Die wichtigsten Änderungen, insbesondere im Vergleich zu den derzeit geltenden Mindestanforderungen an das Risikomanagement (MaRisk) werden aufgegriffen.
Harmonisierung der Regelungen
Um einen harmonisierten Rahmen für Auslagerungen auf EU-Ebene zu schaffen, wurden u. a. die spezifischen Vorgaben für Auslagerungen der Richtlinie (EU) Nr. 2015/2366 (Zweite Zahlungsdiensterichtlinie, PSD II) sowie der Richtlinie 2014/65/EU (Richtlinie über Märkte für Finanzinstrumente, MiFID II) in den finalen EBA-Leitlinien berücksichtigt. Die EBA-Empfehlungen zu Auslagerungen an Cloud-Anbieter (EBA/Rec/2017/03, deutsche Fassung vom 28.3.2018) wurden zudem vollständig in die EBA-Leitlinien integriert. Auch die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung (EIOPA) ist aktuell dabei, die neuen EBA-Leitlinien auf das Versicherungsrecht zu übertragen.
Hinweis
Das Thema stellt einen wachsenden Schwerpunkt auch für die Europäische Zentralbank im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process, SREP) dar.
Anwendungsbereich
Die neuen EBA-Leitlinien gelten künftig nicht nur für Kredit- und Finanzdienstleistungsinstitute, sondern auch für Zahlungs- und E-Geld-Institute.
Unter einer Auslagerung ist dabei jede Vereinbarung zu verstehen, nach der ein Dienstleister einen Prozess, eine Dienstleistung oder eine Aktivität übernimmt, die sonst durch das Institut selbst vorgenommen würde. Damit zählen künftig auch Teilprozesse, die durch Dritte übernommen werden, als Auslagerung. Zur Abgrenzung wurde in die finalen Leitlinien eine Negativ-Liste mit Funktionen aufgenommen, deren Übertragung auf Dritte grundsätzlich nicht als Auslagerung betrachtet wird.
Hinweis
Rechtsberatung ist grundsätzlich keine Auslagerung, es sei denn, es besteht eine enge Verbindung zum Bankgeschäft, wie z. B. bei der Gestaltung allgemeiner Geschäftsbedingungen. Die Wesentlichkeit der Auslagerung muss davon unabhängig geprüft werden. Die Vertretung des Instituts vor Gericht ist nach wie vor auch keine Auslagerung. Die Übertragung einer Tätigkeit auf eine unselbstständige Niederlassung des Instituts ist ebenfalls keine Auslagerung, da es aufgrund der Einbindung in dieselbe Rechtspersönlichkeit an der Vertragsfähigkeit der Niederlassung fehlt. Hier gelten daher die allgemeinen Regelungen für die Anwendung der notwendigen Sorgfalt bei der Gestaltung der Geschäftsprozesse sowie der Analyse und dem Management der operationellen Risiken. Dies gilt auch bei der Auslagerung auf Niederlassungen in Drittstaaten. Es kommt daher nicht darauf an, dass solche Niederlassungen aufsichtsrechtlich als eigenständiges Institut gelten.
Als kritisch oder wesentlich werden Auslagerungen von Funktionen betrachtet, die sich erheblich auf die Einhaltung aufsichtsrechtlicher Pflichten, die Ertragskraft oder die regulierten Geschäfte des Instituts auswirken können. Diese Definition unterschiedet sich von der der bisherigen Leitlinien; sie wurde an die Definition in MiFID II angepasst. Neu ist, dass die Kriterien für die Einordnung als kritisch/wesentlich nunmehr auch für gruppeninterne Auslagerungen gelten.
Hinweis
Bislang konnten bei gruppeninternen Auslagerungen wirksame Vorkehrungen, insbesondere ein einheitliches und umfassendes Risikomanagement auf Gruppenebene sowie Durchgriffsrechte, risikomindernd berücksichtigt werden, so dass die betreffende Auslagerung nicht mehr als wesentlich eingestuft werden musste. Künftig müssen auch gruppeninterne Auslagerungen anhand der Kriterien untersucht und damit häufig den für kritische/wesentliche Auslagerungen geltenden verschärften Anforderungen unterworfen werden. Bei gruppeninternen Auslagerungen ist zudem zu beachten, dass nunmehr mögliche Interessenkonflikte besonders beleuchtet werden müssen.
