deen

Branchen

EBA finalisiert Leitlinien zu Auslagerungen

Am 25.2.2019 hat die Eu­ropäische Ban­ken­auf­sichts­behörde (EBA) die be­reits am 22.6.2018 zur Kon­sul­ta­tion ge­stell­ten „Leit­li­nien zu Aus­la­ge­run­gen“ in ih­rer fi­na­len Fas­sung veröff­ent­licht (EBA/GL/2019/02).

Die wich­tigs­ten Ände­run­gen, ins­be­son­dere im Ver­gleich zu den der­zeit gel­ten­den Min­dest­an­for­de­run­gen an das Ri­si­ko­ma­nage­ment (Ma­Risk) wer­den auf­ge­grif­fen.

EBA finalisiert Leitlinien zu Auslagerungen© iStock

Harmonisierung der Regelungen

Um einen har­mo­ni­sier­ten Rah­men für Aus­la­ge­run­gen auf EU-Ebene zu schaf­fen, wur­den u. a. die spe­zi­fi­schen Vor­ga­ben für Aus­la­ge­run­gen der Richt­li­nie (EU) Nr. 2015/2366 (Zweite Zah­lungs­diens­te­richt­li­nie, PSD II) so­wie der Richt­li­nie 2014/65/EU (Richt­li­nie über Märkte für Fi­nanz­in­stru­mente, Mi­FID II) in den fi­na­len EBA-Leit­li­nien berück­sich­tigt. Die EBA-Emp­feh­lun­gen zu Aus­la­ge­run­gen an Cloud-An­bie­ter (EBA/Rec/2017/03, deut­sche Fas­sung vom 28.3.2018) wur­den zu­dem vollständig in die EBA-Leit­li­nien in­te­griert. Auch die Eu­ropäische Auf­sichts­behörde für das Ver­si­che­rungs­we­sen und die be­trieb­li­che Al­ters­ver­sor­gung (EI­OPA) ist ak­tu­ell da­bei, die neuen EBA-Leit­li­nien auf das Ver­si­che­rungs­recht zu über­tra­gen. 

Hinweis

Das Thema stellt einen wach­sen­den Schwer­punkt auch für die Eu­ropäische Zen­tral­bank im Rah­men des auf­sicht­li­chen Überprüfungs- und Be­wer­tungs­pro­zes­ses (Su­per­vi­sory Re­view and Eva­lua­tion Pro­cess, SREP) dar.

Anwendungsbereich

Die neuen EBA-Leit­li­nien gel­ten künf­tig nicht nur für Kre­dit- und Fi­nanz­dienst­leis­tungs­in­sti­tute, son­dern auch für Zah­lungs- und E-Geld-In­sti­tute.

Un­ter ei­ner Aus­la­ge­rung ist da­bei jede Ver­ein­ba­rung zu ver­ste­hen, nach der ein Dienst­leis­ter einen Pro­zess, eine Dienst­leis­tung oder eine Ak­ti­vität über­nimmt, die sonst durch das In­sti­tut selbst vor­ge­nom­men würde. Da­mit zählen künf­tig auch Teil­pro­zesse, die durch Dritte über­nom­men wer­den, als Aus­la­ge­rung. Zur Ab­gren­zung wurde in die fi­na­len Leit­li­nien eine Ne­ga­tiv-Liste mit Funk­tio­nen auf­ge­nom­men, de­ren Über­tra­gung auf Dritte grundsätz­lich nicht als Aus­la­ge­rung be­trach­tet wird.

Hinweis

Rechts­be­ra­tung ist grundsätz­lich keine Aus­la­ge­rung, es sei denn, es be­steht eine enge Ver­bin­dung zum Bank­ge­schäft, wie z. B. bei der Ge­stal­tung all­ge­mei­ner Ge­schäfts­be­din­gun­gen. Die We­sent­lich­keit der Aus­la­ge­rung muss da­von un­abhängig geprüft wer­den. Die Ver­tre­tung des In­sti­tuts vor Ge­richt ist nach wie vor auch keine Aus­la­ge­rung. Die Über­tra­gung ei­ner Tätig­keit auf eine un­selbstständige Nie­der­las­sung des In­sti­tuts ist eben­falls keine Aus­la­ge­rung, da es auf­grund der Ein­bin­dung in die­selbe Rechts­persönlich­keit an der Ver­tragsfähig­keit der Nie­der­las­sung fehlt. Hier gel­ten da­her die all­ge­mei­nen Re­ge­lun­gen für die An­wen­dung der not­wen­di­gen Sorg­falt bei der Ge­stal­tung der Ge­schäfts­pro­zesse so­wie der Ana­lyse und dem Ma­nage­ment der ope­ra­tio­nel­len Ri­si­ken. Dies gilt auch bei der Aus­la­ge­rung auf Nie­der­las­sun­gen in Dritt­staa­ten. Es kommt da­her nicht dar­auf an, dass sol­che Nie­der­las­sun­gen auf­sichts­recht­lich als ei­genständi­ges In­sti­tut gel­ten.

