• Einführung neuer Definitionen: Bisher wurden Auslagerungssachverhalte gem. MaRisk nach „wesentlich“ und „nicht-wesentlich“ unterschieden, je nach Risikolevel der jeweiligen Auslagerung. Mit der Einführung der neuen Definitionen „kritische oder wichtige Funktionen“ sowie „sonstige Auslagerungen“ werden auch klare Kriterien mitgegeben, damit Institute ihre ausgelagerten Services eindeutig einstufen können. Die neue Einteilung ist umso relevanter, da zahlreiche Neuerungen die kritischen oder wichtigen Funktionen betreffen.

• Interne Auslagerungen: Die aufsichtsrechtlichen Anforderungen finden nicht nur bei externen Auslagerung Anwendung, sondern sind auch bei internen Auslagerungen. Dabei wird der Konzernmutter eine besondere Verantwortung zur Einhaltung der Anforderungen und deren Umsetzung zugewiesen. Ein Auslagerungsmanagement auf Konzern- oder Gruppenebene wird dadurch in den Vordergrund gerückt. 

• Auslagerungen in Drittstaaten: Werden Dienstleistungen über eine Auslagerung in Drittstaaten erbracht, sin besondere Anforderungen zu erfüllen. Dabei wird nicht mehr zwischen EU- und Nicht-EU-Raum differenziert – es gilt vielmehr eine Art Äquivalenz-Prinzip. In diesen Fällen ist sicherzustellen, dass eine Kooperation zwischen den Aufsichtsbehörden vorliegt, z.B. in Form einen MoU („Memorandum of Unterstanding“). 

• Das Auslagerungsregister: Die EBA-Guidelines geben vor, dass betroffene Institute ein zentrales und einheitliches Auslagerungsregister zu führen haben. In dieser Liste sind alle Auslagerungen sowie deren vollständige Informationen wie Sub-Auslagerungen oder Risikoanalysen und -bewertungen zu dokumentieren und regelmäßig zu aktualisieren.  Bei Auslagerungen zu Cloud-Dienstleistern sind weiterführende Informationen zu ergänzen, wie z.B. der Ort der Datenspeicherung und Datenverarbeitung. Ferner ist das Register auf Verlagen der Aufsicht zugänglich zu machen. 

       -> Mehr zu diesem Thema

• Dienstleister-Due-Diligence: Im Rahmen eines Due-Diligence-Prozesses zur Risikobewertung des Dienstleisters werden fachliche Qualifikation, Wirtschaftskraft des Unternehmens sowie das ethisches und soziale Verhalten analysiert und bewertet. Ferner ist eine OpRisk-Szenarioanalyse durchzuführen. Die Prüfung ist initial und in regelmäßigen Abständen bzw. anlassbezogen durchzuführen. Risikoanalysen sind ferner bei sonstigen Auslagerungen durchzuführen und zu überwachen. 

       -> Mehr zu diesem Thema

• Inhaltserweiterungen für Auslagerungsverträge: Mit der Einführung der EBA-Guidelines werden die Anforderungen an die Inhalte in einem Auslagerungsvertrag erweitert. Handelt es sich um kritische oder wichtige Funktionen, werden weiterführende Angaben bzgl. der Leistungserbringung, wie z.B. Unterauslagerungen oder der Ort der Auslagerung im Vertrag gefordert. Weiterhin sind im Vertrag Informations- Zugang- und Prüfrechte zugunsten des Finanzinstituts und der Aufsichtsbehörde schriftlich dokumentiert werden. 

• Zustimmungspflicht bei Weiterverlagerungen: Möchte ein Dienstleister einen Service an eine dritte Partei weiterverlagern, muss es das Institut vorab über diesen Schritt informieren. In besonderen Fällen sind ein Widerspruchs und Zustimmungsrecht im Vertrag notwendig. Sollte eine Weiterverlagerung ohne Zustimmung erfolgen, könnte ein Institut sogar vom Vertrag zurücktreten und diesen kündigen. 

       -> Mehr zu diesem Thema

• Informationspflicht gegenüber der Aufsicht: Die Auslagerung von kritischen oder wichtigen Funktionen sind der Aufsicht zu melden. Entsprechende Kommunikationswege und Prozesse sind daher zu definieren. 

• Interessenskonflikte sind im Zusammenhang mit Auslagerungen zu identifizieren und zu bewerten. Ein angemessenen Risikomanagement hilft dabei, diese Risiken zu steuern und zu minimieren. 

• Bei ausgelagerten kritischen und wichtigen Funktionen wurden die Anforderungen bzgl. der festzulegenden Exit-Strategie und der Vertragsinhalte erweitert und detailliert.