Das neue Merkblatt der BaFin zu Aus­lagerungen an Cloud-Anbieter

Mit dem am 8. November 2018 veröffentlichten “Merkblatt – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter” konkretisieren die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Deutsche Bundesbank ihr Verständnis und ihre Interpretation von Cloud-Diensten und legen dar, was Banken und andere beaufsichtigte Finanzdienstleistungsinstitute (im Folgenden “beaufsichtigte Unternehmen”) bei Auslagerungen an Cloud-Anbieter zu beachten haben.

Das Merkblatt richtet sich an alle beaufsichtigten Unternehmen, die einen Cloud-Dienst in Anspruch nehmen möchten, wobei die konkreten Hinweise zur Vertragsgestaltung nur bei wesentlichen Auslagerungen (§ 25 b KWG iVm MaRisk) bzw. bei den nicht differenzierten Auslagerungen gemäß KAGB zu beachten sind.

Hinweise zur Vertragsgestaltung

In 9 Punkten führt die BaFin aus, welche Vereinbarungen in einen Auslagerungsvertrag mit einem Cloud-Anbieter aufzunehmen sind.

• Zunächst muss der Leistungsgegenstand konkret beschrieben werden. Hierzu wird die Verwendung von SLAs (Service-Level-Agreements) empfohlen, die eine deutliche Differenzierung der Leistungen des Cloud-Anbieters zu den in eigener Person erbrachten Leistungen ermöglichen.
• Darüber hinaus sind Informations- und Prüfungsrechte des beaufsichtigten Unternehmens sowie der BaFin vorzusehen. Seitens des Cloud-Anbieters müssen uneingeschränkte Zugriffs- und Zugangsrechte eingeräumt werden.
• Zur Erleichterung ihrer Prüfungsverpflichtungen können beaufsichtigte Unternehmen Sammelprüfungen mit anderen beaufsichtigten Unternehmen durchführen oder ihre Prüfung auf Nachweise/Zertifikate auf Grundlage gängiger Standards (z.B. den C-5-Anforderungskatalog des Bundesamts für Sicherheit in der Informationstechnik) beschränken.
• Das zugrundeliegende Vertragswerk muss ein Weisungsrecht für das beaufsichtigte Unternehmen vorsehen, das dem beaufsichtigten Unternehmen eine jederzeitige Einflussnahme auf den ausgelagerten Sachverhalt ermöglicht und entsprechende Steuerungsmöglichkeiten einräumt.
• Es sind verschiedene Regelungen hinsichtlich Datensicherheit/-schutz aufzunehmen. Insbesondere müssen Daten jederzeit einer Rücküberführung zugänglich und Ausfälle von Rechenzentren abgesichert sein.
• Neben den allgemeinen Kündigungsregeln sollte ein Sonderkündigungsrecht vereinbart werden, wenn seitens der Aufsichtsbehörde die Beendigung der Auslagerung und des dieser zugrundeliegenden Auslagerungsvertrages verlangt wird. Der Cloud-Anbieter muss darüber hinaus verpflichtet werden, alle erlangten Daten nach Kündigung und erfolgter Rückübertragung vollständig und unwiderruflich zu löschen.
• Weiterverlagerungen sind unter die Bedingung zu stellen, dass sowohl dem beaufsichtigten Unternehmen als auch der zuständigen Aufsichtsbehörde ausreichende Informations- und Prüfungsrechte auch gegenüber dem Subunternehmer zustehen. Der Subunternehmer muss den gleichen Verpflichtungen unterliegen wie der Cloud-Anbieter selbst.
• Der Cloud-Anbieter hat das beaufsichtigte Unternehmen über Entwicklungen zu informieren, die eine ordnungsgemäße Erledigung des ausgelagerten Sachverhalts beeinträchtigen könnten. Sicherheitsvorfälle wie auch Änderungen in der Bereitstellung des Cloud-Dienstes sind dem beaufsichtigte Unternehmen unverzüglich anzuzeigen.
• Zur Rechtssicherheit ist deutsches Recht oder das Recht eines Mitgliedstaats der EU oder des Europäischen Wirtschaftsraums für anwendbar zu erklären.

Auswirkungen für die Praxis

Obschon es sich bei der Orientierungshilfe nicht um einen Akt der Rechtsetzung handelt und diese keine neuen Anforderungen stellt, sondern nur die derzeitige aufsichtliche Praxis in Auslagerungsfällen wiedergibt, ist beaufsichtigten Unternehmen dringend anzuraten, die als Einschätzung apostrophierten Empfehlungen bei der Gestaltung von Auslagerungen zu berücksichtigen. Nur so ist sichergestellt, dass die BAFin und die Deutsche Bundesbank an Vertragsgestaltungen in diesem Umfeld keinen Anstoß nehmen. Durch Berücksichtigung der Handlungsempfehlungen wird zugleich eine rechtssichere Ausgestaltung der zugrunde liegenden Verträge befördert und eine Standardisierung vorangetrieben.