Auf dem Weg in die Financial Cloud. Sind Cloud-Dienste voller „Little Fluffy Clouds“?

Cloud-Anbieter versprechen, dass Institute erhebliche Kosten für IT-Ressourcen sparen können, indem die IT-Infrastruktur, wie z. B. Rechenleistung oder Speicherplatz, vollständig oder teilweise an Cloud-Dienste ausgelagert wird. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat nun zum 8. November 2018 eine Orientierungshilfe für die Auslagerung an Cloud-Anbieter in Form eines Merkblatts veröffentlicht. Im nachfolgenden Beitrag werfen wir einen ersten Blick auf die neuen Regelungen, die unmittelbar auch für Zahlungsinstitute gelten.

Hintergrund:

In den aufsichtsrechtlichen Anforderungen der BaFin wurden Cloud-Dienste bisher kaum erwähnt. Grundsätzlich handelt es sich dabei um „ganz normale“ Auslagerungen, für welche die Anforderungen der BaFin gelten, wie sie etwa im AT 9 der „Mindestanforderungen an das Risikomanagement“ (MaRisk) gemäß BaFin-Rundschreiben 09/2017 (BA) vom 27. Oktober 2017 oder in Ziffer II. 8., Rz. 52 der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) gemäß BaFin-Rundschreiben 10/2017 (BA) in der Fassung vom 14. September 2018 niedergelegt sind. Aus Sicht von Zahlungsinstituten unbefriedigend war, dass die bisherigen Vorgaben in MaRisk und BAIT unmittelbar nur für Banken gelten, auch wenn sie faktisch von der BaFin bislang gerne als Maßstab zur Beurteilung von Auslagerungen nach § 26 Zahlungsdiensteaufsichtsgesetz (ZAG) herangezogen wurden. Um den Besonderheiten von Cloud-Diensten Rechnung zu tragen, veröffentlichte die European Banking Authority (EBA) im Anschluss an ein Konsultationsverfahren Empfehlungen zum Einsatz von Cloud-Diensten (EBA/REC/2017/03), dessen deutsche Fassung zum 28.03.2018 erschien. Die BaFin hat sich bei der Umsetzung der EBA-Empfehlung zwar größtenteils danach gerichtet, aber dabei eine – sehr zu begrüßende! – praktische und auf die konkrete Gestaltung des Vertrags gerichtete Herangehensweise gewählt. Ein bisschen fühlt man sich dabei an die Zeiten des „Outsourcing-Rundschreibens“ (Rs. 11/2001 vom 6. Dezember 2001) und der damals von der BaFin veröffentlichen Mustervereinbarung erinnert. https://www.youtube.com/watch?v=CdMs7eqMvNg

(1991 – als mit Cloud noch stets eine Wolke gemeint war)

Definition „Cloud-Dienste“ (Teil II)

Sowohl die „Empfehlungen“ der EBA als auch die „Orientierungshilfe“ der BaFin enthalten eine Definition von „Cloud-Diensten“, die definiert werden als Dienste, die

…ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen … (wie Netzwerke, Server, Speicher, Anwendungen und Services)

ermöglichen, und

sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten

lassen. Dabei sieht die BaFin in der Regel jegliche Nutzung von Cloud-Dienstleistungen als Auslagerung an.

Strategische Überlegungen und Wesentlichkeitsbewertungen (Teil II und IV)

Die BaFin gibt in der „Orientierungshilfe“ zunächst ausführlich Hinweise zu den strategischen Überlegungen, die ein Institut anstellen sollte, bevor es sich für eine bestimmte Form der Auslagerung entscheidet. Inhaltlich ist dies recht ähnlich zu den Passagen in der BAIT in Teil II, sowie den Erläuterungen der BaFin zu AT 9 in den MaRisk. Ohne an dieser Stelle im Detail darauf einzugehen zu wollen, lässt sich doch festhalten, dass die Entscheidung für die Nutzung von Cloud-Diensten und für oder gegen einen bestimmten Anbieter, zukünftig so ausführlich dokumentiert werden sollte, dass für einen Prüfer nachvollziehbar wird, welche strategischen Überlegungen ein Institut bei der Entscheidung angestellt hat. Institute, die bereits einen formalisierten Entscheidungsprozess etabliert haben und entsprechend Routine mit der Dokumentation solcher Entscheidungen haben, sollen damit keine größeren Probleme haben. Allerdings dürften dies nach unserer Einschätzung vor allem solche Zahlungsinstitute als Herausforderung empfinden, die die dynamische Herangehensweise etwa aus ihrer Startup-Phase noch nicht abgelegt haben oder dies auch nicht wollen.

