BaFin veröffentlicht Orientierungshilfe zu Auslagerungen an Cloud-Anbieter

Die nun veröffentlichte Orientierungshilfe ist von der BaFin als ständig zu aktualisierendes Dokument angedacht, bei dem Änderungen nach Bedarf vorgenommen werden.

In der Orientierungshilfe der BaFin vom 08.11.2018 werden grundsätzlich keine neuen Anforderungen in Bezug auf die bestehenden „EBA Recommendations on outsoucing to cloud services providers“ sowie die Konsultation zur „neu angedachten“ EBA-Richtlinie zum Outsourcing (EBA/CP/2018/11) formuliert. Allerding geht diese wesentlich detaillierter auf Einzelaspekte ein und schildert die derzeitige aufsichtliche Sicht und Praxis hierzu. Damit setzt die BaFin neue Maßstäbe auch für die Prüfungspraxis, welche bei Nichteinhaltung zu mindestens einen erheblichen Erläuterungsbedarf nach sich ziehen dürfte.

Die BaFin greift die Definitionen der EBA bzgl. Cloud-Dienstleistungen, den gängigen Dienstleistungsmodellen und den üblichen Bereitstellungsformen auf. Der Begriff Auslagerungen wird im Rahmen der Orientierungshilfe im Sinne des § 25b KWG, § 80 WpHG, § 26 ZAG, § 36 KAGB und „Ausgliederungen“ im Sinne des Artikels 274 Delegierte Verordnung (EU) 2015/35 sowie § 32 VAG verwendet. Zudem nutzt die BaFin sinngemäß die Begrifflichkeit „wesentlich“ für die von der EBA geforderte Einordnung in kritische oder wichtige Funktionen.

Die BaFin detailliert unter anderem, dass die IT-Strategie Überlegungen zur Nutzung von Cloud-Diensten enthalten sollte. Daneben ist ein Prozess zu entwickeln und dokumentieren, der alle für die Auslagerung an den Cloud-Anbieter relevanten Schritte von der Strategie über die Migration in die Cloud bis hin zur Exit-Strategie abdeckt. Diese Prozessentwicklung und -dokumentation ist von den Notwendigkeiten und der Anzahl der zu beteiligenden Fachbereiche des Instituts sowie dem damit zusammenhängenden Aufwand in Teilen vergleichbar mit den Anforderungen des AT 8.1 (Neu-Produkte-Prozess).

Die BaFin sieht in der Regel jegliche Nutzung von Cloud-Dienstleistungen als Auslagerung an. Die in der Orientierungshilfe spezifizierten Mindestrisikoanalyseinhalte in Bezug auf Cloud-Anbieter gehen über die Anforderungen des AT 9 MaRisk hinaus.

Die BaFin gibt in der Orientierungshilfe ferner Sollbestimmungen der Vertragsgestaltung bei wesentlichen Auslagerungen sowohl in Form von Negativabgrenzungen, als auch in Form von Mindestinhalten vor. Die BaFin weist darauf hin, dass unter Berücksichtigung der aufsichtsrechtlichen Anforderungen bei wesentlichen Auslagerungen bzw. bei den nicht differenzierten Auslagerungen gemäß KAGB im Auslagerungsvertrag insbesondere Folgendes vereinbart werden sollte:

