Änderungsentwurf zur Outsourcing-Richtlinie wurde durch die EBA veröffentlicht


Das Auslagerungsmanagement war in den letzten Jahren bereits Prüfungsfokus bei vielen Instituten. Die EBA setzt mit dem Entwurf zwar einen harmonisierten europaweiten Rahmen, geht bei den zu bewältigenden Anforderungen allerdings in Teilen weit über die modifizierten MaRisk-Anforderungen hinaus.

Am 22. Juni 2018 hat die Europäische Bankenaufsichtsbehörde (EBA) den Richtlinienentwurf für Auslagerungsvereinbarungen veröffentlicht (EBA/CP/2018/11). Mit dem Entwurf der Richtlinie verfolgt die EBA die Zielsetzung einer weiteren Harmonisierung der Auslagerungsvorgaben für alle europäischen Institute unter der Vermeidung von Wettbewerbsnachteilen. Im Entwurf sind überdies die Empfehlungen für Auslagerungsvereinbarungen mit Cloud-Dienstleistern, die seitens der EBA im Dezember 2017 veröffentlicht wurden, integriert worden. Stellungnahmen sind bis zum 24. September 2018 möglich. Eine zeitnahe Veröffentlichung der endgültigen Richtlinie wird erwartet, da die EBA eine Anwendung der Vorgaben ab dem 30. Juni 2019 avisiert. Eine vollständige Umsetzung der Vorgaben, auch für Auslagerungen die vor dem Anwendungszeitpunkt liegen, ist dabei bis 31. Dezember 2020 vorgesehen (ausgenommen Cloud Service Anbieter). Die EBA-Leitlinie erlangt erst durch die sogenannte „Comply-Erklärung“ der zuständigen Aufsichtsbehörde (EZB oder BaFin) ihre Verbindlichkeit. Die BaFin kann im Rahmen der Leitlinien-Übernahme in die gängige Verwaltungspraxis weitergehende Spezifizierungen vornehmen (bspw. die Anpassung oder Erweiterung der Mindestanforderungen an das Risikomanagement [MaRisk]).

Die sich durch die EBA-Richtlinie ergebenden wesentlichsten Veränderungen gegenüber dem jüngst modifizierten AT 9 der MaRisk stellen wir nachfolgend dar:

  • Anwendungsbereich
  • Die EBA-Richtlinie ist anzuwenden von Kreditinstituten und Wertpapierfirmen gemäß CRD, Zahlungsinstituten gemäß PSD 2 sowie von E-Geld-Instituten gemäß E-Geld-Richtlinie. Bezogen auf die MaRisk findet somit eine Erweiterung der Anwendung auf Zahlungs- und E-Geldinstitute statt.

  • Definition Auslagerung inkl. Unterscheidung einer kritischen oder wichtigen Funktion
  • Die EBA Richtlinie konkretisiert im Vorfeld eines Vertragsabschlusses notwendige Aktivitäten (bspw. Bewertung aller relevanten Risiken und möglicher Interessenkonflikte, mögliche Konsequenzen und Risiken aus dem Standort [innerhalb der EU oder außerhalb] des Dienstleisters, Prüfung notwendiger Autorisierungen bzw. Registrierungen des Dienstleisters durch die Aufsicht) und gehen weit über die MaRisk-Anforderungen hinaus. Dies bedeutet u.a. die umfangreichere Einbindung des Risikocontrollings zur Identifizierung und Bewertung aller relevanten Risiken bzw. welche Auswirkungen die Auslagerung auf das Risikoprofil des Instituts hat. Zudem sind auch explizit Risiken im Zusammenhang mit Informations- und Kommunikationstechnologien (IKT), Finanztechnologien (FinTech), Konzentrationsrisiken zu betrachten sowie mögliche Interessenkonflikte – auch innerhalb einer Gruppe. Auch die Due Diligence von potenziellen Dienstleistern wird detaillierter geregelt und wird Anpassungen des Dienstleisterauswahlprozesses notwendig machen.