Leistungsgegenstand (Teil V, Nr. 1)

Die BaFin legt Wert darauf, dass im Vertrag eine Spezifizierung der zu erbringenden Leistung erfolgt. Das bedeutet, dass in den Vertrag neben der Beschreibung der eigentlichen technischen Leistungen auch Regelungen zu Support, Verantwortlichkeit/Mitwirkungspflichten, zu Laufzeit und vor allem zu Service-Level-Agreements aufzunehmen sind. Aus unserer Praxis wissen wir, dass viele Verträge hier oft mangelhaft sind: Anbieter von Cloud-Diensten scheinen sich davor zu scheuen, sich hinsichtlich ihrer Leistungen und vor allem der Qualität der Leistungserbringung festzulegen. Die auslagernden Institute hingegen werden damit konfrontiert, dass es nicht einfach ist, die eigenen Leistungsanforderungen umfassend und für einen Dritten klar verständlich zu beschreiben, Prozesse und Entscheidungswege zu definieren, und die einzuhaltenden Service Level festzulegen. Die Einführung und Nutzung eines Cloud-Dienstes kann daher schnell deutlich aufwendiger und damit teurer als erwartet werden. Die BaFin legt auch – etwas irritierenderweise – darauf Wert, dass der Ort der Leistungserbringung, z.B. der Standort des Rechenzentrums, vertraglich festgelegt wird. Dabei ist es gerade ein Merkmal von Cloud-Diensten, dass diese ortsunabhängig genutzt (was die BaFin sieht, vgl. Teil II, Definition „Cloud-Dienste“) aber eben auch ortsunabhängig erbracht werden können. Insgesamt sind die BaFin-Anforderungen hier zwar ähnlich, aber doch strikter und deutlicher ausformuliert, als bei der MaRisk (vgl. AT9, Tz. 7 lit. a und Tz. 9).

Informations- und Prüfungsrechte des beaufsichtigten Unternehmens (Teil V, Nr. 2)

Eine Auslagerung darf die Prüfungsmöglichkeiten des Instituts nicht einschränken. Dieser Grundsatz ist altbekannt und wird im Cloud-Merkblatt sehr ausführlich dargestellt. Besonderen Wert legt die BaFin darauf, dass das Prüfungsrecht nicht durch irgendwelche vertraglich mit dem Cloud-Anbieter vereinbarten Prüfungsvoraussetzungen eingeschränkt wird, die etwa eine Vor-Ort Prüfung an Voraussetzungen knüpfen, oder diese zeitlichen Beschränkungen unterwirft, oder wenn eine Vor-Ort Prüfung von der vorherigen Teilnahme an Schulungen abhängig gemacht wird. Aus Sicht der Cloud-Anbieter erschwerend kommt hinzu, dass die BaFin betont, Zertifikate bzw. Prüfberichte für sich alleine genügten nicht. Es müsse vielmehr zusätzlich stets eine eigene Prüfung möglich sein. Dies dürfte in der Praxis, vor allem bei den großen, internationalen Anbietern, schwierig umzusetzen sein. Die Anbieter wollen in der Regel „Prüfungstourismus“ unbedingt vermeiden, denn dieser ist für sich wieder ein Risiko für die Sicherheit, auch der Daten anderer Kunden. Gleichzeitig wird von der BaFin mit der Erwähnung von Sammelprüfungen eine Möglichkeit angedeutet, wie sich insbesondere Zahlungsinstitute, die sich bisher nicht unmittelbar auf die in der MaRisk geregelte Möglichkeit von „pooled audits“ (BT 2.1, Tz. 3) berufen konnten, mit anderen Instituten die Kunden des Cloud-Anbieters sind, zusammenschließen könnten, um Prüfungen durch einen einzelnen Prüfer durchzuführen. Ebenso wird – wie auch in der MaRisk – betont, dass auch die gesamte Auslagerungskette inkl. Möglichkeit der Vor-Ort-Prüfungen einbezogen sein muss. Die Regelungen sind sehr viel ausführlicher als in der MaRisk, AT 9 Tz. 7 lit. c. Die BaFin erwähnt neben dem schon aus der MaRisk bekannten DIN/ISO 2700x Standards auch den Cloud Computing Compliance Controls Catalogue (C5) des BSI. Es bleibt abzuwarten, ob sich daneben auch andere Prüfstandards und Zertifikate, wie etwa die der CSA Cloud Security Alliance, durchsetzen.