Als kri­ti­sch oder we­sent­lich wer­den Aus­la­ge­run­gen von Funk­tio­nen be­trach­tet, die sich er­heb­lich auf die Ein­hal­tung auf­sichts­recht­li­cher Pflich­ten, die Er­trags­kraft oder die re­gu­lier­ten Ge­schäfte des In­sti­tuts aus­wir­ken können. Diese De­fi­ni­tion un­ter­schie­det sich von der der bis­he­ri­gen Leit­li­nien; sie wurde an die De­fi­ni­tion in Mi­FID II an­ge­passt. Neu ist, dass die Kri­te­rien für die Ein­ord­nung als kri­ti­sch/we­sent­lich nun­mehr auch für grup­pen­in­terne Aus­la­ge­run­gen gel­ten.

Hinweis

Bis­lang konn­ten bei grup­pen­in­ter­nen Aus­la­ge­run­gen wirk­same Vor­keh­run­gen, ins­be­son­dere ein ein­heit­li­ches und um­fas­sen­des Ri­si­ko­ma­nage­ment auf Grup­pen­ebene so­wie Durch­griffs­rechte, ri­si­kom­in­dernd berück­sich­tigt wer­den, so dass die be­tref­fende Aus­la­ge­rung nicht mehr als we­sent­lich ein­ge­stuft wer­den mus­ste. Künf­tig müssen auch grup­pen­in­terne Aus­la­ge­run­gen an­hand der Kri­te­rien un­ter­sucht und da­mit häufig den für kri­ti­sche/we­sent­li­che Aus­la­ge­run­gen gel­ten­den ver­schärf­ten An­for­de­run­gen un­ter­wor­fen wer­den. Bei grup­pen­in­ter­nen Aus­la­ge­run­gen ist zu­dem zu be­ach­ten, dass nun­mehr mögli­che In­ter­es­sen­kon­flikte be­son­ders be­leuch­tet wer­den müssen.

Die EBA weist dar­auf hin, dass auch bei nicht kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen ein wirk­sa­mes Ri­si­ko­ma­nage­ment ein­ge­rich­tet sein muss; das ist in­so­weit nicht neu. Künf­tig sol­len je­doch auch für diese Aus­la­ge­run­gen u. a. an­ge­mes­sene Ver­trau­lich­keits- und Da­ten­schutz­re­ge­lun­gen so­wie ein an­ge­mes­se­ner In­for­ma­ti­ons­aus­tausch mit dem Dienst­leis­ter be­ste­hen. Diese sind zu­dem eben­falls im Aus­la­ge­rungs­re­gis­ter und in der Aus­la­ge­rungs­po­licy zu berück­sich­ti­gen, wel­che wir wei­ter un­ten erläutern.

In­sti­tuts­grup­pen müssen die An­for­de­run­gen im auf­sichts­recht­li­chen Kon­so­li­die­rungs­kreis um­set­zen. Da­mit ent­fal­ten sie mit­tel­bar auch Wir­kung bei Fi­nanz­in­sti­tu­ten, die selbst nicht er­laub­nis­pflich­tige Tätig­kei­ten ausführen.

