SEC (USA)

SEC-Regel 17a-4(f)(2)(i) enthält technische Anforderungen für die elektronische Dokumentationspflicht für Broker-Händler. SEC-Regel 18a-6(e)(2)(i) enthält ähnliche Anforderungen für Security-based Swap Dealers (SBSD) und Major Security-Based Swap Participants (MSBSP), die als Broker-Händler (SBS-Entitäten) registriert sind.

Änderungen an der WORM-Anforderung und der Audit-Trail-Alternative

Im Januar 2023 änderte die SEC die vorherige WORM-Formatanforderung („Write Once, read Many“) und fügte eine neue Audit-Trail-Option als Alternative zum Verwalten und Aufbewahren elektronischer Datensätze hinzu. Regulierte Unternehmen haben jetzt zwei Optionen:

WORM-Anforderung: Aufbewahrung und Schutz elektronischer Aufzeichnungen in einem nicht überschreibbaren, nicht löschbaren Format; oder

Audit-Trail-Anforderung: Verwenden eines elektronischen Dokumentationssystems, das elektronische Aufzeichnungen so aufbewahrt und schützt, dass bei Änderungen oder Löschungen ein Originaldatensatz wiederhergestellt werden kann.

Weitere Informationen zu dieser Änderung finden Sie in der SEC Final Rule – Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants.

Einhaltung der WORM-Anforderung in Google Cloud

Google Cloud unterstützt unsere Kunden bei der Bewertung von Google Cloud Storage in Hinsicht auf die WORM-Anforderung durch Zusammenarbeit mit Cohasset Associates, Inc., um eine unabhängige Prüfung zu gewährleisten.

Cohasset stellte fest, dass Google Cloud Storage die WORM-Anforderung erfüllt, wenn es richtig konfiguriert und mit der Aufbewahrungsrichtlinie im Sperrmodus verwendet wird. Beachten Sie, dass sich die Bewertung von Cohasset nicht auf die Audit-Trail-Alternative bezieht.

Nicht mehr erforderlich: Erklärungen / Bescheinigungen zum elektronischen Speichermedium

Im Januar 2023 hat die SEC die Bestätigungsanforderung („Bestätigungsschreiben“) entfernt, in der zuvor angegeben war, dass der Broker-Händler, der Hersteller der elektronischen Speichermedien oder ein anderer Drittanbieter eine Bescheinigung ausstellen musste, dass das elektronische Speichermedium die WORM-Anforderung erfüllt. Google Cloud stellt dieses Schreiben nicht mehr aus, da es nicht mehr benötigt wird.

Weitere Informationen zu dieser Änderung finden Sie in der SEC Final Rule – Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants.

Regel 18a-6 enthält keine Bestätigungsanforderung für SBS-Entitäten. Außerdem unterscheidet sich die inzwischen gestrichene Bestätigungsanfoderung von der Anforderung an ein Verpflichtungsschreiben von Drittunternehmen gemäß SEC-Regel 17a-4(i)(1)(ii)(A) und SEC-Regel 18a-6. (f)(1)(ii)(A).

SEC-Regel 17a-4(i)(1)(ii)(A) enthält die Anforderung an Dritte, die regulatorische Unterlagen eines Broker-Händlers erstellen oder pflegen (unabhängig davon, ob diese in Papier- oder elektronischer Form vorliegen, ein schriftliches Verpflichtungsschreiben bei der SEC einzureichen.

Seit Januar 2023 hat die SEC eine alternative Version des Verpflichtungsschreibens für Drittunternehmen speziell für Cloud-Dienstanbieter wie Google Cloud eingeführt, das als „Alternativess Verpflichtungsschreiben“ bezeichnet wird. Zuvor gab es nur eine Version des Verpflichtungsschreibens, das als „traditionelles Verpflichtungsschreiben“ bezeichnet wird.

Traditionelles Verpflichtungsschreiben: Verpflichtet das Drittunternehmen unter anderem dazu, eine Prüfung der Aufzeichnungen durch die zuständige Behörde zuzulassen und der zuständigen Behörde wahrheitsgemäße, korrekte, vollständige und aktuelle Ausdrucke dieser Datensätze unverzüglich vorzulegen.

Alternatives Verpflichtungsschreiben: Zugeschnitten auf die elektronischen Datensätze, die Cloud-Dienstanbieter für regulierte Einrichtungen aufbewahren, und kann anstelle eines traditionellen Verpflichtungsschreibens verwendet werden.

SEC-Regel 18a-6(f)(1)(ii)(A) enthält eine ähnliche Anforderung für SBS-Entitäten.

Einhaltung der Anforderung für ein alternatives Verpflichtungsschreiben in Google Cloud

Google bietet Kunden einen SEC 17a-4(i)-Anhang oder SEC 18a-6(f)-Anhang für Google Cloud und Google Workspace an, um die Anforderung für ein alternatives Verpflichtungsschreiben zu erfüllen. Unser Vertriebsteam oder Ihr Google Cloud-Ansprechpartner können Ihnen Zugriff auf unsere Dokumentation gewähren. Kunden müssen Ihren Domaininhabernamen und die Domaininhabernummer angeben. Sobald ein Kunde den Anhang unterzeichnet hat, kann Google das alternative Verpflichtungsschreiben unterzeichnen und an den Kunden weiterleiten, damit es an die zuständige Behörde weitergeleitet wird.