Die EBA weist darauf hin, dass auch bei nicht kritischen/wesentlichen Auslagerungen ein wirksames Risikomanagement eingerichtet sein muss; das ist insoweit nicht neu. Künftig sollen jedoch auch für diese Auslagerungen u. a. angemessene Vertraulichkeits- und Datenschutzregelungen sowie ein angemessener Informationsaustausch mit dem Dienstleister bestehen. Diese sind zudem ebenfalls im Auslagerungsregister und in der Auslagerungspolicy zu berücksichtigen, welche wir weiter unten erläutern.
Institutsgruppen müssen die Anforderungen im aufsichtsrechtlichen Konsolidierungskreis umsetzen. Damit entfalten sie mittelbar auch Wirkung bei Finanzinstituten, die selbst nicht erlaubnispflichtige Tätigkeiten ausführen.
Sofern ein Waiver nach § 2a KWG i. V. m Art. 7 CRR gewährt wurde, d.h. wenn Tochterunternehmen von beaufsichtigen EU-Mutterunternehmen von der Anwendung bestimmter aufsichtsrechtlicher Regelungen ausgenommen sind, erstreckt sich der Anwendungsbereich auf das Mutterunternehmen, das die Anforderungen auf konsolidierter Basis umsetzen muss. Auf Institutsebene bleiben die Geschäftsleiter in jedem Fall für die ordnungsmäßige Abwicklung der Geschäfte unter Berücksichtigung aufsichtsrechtlicher Anforderungen verantwortlich. Sie müssen bei zentralisierten Kontrollfunktionen sicherstellen, dass diese ihre Aufgaben effektiv erfüllen und angemessene Berichtspflichten in Bezug auf Auslagerungen eingerichtet sind.
Hinweis
Selbst, wenn kein Waiver besteht, jedoch Gruppenunternehmen ggf. zentral in die Überwachung und das (Risiko)Management der Auslagerungen einbezogen werden, gilt zusätzlich, dass die Institute gleichwohl zentral erstellte Risikoanalysen und Auslagerungsregister überprüfen sollten. Bei kritischen/wesentlichen Auslagerungen sollten sie zudem (zumindest jährlich) Berichte mit Zusammenfassungen von Risikoeinschätzung, Leistungskontrolle sowie von relevanten Prüfungsberichten der Internen Revision und des Abschlussprüfers erhalten. Darüber hinaus sind auch Business Continuity und Exitpläne zu kontrollieren.
Neue Regelungen im Vergleich zu den geltenden MaRisk
Die EBA-Leitlinien greifen auch wieder die Einrichtung einer Auslagerungsfunktion (zentrales Auslagerungsmanagement) auf. Sie stellen aber klar, dass sich kleine und nicht komplexe Institute darauf beschränken können, die Verantwortlichkeiten für Management und Überwachung der Auslagerungen festzulegen und im Übrigen die Auslagerungsfunktion durch einen Geschäftsleiter erfüllen zu lassen. Grundsätzlich ist zu beachten, dass der Auslagerungsbeauftragte zentral organisiert und von den Fachbereichen (1st Line of defense) unabhängig sein soll.
Gem. AT 5 Abschnitt 3 Buchst. f der MaRisk war es auch bereits bisher notwendig, Regelungen zu Verfahrensweisen bei wesentlichen Auslagerungen festzuhalten. Neu ist, dass es eine solche Auslagerungspolicy nunmehr auch für nicht kritische/wesentliche Auslagerungen geben muss. Zudem schreiben die Leilinien umfangreiche Mindestinhalte für die Policy vor. Neben der Verantwortlichkeit und Beteiligung der Geschäftsleitung insbesondere bei kritischen/wesentlichen Auslagerungen sind auch die Beteiligung der Geschäftsbereiche und Kontrollfunktionen zu beschreiben. Zur Auslagerungsplanung sind die Freigabeverfahren bei neuen Auslagerungen darzustellen, die geschäftlichen Anforderungen an die Auslagerungen zu definieren, Kriterien für die Einordnung als kritische/wesentliche Auslagerung festzulegen und Risiken zu identifizieren sowie zu beurteilen. Außerdem müssen Maßnahmen für ihr Management vorgesehen, Regeln für die Due Diligence möglicher Dienstleister bestimmt, Merkmale für das Bestehen und das Management von Interessenkonflikten dargestellt, Planungen für die Aufrechterhaltung des Geschäftsbetriebes aufgesetzt und ein Kündigungs- und Exit-Plan für kritische/wesentliche Auslagerungen dokumentiert werden.
