Die Auslagerung taucht in mehreren Gesetzen auf, so z. B.in § 26 ZAG, § 25b KWG und § 17 Abs. 5 GwG. Wir wollen uns auf die Auslagerung im Sinne des ZAG bzw. KWG konzentrieren. Vorgaben hierfür finden sich in den Mindestanforderungen an das Risikomanagement („MaRisk“), in den EBA-Guidelines zum Outsourcing („EBA-Guidelines“) und den Bankaufsichtsrechtlichen Anforderungen an die IT („BAIT“).
Wann liegt eine Auslagerung vor?
Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden. Diese Definition findet sich in AT 9 Tz. 1 MaRisk. Ein Institut kann z. B. die Funktion des Datenschutzbeauftragten auslagern. Nicht unter den Auslagerungsbegriff fallen hingegen allgemeine Service- oder Unterstützungsdienstleistungen für das Institut, wie z. B. Postzustellung, Gebäudereinigung oder Abfallentsorgung.
Was darf ausgelagert werden?
Nicht alle Tätigkeiten dürfen ausgelagert werden. Voraussetzung für eine Auslagerungsfähigkeit ist, dass die Ordnungsmäßigkeit der Geschäftsorganisation nicht beeinträchtigt wird (§ 26 Abs. 1 S. 2 Alt. 2 ZAG, § 25b Abs. 1 S. 2 KWG). Zudem darf die Auslagerung nicht zu einer Delegation der Verantwortung der Geschäftsleitung an das Auslagerungsunternehmen führen. So ist die Leitungsaufgabe der Geschäftsleitung nicht auslagerbar (AT 9 Tz. 4 MaRisk).
Vorgaben und Anforderungen für Auslagerungen
Wenn eine Auslagerung vorliegt und die Aktivitäten und Prozesse auslagerbar sind, muss das Institut bestimmte Vorgaben beachten. Das Institut muss auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (AT9 Tz. 2 MaRisk). Entscheidende Parameter hierfür können z. B. der Risikogehalt und die Komplexität der auszulagernden Tätigkeiten und Prozesse und das Erfordernis der zeitnahen Verfügbarkeit der Dienstleistung sowie die Reputationsrisiken bei Schlechtleistung sein. Das Ergebnis der Risikoanalyse ist in angemessenem Umfang und für sachkundige Dritte nachvollziehbar zu begründen und zu dokumentieren.
Für nicht wesentliche und wesentliche Auslagerungen sind die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation (AT 9 Tz. 4 MaRisk) zu beachten. Danach ist u. a. ein angemessenes Notfallkonzept, insbesondere für IT-Systeme, festzulegen (vgl. § 27 Abs. 1 Nr. 3 ZAG, § 25a Abs. 1 Nr. 5 KWG). Zudem bleibt das Institut für die Einhaltung der von ihm zu beachtenden gesetzlichen Bestimmungen verantwortlich.
Darüber hinaus sind die Anforderungen der EBA-Guidelines zu beachten, z. B. sollen die Rechte und Pflichten des Instituts und des Dienstleisters eindeutig festgelegt und in einer schriftlichen Vereinbarung festgehalten sein (Ziffer 74).
Zudem sollte in der Auslagerungsvereinbarung ausdrücklich die Möglichkeit für das Institut vorgesehen sein, die Vereinbarung gemäß dem geltenden Gesetz zu kündigen, z. B. wenn der Dienstleister der ausgelagerten Funktionen gegen geltendes Recht, Rechtsvorschriften oder Vertragsbestimmungen verstößt oder wenn Hindernisse, durch die die Durchführung der ausgelagerten Funktion verändert werden kann, ermittelt werden (EBA-Guidelines Ziffer 98).
Weitere Vorgaben für wesentliche Auslagerungen
Bei wesentlichen Auslagerungen kommen weitere Vorgaben hinzu. So hat das Institut nach MaRisk At 9 Tz. 6 im Fall der beabsichtigten oder erwarteten Beendigung der Auslagerungsvereinbarung Vorkehrungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Prozesse auch nach Beendigung zu gewährleisten. Die mit wesentlichen Auslagerungen verbundenen Risiken hat das Institut angemessen zu steuern. Die Ausführung der ausgelagerten Aktivitäten und Prozesse ist vom Institut ordnungsgemäß zu überwachen, und für die Steuerung und Überwachung wesentlicher Auslagerungen hat das Institut klare Verantwortlichkeiten festzulegen (MaRisk At 9 Tz. 9, 10).
Zudem ist bei wesentlichen Auslagerungen ein besonderes Augenmerk auf die Gestaltung der Auslagerungsvereinbarung zu richten. Besondere Bestimmungen finden sich in MaRisk AT 9 Tz. 7. Danach sind u. a. Vereinbarungen zu treffen im Hinblick auf die Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer. Auch müssen uneingeschränkte Informations- und Prüfungsrechte sowie Kontrollmöglichkeiten der zuständigen Behörden bezüglich der ausgelagerten Aktivitäten und Prozesse vertraglich sichergestellt werden.In den EBA-Guidelines werden die Anforderungen an Auslagerungsvereinbarungen sehr detailliert dargestellt. Die Auslagerungsvereinbarung für kritische und wesentliche Funktionen muss danach u. a. folgende Bestimmungen enthalten:
- den Standort bzw. die Standorte (d. h. Regionen oder Länder), in denen die Durchführung der Funktion erfolgt,
- das Recht des auslagernden Instituts zur laufenden Überwachung der Leistung des Dienstleisters,
- die vereinbarte Dienstleistungsgüte,
- die Berichtspflichten des Dienstleisters ggü. dem Institut,
- die Anforderungen an die Umsetzung und Erprobung von Notfallplänen sowie
- Angaben dazu, ob eine Weiterverlagerung bzw. Subauslagerung zulässig ist.
Weitere Vorgaben für die Auslagerung von IT
Für die Auslagerung von IT gilt neben den o. g. Vorgaben die BAIT. Unter II.8. Tz. 52 BAIT wird klargestellt, dass bei Auslagerungen der IT-Dienstleistungen die Anforderungen nach AT 9 der MaRisk zu erfüllen sind. Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).
ZUR STARTSEITE DES FINTECH-ONLINEKURSES
Cover picture: Copyright © Adobe/ sutthinon602
