Die EBA-Guidelines zu Auslagerungen
Mit der Veröffentlichung der EBA-Guidelines zu Auslagerungen bekam das Thema Auslagerungsmanagement eine ungewohnte Aufmerksamkeit. Unseres Erachtens zurecht, denn immer mehr Dienstleistungen werden über Cloud-/SaaS-Angebote abgebildet, welche nur bedingt in die aktuellen aufsichtsrechtlichen Rahmenbedingungen gepasst haben. Die EBA-Guidelines zu Auslagerungen unterstützen mit klaren Vorgaben nun diesen wichtigen Weg in Richtung mehr Digitalisierung im Finanzdienstleistungssektor.
Die EBA hat mit ihren Guidelines die aufsichtsrechtlichen Anforderungen auf europäischer Ebene vereinheitlicht. Die Leitlinien gelten für alle Auslagerungsvereinbarungen, die seit dem 30. September 2019 abgeschlossen, überprüft oder geändert werden. Die Umsetzungsfrist bis zum 31. Dezember 2021 besteht für die Anforderungen an ein Auslagerungsregister sowie die Überprüfung bestehender wesentlicher Auslagerungsvereinbarungen.
Für die deutschen Institute, die direkt von der Bafin beaufsichtigt werden, gelten die Leitlinien erst mit der Überführung in nationale Regelungen. Grundsätzlich übernimmt die BaFin die Leitlinien der EBA in ihre Verwaltungspraxis. Daher ist davon auszugehen, dass die neuen Anforderungen ab dem 31.12.2021 einzuhalten sein und dass die Änderungen Bestandteil der noch ausstehenden Novellierung der MaRisk (Mindestanforderungen an das Risikomanagement) sein werden.
Mit der Standardisierung gehen auch einige wesentliche Neuerung einher, die von den entsprechenden Instituten umgesetzt wurden bzw. noch umzusetzen sind. Darunter fallen insb. folgende Anforderungen:
- Einführung neuer Definitionen: Bisher wurden Auslagerungssachverhalte gem. MaRisk nach „wesentlich“ und „nicht-wesentlich“ unterschieden, je nach Risikolevel der jeweiligen Auslagerung. Mit der Einführung der neuen Definitionen „kritische oder wichtige Funktionen“ sowie „sonstige Auslagerungen“ werden auch klare Kriterien mitgegeben, damit Institute ihre ausgelagerten Services eindeutig einstufen können. Die neue Einteilung ist umso relevanter, da zahlreiche Neuerungen die kritischen oder wichtigen Funktionen betreffen.
- Interne Auslagerungen: Die aufsichtsrechtlichen Anforderungen finden nicht nur bei externen Auslagerung Anwendung, sondern sind auch bei internen Auslagerungen. Dabei wird der Konzernmutter eine besondere Verantwortung zur Einhaltung der Anforderungen und deren Umsetzung zugewiesen. Ein Auslagerungsmanagement auf Konzern- oder Gruppenebene wird dadurch in den Vordergrund gerückt.
- Auslagerungen in Drittstaaten: Werden Dienstleistungen über eine Auslagerung in Drittstaaten erbracht, sin besondere Anforderungen zu erfüllen. Dabei wird nicht mehr zwischen EU- und Nicht-EU-Raum differenziert – es gilt vielmehr eine Art Äquivalenz-Prinzip. In diesen Fällen ist sicherzustellen, dass eine Kooperation zwischen den Aufsichtsbehörden vorliegt, z.B. in Form einen MoU („Memorandum of Unterstanding“).
- Das Auslagerungsregister: Die EBA-Guidelines geben vor, dass betroffene Institute ein zentrales und einheitliches Auslagerungsregister zu führen haben. In dieser Liste sind alle Auslagerungen sowie deren vollständige Informationen wie Sub-Auslagerungen oder Risikoanalysen und -bewertungen zu dokumentieren und regelmäßig zu aktualisieren. Bei Auslagerungen zu Cloud-Dienstleistern sind weiterführende Informationen zu ergänzen, wie z.B. der Ort der Datenspeicherung und Datenverarbeitung. Ferner ist das Register auf Verlagen der Aufsicht zugänglich zu machen.
- Dienstleister-Due-Diligence: Im Rahmen eines Due-Diligence-Prozesses zur Risikobewertung des Dienstleisters werden fachliche Qualifikation, Wirtschaftskraft des Unternehmens sowie das ethisches und soziale Verhalten analysiert und bewertet. Ferner ist eine OpRisk-Szenarioanalyse durchzuführen. Die Prüfung ist initial und in regelmäßigen Abständen bzw. anlassbezogen durchzuführen. Risikoanalysen sind ferner bei sonstigen Auslagerungen durchzuführen und zu überwachen.
- Inhaltserweiterungen für Auslagerungsverträge: Mit der Einführung der EBA-Guidelines werden die Anforderungen an die Inhalte in einem Auslagerungsvertrag erweitert. Handelt es sich um kritische oder wichtige Funktionen, werden weiterführende Angaben bzgl. der Leistungserbringung, wie z.B. Unterauslagerungen oder der Ort der Auslagerung im Vertrag gefordert. Weiterhin sind im Vertrag Informations- Zugang- und Prüfrechte zugunsten des Finanzinstituts und der Aufsichtsbehörde schriftlich dokumentiert werden.
- Zustimmungspflicht bei Weiterverlagerungen: Möchte ein Dienstleister einen Service an eine dritte Partei weiterverlagern, muss es das Institut vorab über diesen Schritt informieren. In besonderen Fällen sind ein Widerspruchs und Zustimmungsrecht im Vertrag notwendig. Sollte eine Weiterverlagerung ohne Zustimmung erfolgen, könnte ein Institut sogar vom Vertrag zurücktreten und diesen kündigen.
- Informationspflicht gegenüber der Aufsicht: Die Auslagerung von kritischen oder wichtigen Funktionen sind der Aufsicht zu melden. Entsprechende Kommunikationswege und Prozesse sind daher zu definieren.
- Interessenskonflikte sind im Zusammenhang mit Auslagerungen zu identifizieren und zu bewerten. Ein angemessenen Risikomanagement hilft dabei, diese Risiken zu steuern und zu minimieren.
- Bei ausgelagerten kritischen und wichtigen Funktionen wurden die Anforderungen bzgl. der festzulegenden Exit-Strategie und der Vertragsinhalte erweitert und detailliert.
Wir helfen Ihnen, die EBA-Vorgaben in der Praxis umzusetzen
Füllen Sie bitte untenstehendes Formular aus. Das Team von DPS - IT for finance and retail nimmt dann gerne unverbindlich mit Ihnen Kontakt auf, um Ihre Fragen zum Themenkomplex Auslagerungsmanagament zu beantworten. Selbstverständlich können Sie uns auch telefonisch erreichen: +49 (0)711 90387-0