Hinweis
Insbesondere die Pflicht zur Beurteilung von potentiellen Interessenkonflikten ist neu und spielt einerseits bei gruppeneigenen Unternehmen, aber andererseits auch bei der Beauftragung von Dienstleistern, die mehrere Kontrollfunktionen übernehmen, eine Rolle. Nach geltender Praxis kann es bei einem Dienstleister, der miteinander unvereinbare Rollen, insbesondere die Durchführung der Internen Revision neben einer oder mehrerer anderen Dienstleistungen oder Funktionen innehat, ausreichen, dass er wirksame Chinese Walls einrichtet. Bei Auslagerungen innerhalb von Gruppen sind insbesondere klassische Matrix-Organisationen bzw. solche Organisationsformen zu untersuchen, bei denen maßgebliche Steuerungs- und Entscheidungskompetenzen im Ausland angesiedelt sind. Tests von Exit-Plänen sind nicht für sämtliche Auslagerungen erforderlich. Es wird aber zumindest erwartet, dass sie gedanklich durchgespielt werden. Wichtig ist zudem, dass Auslagerungen bzw. deren Exits eine denkbar notwendige Maßnahme unter der Richtlinie 2014/59/EU (Abwicklungsrichtlinie, BRRD), wie etwa einen Teilverkauf, nicht hemmen.
Zum Auslagerungsmonitoring und -management ist festzuhalten, wie die Leistung des Dienstleisters laufend gemessen wird; daneben sind Prozesse für die Berichterstattung des Dienstleisters sowie die Information durch ihn bei Änderungen der Leistungserbringung zu regeln. Ferner sind Maßnahmen für die Überwachung der Einhaltung rechtlicher Anforderungen und Organisationsregeln zu implementieren. Schließlich sind die Prozesse um Regelungen für die Verlängerung von Auslagerungsverträgen zu erweitern.
Hinweis
Mögliche Risiken aus Auslagerungen werden häufig den operationellen, ggf. auch Reputationsrisiken zugerechnet und sind im Rahmen einer (Vor-)Analyse zu erheben und zu bewerten. Die Aufsichtsbehörde erwartet zudem, dass geeignete Risikoszenarien hierfür entwickelt werden, sofern die Risikosituation im Einzelfall nicht als trivial einzustufen wäre. Zu überlegen ist daher, was passieren würde, wenn eine Leistung über einen bestimmten Zeitraum nicht erbracht wird. Die Resultate sind bei kleinen Instituten qualitativ, bei größeren auch quantitativ darzustellen und zu dokumentieren. Die Aufsicht betont, dass auch bei nicht kritischen/wesentlichen Auslagerungen operationelle bzw. Reputationsrisiken stets zu berücksichtigen sind. Dies gilt umso mehr, je näher die betreffende Dienstleistung an einer kritischen Auslagerung ist.