So­fern ein Wai­ver nach § 2a KWG i. V. m Art. 7 CRR gewährt wurde, d.h. wenn Toch­ter­un­ter­neh­men von be­auf­sich­ti­gen EU-Mut­ter­un­ter­neh­men von der An­wen­dung be­stimm­ter auf­sichts­recht­li­cher Re­ge­lun­gen aus­ge­nom­men sind, er­streckt sich der An­wen­dungs­be­reich auf das Mut­ter­un­ter­neh­men, das die An­for­de­run­gen auf kon­so­li­dier­ter Ba­sis um­set­zen muss. Auf In­sti­tuts­ebene blei­ben die Ge­schäfts­lei­ter in je­dem Fall für die ord­nungsmäßige Ab­wick­lung der Ge­schäfte un­ter Berück­sich­ti­gung auf­sichts­recht­li­cher An­for­de­run­gen ver­ant­wort­lich. Sie müssen bei zen­tra­li­sier­ten Kon­troll­funk­tio­nen si­cher­stel­len, dass diese ihre Auf­ga­ben ef­fek­tiv erfüllen und an­ge­mes­sene Be­richts­pflich­ten in Be­zug auf Aus­la­ge­run­gen ein­ge­rich­tet sind.

Hinweis

Selbst, wenn kein Wai­ver be­steht, je­doch Grup­pen­un­ter­neh­men ggf. zen­tral in die Über­wa­chung und das (Ri­siko)Ma­nage­ment der Aus­la­ge­run­gen ein­be­zo­gen wer­den, gilt zusätz­lich, dass die In­sti­tute gleich­wohl zen­tral er­stellte Ri­si­ko­ana­ly­sen und Aus­la­ge­rungs­re­gis­ter überprüfen soll­ten. Bei kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen soll­ten sie zu­dem (zu­min­dest jähr­lich) Be­richte mit Zu­sam­men­fas­sun­gen von Ri­si­ko­ein­schätzung, Leis­tungs­kon­trolle so­wie von re­le­van­ten Prüfungs­be­rich­ten der In­ter­nen Re­vi­sion und des Ab­schlussprüfers er­hal­ten.  Darüber hin­aus sind auch Busi­ness Con­ti­nuity und Exitpläne zu kon­trol­lie­ren. 

Neue Regelungen im Vergleich zu den geltenden MaRisk

Die EBA-Leit­li­nien grei­fen auch wie­der die Ein­rich­tung ei­ner Aus­la­ge­rungs­funk­tion (zen­tra­les Aus­la­ge­rungs­ma­nage­ment) auf. Sie stel­len aber klar, dass sich kleine und nicht kom­plexe In­sti­tute dar­auf be­schränken können, die Ver­ant­wort­lich­kei­ten für Ma­nage­ment und Über­wa­chung der Aus­la­ge­run­gen fest­zu­le­gen und im Übri­gen die Aus­la­ge­rungs­funk­tion durch einen Ge­schäfts­lei­ter erfüllen zu las­sen. Grundsätz­lich ist zu be­ach­ten, dass der Aus­la­ge­rungs­be­auf­tragte zen­tral or­ga­ni­siert und von den Fach­be­rei­chen (1st Line of de­fense) un­abhängig sein soll.

Gem. AT 5 Ab­schnitt 3 Buchst. f der Ma­Risk war es auch be­reits bis­her not­wen­dig, Re­ge­lun­gen zu Ver­fah­rens­wei­sen bei we­sent­li­chen Aus­la­ge­run­gen fest­zu­hal­ten. Neu ist, dass es eine sol­che Aus­la­ge­rungs­po­licy nun­mehr auch für nicht kri­ti­sche/we­sent­li­che Aus­la­ge­run­gen ge­ben muss. Zu­dem schrei­ben die Lei­li­nien um­fang­rei­che Min­des­tin­halte für die Po­licy vor. Ne­ben der Ver­ant­wort­lich­keit und Be­tei­li­gung der Ge­schäfts­lei­tung ins­be­son­dere bei kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen sind auch die Be­tei­li­gung der Ge­schäfts­be­rei­che und Kon­troll­funk­tio­nen zu be­schrei­ben. Zur Aus­la­ge­rungs­pla­nung sind die Frei­ga­be­ver­fah­ren bei neuen Aus­la­ge­run­gen dar­zu­stel­len, die ge­schäft­li­chen An­for­de­run­gen an die Aus­la­ge­run­gen zu de­fi­nie­ren, Kri­te­rien für die Ein­ord­nung als kri­ti­sche/we­sent­li­che Aus­la­ge­rung fest­zu­le­gen und Ri­si­ken zu iden­ti­fi­zie­ren so­wie zu be­ur­tei­len. Außer­dem müssen Maßnah­men für ihr Ma­nage­ment vor­ge­se­hen, Re­geln für die Due Di­li­gence mögli­cher Dienst­leis­ter be­stimmt, Merk­male für das Be­ste­hen und das Ma­nage­ment von In­ter­es­sen­kon­flik­ten dar­ge­stellt, Pla­nun­gen für die Auf­recht­er­hal­tung des Ge­schäfts­be­trie­bes auf­ge­setzt und ein Kündi­gungs- und Exit-Plan für kri­ti­sche/we­sent­li­che Aus­la­ge­run­gen do­ku­men­tiert wer­den.

