Case Study: IT-Zertifizierung der Telekommunikations-Software MiFID-II-Option für die vio:networks GmbH

 

Die Ziele: Zertifizierung der Angemessenheit der Telefonie-Software MiFID-II-Option

Ziel der Zertifizierung war es, die Erfüllung der Anforderungen der bei der vio:networks GmbH, kurz vio:networks, neu eingesetzten Telefonie-Software MiFID-II-Option zur Gewährleistung der Aufzeichnungspflichten nach der Finanzmarktrichtlinie MiFID II 2014/65/EU über Märkte für Finanzinstrumente und zur EU-Datenschutz-Grundverordnung (DSGVO) zu prüfen und zu bestätigen. Aufgabe der IT-Zertifizierungs-Expert:innen der dhpg war es, mit hinreichender Sicherheit zu beurteilen, ob die Software in der aktuellen Version bei sachgerechter Anwendung der Richtlinie entspricht. Nach erfolgreich durchgeführtem Test sollte die dhpg ein Zertifikat zur Bescheinigung der Angemessenheit der IT-Software erstellen.

Dafür prüften die Zertifizierungs-Expert:innen der dhpg die Software anhand des IDW PS 860. Dies umfasst die Durchführung von Prüfungshandlungen zur Erlangung ausreichender geeigneter Prüfungsnachweise, um ein entsprechendes Prüfungsurteil abgeben zu können. Für die Beurteilung des IT-Systems ist die Prüfung so zu planen und durchzuführen, dass wesentliche Mängel des IT-Systems mit hinreichender Sicherheit aufgedeckt werden.

Die Herausforderung: Finanzmarktrichtlinie erfordert Software zur Sicherung von Telefongesprächen

Die europäische Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) verpflichtet seit 2018 alle Dienstleister im Finanzsektor, geschäftliche Telefongespräche mit ihren Kunden elektronisch aufzuzeichnen und vorzuhalten. Im Allgemeinen soll die Novelle die Funktionsweisen und die Transparenz der Finanzmärkte verbessern sowie Verbraucher:innen in der Europäischen Union (EU) besser schützen. Das bedeutet, neben einem größeren Anlegerschutz, der Einführung von Zielmarktkriterien für Anlageprodukte und der Ausweitung der Kostentransparenz müssen telefonische Beratungsgespräche über Finanzprodukte aufgezeichnet werden. Dies gilt für externe und interne Telefongespräche, die sich auf Kundenaufträge beziehen. Kunden müssen über die Aufzeichnung des Gesprächs vorab informiert werden und können der Aufzeichnung widersprechen. In diesem Fall darf das Unternehmen die Dienstleistung nicht auf diesem Weg erbringen. Die Aufzeichnungen müssen fünf Jahre aufbewahrt werden und Kunden können die Aushändigung der Aufzeichnung verlangen. Die Daten zu abgeschlossenen Geschäften werden demnach transparenter und kostengünstiger zur Verfügung gestellt. Ziel dieser Maßnahmen ist es, Beratungsgespräche nachvollziehbarer zu machen.

Die vio:networks GmbH: Anbieter virtueller Cloud-Telefonanlagen

Die vio:networks GmbH ist ein führender Anbieter im Bereich der Cloud-Telefonie. vio:networks stellt ihren Kunden virtuelle Cloud-Telefonanlagen im Bereich der IP-Telefonie zur Verfügung, damit deren Mitarbeiter:innen schneller und verlässlicher mit Kunden, Partnern und Kolleg:innen kommunizieren können.

Um telefonische Gespräche aufzuzeichnen und die Einhaltung der europäischen Finanzmarktrichtlinie MiFID II (Richtlinie 2014/65/EU über Märkte für Finanzinstrumente) zu gewährleisten, möchte die vio:networks ihren Kunden im Finanzsektor eine benutzerfreundliche und datenschutzkonforme Software zur Verfügung stellen. Dafür verwendet vio:networks die Telekommunikations-Software MiFID-II-Option. Mit der Software können Mitarbeiter:innen Gespräche aufzeichnen, downloaden und archivieren. Die MiFID-II-Option stellt einen Bestandteil der Wertpapierdienstleistung dar und muss somit die Anforderungen der Richtlinie 2014/65/EU über Märkte für Finanzinstrumente erfüllen. Dementsprechend setzt die vio:networks auf die Arbeit der Security-Expert:innen der dhpg, um sich die Angemessenheit des IT-Systems durch eine Zertifizierung bescheinigen zu lassen.

Der IDW PS 860: Prüfungs- und Qualitätsstandard außerhalb der Jahresabschlussprüfung

Die Ordnungsmäßigkeit und Sicherheit der IT-Systeme spielen im Zuge der Digitalisierung eine immer größere Rolle. Unter anderem das Management von gesetzlichen und regulatorischen Anforderungen führt zu Unsicherheiten hinsichtlich der Verlässlichkeit IT-gestützter Prozesse und Verfahren. Beispielsweise müssen IT-Systeme diverse Vorgaben und Standards erfüllen. Dementsprechend ist es ratsam, die unternehmensinternen IT-Systeme zu untersuchen – auch außerhalb der Jahresabschlussprüfung. Diesen Zweck erfüllt der Prüfungsstandard 860 des Instituts der Wirtschaftsprüfer (IDW PS 860), da er internationalen Standards für Wirtschaftsprüfer entspricht, einen einheitlichen Regelungs- bzw. Prüfungsrahmen vorgibt und eine hohe Qualität der Prüfung gewährleistet.