Informations- und Prüfungsrechte der Aufsicht (Teil V, Nr. 3)

Ebenso wie die Prüfungsrechte des Instituts müssen die Prüfungsrechte der Aufsichtsbehörde gewährleistet sein. Weiterhin gilt der Grundsatz, dass die Aufsichtsbehörde den Cloud-Anbieter in derselben Weise prüfen können muss, wie sie das beaufsichtigte Institut prüfen kann. Auch hier erteilt die BaFin Versuchen der Cloud-Anbieter, das Prüfungsrecht mittelbar einzuschränken oder an Voraussetzungen zu knüpfen, eine deutliche Absage (s. oben). Im Vergleich zur MaRisk, AT 9 Tz. 7 lit. b und c ist die Regelung strikter.

Weisungsrechte (Teil V, Nr. 4)

Das Institut muss mit dem Cloud-Anbieter Weisungsrechte vereinbaren, um dadurch sicherzustellen, dass alle zur Erfüllung der vereinbarten Dienstleistung erforderlichen Einflussnahme- und Steuerungsmöglichkeiten gegeben sind. Im Grunde ist dieses Weisungsrecht eng verwandt mit dem Weisungsrecht des „Verantwortlichen“ i.S.d. EU-Datenschutzgrundverordnung (DSGVO) gegenüber dessen Auftragsverarbeiter, vgl. Art. 28 Abs. 3 a DSGVO. In beiden Fällen wird Cloud-Diensten die Einhaltung dieser Anforderung nur dann gelingen, wenn sie eine strikte und sehr weitgehende Mandantentrennung durchführen, was systembedingt zumindest bei Public Clouds kaum möglich sein dürfte. Neu ist die Forderung der BaFin, dass das Institut Einfluss auf den Umfang von Nachweisen/Zertifizierungen oder Prüfberichten haben solle, wenn sich der Cloud-Anbieter auf eben solche beruft. Wie sich dies mit den stark standardisierten Abläufen bei Zertifizierungen und den geradezu „großindustriellen“ Prozessen großer Cloud-Anbieter verträgt, bleibt abzuwarten. Wahrscheinlich kann diese Anforderung von den Instituten effektiv nur bei kleineren Anbietern durchgesetzt werden. Das Institut kann prinzipiell auch zu dem Ergebnis kommen, auf Weisungsrechte verzichten zu können. In diesem Fall müssen aber die Leistungen detailliert beschrieben sein. Mithin bietet sich diese Vorgehensweise bei der Nutzung von sehr stark standardisierten und eher risikoarmen Cloud-Diensten an. Insgesamt ist auch hier wieder zu beobachten, dass die Vorgaben strikter sind als bisher in der MaRisk, AT 9 Tz. 7 lit. d und AT 7.2, Tz. 2.

Datensicherheit/-schutz (Hinweis zum Ort der Datenspeicherung) (Teil V, Nr. 5)

