Article

Europäische Anforderungen an Auslagerungsvereinbarungen

Konsultation einer EBA Leitlinie zu einheitlichen Rahmenbedingungen

Mit AT 9 der Mindestanforderungen an das Risikomanagement der Kreditinstitute (MaRisk) werden in Deutschland die Anforderungen an Auslagerungen, d.h. an Auslagerungsvereinbarungen und die Auslagerungssteuerung definiert. Entsprechende Anforderungen bestehen auch in einer Reihe anderer Länder. Mit den zur Konsultation gestellten EBA-Leitlinien zu Auslagerungsvereinbarungen soll nunmehr – ausgehend von den CEBS Leitlinien aus 2006 – ein einheitlicher europäischer Rahmen geschaffen werden.

Am 22. Juni 2018 veröffentlichte die EBA den Entwurf einer Leitlinie zu Auslagerungsvereinbarungen. Der Entwurf richtet sich konkret an CRR-Kreditinstitute, CRR-Wertpapierfirmen nach Art. 4 Abs. 1 Nr. 4 CRR sowie Zahlungs- und E-Geld-Institute, die der PSD2 bzw. der E-Geld-Richtlinie unterliegen. Inwieweit die Regelungen der EBA-Leitlinie zukünftig auch auf KWG-Kreditinstitute und Finanzdienstleistungsinstitute, die nicht in den originären Anwendungsbereich fallen und insoweit nur den MaRisk unterliegen, Anwendung findet, bleibt abzuwarten.

 

Erwartung der Aufsicht im Überblick

Mit dem Entwurf der Leitlinien konkretisiert die Aufsicht ihre Erwartungshaltung an Auslagerungsvereinbarungen. Demnach haben die Institute sicherzustellen, dass auch unter Berücksichtigung von Auslagerungen jederzeit eine angemessene Geschäftsorganisation vorgehalten wird und damit leere Hüllen („empty shells“) sowie Briefkastenfirmen („letter-box-entities“) vermieden werden. Die Regelungen orientieren sich am Grundsatz der Proportionalität, sind auf Einzel- und Gruppenebene anzuwenden und umfassen u.a. Vorgaben zur Outsourcing-Governance, zum Auslagerungsprozess und Anwendungsvorgaben an die Aufsicht selbst.

In Bezug auf die Governance konkretisiert der Entwurf insbesondere die Anforderungen an die Outsourcing-Policy einschließlich der zu adressierenden Inhalte (auch für die Gruppe) sowie die Abgrenzung von Auslagerungen von kritischen sowie von wichtigen Prozessen.

 

Anforderungen im Detail

Im Rahmen der Aufbau- und Ablauforganisation sehen die Leitlinien die Implementierung einer Outsourcing-Funktion bzw. die Bestellung eines Outsourcing-Beauftragten mit direkter Berichtslinie an die Geschäftsleitung vor. Darüber hinaus werden umfangreiche Informationsanforderungen an die Outsourcing-Datenbasis/-Datenbank für bestehende Auslagerungen gestellt.

Der Auslagerungsprozess selbst umfasst verschiedene Phasen. Die Pre-Outsourcing-Phase beinhaltet eine umfangreiche Due Diligence und Risikobewertung der geplanten Auslagerung. Für die Vertragsphase werden detaillierte Mindestbestandteile und -regelungen für die Auslagerungsverträge vorgegeben. Zusätzlich werden Erwartungen an die Auslagerungsüberwachung/-steuerung, an Exit-Strategien und Informationspflichten an die Aufsicht definiert.

Daneben berücksichtigt die vorgeschlagene Leitlinie spezifische Regelungen zu Auslagerungen im Zusammenhang mit IT-Anwendungen einschließlich FinTechs und Cloud-Service-Provider. Die besonderen Vorschriften für Auslagerungen an Cloud-Dienstleiter aus EBA/REC/2017/03 wurden in den Entwurf integriert.

Im Allgemeinen haben die Institute u.a. auch Aspekte des Datenschutzes zu beachten. Dies bedeutet für den Bereich des IT-Outsourcing, dass sie verpflichtet sind, international anerkannte Informationssicherheitsstandards einzuhalten. Hierzu gehört auch, den Geschäftsbetrieb durch Notfallregelungen sicherzustellen.

Bei der Beurteilung der durch die Auslagerung von Tätigkeiten hervorgerufenen operationellen Risiken ist in erster Linie die Qualität der Leistungserbringung durch das Auslagerungsunternehmen, dessen Fähigkeiten, Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu berücksichtigen. Aber auch die Mechanismen, Systeme und Prozesse, die zur Verarbeitung, Übertragung oder Speicherung dieser Daten verwendet werden, sind in die Beurteilung einzubeziehen und zu überwachen.

Für den Fall der Weiterauslagerung ist sicherzustellen, dass die Sicherheitsanforderungen auch beim Subunternehmer eingehalten werden. Daher müssen die vertraglichen Bedingungen, unter denen Weiterauslagerungen erfolgen dürfen, detaillierte Anforderungen enthalten.

