Due Diligence bei Dienstleistern
Die EBA-Guidelines zu Auslagerungen fordern, dass bevor die Auslagerung einer Funktion vorgenommen werden kann, der übernehmende Dienstleister zu überprüfen ist.
Im Rahmen dieser Überprüfung, dem sog. Due-Diligence-Prozess, wird der Bewertung potenzieller zusätzlicher Risiken besondere Bedeutung gegeben. Beispielsweise ist aus Risikosicht wichtig, an welchem Standort die Dienstleistung erbracht wird und ob Daten, bspw. personenbezogene oder vertrauliche Daten verarbeitet werden.
Von den Instituten erwartet die EBA, dass auf Basis ihrer Risikobewertung notwendige Sicherheitsvorkehrungen festlegt und diese umsetzt. Dies ist insbesondere relevant, wenn der Dienstleister in einem Nicht-EU-Land ansässig ist und mit einer Auslagerung potenzielle Schwierigkeiten beim Zugang zu Daten (Aufsicht/Prüfung) entstehen. Auch könnte das Durchsetzen von Gerichtsurteilen am Standort sich schwieriger erweisen.
Bevor also eine Auslagerungsvereinbarung geschlossen wird, müssen die Institute aufzeigen, dass der ausgewählte Dienstleister für die Auslagerung geeignet ist.
Der initiale Due-Diligence Prozess
Der Fragenkatalog im Rahmen einer Überprüfung kann von Institut zu Institut variieren, dennoch gibt es einige grundlegende Aspekte, die geprüft und bewertet werden müssen.
Darunter sind folgende Themenfelder:
- Fachkenntnisse und entsprechende Ressourcenausstattung
- Personelle Kapazitäten und finanzielle Mittel (Mitarbeiteranzahl, Umsatz, Dauer des Bestehens, etc.)
- Organisation und ggfs. entsprechende Zertifizierungen
- Referenzen / Kundenbewertungen
- Risiken in Bezug auf Branchen, Vertriebswege, Geschäftspartner, Kundensegmente, Länder und Produkte
- Reputation des Dienstleisters
- Initiierung der Geschäftsbeziehung (Interessenskonflikte, etc.)
- KYC-orientierte Überprüfung:
- Vertragspartner
- Wirtschaftlich Berechtigte (PEPs)
- Einhaltung sozialer und ethischer Standards (z.B. Dienstleister handelt gem. international anerkannter Normen (Menschenrechte, Verbot von Kinderarbeit, etc.)
- Beiträge zu Nachhaltigkeit
Im Rahmen der allgemeinen Sorgfaltspflicht ist ebenfalls darauf zu achten, ob das angegebene Geschäftsmodell, seine Art und dessen Umfang, die Finanzlage sowie die Eigentumsstrukturen schlüssig zueinander passen und sich nicht widersprechen.
Ist der Dienstleister ein Tochterunternehmen des Instituts oder in irgendeiner Form über Eigentumsstrukturen mit dem Institut verbunden, hat dies ebenfalls Einfluss in die Risikobewertung.
Je wichtiger die auszulagernde Funktion, umso höher ist der Stellenwert der initialen Due-Diligence. Die Überprüfung muss stets vor Abschluss eines Vertrags durchgeführt werden.
Die wiederkehrende Überprüfung (risikobasiert / anlassbezogen)
Das Auslagerungsregister ist ein sinnvoller Startpunkt für eine regelmäßige Überprüfung. Hier werden sämtliche Aktualisierungen hinterlegt und dokumentiert. Ferner können hier Prüfungszyklen auf Basis der Risikoeinstufung festgelegt werden. Dabei kann der fachliche Fokus unterschiedlich priorisiert werden, bspw. könnte einmal der Standort des Dienstleisters überprüft und bewertet werden, um die laufende Einhaltung der Vorschriften im Hinblick auf jede Änderung der rechtlichen oder politischen Umstände zu gewährleisten. Beim nächsten Mal könnte das Thema Datenschutz oder TOMs eine Priorität bekommen.
Pflichten aus dem Datenschutz
Werden im Rahmen einer Auslagerung auch personenbezogene oder vertrauliche Daten verarbeitet, haben die Institute sicherzustellen, dass die Dienstleister alle notwendigen technischen und organisatorischen Maßnahmen (TOM) zum Datenschutz einhalten. Insbesondere bei Auslagerung in nicht EU-Ländern ist sicherzustellen, dass die Vorgaben zum Datenschutz gem. EU-DSGVO umgesetzt sind.