Case Study: IT-Zertifizierung der Telekommunikations-Software MiFID-II-Option für die vio:networks GmbH
Die Ziele: Zertifizierung der Angemessenheit der Telefonie-Software MiFID-II-Option
Ziel der Zertifizierung war es, die Erfüllung der Anforderungen der bei der vio:networks GmbH, kurz vio:networks, neu eingesetzten Telefonie-Software MiFID-II-Option zur Gewährleistung der Aufzeichnungspflichten nach der Finanzmarktrichtlinie MiFID II 2014/65/EU über Märkte für Finanzinstrumente und zur EU-Datenschutz-Grundverordnung (DSGVO) zu prüfen und zu bestätigen. Aufgabe der IT-Zertifizierungs-Expert:innen der dhpg war es, mit hinreichender Sicherheit zu beurteilen, ob die Software in der aktuellen Version bei sachgerechter Anwendung der Richtlinie entspricht. Nach erfolgreich durchgeführtem Test sollte die dhpg ein Zertifikat zur Bescheinigung der Angemessenheit der IT-Software erstellen.
Dafür prüften die Zertifizierungs-Expert:innen der dhpg die Software anhand des IDW PS 860. Dies umfasst die Durchführung von Prüfungshandlungen zur Erlangung ausreichender geeigneter Prüfungsnachweise, um ein entsprechendes Prüfungsurteil abgeben zu können. Für die Beurteilung des IT-Systems ist die Prüfung so zu planen und durchzuführen, dass wesentliche Mängel des IT-Systems mit hinreichender Sicherheit aufgedeckt werden.
Die Herausforderung: Finanzmarktrichtlinie erfordert Software zur Sicherung von Telefongesprächen
Die europäische Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) verpflichtet seit 2018 alle Dienstleister im Finanzsektor, geschäftliche Telefongespräche mit ihren Kunden elektronisch aufzuzeichnen und vorzuhalten. Im Allgemeinen soll die Novelle die Funktionsweisen und die Transparenz der Finanzmärkte verbessern sowie Verbraucher:innen in der Europäischen Union (EU) besser schützen. Das bedeutet, neben einem größeren Anlegerschutz, der Einführung von Zielmarktkriterien für Anlageprodukte und der Ausweitung der Kostentransparenz müssen telefonische Beratungsgespräche über Finanzprodukte aufgezeichnet werden. Dies gilt für externe und interne Telefongespräche, die sich auf Kundenaufträge beziehen. Kunden müssen über die Aufzeichnung des Gesprächs vorab informiert werden und können der Aufzeichnung widersprechen. In diesem Fall darf das Unternehmen die Dienstleistung nicht auf diesem Weg erbringen. Die Aufzeichnungen müssen fünf Jahre aufbewahrt werden und Kunden können die Aushändigung der Aufzeichnung verlangen. Die Daten zu abgeschlossenen Geschäften werden demnach transparenter und kostengünstiger zur Verfügung gestellt. Ziel dieser Maßnahmen ist es, Beratungsgespräche nachvollziehbarer zu machen.
Die vio:networks GmbH: Anbieter virtueller Cloud-Telefonanlagen
Die vio:networks GmbH ist ein führender Anbieter im Bereich der Cloud-Telefonie. vio:networks stellt ihren Kunden virtuelle Cloud-Telefonanlagen im Bereich der IP-Telefonie zur Verfügung, damit deren Mitarbeiter:innen schneller und verlässlicher mit Kunden, Partnern und Kolleg:innen kommunizieren können.
Um telefonische Gespräche aufzuzeichnen und die Einhaltung der europäischen Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) zu gewährleisten, möchte die vio:networks ihren Kunden im Finanzsektor eine benutzerfreundliche und datenschutzkonforme Software zur Verfügung stellen. Dafür verwendet vio:networks die Telekommunikations-Software MiFID-II-Option. Mit der Software können Mitarbeiter:innen Gespräche aufzeichnen, downloaden und archivieren. Die MiFID-II-Option stellt einen Bestandteil der Wertpapierdienstleistung dar und muss somit die Anforderungen der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente erfüllen. Dementsprechend setzt die vio:networks auf die Arbeit der Security-Expert:innen der dhpg, um sich die Angemessenheit des IT-Systems durch eine Zertifizierung bescheinigen zu lassen.
