nach IDW* PS 951 n.F. Typ 1 unter Berücksichtigung der BAIT aufgestellt haben und laufend pflegen. Zusammen mit den weiteren hausinternen Dienstanweisungen und den Funktionsverantwortlichen insbesondere für Risiko-Controlling, Compliance, Notfall-Management und Datenschutz bildet das IKS die Grundlage für unsere Tätigkeit.
- MARisk
Wir sind ein reines Softwarehaus; als solches erstellen und pflegen wir Software mit im Schwerpunkt finanzmathematischen Inhalten. Wir bieten keine Dienstleistungen an, die aufsichtsrechtlich als Auslagerungssachverhalte (MaRisk, BAFin-Rundschr. 6/2024 AT 9.1) eingestuft werden könnten. Banken und anderere Institute, die Nutzungslizenzen unserer Software erwerben, wenden diese selbst und eigenverantwortlich an, ohne dass es dazu weiterer Dienstleistungen bedürfte, die wir ausführen müssten.
- DORA
Im Januar 2025 tritt die EU-Verordnung "DORA" in Kraft, die die Resilienz der IT-Systeme der Finanzunternehmen gegen Störungen durch IKT-Dienstleistungen schützen soll. Bis November 2024 war hinsichtlich des Anwendungsbereichs einhellige Auffassung, dass Software allein keine IKT-Dienstleistung im Sinne der DORA ist.
Erstmals Ende November 2024 tauchten Äußerungen auf, die sich dahin verstehen lassen, man könne Software auch zu den IKT-Dienstleistungen im Sinne der DORA-Verordnung zählen, wenn Wartung und Pflege vereinbart sei. Sachliche Begründungen dazu fehlen bisher allerdings.
Nach Inkrafttreten der DORA wird ein Download von Rendite & Derivate nicht mehr möglich sein; wir senden unseren Kunden künftig stattdessen im Bedarfsfall auf Anfrage einen Datenträger zu, der die Software enthält.
Nach unserer Rechtsauffassung handelt es sich bei Rendite & Derivate nicht um eine IKT-Dienstleistung im Sinne der DORA-Verordnung, sondern um Software. Kunden mit Wartung und Pflege erhalten Auskünfte per Telefon oder Email; die Resilienz der IT-Systeme unserer Kunden wird dadurch nicht berührt. Da weder wir auf Systeme unserer Kunden zugreifen, noch unsere Kunden auf unsere Systeme, auch nicht übers Internet, gibt es keinen Ansatzpunkt, Rendite & Derivate oder Wartung und Pflege dazu als IKT-Dienstleistung zu qualifizieren.
Wir haben aber Verständnis, wenn unsere Kunden sich auf unsere Sichtweise vorsichtshalber nicht verlassen möchten. Deswegen bieten wir unseren Kunden auf Anfrage gern auch den Abschluss eines Vertrages an, der die Anforderungen der DORA an Verträge zwischen IKT-Dienstleistern und Finanzunternehmen umfasst.
Aus unserer Sicht ist das alles jedoch nicht erforderlich. Wir möchten Sie ermutigen, sich unserer Rechtsauffassung anzuschließen und - auch als Beitrag zur Eindämmung immer weiter um sich greifender Bürokratie - es bei den bisherigen, langjährig bewährten Vertragsbestimmungen zu belassen.
*IDW = Institut der Wirtschaftsprüfer, Düsseldorf