Wenig überraschend erwartet die BaFin, dass der Vertrag mit dem Cloud-Anbieter Regelungen enthält, die sicherstellen, dass datenschutzrechtliche Bestimmungen und sonstige Sicherheitsanforderungen eingehalten werden. Dazu gehören neben den Maßnahmen zu Datenschutz nach der DSGVO auch Maßnahmen zur Datensicherheit, Ausfallsicherheit, Redundanz und zum Export bzw. der Rücküberführung der Daten vom Cloud-Anbieter hin zum Institut bzw. einem anderen Anbieter. Insgesamt sind dies kaum neue Aspekte, die ähnlich, in kürzerer Form, bereits in der MaRisk, AT 9 Tz. 6, und 7 lit. f und g geregelt sind, oder die sich bereits aus den Anforderungen der DSGVO ergeben. Bei Software-as-a-Service und Platform-as-a-Service Cloud-Diensten kann allerdings im Export der Daten eine gewisse Herausforderung liegen. Je nach Software oder Plattform ist diese möglicherweise gar nicht anderswo als beim Cloud-Anbieter erhältlich und Daten müssen daher erst aufwendig konvertiert werden, bevor diese weitergenutzt werden können. Kaum mit dem ursprünglichen Gedanken des Cloud-Computing („Das Netz ist der Computer“) vereinbar ist das Beharren der BaFin auf die Benennung des Orts der Datenspeicherung. Gerade große Anbieter nutzen eine Vielzahl von Rechenzentren an über die ganze Welt verteilten Standorten, die ständig ausgebaut werden. Daten werden zwischen diesen Standorten je nach Bedarf ausgetauscht, und so können die Daten eines Anwenders heute in einem Rechenzentrum in Belgien, morgen in Vietnam und übermorgen in den USA gespeichert werden. „Die Cloud“ macht es gerade möglich, dass der Anwender davon nichts merkt. Würde man einem Vertrag eine entsprechende Liste von Standorten beifügen, wäre diese wahrscheinlich schon wenige Wochen nach Vertragsschluss veraltet. Zwar gibt es Angebote am Markt, die eine Beschränkung auf bestimmte Regionen (z.B. „EURO“ Cloud, Verarbeitung/Speicherung der Daten erfolgt nur innerhalb der EU) oder gar in einem bestimmten Land („German Cloud“, Verarbeitung/Speicherung der Daten erfolgt nur innerhalb Deutschlands) vorsehen. Diese Angebote sind aber oft teurer und nicht bei allen Cloud-Anbietern verfügbar. Auch hier kann daher die Wahl eines kleineren, national oder nur EU-weit agierenden Cloud-Anbieters eine Lösung sein. Eine Frage für sich ist, wie Cloud-Anbieter, die aus den USA stammen oder deren (letztendliche) Muttergesellschaft in den USA sitzt, die Datensicherheit unter Berücksichtigung des US CLOUD (Clarifying Lawful Overseas Use of Data Act) vom 23.03.2018 gewährleisten wollen. Der CLOUD Act erlaubt US-Behörden den Zugriff auf alle Daten auf Servern, die unter der (letzendlichen) Kontrolle von US-Unternehmen stehen, auch wenn diese im Ausland bei Tochtergesellschaften stehen. Dies betrifft Anbieter wie z.B. Microsoft, Amazon, Google und Oracle. Das US-Gesetz ignoriert dabei entgegenstehende Rechtsvorschriften, wie z.B. Art. 48 DSGVO, der ohne einschlägige Rechtshilfeabkommen bzw. Rechtshilfeanfragen Übermittlungen in Drittländer verbietet. Auch eine „Euro Cloud“ oder eine „German Cloud“ schützt dann nicht vor Zugriffen, sondern nur die Einbindung eines Cloud-Anbieters, der keinen US-Bezug hat. Im Grunde ist dies also eine Steilvorlage für lokale oder nationale Anbieter, die dann auch kaum Schwierigkeiten mit der Nennung ihrer Rechenzentrumsstandorte haben dürften.

Kündigungsmodalitäten (Teil V, Nr. 6)

Analog zur MaRisk betont die BaFin, dass im Vertrag neben Kündigungsrechten und angemessenen Kündigungsfristen, die eine geordnete Überführung der Leistungen erlauben, auch Sonderkündigungsrechte zu vereinbaren sind, damit sich das Institut auch kurzfristig lösen kann, etwa wenn die BaFin die Beendigung des Vertrags verlangt. Die damit geschaffene Pflicht des Instituts, eine Exit-Strategie vorzuhalten, ermöglicht erst die Ausübung solcher Kündigungsrechte. Ähnliche Regelungen finden sich bereits heute in der MaRisk, AT 9 Tz. 6 und 7 lit. f.