Der IDW PS 860: Prüfungs- und Qualitätsstandard außerhalb der Jahresabschlussprüfung
Die Ordnungsmäßigkeit und Sicherheit der IT-Systeme spielen im Zuge der Digitalisierung eine immer größere Rolle. Unter anderem das Management von gesetzlichen und regulatorischen Anforderungen führt zu Unsicherheiten hinsichtlich der Verlässlichkeit IT-gestützter Prozesse und Verfahren. Beispielsweise müssen IT-Systeme diverse Vorgaben und Standards erfüllen. Dementsprechend ist es ratsam, die unternehmensinternen IT-Systeme zu untersuchen – auch außerhalb der Jahresabschlussprüfung. Diesen Zweck erfüllt der Prüfungsstandard 860 des Instituts der Wirtschaftsprüfer (IDW PS 860), da er internationalen Standards für Wirtschaftsprüfer entspricht, einen einheitlichen Regelungs- bzw. Prüfungsrahmen vorgibt und eine hohe Qualität der Prüfung gewährleistet.
Die IT-Sicherheit wird anhand festgelegter Kriterien analysiert, die Angemessenheit der IT-gestützten Geschäftsprozesse wird abgesichert und die Nachvollziehbarkeit für Dritte erhöht. Des Weiteren wird die Prüfung nach den Qualitätsstandards des IDW durch Wirtschaftsprüfer verantwortet. Dadurch lassen sich die Ergebnisse auch im Rahmen der Abschlussprüfung verwerten. Darüber hinaus können die Ergebnisse nach innen und außen präsentiert werden, z.B. in Form von Zertifikaten gegenüber Geschäftspartnern oder der Finanzverwaltung.
Der dhpg-Ansatz: IDW-Prüfungsstandards geben Rahmen vor
Die dhpg führte die Angemessenheitsprüfung der IT unter Beachtung des IDW-Prüfungsstandards 860 durch und wandte die Qualitätssicherung in der Wirtschaftsprüferpraxis (IDW QS 1) an.
Sammlung der Dokumentationen und Nachweise
Bestandsaufnahme des zu prüfenden Softwareprodukts
Prüfung der Angemessenheit der für das Aufgabengebiet des Softwareprodukts notwendigen Programmfunktionen
Dokumentation der gewonnenen Kenntnisse in Arbeitspapieren
Erstellung eines Berichts und der Bescheinigung zur Zertifizierung
Das Ergebnis: Zertifizierung der Software schafft Vertrauen in die Qualität der IT-Telefonanlage
Die Software MiFID-II-Option der vio:networks ist eine virtuelle Cloud-Telefonanlage und ermöglicht es, aufzeichnungspflichtige Sprachkommunikation mitzuschneiden und sicher DSGVO-konform zu archivieren.
- Die erzeugte Audiodatei wird komprimiert und verschlüsselt.
- Die Verarbeitung bzw. das Management der Daten findet ausschließlich in Deutschland statt.
- Die gesamte Kommunikation erfolgt über SSL-verschlüsselte Verbindungen.
- Die Aufzeichnung wird in Rechenzentren in Deutschland gespeichert.
Dank der erfolgreichen Prüfung unserer Telefonie-Software MiFID-II-Option durch die dhpg können wir unseren Kunden aus der Finanzbranche darlegen, dass die MiFID II eingehalten wird. Die Zertifizierung unterstützt uns bei unserer Glaubwürdigkeit und drückt die Wichtigkeit der datenschutzkonformen Speicherung von Beratungsgesprächen sowie der Einhaltung weiterer Richtlinien auch nach außen aus. Danke an die dhpg, die mit ihrem kompetenten Team zu einer reibungslosen und erfolgreichen Zertifizierung maßgeblich beigetragen hat.
- Dominik Mauritz, CEO der vio:networks GmbH
Die Case Study steht Ihnen hier als Download zur Verfügung.