Hinweis

Ins­be­son­dere die Pflicht zur Be­ur­tei­lung von po­ten­ti­el­len In­ter­es­sen­kon­flik­ten ist neu und spielt ei­ner­seits bei grup­pen­ei­ge­nen Un­ter­neh­men, aber an­de­rer­seits auch bei der Be­auf­tra­gung von Dienst­leis­tern, die meh­rere Kon­troll­funk­tio­nen über­neh­men, eine Rolle. Nach gel­ten­der Pra­xis kann es bei einem Dienst­leis­ter, der mit­ein­an­der un­ver­ein­bare Rol­len, ins­be­son­dere die Durchführung der In­ter­nen Re­vi­sion ne­ben ei­ner oder meh­re­rer an­de­ren Dienst­leis­tun­gen oder Funk­tio­nen in­ne­hat, aus­rei­chen, dass er wirk­same Chi­nese Walls ein­rich­tet. Bei Aus­la­ge­run­gen in­ner­halb von Grup­pen sind ins­be­son­dere klas­si­sche Ma­trix-Or­ga­ni­sa­tio­nen bzw. sol­che Or­ga­ni­sa­ti­ons­for­men zu un­ter­su­chen, bei de­nen maßgeb­li­che Steue­rungs- und Ent­schei­dungs­kom­pe­ten­zen im Aus­land an­ge­sie­delt sind. Tests von Exit-Plänen sind nicht für sämt­li­che Aus­la­ge­run­gen er­for­der­lich. Es wird aber zu­min­dest er­war­tet, dass sie ge­dank­lich durch­ge­spielt wer­den. Wich­tig ist zu­dem, dass Aus­la­ge­run­gen bzw. de­ren Exits eine denk­bar not­wen­dige Maßnahme un­ter der Richt­li­nie 2014/59/EU (Ab­wick­lungs­richt­li­nie, BRRD), wie etwa einen Teil­ver­kauf, nicht hem­men.

Zum Aus­la­ge­rungs­mo­ni­to­ring und -ma­nage­ment ist fest­zu­hal­ten, wie die Leis­tung des Dienst­leis­ters lau­fend ge­mes­sen wird; da­ne­ben sind Pro­zesse für die Be­richt­er­stat­tung des Dienst­leis­ters so­wie die In­for­ma­tion durch ihn bei Ände­run­gen der Leis­tungs­er­brin­gung zu re­geln. Fer­ner sind Maßnah­men für die Über­wa­chung der Ein­hal­tung recht­li­cher An­for­de­run­gen und Or­ga­ni­sa­ti­ons­re­geln zu im­ple­men­tie­ren. Schließlich sind die Pro­zesse um Re­ge­lun­gen für die Verlänge­rung von Aus­la­ge­rungs­verträgen zu er­wei­tern.

Hinweis

Mögli­che Ri­si­ken aus Aus­la­ge­run­gen wer­den häufig den ope­ra­tio­nel­len, ggf. auch Re­pu­ta­ti­ons­ri­si­ken zu­ge­rech­net und sind im Rah­men ei­ner (Vor-)Ana­lyse zu er­he­ben und zu be­wer­ten. Die Auf­sichts­behörde er­war­tet zu­dem, dass ge­eig­nete Ri­si­kosze­na­rien hierfür ent­wi­ckelt wer­den, so­fern die Ri­si­ko­si­tua­tion im Ein­zel­fall nicht als tri­vial ein­zu­stu­fen wäre. Zu über­le­gen ist da­her, was pas­sie­ren würde, wenn eine Leis­tung über einen be­stimm­ten Zeit­raum nicht er­bracht wird. Die Re­sul­tate sind bei klei­nen In­sti­tu­ten qua­li­ta­tiv, bei größeren auch quan­ti­ta­tiv dar­zu­stel­len und zu do­ku­men­tie­ren. Die Auf­sicht be­tont, dass auch bei nicht kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen ope­ra­tio­nelle bzw. Re­pu­ta­ti­ons­ri­si­ken stets zu berück­sich­ti­gen sind. Dies gilt umso mehr, je näher die be­tref­fende Dienst­leis­tung an ei­ner kri­ti­schen Aus­la­ge­rung ist.

