Die Anforderungen umfassen neue Regelungen für die aufsichtsrechtliche Behandlung von Auslagerungen. Zudem integrieren sie die erst im letzten Jahr veröffentlichten Empfehlungen der EBA für den Bezug von Cloud-Dienstleistungen, die „EBA Recommendations on outsourcing to cloud service providers“ (EBA/REC/2017/03).

Verschärfte Regelungen

Auf europäischer Ebene wurden Vorgaben zu Auslagerungen nur rudimentär durch entsprechende Richtlinien und die Vorgängerleitlinie aus dem Jahr 2006 geregelt. Diese wurden für den deutschen Finanzsektor vor allem im „Allgemeinen Teil 9“ (AT 9) der „Mindestanforderungen an das Risikomanagement“ (MaRisk) konkretisiert.

Die neuen EBA-Guidelines setzen zwar auf den bestehenden Grundprinzipien auf, erweitern diese jedoch in einem erheblichen Umfang – das ist schon daran zu sehen, dass die EBA-Guidelines im Kern mehr als 40 Seiten umfassen. Dabei werden zum Teil sehr detaillierte und auch neue bzw. verschärfte Anforderungen an Auslagerungen gestellt.

Neuerungen im Überblick

Im Folgenden werden die wesentlichen Neuerungen strukturiert dargestellt:

• Erweiterter Anwendungsbereich

Der Anwendungsbereich der EBA-Guidelines wird im Vergleich zu den bisherigen Anforderungen erweitert. Die Richtlinien gelten künftig nicht nur für Kredit- und Finanzdienstleistungsinstitute, sondern auch für (E-)Zahlungsinstitute, deren Auslagerungsaktivitäten erstmals auf europäischer Ebene konkretisiert werden.

• Neue Begrifflichkeiten

Die MaRisk haben Auslagerungssachverhalte bisher in „wesentliche“ und „nicht-wesentliche“ Auslagerungen unterteilt. Diese Begriffe stellen den Risikogehalt einer Auslagerung dar. Die neuen EBA-Guidelines lösen sie ab und führen den Begriff der Auslagerung von „kritischen oder wichtigen Funktionen“ ein – in Abgrenzung zu den „sonstigen Auslagerungen“. Die neue Unterscheidung ist verknüpft mit klaren Kriterien, was eine kritische/wichtige Funktion ausmacht. Dabei ist anzumerken, dass viele der neuen Vorgaben ausschließlich für Auslagerungen von kritischen oder wichtigen Funktionen gelten. Nur ein Teil der neuen Anforderungen ist auch auf sonstige Auslagerungen anwendbar.

• Konzerninterne Auslagerungen

Die Guidelines stellen klar: Die aufsichtsrechtlichen Vorgaben müssen im Grundsatz auch bei konzerninternen Auslagerungen und bei Auslagerungen innerhalb desselben Instituts-Sicherungssystems erfüllt werden. Dabei wird die besondere Verantwortung der Konzernmutter zur Sicherstellung der Umsetzung und Einhaltung der Auslagerungsanforderungen auf Gruppenebene betont. Damit wird ein Auslagerungsmanagement nicht nur auf Institutsebene, sondern vor allem auf Gruppenebene durch die Aufsicht in den Fokus gerückt.

• Auslagerungen in Drittstaaten

Die neuen EBA-Guidelines definieren besondere Anforderungen für Auslagerungen an Drittstaaten (sowohl EU-Raum als auch Nicht-EU-Raum).Hierbei gilt künftig eine Art Äquivalenz-Prinzip. Insbesondere muss die Kooperation zwischen den Aufsichtsbehörden in Form eines „Memorandum of Understanding“ sichergestellt werden.

• Auslagerungsregister

Eine der wichtigsten Neuerungen ist die verpflichtende Einführung eines zentralen und einheitlichen Auslagerungsregisters. Diese Vorgabe schreibt den betroffenen Instituten vor, eine vollständige Liste aller Auslagerungen und deren vollständige Informationen (Weiterverlagerungen, Risikoanalyse etc.) vorzuhalten. Bei Cloud-Auslagerungen sind noch zusätzliche Informationen zu erheben (z.B. Ort der Datenspeicherung). Des Weiteren ist anzumerken, dass das Auslagerungsregister auf Verlangen der Aufsichtsbehörden zugänglich zu machen ist. Die praktische Umsetzung dieser Vorgaben wird viele betroffene Institute vermutlich vor eine Herausforderung stellen.