Weiterverlagerung (Teil V, Nr. 7)

Ebenso bekannt wirken die Vorgaben zu den Möglichkeiten und Modalitäten einer Weiterverlagerung, d.h. des Einsatzes von Subunternehmern durch den Cloud-Anbieter. Diese Weiterverlagerungen müssen letztlich so gestaltet werden, dass die Einhaltung aufsichtsrechtlicher Anforderungen weiterhin gewährleistet ist. Zudem sind Auswirkungen auf das operative Gesamtrisiko des Instituts zu berücksichtigen. Insgesamt bietet das Merkblatt hier gegenüber der MaRisk, AT 9 Tz. 8 und 11 wenig Neues, zumal auch die Auftragsverarbeitung nach DSGVO (Art. 28 Abs. 2 und 4) ganz ähnliche Maßnahmen erfordert.

Informationspflichten (Teil V, Nr. 8)

Das Institut soll den Cloud-Anbieter dazu verpflichten, das Institut unverzüglich über Entwicklungen, Störungen und sonstige Umstände zu informieren, die die ordnungsgemäße Erledigung der ausgelagerten Leistungen beeinträchtigen können – und gegebenenfalls über ergriffene und geplante Maßnahmen zur Abhilfe. Diese Regelung ist ähnlich zur MaRisk, AT 9 Tz. 7 lit. h ausgestaltet. Auch besteht eine Ähnlichkeit zu den Meldepflichten nach Art. 33 DSGVO i.V.m. Art. 28 Abs. 3 lit. f DSGVO, bei denen der Auftragsverarbeiter den Verantwortlichen unterstützen muss.

Hinweis zum anwendbaren Recht (Teil V, Nr. 9)

Bemerkenswert ist, dass die BaFin aus Gründen der Rechtssicherheit die Vereinbarung des deutschen Rechts oder des Rechts eines Mitgliedsstaates der EU/des EWR fordert. Zwar gilt grundsätzlich Vertragsfreiheit, aber die Vermutung liegt nahe, dass jede Anwendung eines anderen Rechts einer Risikoabwägung bedarf und zukünftig erklärungsbedürftig sein wird. Aus diesem Grund sollte diese Risikoabwägung dann auch gut dokumentiert sein.

Notfallplanung?

Bemerkenswert ist, dass im Merkblatt der BaFin eine Passage zur Notfallplanung fehlt. Die BAIT hingegen wurden erst kürzlich, zum 14.09.2018, um einen ganzen Abschnitt zu diesem Thema ergänzt, der u.a. AT 7.3 der MaRisk konkretisiert. Dies mag seine Ursache darin haben, dass im Grunde das gesamte Merkblatt darauf ausgerichtet ist, die Verfügbarkeit der auf den Cloud-Anbieter ausgelagerten Prozesse und Daten zu gewährleisten. Bemerkenswert ist es aber schon, und es bleibt abzuwarten, ob zukünftige Ergänzungen diese Lücke schließen werden. Immerhin gibt es mit § 27 Abs. 1 Nr. 3 ZAG eine gesetzliche Verpflichtung der Zahlungsinstitute, ein Notfallkonzept vorzuhalten. Einstweilen sind auch Zahlungsinstitute wohl gut beraten, sich zur Umsetzung dieser Anforderung weiterhin an der MaRisk, AT 7.3 sowie den BAIT zu orientieren.

Fazit

Im Ergebnis sind die Inhalte des Merkblatts nur konsequente und ausführlicher als bisher erläuterte Umsetzungen der bisherigen Vorgaben aus den MaRisk, AT 9, sowie den BAIT, Teil II, Tz. 52ff. Auch wenn Cloud-Dienste im Vordergrund stehen, lassen sich dennoch auch für andere Auslagerungen Rückschlüsse ziehen. Dies wird insbesondere dann interessant, wenn das gerade laufende Konsultationsverfahren der EBA zum Outsourcing (EBA/CP/2018/11) abgeschlossen ist. Diese Vorgaben sollen für alle beaufsichtigten Bank- und Zahlungsinstitute gelten und die heutigen Vorgaben zum Cloud-Computing mit einbeziehen. Es bleibt also spannend, ob sich die Aufsichten weiter der Cloud nähern, und welche rechtlichen Vorgaben sie Instituten zukünftig machen werden.   Cover picture: Copyright © fotolia / mchlskhrv

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

You May Also Like