EBA Konsultationsentwurf zum Umgang mit der Auslagerung von Dienstleistungen an Cloud Anbieter

Die European Banking Authority (EBA) hat am 17.05.2017 ihre Empfehlungen zum Umgang mit Auslagerungen von Dienstleistungen an Cloud Anbieter als Konsultationsentwurf veröffentlicht. Der Konsultationszeitraum endet am 18.08.2017. Am 20.06.2017 findet von 10:30 bis 12:30 (UK Uhrzeit) eine öffentliche Anhörung in den Räumlichkeiten der EBA in London statt.

Die vom Committee of European Banking Supervisors (CEBS) im Jahr 2006 erlassenen allgemeinen Vorgaben zu Auslagerungen behalten ihre Gültigkeit . Aufgrund der in den letzten Jahren zunehmenden Nutzung von Cloud Lösungen durch Institute, sah sich die EBA veranlasst, die aufsichtlichen Regelungen in Hinblick auf die Nutzung von Cloud Lösungen mithilfe dieser Empfehlung zu konkretisieren.

Das Proportionalitätsprinzip findet analog auf die Empfehlungen Anwendung. Somit sind die Vorgaben in Abhängigkeit von Größe, Struktur, operativer Umgebung sowie der Natur, dem Umfang und Komplexität der Geschäftstätigkeit des Instituts anzuwenden.

Die EBA Empfehlung regelt dabei u.a. die Identifizierung von Auslagerungen an Cloud Anbieter sowie die Bewertung der Materialität dieser. In Abhängigkeit der Materialität ergibt sich eine Verpflichtung des Instituts den zuständigen Aufseher über die Auslagerung zu informieren, wobei die Empfehlung auch Details zum Informationsprozess und -inhalt festlegt. Zudem kommuniziert die EBA klar ihre Erwartungshaltung, dass vertraglich die Zusicherung von Prüfungs- und Zutrittsrechten beim Cloud Anbieter festgeschrieben sein muss.

Im Hinblick auf die Spezifika von Cloud Dienstleistungen wollen die Aufseher mit der Empfehlung in erster Linie die Institute unterstützen und somit die Sicherheit der Daten und Standorte der Datenverarbeitung sowie der verwendeten Systeme sicherstellen. Mit der Weiterverlagerung von Dienstleistungen („chain“ outsourcing) des Cloudanbieters an weitere Dienstleister, darf keine Beeinflussung der Leistung ggü. dem Institut einhergehen. Aus diesem Grund sind mitigierende Maßnahmen wie bspw. der Übergang der Leistungserbringung von einem Subunternehmen zu einem anderen Anbieter ggf. vorzusehen.

Um diesen Vorgaben zu entsprechen, sind Institute verpflichtet einen risikobasierten Ansatz zu verfolgen sowie adäquate Kontrollen zu etablieren und mitigierende Maßnahmen vorzuhalten. Dies beinhaltenen u.a. auch die Nutzung von Verschlüsselungstechnologien für den Transit, Speicherung sowie Archivierung von Daten. Zudem müssen Institute bei der Nutzung von jeglicher Cloud Dienstleistung entsprechende Notfallpläne und Exit-Strategien zwingend festlegen und vorhalten.

Die Experten von RFC Professionals begleiten seit vielen Jahren erfolgreich aufsichtliche Veränderungen und Prüfungen. Gerne unterstützen wir Sie bei der Bewertung von Auswirkungen aus der EBA Empfehlung auf ihr Institut. Sprechen Sie uns gerne an.


Matthias Oßmann

Ihr Ansprechpartner:

Matthias Oßmann

Mail