Die Leit­li­nien ent­hal­ten eine Liste von Re­ge­lun­gen, die in die Aus­la­ge­rungs­verträge auf­zu­neh­men sind. Diese Auf­lis­tung geht über die bis­her gel­ten­den Min­dest­re­ge­lun­gen hin­aus. Ne­ben der Be­schrei­bung der aus­ge­la­ger­ten Funk­tio­nen, den Ser­vice Le­vels inkl. präzi­ser qua­li­ta­ti­ver und quan­ti­ta­ti­ver Ziele, Re­ge­lun­gen zu den fi­nan­zi­el­len Pflich­ten der Ver­trags­par­teien so­wie zu Un­ter­aus­la­ge­run­gen gibt es wei­tere Neue­run­gen. So sind neu das Land der Leis­tungs­er­brin­gung, der Da­ten­ver­ar­bei­tung und -auf­be­wah­rung nebst Mit­tei­lungs­pflicht bei Ände­run­gen so­wie Re­ge­lun­gen zur Da­ten­si­cher­heit auch bei In­sol­venz des Aus­la­ge­rungs­un­ter­neh­mens auf­zu­neh­men. Ver­trag­lich sind die Be­richts­pflich­ten des Aus­la­ge­rungs­un­ter­neh­mens, die Über­wa­chungs- und Prüfrechte des In­sti­tuts und die Pflicht zur Zu­sam­men­ar­beit mit Auf­sichts- und - neu­er­dings - auch Ab­wick­lungs­behörden zu re­geln. So­fern die auf­sicht­li­che Zu­sam­men­ar­beit mit Dritt­lands­behörden nicht möglich ist und auch keine aus­rei­chen­den Prüfrechte be­ste­hen, hat das zur Kon­se­quenz, dass in das be­tref­fende Land nicht aus­ge­la­gert wer­den kann.

Der Aus­la­ge­rungs­ver­trag soll auch ggf. Re­ge­lun­gen zu ei­ner Ver­si­che­rungs­pflicht des Aus­la­ge­rungs­un­ter­neh­mens auf­neh­men. Da­ne­ben sind Ge­schäfts­fortführungspläne ver­trag­lich zu im­ple­men­tie­ren und de­ren Tests vor­zu­se­hen. Der Ver­trag sollte zu­dem ein An­fangs­da­tum so­wie ein End­da­tum bzw. an­ge­mes­sene Kündi­gungs­rechte vor­se­hen. Bei CRR-Kre­dit­in­sti­tu­ten ist außer­dem auf die Be­fug­nisse der Ab­wick­lungs­behörde ein­zu­ge­hen. Schließlich ist - ins­be­son­dere im grenzüber­schrei­ten­den Aus­la­ge­rungs­verhält­nis - das an­wend­bare Recht fest­zu­le­gen.