    Die MaRisk verlangen grundsätzlich von Instituten, dass basierend auf eindeutigen Kriterien ermittelt wird, ob es sich bei einem Drittbezug um einen potenziell regulatorisch relevanten Drittbezug handelt (regelmäßiger Bezug von Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen). Sollte es sich nicht um einen solchen handeln, so ist der Drittbezug weiter zu analysieren und in die Kategorien „sonstiger Fremdbezug“ und „sonstiger Fremdbezug von IT-Dienstleistungen gemäß BAIT“ zu unterteilen. Handelt es sich dagegen um einen regulatorisch relevanten Drittbezug, so ist mithilfe einer Risikoanalyse zu ermitteln, ob es sich bei der Auslagerung um eine „wesentliche Auslagerung“ oder „nicht-wesentliche Auslagerung“ handelt, welche im weiteren Auslagerungsprozess unterschiedlich gehandhabt werden.

    Die EBA-Definition von Auslagerung ist hingegen weiter gefasst und bezieht sich auf Vereinbarungen in jeglicher Form, aufgrund derer der Dienstleister einen Prozess, eine Dienstleistung oder eine Tätigkeit oder Teile davon erbringt. Zudem ist die Auslagerung anhand von Kriterien in wichtige („important“) und kritische („critical“) Auslagerungen zu unterscheiden, die den bisherigen Begriff wesentlich („material“) ersetzen. Die verwendeten Begrifflichkeiten orientieren sich dabei an den MiFiD II-Definitionen und stellen u.a. auf die jederzeitige Einhaltung der für die eigene Zulassung maßgeblichen Voraussetzungen und Verpflichtungen ab sowie die Auswirkungen bspw. auf die Finanzlage, Liquidität und GuV bei Auftreten eines Fehlers oder Leistungsausfalls. Durch die vorgeschlagenen Definitionen werden sich die Anzahl der dem umfangreichen Überwachungsprozess zu unterziehenden kritischen und wesentlichen Auslagerungen erhöhen und die etablierten Definitionen und Prozesse sind anzupassen.

  • Proportionalität und Anwendung innerhalb einer Gruppe
  • Für eine sachgerechte Anwendung der Proportionalität verweist die EBA-Leitlinie auf die Vorgaben der Leitlinien zur internen Governance (EBA/GL/2017/11). Die zu beachtenden Kriterien sind detaillierter und umfangreicher als die bisherigen im AT 1 Tz. 3 MaRisk spezifizierten Sachverhalte.

    Zudem ergeben sich aus der EBA-Leitlinie im Gruppenkontext weitaus umfrangreichere Vorgabe- und Kontrollnotwendigkeiten für das jeweilige Mutterinstitut bzw. übergeordnete Institut, welches die Umsetzung und Einhaltung der Auslagerungsanforderungen ganzheitlich auf Gruppenebene sicherstellen muss (bspw. Gruppen Outsourcing Policy [inkl. Vorgaben zu Due Diligence Prozess zur Auswahl von Providern, Auslagerungslebenszyklus], einheitlichen Prozess zur Identifizierung, Bewertung und Steuerung von Interessenkonflikten sowie konkrete Hinweise zur marktgerechten Konditionengestaltung bei Auslagerungen). Die MaRisk Anforderungen des AT 9 sind aktuell grundsätzlich auf Institutsebene umzusetzen. Nur die Risikoanalyse ist, auf der Grundlage von institutsweit bzw. gruppenweit einheitlichen Rahmenvorgaben, sowohl regelmäßig als auch anlassbezogen durchzuführen.

  • Interne Revision
  • Im Gegensatz zu den MaRisk wird die Rolle der Internen Revision (IR) als „3rd Line of Defence“ stärker hervorgehoben und die Prüfungsnotwendigkeiten detailliert. Der Prüfungsplan soll u.a. die Angemessenheit von Datenschutzmaßnahmen, des Risikomanagements und des Business Continutity Managements (BCM) sowie der durchgeführten Kontrollhandlungen beinhalten. Im Rahmen der Prüfungshandlungen durch die IR soll diese auch beurteilen, ob die mit der Auslagerung einhergehenden Risiken sich innerhalb des definierten Risikoappetits bewegen.