Die Leitlinien enthalten eine Liste von Regelungen, die in die Auslagerungsverträge aufzunehmen sind. Diese Auflistung geht über die bisher geltenden Mindestregelungen hinaus. Neben der Beschreibung der ausgelagerten Funktionen, den Service Levels inkl. präziser qualitativer und quantitativer Ziele, Regelungen zu den finanziellen Pflichten der Vertragsparteien sowie zu Unterauslagerungen gibt es weitere Neuerungen. So sind neu das Land der Leistungserbringung, der Datenverarbeitung und -aufbewahrung nebst Mitteilungspflicht bei Änderungen sowie Regelungen zur Datensicherheit auch bei Insolvenz des Auslagerungsunternehmens aufzunehmen. Vertraglich sind die Berichtspflichten des Auslagerungsunternehmens, die Überwachungs- und Prüfrechte des Instituts und die Pflicht zur Zusammenarbeit mit Aufsichts- und - neuerdings - auch Abwicklungsbehörden zu regeln. Sofern die aufsichtliche Zusammenarbeit mit Drittlandsbehörden nicht möglich ist und auch keine ausreichenden Prüfrechte bestehen, hat das zur Konsequenz, dass in das betreffende Land nicht ausgelagert werden kann.
Der Auslagerungsvertrag soll auch ggf. Regelungen zu einer Versicherungspflicht des Auslagerungsunternehmens aufnehmen. Daneben sind Geschäftsfortführungspläne vertraglich zu implementieren und deren Tests vorzusehen. Der Vertrag sollte zudem ein Anfangsdatum sowie ein Enddatum bzw. angemessene Kündigungsrechte vorsehen. Bei CRR-Kreditinstituten ist außerdem auf die Befugnisse der Abwicklungsbehörde einzugehen. Schließlich ist - insbesondere im grenzüberschreitenden Auslagerungsverhältnis - das anwendbare Recht festzulegen.
Hinweis
Die Interne Revision des Institutes soll frühzeitig in die Planung von Auslagerungen einbezogen werden, um etwa Bedenken hinsichtlich der Prüfbarkeit eines Dienstleisters rechtzeitig platzieren zu können. Die eigentliche Prüfung umfasst dann den Auslagerungsprozess, die Risikobewertung für Auslagerungsvereinbarungen und die Beachtung von Limits für identifizierte Risken sowie die Angemessenheit der Überwachung und Verwaltung von Auslagerungsvereinbarungen. Der Revisionsplan soll auch die Angemessenheit der Datenschutzmaßnahmen, der eingerichteten Kontrollen sowie der Risikomanagement- und Notfallmaßnahmen des Dienstleisters enthalten. Es reicht als Kontrollmaßnahme nicht aus, sich lediglich Innenrevisionsberichte des Auslagerungsunternehmens schicken zu lassen. Wenn die Auslagerung nicht durch die eigene Interne Revision in die Prüfung einbezogen wird, ist es möglich, bei einem Mehrmandantendienstleister (etwa einem Cloud-Anbieter) ein Pool-Audit in Auftrag zu geben. In diesem Fall muss der Auftrag jedoch von den Kunden des Dienstleisters erteilt werden. Die Aufsichtsbehörde geht davon aus, dass der Kunde dann mehr Rechte gegenüber dem Prüfer geltend machen kann. Die eigene Interne Revision des Dienstleisters hätte dann nur noch die Rolle eines koordinierenden Ansprechpartners für den Prüfer.
Die EBA-Leitlinien statuieren die Pflicht, ein Auslagerungsregister für sämtliche (also auch nicht kritische/wesentliche) Auslagerungen zu führen und aktuell zu halten. Die Aufsicht hat das Recht, bearbeitbare elektronische Auszüge aus dem Register zu verlangen. Ein mögliches, nicht verbindliches Muster für ein Register hat die EBA auf ihrer Website zur Verfügung gestellt. Sie behält sich vor, das Muster im Laufe der Zeit an best practice anzupassen und weiterzuentwickeln.
Der Mindestinhalt des Registers umfasst
- die Referenznummer der Auslagerung,
- das Datum des Vertragsbeginns und ggf. der Vertragserneuerung,
- das Datum des Vertragsendes bzw. mögliche Kündigungsfristen,
- eine kurze Beschreibung der ausgelagerten Funktion,
- die Kategorie der ausgelagerten Funktion sowie
- die Angabe über die Zustimmung zur Übermittlung personenbezogener Daten.