Hinweis

Die In­terne Re­vi­sion des In­sti­tu­tes soll frühzei­tig in die Pla­nung von Aus­la­ge­run­gen ein­be­zo­gen wer­den, um etwa Be­den­ken hin­sicht­lich der Prüfbar­keit ei­nes Dienst­leis­ters recht­zei­tig plat­zie­ren zu können. Die ei­gent­li­che Prüfung um­fasst dann den Aus­la­ge­rungs­pro­zess, die Ri­si­ko­be­wer­tung für Aus­la­ge­rungs­ver­ein­ba­run­gen und die Be­ach­tung von Li­mits für iden­ti­fi­zierte Ris­ken so­wie die An­ge­mes­sen­heit der Über­wa­chung und Ver­wal­tung von Aus­la­ge­rungs­ver­ein­ba­run­gen. Der Re­vi­si­ons­plan soll auch die An­ge­mes­sen­heit der Da­ten­schutzmaßnah­men, der ein­ge­rich­te­ten Kon­trol­len so­wie der Ri­si­ko­ma­nage­ment- und Not­fallmaßnah­men des Dienst­leis­ters ent­hal­ten. Es reicht als Kon­trollmaßnahme nicht aus, sich le­dig­lich In­nen­re­vi­si­ons­be­richte des Aus­la­ge­rungs­un­ter­neh­mens schi­cken zu las­sen. Wenn die Aus­la­ge­rung nicht durch die ei­gene In­terne Re­vi­sion in die Prüfung ein­be­zo­gen wird, ist es möglich, bei einem Mehr­man­dan­ten­dienst­leis­ter (etwa einem Cloud-An­bie­ter) ein Pool-Au­dit in Auf­trag zu ge­ben. In die­sem Fall muss der Auf­trag je­doch von den Kun­den des Dienst­leis­ters er­teilt wer­den. Die Auf­sichts­behörde geht da­von aus, dass der Kunde dann mehr Rechte ge­genüber dem Prüfer gel­tend ma­chen kann. Die ei­gene In­terne Re­vi­sion des Dienst­leis­ters hätte dann nur noch die Rolle ei­nes ko­or­di­nie­ren­den An­sprech­part­ners für den Prüfer.

Die EBA-Leit­li­nien sta­tu­ie­ren die Pflicht, ein Aus­la­ge­rungs­re­gis­ter für sämt­li­che (also auch nicht kri­ti­sche/we­sent­li­che) Aus­la­ge­run­gen zu führen und ak­tu­ell zu hal­ten. Die Auf­sicht hat das Recht, be­ar­beit­bare elek­tro­ni­sche Auszüge aus dem Re­gis­ter zu ver­lan­gen. Ein mögli­ches, nicht ver­bind­li­ches Mus­ter für ein Re­gis­ter hat die EBA auf ih­rer Web­site zur Verfügung ge­stellt. Sie behält sich vor, das Mus­ter im Laufe der Zeit an best prac­tice an­zu­pas­sen und wei­ter­zu­ent­wi­ckeln.

Der Min­des­tin­halt des Re­gis­ters um­fasst

  • die Re­fe­renz­num­mer der Aus­la­ge­rung,
  • das Da­tum des Ver­trags­be­ginns und ggf. der Ver­trags­er­neue­rung,
  • das Da­tum des Ver­trags­en­des bzw. mögli­che Kündi­gungs­fris­ten,
  • eine kurze Be­schrei­bung der aus­ge­la­ger­ten Funk­tion,
  • die Ka­te­go­rie der aus­ge­la­ger­ten Funk­tion so­wie
  • die An­gabe über die Zu­stim­mung zur Über­mitt­lung per­so­nen­be­zo­ge­ner Da­ten.

Auf­zu­neh­men sind fer­ner Da­ten zum Dienst­leis­ter, das Land der Leis­tungs­er­brin­gung und der Da­ten­spei­che­rung. Bei nicht kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen sind eine Zu­sam­men­fas­sung der Gründe für die ent­spre­chende Ein­ord­nung und das Da­tum der letz­ten Würdi­gung zu ergänzen. Bei kri­ti­schen/we­sent­li­chen Aus­la­ge­run­gen sind zusätz­lich die in­terne Stelle, die die Aus­la­ge­rung ge­neh­migt hat, In­for­ma­tio­nen zu Un­ter­auf­trag­neh­mern so­wie die An­gabe zur Er­setz­bar­keit des Dienst­leis­ters ein­schließlich Na­men al­ter­na­ti­ver Dienst­leis­ter, der mögli­chen Re­inte­gra­tion oder der Aus­wir­kun­gen ei­ner Be­en­di­gung an­zu­ge­ben. Da­ne­ben ist dar­zu­le­gen, ob die Aus­la­ge­rung für zeit­lich kri­ti­sche Ge­schäfts­be­rei­che bzw. -vorgänge be­deut­sam ist. Schließlich ist auf­zuführen, wel­che Kon­zern­un­ter­neh­men den­sel­ben Dienst­leis­ter nut­zen, die ge­schätz­ten Kos­ten pro Jahr, das an­wend­bare Recht so­wie die letzte und nächste Prüfung des Dienst­leis­ters.