  • Dokumentations- und Informationspflichten
  • Die EBA-Richtlinie sieht im Vergleich zu den MaRisk neue bzw. erweiterte Dokumentations- und Informationspflichten vor. Die Dokumentation in Form eines Registers ist in einem Anhang spezifiziert und muss u.a. Informationen zum Dienstleister (bspw. Land der Zulassung oder Legal Entity Identifier [LEI], Land/Länder der Leistungserbringung und Datenspeicherung, beinhaltet die Leistungserbringung sensitive oder personenbezogene Daten, Muttergesellschaft des Dienstleisters soweit relevant), Angabe zum anzuwendenden Recht, eine Auflistung alternativer Dienstleister, die Bewertung der Austauschbarkeit des Dienstleisters enthalten. Diese zentrale Auslagerungsübersicht ist fortan regelmäßig (im Rahmen jedes aufsichtlichen Überprüfungs- und Bewertungsverfahrens, mindestens jedoch alle drei Jahre) und anlassbezogen (auf Anfrage der zuständigen Behörde) zur Verfügung zu stellen. Weiterhin ist die zuständige Aufsichtsbehörde innerhalb eines angemessenen Zeitraums vorab über geplante Auslagerungsaktivitäten kritischer oder wichtiger Funktionen, einschließlich der Auslagerung kritischer oder wichtiger Cloud-Dienste, zu informieren. Die Vorabinformation muss zumindest die Anforderung der Dokumentation zur Auslagerungsvereinbarung, zum Dienstleister und zur kritischen und wichtigen Funktion beinhalten1. Zudem muss unverzüglich die zuständige Aufsichtsbehörde darüber informiert werden, wenn eine Auslagerung „kritisch“ oder „wichtig“ geworden ist. Insbesondere die Anzeige- und Informationsprozesse- und -pflichten wären neu zu etablieren.

  • Exit-Strategie
  • Nach MaRisk AT 9 Tz. 6 sind Ausstiegsprozesse „soweit sinnvoll und möglich“ festzulegen und für gruppen- und verbundinterne Auslagerungen kann auf eine Erstellung sogar verzichtet werden. Die EBA erwartet dagegen das für alle kritischen und wichtigen Auslagerungen eine dokumentierte Exit-Strategie festzulegen ist, unabhängig ob diese gruppen- oder verbundintern erbracht werden. Ein Exit-Plan beinhaltet u. a. eine Business Impact Analyse (BIA), legt Rollen und Verantwortlichkeiten fest, definiert Erfolgskriterien und auslösende Indikatoren und analysiert, welche personellen und finanziellen Ressourcen für die Umsetzung erforderlich sind sowie wie viel Zeit dieser Exit-Plan beanspruchen würde. Die Exit-Strategie muss zudem Verfahren zur Bewältigung von Betriebsunterbrechungen oder einer unerwarteten Kündigung festlegen. Die festgelegten Exit-Strategien sind darüber hinaus ausreichend zu testen.

Neben den dargestellten wesentlichen Änderungen gegenüber den aktuellen MaRisk beinhaltet die EBA-Richtlinie vielfältige granulare Anpassungsnotwendigkeiten wie bspw. bei den anzuwendenden Kriterien zur Bestimmung, ob eine kritische oder wichtige Funktion vorliegt, bei den Mindestvertragsinhalten und Notwendigkeiten bei Weiterverlagerungen sowie der Auslagerungssteuerung.

Die Experten von RFC Professionals begleiten seit vielen Jahren erfolgreich ihre Mandanten bei der Umsetzung von regulatorischen Veränderungen und hieraus resultierenden Anpassungen im Auslagerungsmanagement. Gerne führen wir bei Ihnen einen Quick-Check durch und bewerten die Auswirkungen der EBA-Richtlinie auf ihr Institut oder identifizieren zusammen mit ihren Auslagerungsexperten im Rahmen von Workshops ihre spezifischen Umsetzungsmaßnahmen. Sprechen Sie uns gerne jederzeit an!

Ihre Ansprechpartner erreichen Sie gerne per Mail.

Matthias Oßmann

Matthias
Oßmann

1 Siehe hierzu auch EBA/GL/2018/11 – Seite 30+31, Nr. 47 a., b. und c.