Das Auslagerungsregister
Die EBA-Guidelines zu Auslagerungen fordern ein zentrales Auslagerungsregister, in welchem alle Auslagerungen und Weiterverlagerungen (Sub-Outsourcing) enthalten sind. Dieses Register ist stets aktuell zu halten und auf Abruf inkl. der Auslagerungsverträge der Aufsicht bereitzustellen.
Auf Basis des Auslagerungsrisikos ist festgelegt, welche Informationen in welchem Detaillierungsgrad vorzuhalten sind. Eine Unterscheidung der Auslagerungen zwischen kritischen oder wesentlichen Funktionen und sonstigen Vereinbarungen ist hierbei vorzunehmen.
Bei kritischen oder wichtigen Auslagerungen wird zudem gefordert, dass neben den Leistungs- und Vertragsmerkmalen auch eine ausgeweitete Risikoanalyse, aktuelle Revisionsberichte sowie Exit-Strategien und alternative Provider aufzuführen sind.
Mit folgenden Informationen zu den jeweiligen Auslagerungen können die Mindestanforderungen an das Auslagerungsregister erfüllt werden:
1. Referenz-ID für jede einzelnen Auslagerungsvereinbarung
2. Fristen und Termine: Startdatum der Auslagerung, Datum der nächsten Vertragsverlängerung, Ablaufdatum ggfs. Kündigungsfristen für Dienstleister oder das eigene Institut Datum
3. Konkretisierung der Auslagerung:
- Funktionen
- Daten (inkl. Konkretisierung bzgl. personenbezogener Daten)
- Datenspeicherung und Datenverarbeitung
4. Festlegung von Auslagerungskategorien sowie eine entsprechende Zuordnung der Auslagerungen. Die Kategorien ermöglichen eine Differenzierung bzgl. der Art der Funktion (z.B. IT, Kontrollfunktion) und der Auslagerung.
5. Namen des Dienstleisters, HR-Nummer, LEI (falls vorhanden), Adresse und weitere Kontaktinformationen, Angabe zu Konzernstrukturen, z.B. Konzernmutter
6. Der Standort (Region, Land), an dem die Dienstleistung erbracht wird sowie die Daten verarbeitet werden.
7. Differenzierungsmerkmal, ob die ausgelagerte Funktion als kritisch oder wesentliche eingestuft wird (Ja/Nein) sowie eine hinreichende Begründung für die entsprechende Einstufung.
8. bei der Auslagerung von Funktion zu einem Cloud-Anbieter ist das Cloud-Dienstleistungs- und -Bereitstellungsmodell zu dokumentieren (public/private Cloud, sowie die spezifische Art der Daten und deren Standorte (Produktion, Backup)
9. das Daten der letzten Aktualisierung und Bewertung der Kritikalität und/oder der Wesentlichkeit der ausgelagerten Funktion.
10. Aussage über das Risikolevels der ausgelagerten Funktion sowie Datum der letzten Überprüfung
11. Verweis auf die aktuellen Vertragsunterlagen
Weitergehende Informationen ermöglichen ggfs. eine ganzheitlichere Sicht und können Schnittstellen zu anderen Feldern wie den Datenschutz oder das Risikomanagement ermöglichen.