• Überprüfung des Dienstleisters

Neu in den EBA-Guidelines ist auch die Einführung eines „Due Diligence“-Prozesses zur Risikobetrachtung des Dienstleisters. Dabei soll nicht nur die Reputation, fachliche Qualifikation und Wirtschaftskraft des Dienstleisters berücksichtigt werden, sondern auch dessen ethisches und soziales Verhalten. In der Praxis wird dies wohl eine zunehmende Zusammenarbeit zwischen der Einkaufsabteilung und dem Auslagerungsmanagement bewirken – zumal typischerweise eine Dienstleistereignungsprüfung durch den Einkauf erfolgt.

• Mindestinhalte des Auslagerungsvertrags

Die neuen EBA-Guidelines beschreiben detaillierte Mindestinhalte für Auslagerungsverträge. Diese gehen zum Teil über die vertraglichen Mindestinhalte für wesentliche Auslagerungen hinaus, die im AT 9 der MaRisk gefordert werden. Dabei verlangen die neuen Guidelines für Auslagerungen von kritischen oder wichtigen Funktionen zum Beispiel Angaben zum Ort der Leistungserbringung oder eine Übersicht von verbotenen Weiterverlagerungen. Besonders bei Cloud-Auslagerungen ist dies in der Praxis mit besonderen Einschränkungen verbunden. Des Weiteren müssen weiterhin Informations-, Zugangs- und Prüfungsrechte zugunsten des Instituts und der zuständigen Aufsichtsbehörde schriftlich fixiert werden. Neu ist, dass dabei auf „Pooled Audits“ (bei Mehrmandanten-Dienstleistern) zurückgegriffen werden kann. Die Regelung wurde teilweise wörtlich aus den EBA-„Cloud Recommendations“ übernommen.

• Zustimmungspflicht bei Weiterverlagerungen

Einen weiteren besonderen Fokus legen die neuen EBA-Guidelines auf die Steuerung und Überwachung von Weiterverlagerungen. Dabei muss der Dienstleister das Institut über geplante Weiterverlagerungen im Vorfeld informieren. In besonderen Fällen muss sogar ein Widerspruchs- oder Zustimmungsrecht festgeschrieben werden. Auch hier kann man sich in der Praxis vorstellen, dass dies insbesondere bei Mehrmandantendienstleistern oder Cloud-Anbietern nicht freudig aufgenommen wird.

• Informationspflicht gegenüber der Aufsicht

Eine weitere neue Anforderung der Guidelines ist die Informationspflicht an die Aufsicht. Die EBA-Guidelines beschreiben dabei, dass Institute zukünftig dazu verpflichtet sind, geplante Auslagerungsvorhaben von kritischen oder wichtigen Funktionen an die zuständige Aufsichtsbehörde zu melden oder diesbezüglich in einen Dialog zu treten. Etwaige Kommunikationswege und -prozesse sind daher im Institut meist neu aufzusetzen.

Inkrafttreten

Die neuen EBA-Guidelines treten am 30. September 2019 in Kraft. Diese gelten für alle Auslagerungsverträge, die ab diesem Tag geschlossen, geändert oder überprüft werden.

Darüber hinaus existiert eine Übergangsregelung. Danach muss die Dokumentation aller bestehenden Auslagerungsverträge – mit Ausnahme von Verträgen mit Cloud-Service-Providern – jeweils ab der nächsten Vertragsverlängerung den neuen Vorgaben entsprechen, spätestens jedoch bis zum 31. Dezember 2021. Die Umsetzung der neuen Anforderungen sollte bis dahin abgeschlossen sein. Für den Fall eines Verzugs ist die Aufsichtsbehörde zu informieren.

Die Übergangsregelungen werfen eine Reihe von Auslegungsfragen auf. Fraglich ist etwa, ob bereits kleinere oder rein formale Änderungen zur Anwendbarkeit der EBA-Guidelines führen. In der Praxis werden vor allem Service Level Agreements (SLA) in regelmäßigen Abständen überarbeitet. In solchen Fällen muss geklärt werden, ob dies bereits die Anwendbarkeit der neuen Regeln auslöst.

Nicht trivialer Handlungsbedarf

Die Veröffentlichung der neuen EBA-Guidelines ist für betroffene Institute mit einem nicht trivialen Aufwand verbunden. Diese bringen erst kurz nach der Umsetzung der letzten MaRisk-Novelle und der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) weiteren Anpassungsbedarf mit sich. Einen besonders hohen Aufwand erwartet die Zahlungsinstitute, welche künftig dieselben regulatorischen Anforderungen für Auslagerungen zu erfüllen haben wie Vollbanken.

Bis zur Inkraftsetzung der EBA-Guidelines ist es nun an den Banken, ihren Anpassungsbedarf an der Aufbau- und Ablauforganisation zum Auslagerungsmanagement zu eruieren und entsprechende Maßnahmen umzusetzen – damit sie zum 30. September 2019 „EBA-ready“ für neue Auslagerungsvorhaben sind.