  • Leistungsgegenstand:
    • Spezifizierung und Abgrenzung der zu erbringenden Leistung mit Hilfe von Service-Level-Agreements
  • Informations- und Prüfungsrechte des beaufsichtigten Unternehmens:
    • Keine (mittelbare) Einschränkung der Rechte, d.h. Gewährung uneingeschränkten Zugriffs bzw. Zugangs auch zur gesamten Auslagerungskette inkl. Möglichkeit der Vor-Ort-Prüfungen. Rechtlich und praktisch aufwendig dürfte hier die Sicherstellung des Zugriffs über die gesamte Outsourcingkette hinweg sein.
    • Keine alleinige Berücksichtigung anerkannter Zertifikate bzw. Prüfberichte über Dienstleister, sondern zusätzlich ist eine eigene Prüfung notwendig.
    • Informations- und Prüfungsrechte der Aufsicht
    • Die Aufsicht muss den Dienstleister in derselben Weise kontrollieren können, wie sie das unmittelbar der Aufsicht unterliegende Unternehmen kontrollieren kann.
  • Weisungsrechte:
    • Weisungsrechte sollen sicherstellen, dass alle erforderlichen und zur Erfüllung der vereinbarten Dienstleistung Einflussnahme- und Steuerungsmöglichkeiten gegeben sind.
  • Datensicherheit/-schutz (Hinweis zum Ort der Datenspeicherung):
    • Regelungen sind zu vereinbaren, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden. Der Ort der Datenspeicherung muss benannt sein.
  • Kündigungsmodalitäten:
    • Neben Kündigungsrechten und angemessenen Kündigungsfristen (unter Sicherstellung der Erbringung der Dienstleistung bis zu einer ordnungsgemäßen Übertragung) sind insbesondere Sonderkündigungsrechte zu vereinbaren, so dass die Kündigung aus wichtigem Grund erfolgen kann, wenn seitens der Aufsichtsbehörde die Beendigung des Vertrags verlangt wird.
  • Weiterverlagerung:
    • Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung sind zu vereinbaren, die sicherstellen, dass die aufsichtsrechtlichen Anforderungen weiterhin eingehalten werden. Auswirkungen einer tatsächlichen Weiterverlagerung sind unter Risikogesichtspunkten zu beachten.
  • Informationspflichten:
    • Regelungen sind zu vereinbaren, die sicherstellen, dass der Cloud-Anbieter das beaufsichtigte Unternehmen über Entwicklungen/Störungen/Folgen informiert, die die ordnungsgemäße Erledigung der ausgelagerten Sachverhalte beeinträchtigen können bzw. über Maßnahmen zur Abhilfe zu informieren.
  • Hinweis zum anwendbaren Recht:
    • Aus Gründen der Rechtssicherheit sollte bei der Vereinbarung einer Rechtswahlklausel deutsches oder europäischen Recht vereinbart sein. Obwohl Vertragsfreiheit gilt, ist hier jede Anwendung eines anderen Rechtskreises erklärungsbedürftig und es steht zu vermuten, dass auch hier eine Risikoabwägung erfolgen muss.

Grundsätzlich sind die Anforderungen an die Vertragsnotwendigkeiten synchron zu den bisherigen AT 9 Vorgaben und Auslegungen, allerdings sind Cloud-spezifische Aspekte im Detail ergänzend zu berücksichtigen, was eine Anpassung der bisher genutzten Standardverträge erfordert. Insbesondere aus Gründen der Rechtssicherheit sollte laut BaFin der Vertrag mit Cloud-Anbietern idealerweise eine Rechtswahlklausel nach deutschem oder alternativ europäischen Recht (EWR oder EU) beinhalten. Die Wahl eines anderen Rechtskreises wird somit erklärungsbedürftig und bedarf sicherlich einer dokumentierten Risikoabwägung und schränkt dadurch ggf. die grundsätzliche Vertragsfreiheit ein.

Die Experten von RFC Professionals begleiten seit vielen Jahren erfolgreich aufsichtliche Veränderungen und hieraus resultierende Anpassungen. Gerne unterstützen wir Sie bei den notwendigen Anpassungen im Rahmen der Dienstleistersteuerung im Kontext AT 9 MaRisk, BAIT und der Orientierungshilfe zu Auslagerungen an Cloud-Anbietern. Wir sind für Sie da!

Ihre Ansprechpartner erreichen Sie gerne per Mail.

Matthias Oßmann

Matthias
Oßmann

Daniel Jürgens

Daniel
Jürgens

Dringlichkeit

Umsetzungsaufwand

Auswirkungen