Article
Auswirkungen der EBA Leitlinien zu Auslagerungen auf die Vertragsgestaltung
Problembeschreibung und Lösungsansätze für Finanzinstitute
IT-Auslagerungen spielen eine fundamentale Rolle in der Digitalisierung des sich ständig verändernden Finanzmarktes. Auslagerung bedeutet dabei aber auch Kontrollverlust über und gleichzeitig Verantwortung für die ausgelagerte Funktion. Um eine Balance zwischen den damit zusammenhängenden Risiken und Chancen zu schaffen, stellen die „EBA Leitlinien zu Auslagerungen“ einen rechtlichen Rahmen auf, welcher bei der Verhandlung vertraglicher Auslagerungsvereinbarungen eingehalten werden muss.
Die EBA Leitlinien zu Auslagerungen vom 30. September 2019
Der Rechtsrahmen, den die „EBA Leitlinien zu Auslagerungen“ (die Leitlinien) schaffen, betrifft Kredit-, Zahlungs- und E-Geld-Institute sowie Investmentfirmen (die Finanzinstitute). Basierend auf dem Artikel „Contracting Under the EBA Guidelines on Outsourcing Arrangements“, der in der April Ausgabe der Computer Law Review International (CRi 2020, 50) veröffentlich wurde, umreißt Dr. Till Contzen im Folgenden die Anforderungen der Leitlinien hinsichtlich des Abschlusses von Auslagerungsvereinbarungen.
Geltungsbereich
Die Leitlinien regeln Auslagerungen von kritischen oder wesentlichen Funktionen. Bei Auslagerungen führt ein Dienstleister eine Funktion (ganz oder teilweise) wiederholt oder durchgehend aus, die normalerweise von den Finanzinstituten selbst erbracht würde. Die Leitlinien binden unmittelbar nur die Aufsichtsbehörden im EWR; diese übernehmen die Leitlinien grundsätzlich als eigenen Verwaltungspraxis und müssen, erforderlichenfalls, veröffentlichen, ob und in welchem Umfang sie diese Leitlinien nicht übernehmen. Ergänzend zu den Leitlinien gilt die Verwaltungspraxis zum nationalen Recht, im Zusammenhang mit der Auslagerung etwa AT 9 der MaRisk, der § 25b KWG auslegt.
Auslagerungsvereinbarungen
Um die Risiken des Auslagerns zu minimieren, muss die entsprechend zugrundeliegende Auslagerungsvereinbarung die Beziehung zwischen den Parteien sowie deren Rechte und Pflichten ausführlich regeln. Insbesondere sollten folgende Schlüsselelemente adressiert werden:
- Leistungsbeschreibung und finanzielle Verpflichtungen
Etwaige Unklarheiten in wesentlichen Vertragsbestandteilen einer Auslagerungsvereinbarung können zu verschiedensten Problemen führen, z.B. mangelhafte Leistung des Dienstleisters, unverhältnismäßige Ausgaben oder ungeeignete Service Levels und Pönalen. - Leistungsorte
Der Wechsel des Leitungsortes kann sich drastisch auf die Qualität der Auslagerung auswirken, zu Sicherheitsrisiken führen, Auslagerungskosten steigern oder sogar zu Rechtsverstößen und Bußgeldern führen. - Unterauslagerung
Unterauslagerung kann zu einem noch größeren Kontrollverlust des Finanzinstituts führen, da sich die Funktion nun noch weiter weg von dessen Einflussbereich befindet. - IT-Sicherheit und Betriebskontinuitätspläne
Werden Sicherheits- und Betriebskontinuitätsmaßnahmen nicht sorgfältig geprüft und vereinbart, kann sich dies im späteren Verlauf der Auslagerung rächen. Die Sicherheitsanforderungen an Finanzinstitute sind sehr hoch und sicherheitsrelevante Diskrepanzen auf Seiten des Dienstleisters können dazu führen, dass das Finanzinstitut Schadensersatzforderungen, Bußgeldern oder noch weitergehenden Konsequenzen ausgesetzt ist. - Berichterstattung, Überwachungs- und Auditrechte
Um so viel Kontrolle wie möglich über die ausgelagerte Funktion zu behalten, sind Reporting-Verpflichtungen sowie Überwachungs- und Auditrechte gegenüber den Dienstleistern das (behördlich vorgegebene) Mittel der Wahl der Finanzinstitute und Aufsichtsbehörden. Werden diese Mittel vertraglich nicht präzise ausgestaltet, verliert das Finanzinstitut so gut wie jede Einflussmöglichkeit auf die ausgelagerte Funktion. - Kündigung und Vertragsausstieg
Die verschiedenen von den Leitlinien vorgegebenen Kündigungsrechte sind – sofern sie sinnvoll ausgestaltet sind – eine weitere Möglichkeit des Finanzinstituts, den Einfluss auf den Dienstleister zu erhöhen. Werden keine präzisen Exit-Strategien festgelegt, kann dies zu einer chaotischen Vertragsbeendigung führen. Dies erhöht wiederum das Risiko, die hohen Sicherheitsanforderungen an Finanzinstitute nicht zu erfüllen.
Diese Schlüsselelemente sind oft Teil ausführlicher Diskussionen in Verhandlungen und bergen üblicherweise die höchsten Risiken, wenn sie nicht beachtet werden. Unsere Erfahrungen zeigen, dass die relevanten Regelungen aber überraschend oft unterschätzt und (vertraglich) nicht oder nur ungenügend berücksichtigt werden.
Fazit
Finanzinstitute sind gut beraten, wenn sie die Einhaltung der Leitlinien (und anderen regulatorischen Vorgaben) bei Auslagerungen priorisieren. Der wohl beste Weg ist dabei ein modularer und klarer Satz an vertraglichen Regelungen, die in jeglichen Vertragsarten verwendet werden können.
Der komplette Artikel von Dr. Till Contzen (CRi 2020, 50) beinhaltet eine tiefergehende Analyse der Risiken und schlägt Lösungen vor, um Compliance mit den EBA Leitlinien zu Auslagerungen sicherzustellen.