Weitere Informationen zum Einreichen des alternativen Verpflichtungsschreiben bei der zuständigen Behörde finden Sie hier:

SEC Staff Guidance for Filing Broker-Dealer Notices, Statements, Undertakes and Reports

SEC Staff Statement on Submitting Notices, Statements, Applications, and Reports for SBS Entities

Weitere Informationen zum alternativen Verpflichtungsschreiben finden Sie auf Seite 56 der SEC Final Rule – Electronic Recordkeeping Requirements for Broker-Dealers, Security-Based Swap Dealers, and Major Security-Based Swap Participants Den genauen Wortlaut des alternativen Verpflichtungsschreibens für Broker-Händler bzw. SBS-Entitäten finden Sie auf den Seiten 137 und 145.

Unterschiede zwischen traditionellen Verpflichtungsschreiben, alternativenm Verpflichtungsschreiben und dem Verpflichtungsschreiben für benannte Dritte

Das traditionelle Verpflichtungsschreiben und das alternative Verpflichtungsschreiben unterscheiden sich von dem Verpflichtungsschreiben für benannte Dritte gemäß SEC-Regel 17a–4(f)(3)(v)(A) und Regel 18a–6(e)(3)(v)(A). Ein benannter Dritter oder „D3P“ ist ein Dritter, den eine regulierte Entität speziell für den Zugriff auf elektronische Datensätze zur Überprüfung durch die zuständige Behörde aufbewahrt. Dieser Dienst wird von Google Cloud nicht angeboten. Bei Bedarf können regulierte Entitäten einen D3P-Dienst und das D3P-Unternehmen von einem unabhängigen Anbieter beziehen.

Regulation SCI wurde von der SEC eingeführt, um auf die Risiken einzugehen, die technologische Änderungen für die US-Finanzmärkte mit sich bringen. Um die Technologieinfrastruktur der Märkte zu stärken, verlangt die Regulation SCI von bestimmten selbstregulierenden Organisationen, alternativen Handelssystemen, Planungsauftragsverarbeitern und ausgenommenen Vergabestellen Folgendes:

1. Dafür zu sorgen, dass ihre Systeme ausreichend Kapazität, Integrität, Ausfallsicherheit, Verfügbarkeit und Sicherheit haben, um die Betriebskapazität zu gewährleisten

2. Pläne zur Geschäftskontinuität und Notfallwiederherstellung zu testen

3. Korrekturmaßnahmen bei Systemstörungen, Complianceproblemen und Systemangriffen vorzunehmen und die Kommission und betroffene Parteien, zu benachrichtigen, wenn diese auftreten; und

4. Regelmäßige Systemüberprüfungen durchzuführen

Die Zuordnung von Google Cloud zu den Richtlinien und das Whitepaper informieren Kunden darüber, wie wir als ausgelagerter Dienstleister sie dabei unterstützen können, die Regulation SCI-Anforderungen zu erfüllen.

Der Sarbanes-Oxley Act ist ein US-Gesetz, das die Genauigkeit und Zuverlässigkeit von Unternehmensangaben verbessern soll. Im Abschnitt 404 des Sarbanes-Oxley Act (SOX) sind Anforderungen für alle börsennotierten Unternehmen in den USA definiert, öffentlich über die Verantwortung des Managements bei der Einrichtung und Aufrechterhaltung einer angemessenen internen Kontrollstruktur zu berichten, einschließlich Kontrollen für die Finanzberichterstattung und der Ergebnisse der Bewertung der Effektivität der internen Kontrolle der Finanzberichterstattung durch das Management.

Zu den SOX-Verpflichtungen gehören die Einrichtung und Überwachung interner Kontrollen, einschließlich solcher, die von Dritten wie einem Cloud-Dienstanbieter verwaltet werden. Jede Organisation, die Buchhaltungs- oder Finanzinformationen in Google Cloud oder Google Workspace verarbeitet, muss selbst beurteilen, ob bestimmte Google Cloud- oder Google Workspace-Dienste die SOX-Verpflichtungen erfüllen.

Weitere Informationen zu den Systemen und Einstellungen von Google Cloud oder Google Workspace finden Sie im SOC 1 (Service Organization Control) Typ 2-Bericht von Google. Dort finden Sie auch ein unabhängiges Gutachten von Prüfern zur Richtigkeit der Beschreibung der Organisation sowie zur Angemessenheit und Wirksamkeit der Kontrollen, die zur Erfüllung der genannten Ziele beschrieben werden. SOC 1 Typ 2-Berichte können über die Übersicht über Complianceberichte für Google Cloud und Google Workspace angefordert werden.