Die Dokumentationspflichten für Auslagerungsverhältnisse an Cloud-Service-Provider umfassen neben den allgemeinen Angaben auch die Art der gespeicherten Daten sowie die Orte, an denen sie gespeichert werden. Dies erfordert die entsprechende Vereinbarung einer Informationspflicht der Auslagerungsunternehmen gegenüber den auslagernden Instituten, welche auch Ad-hoc-Informationen bei Änderungen umfassen müssen.

In einem Anhang zum Entwurf werden die zu dokumentierenden Mindestangaben konkretisiert. Hierbei handelt es sich sowohl um qualitative (u.a. Grad der Wesentlichkeit) als auch um quantitative Anforderungen (u.a. Honorarangaben) für sämtliche Auslagerungsverhältnisse. Insbesondere sind auch Angaben zum Leistungsempfänger innerhalb von Gruppenstrukturen zu vermerken, sodass auf diesem Wege auch Intragruppenverflechtungen und daher auch „Klumpenrisiken“ durch die Beauftragung von Auslagerungsunternehmen für eine Vielzahl von Unternehmen einer Gruppe verdeutlicht werden können. Solche Aspekte sollen auch in Rahmen einer Notfallplanung entsprechend berücksichtigt werden. Damit gewinnt die Gruppenbetrachtung auch im Auslagerungsmanagement eine zunehmende Bedeutung.

Bei Auslagerungen von Tätigkeiten an Unternehmen innerhalb derselben Gruppe ist bereits bei der Auswahl des Dienstleisters darauf zu achten, dass diese nach objektiven Kriterien und marktüblichen Bedingungen erfolgt. Dies erfordert entsprechende konzernweit einheitlich geltende Regelungen, die sich ausdrücklich auch mit Interessenskonflikten und Kontrollmechanismen auseinandersetzen.

In Bezug auf die Etablierung und Durchsetzung einheitlicher Vorgaben innerhalb der Gruppe ist u.a. darauf zu achten, dass die Leitlinien sowohl auf Einzel- als auch auf Gruppenebene umgesetzt werden. Dies bedeutet im Umkehrschluss jedoch auch, dass die EU-Mutterunternehmen dafür Sorge zu tragen haben, dass interne Regelungen, Prozesse und Mechanismen in ihren Tochtergesellschaften kohärent, gut integriert und für die wirksame Anwendung dieser Leitlinien auf allen relevanten Ebenen geeignet sind. Trotz einheitlicher gruppeninterner Steuerung bleibt jedoch die Letztverantwortung für eine regelgerechte Umsetzung der regulatorischen Anforderungen bei den Leitungsorganen.

 

Übersicht wichtiger Neuerungen bzw. Konkretisierungen

Ausgehend vom Entwurf der Leitlinien ergeben sich im Vergleich zu den bestehenden Anforderungen des KWG, der MaRisk sowie der BAIT wesentliche Neuerungen bzw. Anpassungsnotwendigkeiten in Bezug auf die nachfolgenden Aspekte:

Governance
  • Differenzierung der Outsourcing-Vereinbarungen unter Berücksichtigung der Kategorien kritische/wichtige Auslagerungen, Intra-Gruppenauslagerungen, beaufsichtigte Service-Provider sowie standortabhängige Abgrenzung (EU bzw. außerhalb);
  • Einrichtung einer Outsourcing-Funktion unabhängig von Umfang und Komplexität der Auslagerungen;
  • Vorhalten einer Outsourcing-Policy (Institut und Gruppe); vorgesehene Bestandteile sind u.a. Verantwortlichkeiten, der Planungs-/Genehmigungsprozess, der Exit-Strategie- & Beendigungsprozess und Steuerungsprozesse sowie Regelungen zur angemessenen Management-Einbindung;
  • Festlegung von Prozessen zur Identifizierung und Steuerung von Interessenskonflikten i. Zshg. mit Auslagerungen und sowie Durchführung einer Untersuchung. Kritische und wichtige Auslagerungen sind in das Business Continuity Management einzubinden und Key Risk Indicators festzulegen (KRIs); 
Pre-Outsourcing-Analysephase
  • Abgrenzung der Auslagerungen bzgl. kritischen und wichtigen („critical or important“) Auslagerungen (Beurteilung);
  • Durchführung einer Service-Provider-Due Diligence (mit definierten Untersuchungsfeldern). Darüber hinaus ist eine Risikoanalyse mit festgelegten Mindestumfang, eine Untersuchung von Interessenskonflikten, eine Analyse der Auswirkungen aufgrund Standort des Service-Providers und seiner Gruppenzugehörigkeit gefordert;
Vertrags-anforderungen
  • Geltung der vertraglichen Anforderungen zum Teil für alle Auslagerungen; ergänzend werden zusätzliche Regelungen für kritische/wichtige Auslagerungen gefordert (MaRisk-Vertragsanforderungen gelten bisher nur für wesentliche Auslagerungen);
  • Vertragliche Anforderungen bestehen u.a. aus Vorgaben für Weiterverlagerungen, Datenschutzanforderungen, eine Kooperationsverpflichtung mit der Aufsicht und die Vereinbarung uneingeschränkter Informations- sowie Prüfungsrechte und zusätzlich eine Festlegung von Beendigungsrechten;
  • Ergänzende Anforderungen für kritische/wichtige Auslagerungen betreffen u.a. SLA-Vereinbarungen, Monitoring und Überwachungspflichten bei Weiterverlagerungen für den Service Provider, ein Entscheidungsrecht bei Weiterverlagerungen sowie angemessene Mitteilungspflicht bei Veränderungen;
Auslagerungs-steuerung
  • Gültigkeit der Regelungen zur Überwachung & Steuerung grds. für alle Auslagerungen. Ein spezieller Fokus liegt auf kritischen/wichtigen Auslagerungen im Hinblick auf Outsourcing-Risikofrüherkennung und einer angemessenen Reaktion auf identifizierte Sachverhalte;
  • Gefordert wird eine regelmäßige Risikoanalyse mit expliziten Anforderungen und eine periodische Information der Erkenntnisse an das Management. Daneben rückt das Monitoring und die Steuerung von Outsourcing-Konzentrationen und die Überwachung von Performance und Qualität in den Fokus. Hierzu wird ergänzend die Implementierung angemessener Tools bzw. Verfahren genannt;
  • Exit-Strategien sind für alle kritischen/wichtigen Auslagerungen notwendig; die Bestandteile der Exit-Strategien sind festgelegt;
Outsourcing-Datenbank / Informations-pflichten
  • Einrichtung einer Outsourcing-Datenbank sowohl auf Instituts- und Gruppenebene (Grundlage entsprechender Gruppen-Outsourcingprozess); Definition der Mindestinformationen im Anhang der Leitlinie;
  • Einrichtung von Informationsprozessen an die Aufsicht (u.a. Übermittlung Outsourcing-Datenbasis im Rahmen SREP);
  • Zusätzlich Forderung von angemessenen Informationen bereits während Planung/Entscheidung (für kritische/wichtige Auslagerungen);
Interne Revision
  • Implementierung eines formellen Follow-up-Prozess für alle Empfehlungen, Feststellungen in Bezug auf Outsourcing; dies umfasst auch Sachverhalte auf Service-Provider-Ebene.

Handlungsbedarf für die Institute

Der Entwurf der Leitlinie sieht ein Inkrafttreten insbesondere für neue Auslagerungen ab dem 30. Juni 2019 vor. Für die Anpassung der Auslagerungsverträge bestehender Auslagerungen (mit Ausnahme von Auslagerungen an Cloud Dienstleister) sowie eine entsprechende Dokumentation wird eine Umsetzungsfrist bis spätestens zum 31. Dezember 2020 vorgeschlagen. Außerdem werden verschiedene Möglichkeiten vorgestellt, wie diese Übergangsfrist ausgestaltet werden soll. Diese reichen von einer „harten“ einjährigen Übergangsvorschrift bis hin zu einer zweijährigen Übergangsfrist mit besonderen Dokumentationsanforderungen. Die damit verbundene relativ kurze Übergangsfrist stellt insbesondere die Anpassung von Mehrjahresverträgen vor eine Herausforderung, wenn diese keine vorzeitige Beendigungsklausel für den Fall, dass gesetzliche Anforderungen Änderungen erfordern, enthalten

Insgesamt gehen die Anforderungen des Entwurfs der EBA-Leitlinie in vielen Bereichen deutlich über die Anforderungen der MaRisk bzw. BAIT hinaus. Dabei weisen sie zumeist auch einen höheren Detailierungsgrad auf. Inwieweit sich im Rahmen der Konsultation noch Änderungen der EBA-Guideline ergeben, bleibt abzuwarten. Erfahrungsgemäß dürften sich diese Änderungen aber eher auf Einzelaspekte beschränken. Für die Institute bedeutet dies, die bestehende Governance sowie die Auslagerungsprozesse frühzeitig im Hinblick auf die konkrete Ausgestaltung zu überprüfen und ggf. anzupassen bzw. zu erweitern. Dabei kommt insbesondere einer angemessenen Ausgestaltung und Dokumentation der Auslagerungssteuerung eine zentrale Bedeutung zu. Während neue Auslagerungsverträge bereits unter Berücksichtigung der Anforderungen der EBA-Leitlinie erstellt werden sollten, empfiehlt sich – soweit erforderlich – zeitnah eine Anpassung bestehender Verträge zu initiieren. Gerne unterstützen wir Sie diesbezüglich bei den anstehenden Aufgaben.

Ihre Ansprechpartner

      Wilhelm Wolfgarten                                   Tobias Batzer
      Partner | Audit & Assurance                       Manager | Audit & Assurance
      wwolfgarten@deloitte.de                             tbatzer@deloitte.de