Neues CSSF-Rundschreiben über Telearbeit erfordert Handlungsbedarf
Die Commission de Surveillance du Secteur Financier (die „CSSF“) hat am 9. April 2021 das CSSF-Rundschreiben 21/769 über die Führungs- und Sicherheitsstrukturen von überwachten Gesellschaften bezüglich der Ausführung von Aufträgen und Tätigkeiten via Telearbeit veröffentlicht („CSSF-Rundschreiben“).
Die im CSSF-Rundschreiben genannten Anforderungen thematisieren die Führungs- und Sicherheitsansprüche bei der Umsetzung und Anwendung von Telearbeit seitens einer von der CSSF überwachten Gesellschaft.
Das CSSF-Rundschreiben zur Telearbeit tritt zwar grundsätzlich zum 30. September 2021 in Kraft, gilt aber nicht bei Pandemien (z.B. Covid-19-Pandemie) oder anderen außergewöhnlichen Umständen mit vergleichbaren Auswirkungen auf die allgemeinen Arbeitsbedingungen, so dass die Anforderungen erst ab dem Ende der Covid-19-Pandemie gelten werden.
Eine Genehmigung der CSSF für die Telearbeit ist nicht erforderlich, denn es liegt in der Verantwortung der beaufsichtigten Unternehmen, zu beurteilen, ob ihre internen Vorschriften den Anforderungen des CSSF-Rundschreibens zur Telearbeit entsprechen (unter Beachtung des Proportionalitätsgrundsatzes der Größe und Organisation sowie der Art, des Umfangs und der Komplexität der Tätigkeiten).
Gemäß des CSSF-Rundschreibens haben die beaufsichtigten Unternehmen alle Risiken zu ermitteln, die sich aus der Telearbeit ergeben, diese zu überwachen und entsprechend zu mindern. Die internen Kontrollfunktionen (d.h. Compliance und Interne Revision) haben bei ihren Aufgaben auch die Situation der Telearbeit zu berücksichtigen.
Die beaufsichtigten Unternehmen müssen eine Policy für die Telearbeit erarbeiten und die bestehenden Strategien und Verfahren überprüfen und aktualisieren, um der Telearbeit Rechnung zu tragen. Die praktische Umsetzung der Telearbeitspolicy ist ebenfalls zu überwachen und zu dokumentieren, insbesondere durch ein Verzeichnis bzw. Register, das die Identität und Funktion der zur Telearbeit zugelassenen Mitarbeiter offenlegt. Das Personal der beaufsichtigten Unternehmen ist im Hinblick auf die Telearbeit zu schulen. Darüber hinaus müssen die beaufsichtigten Unternehmen die im CSSF-Rundschreiben zur Telearbeit genannten spezifischen IT-Anforderungen im Zusammenhang mit der Telearbeit erfüllen (z. B. Verschlüsselung).
Damit kann laut dem CSSF-Rundschreiben grundsätzlich allen Mitarbeitern, unabhängig von ihrer Funktion, die Telearbeit innerhalb der Grenzen des CSSF-Rundschreibens gestattet werden, wobei sich die Gestaltung der Telearbeit sich insbesondere auf die Robustheit der zentralen Verwaltung sowie die Sicherheit der Systeme und Daten beziehen muss.
Gerne steht Ihnen die SiBeM Capital Partners mit unseren Services zur Verfügung, um Sie im Hinblick auf Governance, IT-Sicherheit und IT-Regulierung dabei zu unterstützen, diese Anforderungen vollständig zu verstehen und einzuhalten, wenn Sie Ihre Telearbeitslösungen nach den Regeln der CSSF implementieren wollen oder pflegen.