Die EBA ver­langt da­ne­ben wei­tere Do­ku­men­ta­tio­nen sei­tens der In­sti­tute, dar­un­ter die Be­ur­tei­lun­gen des In­sti­tuts zur Ri­si­ko­si­tua­tion, zur Due Di­li­gence bzgl. des Dienst­leis­ters, zur Über­wa­chung und zur Leis­tungs­mes­sung nebst der Ein­hal­tung von Ser­vice Le­vels so­wie wei­te­rer recht­li­cher und sons­ti­ger Vor­ga­ben. Auch nach Be­en­di­gung ei­ner Aus­la­ge­rung sind die Do­ku­men­ta­tio­nen für einen an­ge­mes­se­nen Zeit­raum auf­zu­be­wah­ren.

Schließlich kon­sti­tu­ie­ren die Leit­li­nien neue An­zei­ge­pflich­ten, für de­ren Um­set­zung § 24 KWG wahr­schein­lich geändert wer­den muss. In­sti­tute sol­len da­nach ver­pflich­tet wer­den, die Auf­sichts­behörden recht­zei­tig über ge­plante kri­ti­sche/we­sent­li­che Aus­la­ge­run­gen zu in­for­mie­ren. Das be­trifft auch be­ste­hende Aus­la­ge­run­gen, die im Laufe der Zeit kri­ti­sch/we­sent­lich wer­den bzw. Er­eig­nisse oder Ände­run­gen, die einen we­sent­li­chen Ein­fluss auf die Er­brin­gung der Ge­schäftstätig­kei­ten ha­ben können. Die An­zeige be­inhal­tet zahl­rei­che In­for­ma­tio­nen, die auch in das Aus­la­ge­rungs­re­gis­ter auf­zu­neh­men sind.

Hinweis

Wei­tere An­for­de­run­gen können sich auch aus der BRRD er­ge­ben. Das ist im­mer dann der Fall, wenn aus­ge­la­gerte Be­rei­che für den Be­trieb BRRD-kri­ti­scher Funk­tio­nen not­wen­dig sind.

Umsetzungsfristen

Die neuen Leit­li­nien tre­ten grundsätz­lich ab dem 30.9.2019 in Kraft. Bezüglich des neu zu führen­den Aus­la­ge­rungs­re­gis­ters und der not­wen­di­gen An­pas­sun­gen be­ste­hen­der Aus­la­ge­rungs­verträge be­ste­hen Überg­angs­fris­ten bis Ende 2021. Wenn je­doch ein Aus­la­ge­rungs­verhält­nis zu einem früheren Zeit­punkt überprüft oder ein Ver­trag aus an­de­ren Gründen geändert wer­den muss, er­war­tet die Auf­sicht des­sen An­pas­sung an die neuen Re­ge­lun­gen. Dies gilt selbst wenn es sich nur um eine ge­ringfügige Ände­rung han­delt.

Die Ba­Fin hat an­gekündigt, die neuen Re­ge­lun­gen in die Ma­Risk zu in­te­grie­ren. Be­vor diese nicht in ak­tua­li­sier­ter Fas­sung veröff­ent­licht sind, sind die In­sti­tute nicht ver­pflich­tet, die neuen Re­ge­lun­gen an­zu­wen­den. Eine Ent­wurfs­fas­sung für die Ma­Risk soll im ers­ten Quar­tal 2020 zur Kon­sul­ta­tion ge­stellt wer­den, mit der fi­na­len Fas­sung ist dem­nach nicht vor dem zwei­ten Quar­tal 2020 zu rech­nen.

Hinweis

Die jähr­li­che, durch die Ma­Risk ge­for­derte Re­gelüberprüfung ist nicht als Überprüfung des Ver­trags­verhält­nis­ses im o.g. Sinne zu ver­ste­hen, d.h. die Um­set­zungs­frist bis 2021 kann in­so­weit voll aus­ge­nutzt wer­den. Da sich er­fah­rungs­gemäß Ver­trags­ver­hand­lun­gen hin­zie­hen können, ist je­doch zu emp­feh­len, recht­zei­tig da­mit zu be­gin­nen. Kann ein In­sti­tut schon ab­se­hen, dass es die Frist für Ver­tragsände­run­gen Ende 2021 nicht hal­ten kann, sollte es die Ba­Fin kon­tak­tie­ren. Das gilt auch, wenn bspw. ein Ver­trag oh­ne­hin 2022 ausläuft und sich da­mit eine Ver­trags­an­pas­sung erübrigt.

nach oben