Aufzunehmen sind ferner Daten zum Dienstleister, das Land der Leistungserbringung und der Datenspeicherung. Bei nicht kritischen/wesentlichen Auslagerungen sind eine Zusammenfassung der Gründe für die entsprechende Einordnung und das Datum der letzten Würdigung zu ergänzen. Bei kritischen/wesentlichen Auslagerungen sind zusätzlich die interne Stelle, die die Auslagerung genehmigt hat, Informationen zu Unterauftragnehmern sowie die Angabe zur Ersetzbarkeit des Dienstleisters einschließlich Namen alternativer Dienstleister, der möglichen Reintegration oder der Auswirkungen einer Beendigung anzugeben. Daneben ist darzulegen, ob die Auslagerung für zeitlich kritische Geschäftsbereiche bzw. -vorgänge bedeutsam ist. Schließlich ist aufzuführen, welche Konzernunternehmen denselben Dienstleister nutzen, die geschätzten Kosten pro Jahr, das anwendbare Recht sowie die letzte und nächste Prüfung des Dienstleisters.
Die EBA verlangt daneben weitere Dokumentationen seitens der Institute, darunter die Beurteilungen des Instituts zur Risikosituation, zur Due Diligence bzgl. des Dienstleisters, zur Überwachung und zur Leistungsmessung nebst der Einhaltung von Service Levels sowie weiterer rechtlicher und sonstiger Vorgaben. Auch nach Beendigung einer Auslagerung sind die Dokumentationen für einen angemessenen Zeitraum aufzubewahren.
Schließlich konstituieren die Leitlinien neue Anzeigepflichten, für deren Umsetzung § 24 KWG wahrscheinlich geändert werden muss. Institute sollen danach verpflichtet werden, die Aufsichtsbehörden rechtzeitig über geplante kritische/wesentliche Auslagerungen zu informieren. Das betrifft auch bestehende Auslagerungen, die im Laufe der Zeit kritisch/wesentlich werden bzw. Ereignisse oder Änderungen, die einen wesentlichen Einfluss auf die Erbringung der Geschäftstätigkeiten haben können. Die Anzeige beinhaltet zahlreiche Informationen, die auch in das Auslagerungsregister aufzunehmen sind.
Hinweis
Weitere Anforderungen können sich auch aus der BRRD ergeben. Das ist immer dann der Fall, wenn ausgelagerte Bereiche für den Betrieb BRRD-kritischer Funktionen notwendig sind.
Umsetzungsfristen
Die neuen Leitlinien treten grundsätzlich ab dem 30.9.2019 in Kraft. Bezüglich des neu zu führenden Auslagerungsregisters und der notwendigen Anpassungen bestehender Auslagerungsverträge bestehen Übergangsfristen bis Ende 2021. Wenn jedoch ein Auslagerungsverhältnis zu einem früheren Zeitpunkt überprüft oder ein Vertrag aus anderen Gründen geändert werden muss, erwartet die Aufsicht dessen Anpassung an die neuen Regelungen. Dies gilt selbst wenn es sich nur um eine geringfügige Änderung handelt.
Die BaFin hat angekündigt, die neuen Regelungen in die MaRisk zu integrieren. Bevor diese nicht in aktualisierter Fassung veröffentlicht sind, sind die Institute nicht verpflichtet, die neuen Regelungen anzuwenden. Eine Entwurfsfassung für die MaRisk soll im ersten Quartal 2020 zur Konsultation gestellt werden, mit der finalen Fassung ist demnach nicht vor dem zweiten Quartal 2020 zu rechnen.
Hinweis
Die jährliche, durch die MaRisk geforderte Regelüberprüfung ist nicht als Überprüfung des Vertragsverhältnisses im o.g. Sinne zu verstehen, d.h. die Umsetzungsfrist bis 2021 kann insoweit voll ausgenutzt werden. Da sich erfahrungsgemäß Vertragsverhandlungen hinziehen können, ist jedoch zu empfehlen, rechtzeitig damit zu beginnen. Kann ein Institut schon absehen, dass es die Frist für Vertragsänderungen Ende 2021 nicht halten kann, sollte es die BaFin kontaktieren. Das gilt auch, wenn bspw. ein Vertrag ohnehin 2022 ausläuft und sich damit eine Vertragsanpassung erübrigt.