In unserem letzten Artikel unserer Reihe über den Gesetzesentwurf zum elektronischen Wertpapier haben wir uns mit dem Kryptoverwahrregister von Anleihen beschäftigt. Nun wollen wir uns den Anforderungen an die IT widmen.
Im Gesetzesentwurf selbst sind keine konkreten Anforderungen an die technische Ausstattung der digitalen Wertpapierregister zu finden. Diese sollen in weiteren Rechtsverordnungen folgen, die sich einfacher an technische Entwicklungen anpassen lassen.
Die Erlaubnis und Einstufung der digitalen Wertpapierverwahrung als Finanzdienstleistung bietet zunächst einen regulatorischen Rahmen. Die Entscheidung sorgt dafür, dass die Anforderungen gemäß § 25a KWG - welche unter anderem Ansprüche an ein wirksames Risikomanagement festlegen - auch für die digitale Verwahrung gelten. Dadurch gelten sie auch für Mindestanforderungen an das Risikomanagement (MaRisk) und für bankaufsichtliche Anforderungen (BAIT) an die IT und bieten eine Grundlage für die technische Ausstattung. Das Management digitaler Wertpapierregister – ob zentral oder dezentral – muss somit die vier zentralen Schutzziele
- Vertraulichkeit
- Integrität
- Verfügbarkeit und
- Authentizität
der Informationsverarbeitung gewährleisten und den aktuellen Stand der Technik berücksichtigen.
Der Gesetzesentwurf betont nun insbesondere zwei der vier Schutzziele: Integrität und Authentizität. Wobei Integrität die Sicherstellung der Korrektheit (Unversehrtheit) von Daten und der korrekten Funktionsweise von Systemen bezeichnet, und Authentizität die Eigenschaft darstellt, die gewährleistet, dass etwas so ist wie es vorgibt zu sein oder dass eine Information tatsächlich von der angegebenen Quelle erstellt wurde. Vor dem Hintergrund dessen, was eine Wertpapierurkunde leisten muss – die "Speicherung" eines unveränderbaren Gedankeninhalts – erscheint diese Fokussierung grundsätzlich nachvollziehbar. Aufgrund der Tatsache, dass Teilnehmer eines Registers Einsicht in das jeweilige Register nehmen können, müssen die Anforderungen hinsichtlich Vertraulichkeit nicht der höchsten Sicherheitsstufe entsprechen. Die Anforderungen an das Schutzziel Verfügbarkeit werden jedoch nicht explizit betont, obwohl man – insbesondere als Eigentümer – ununterbrochen auf seine digitalen Wertpapiere zugreifen können sollte. Dies sollte über die Anforderungen zu den vier Schutzzielen aus der Bankaufsichtliche Anforderungen an die IT (BAIT) hinaus betont werden.
Anhand der vier Schutzziele – Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität – lässt sich eine IT-Governance für ein dezentrales digitales Register aufbauen.
Dennoch müssen vor Einführung eines dezentralen Kryptoregisters weitere Fragen gestellt werden, unter anderem wer welche Art von Zugriffsrechten erhält und wer welche Informationen einsehen kann. Es wird schnell deutlich, dass eine Balance zwischen Transparenz und Datenschutz gefunden werden muss - eine der größten Herausforderungen bei der Erstellung eines Distributed Ledger- (DLT-)Systems.
Folgende Themen sind vor der Einrichtung eines Kryptowertpapierregisters zu klären:
- Soll es ein öffentliches oder privates DLT-System werden?
- Wenn privat, wer kann teilnehmen?
- Wird es bestimmte Aufnahmekriterien geben, beispielsweise einen Know Your Customer- (KYC-)Check?
- Wie kann Datenschutz oder Vertraulichkeit gewährleistet werden, wenn gleichzeitig maximale Transaktions-Transaktionen gewünscht ist?
- Welche Teilnehmer haben Zugriff auf welche Informationen? Werden bestimmte Informationen abgeschirmt?
- Soll eine Blockchain unendlich lang werden oder gibt es eine maximale Anzahl an Blöcken?
- Wie werden Transaktionen archiviert und wo und von wem?
- Wer wartet die Systeme und wie wird sichergestellt, dass die Informationssicherheitsanforderungen auf allen Computern der Teilnehmer gewährleistet ist?
Zum Beispiel haben sich über 300 Unternehmen im R3-Blockchain-Netzwerk zusammengeschlossen und entwickeln gemeinsam Anwendungen auf Blockchain-Basis. Entscheiden sich mehrere Banken gemeinsam ein DLT-System einzurichten, muss zuvor festgelegt werden, welche Daten für wen zugänglich sind.
FAZIT
Auf die oben genannten Fragen gibt der Gesetzesentwurf keine Antworten, da die IT-Governance für ein DLT-System pro Einzelfall immer wieder neu definiert werden muss. Um eine wirkungsvolle Governance zu erstellen, müssen eine Reihe von Faktoren betrachtet und analysiert und im Zielbild berücksichtigt werden, unter anderem die IT-Regulatorik, die Technologie, das Finanzinstitut selbst sowie der jeweilige Prozess und die Legacy-Systeme. Werden die oben genannten Fragestellungen berücksichtigt und das Distributed Ledger-System genau an die Anforderungen des Institutes ausgerichtet, kann es den größtmöglichen Beitrag zu einer erfolgreichen Modernisierung und Digitalisierung der Geschäftsprozesse leisten – und darüber hinaus das benötigte Niveau an Sicherheit gewährleistet.
Bleiben Sie dabei und erfahren Sie im nächsten Artikel mehr zu den Chancen und Hindernisse der Digitalisierung des Kapitalmarkts.
Sie wünschen einen persönlichen Austausch mit uns? Unsere Experten sind für Sie da.
KONTAKT
Carsten Hahn, Partner
T +49 69 9760 9091
M +49 17 2213 3144
E Carsten.Hahn@capco.com