Die IT-Sicherheit wird anhand festgelegter Kriterien analysiert, die Angemessenheit der IT-gestützten Geschäftsprozesse wird abgesichert und die Nachvollziehbarkeit für Dritte erhöht. Des Weiteren wird die Prüfung nach den Qualitätsstandards des IDW durch Wirtschaftsprüfer verantwortet. Dadurch lassen sich die Ergebnisse auch im Rahmen der Abschlussprüfung verwerten. Darüber hinaus können die Ergebnisse nach innen und außen präsentiert werden, z.B. in Form von Zertifikaten gegenüber Geschäftspartnern oder der Finanzverwaltung.

Der dhpg-Ansatz: IDW-Prüfungsstandards geben Rahmen vor

Die dhpg führte die Angemessenheitsprüfung der IT unter Beachtung des IDW-Prüfungsstandards 860 durch und wandte die Qualitätssicherung in der Wirtschaftsprüferpraxis (IDW QS 1) an.

Schritt 1

Sammlung der Dokumentationen und Nachweise

Schritt 2

Bestandsaufnahme des zu prüfenden Softwareprodukts

Schritt 3

Prüfung der Angemessenheit der für das Aufgabengebiet des Softwareprodukts notwendigen Programmfunktionen

Fazit

Dokumentation der gewonnenen Kenntnisse in Arbeitspapieren

Fazit

Erstellung eines Berichts und der Bescheinigung zur Zertifizierung

Das Ergebnis: Zertifizierung der Software schafft Vertrauen in die Qualität der IT-Telefonanlage

Die Software MiFID-II-Option der vio:networks ist eine virtuelle Cloud-Telefonanlage und ermöglicht es, aufzeichnungspflichtige Sprachkommunikation mitzuschneiden und sicher DSGVO-konform zu archivieren.

  • Die erzeugte Audiodatei wird komprimiert und verschlüsselt.
  • Die Verarbeitung bzw. das Management der Daten findet ausschließlich in Deutschland statt.
  • Die gesamte Kommunikation erfolgt über SSL-verschlüsselte Verbindungen.
  • Die Aufzeichnung wird in Rechenzentren in Deutschland gespeichert.

 

Dank der erfolgreichen Prüfung unserer Telefonie-Software MiFID-II-Option durch die dhpg können wir unseren Kunden aus der Finanzbranche darlegen, dass die MiFID II eingehalten wird. Die Zertifizierung unterstützt uns bei unserer Glaubwürdigkeit und drückt die Wichtigkeit der datenschutzkonformen Speicherung von Beratungsgesprächen sowie der Einhaltung weiterer Richtlinien auch nach außen aus. Danke an die dhpg, die mit ihrem kompetenten Team zu einer reibungslosen und erfolgreichen Zertifizierung maßgeblich beigetragen hat.

- Dominik Mauritz, CEO der vio:networks GmbH

 

Die Case Study steht Ihnen hier als Download zur Verfügung.

Markus Müller

Diplom-Wirtschaftsinformatiker, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE)

Zum Profil von Markus Müller

Fabrice Voigt

IT-Prüfer/Berater, Certified Information Systems Auditor (CISA), Certified Data Privacy Solutions Engineer (CDPSE), ISO 27001-Certified Inform. Security Auditor

Zum Profil von Fabrice Voigt

Felicitas Kellermann

IT-Consultant

Zum Profil von Felicitas Kellermann

Andreas Engels

IT-Prüfer / Berater / Certified Information Systems Auditor (CISA)

Zum Profil von Andreas Engels

Kontakt

Nehmen Sie mit uns Kontakt auf

Mail Kontaktformular Telefon +49 228 81000 0 Newsletter Newsletter
Durch das Laden des YouTube Videos erklären Sie sich damit einverstanden, dass Cookies durch YouTube und Google gesetzt werden, und dadurch Daten an diese Anbieter übermittelt werden. Wir verarbeiten die Daten um die Zugriffe auf unsere YouTube-Videos analysieren zu können oder die Wirksamkeit unserer Werbung und Anzeigen auszuwerten. YouTube und Google verarbeiten die Daten auch zu eigenen Zwecken. Zudem erklären Sie sich auch damit einverstanden, dass Ihre Daten in die USA übermittelt werden, obwohl in den USA das Risiko besteht, dass US-Behörden zu Überwachungszwecken Zugriff auf Ihre Daten erhalten und Ihnen dagegen möglicherweise keine ausreichenden Rechtsschutzmöglichkeiten zustehen. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
YouTube Video laden
Permalink