Cloud-Computing spielt im Zuge der fortschreitenden Digitalisierung auch im Finanzsektor eine immer wichtigere Rolle. Bei der Nutzung von Cloud-Diensten haben die beaufsichtigten Institute die regulatorischen Vorgaben für Auslagerungen einzuhalten. Grund genug für PayTechLaw, einige wichtige Aspekte der hierfür geltenden Rahmenbedingungen kurz vorzustellen. Schon an dieser Stelle sei gesagt, dass für die Praxis einige Unsicherheiten bei der Anwendung der regulatorischen Vorgaben verbleiben. Aber es gibt einen Hoffnungsschimmer – lesen Sie weiter!
Table of Contents
Was ist Cloud-Computing?
Die europäische Bankaufsichtsbehörde (European Banking Authority, kurz EBA) definiert „Cloud-Dienste“ bzw. „Cloud-Computing“ in ihren Empfehlungen zur Auslagerung an Cloud-Anbieter wie folgt:
Dienste, die mithilfe von Cloud-Computing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.
Weitergehende Informationen zum Cloud-Computing finden Sie z.B. beim Bundesamt für Sicherheit in der Informationstechnik.
Regulatorischer Rahmen
Die Nutzung von Cloud-Diensten durch beaufsichtigte Zahlungsdienstleister und E-Geld-Emittenten wird regelmäßig eine Auslagerung im aufsichtsrechtlichen Sinne darstellen.
Die für wesentliche Auslagerungen geltenden regulatorischen Anforderungen sind im Wesentlichen in AT 9 des BaFin-Rundschreibens Mindestanforderungen an das Risikomanagement der Banken (MaRisk) dargestellt. In ihrem Rundschreiben Bankaufsichtsrechtliche Anforderungen an die IT (BAIT) stellt die BaFin unter Ziffer II. 8., Rz. 52 klar, dass die vorgenannten Anforderungen auch bei der Nutzung von Cloud-Diensten zu beachten sind.
Zudem sind seit dem 1. Juli 2018 bei der Nutzung von Cloud-Diensten die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter, kurz EBA-Empfehlungen (s.o.) zu beachten.
MaRisk, BAIT und die EBA-Empfehlungen gelten unmittelbar nur für Kreditinstitute und Finanzdienstleistungsinstitute. Für die Praxis ist aber davon auszugehen, dass die BaFin auch von Zahlungsinstituten und E-Geld-Instituten erwartet, dass sich diese bei der Nutzung von Cloud-Diensten an den vorgenannten regulatorischen Rahmenbedingungen orientieren.
Die regulatorischen Rahmenbedingungen gelten grundsätzlich unabhängig davon, ob es sich bei den genutzten Cloud-Diensten um eine öffentliche Cloud, eine private Cloud, eine Community-Cloud oder eine Hybrid-Cloud handelt (vgl. zur Definition der vorgenannten Begriffe Abschnitt 2, Rz. 3 der EBA-Empfehlungen).
Wesentlichkeitsbewertung
Beaufsichtigte Institute, die Cloud-Dienste nutzen wollen, haben vor Durchführung der Auslagerung zu prüfen, ob es sich bei der beabsichtigten Nutzung der Cloud-Dienste um eine unter Risikogesichtspunkten wesentliche Auslagerung handelt. Diese Prüfung ist insbesondere unter Berücksichtigung der in Abschnitt 4.1 der EBA-Empfehlungen aufgeführten Kriterien durchzuführen.
Anforderungen an Auslagerungsverträge
Sofern es sich bei der Nutzung des Cloud-Dienstes um eine wesentliche Auslagerung handelt, muss der mit dem Cloud-Anbieter geschlossene Auslagerungsvertrag u.a. die in AT 9 Tz. 7 und 8 der MaRisk genannten Regelungen enthalten. Hiernach sind im Rahmen des Auslagerungsvertrags insbesondere folgende Vereinbarungen zu treffen:
- Spezifizierung und ggf. Abgrenzung der vom Cloud-Anbieter zu erbringenden Leistung;
- Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer des Instituts;
- Festlegung uneingeschränkter Informations- und Prüfungsrechte für die zuständigen Aufsichtsbehörden (insbesondere BaFin);
- Weisungsrechte für das Institut;
- datenschutzrechtliche Regelungen und Regelungen zu sonstigen Sicherheitsanforderungen;
- Regelungen zur Weiterverlagerung von Tätigkeiten durch den Cloud-Anbieter an Subunternehmer.
Insbesondere bei der Umsetzung der regulatorischen Vorgaben im Hinblick auf die Informations- und Prüfungsrechte der Institute und der zuständigen Aufsichtsbehörden in den Auslagerungsverträgen dürfte es regelmäßig zu Diskussionen mit Cloud-Anbietern (insbesondere mit solchen, die ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraums haben) kommen.
Informations- und Prüfungsrechte für die Institute
Die Informations- und Prüfungsrechte der Institute und der von den Instituten beauftragten Prüfer beim Cloud-Anbieter dürfen grundsätzlich nicht beschränkt werden. Es muss insbesondere die Möglichkeit von Vor-Ort-Prüfungen bestehen. Eine vertragliche Verpflichtung der Institute, zunächst auf standardisierte Prüfungsberichte der Cloud-Anbieter zurückzugreifen, würde die Informations- und Prüfungsrechte der Institute in unzulässiger Weise beschränken.
BaFin und EBA lassen jedoch gewisse Erleichterungen im Hinblick auf die tatsächliche Durchführung von Prüfungen durch das auslagernde Institut zu. Das auslagernde Institut muss nicht zwangsläufig eigene Prüfungsressourcen einsetzen. Als zulässig erachten BaFin und EBA Prüfungen im Rahmen von sog. „Pooled Audits“, bei denen gemeinsame Prüfungen von mehreren Kunden des Cloud-Anbieters durch einen Kunden oder durch einen von diesen Kunden beauftragten Dritten durchgeführt werden. Zudem kann unter bestimmten Voraussetzungen eine Zertifizierung des Cloud-Anbieters durch einen anerkannten Zertifizierer und externe oder interne Prüfungsberichte, die vom Cloud-Anbieter zur Verfügung gestellt werden, als Prüfungsverfahren ausreichend sein.
Informations- und Prüfungsrechte für die Aufsicht
Das auslagernde Institut hat mit dem Cloud-Anbieter uneingeschränkte Informations- und Prüfungsrechte der Aufsichtsbehörden bezüglich der ausgelagerten Aktivitäten und Prozesse vertraglich zu vereinbaren. Dies umfasst insbesondere auch die Möglichkeit von Vor-Ort-Prüfungen.
Pflicht zur Anzeige der Absicht einer wesentlichen Auslagerung an Cloud-Anbieter
Institute haben die Absicht der Auslagerung von wesentlichen Diensten an Cloud-Anbieter den zuständigen Aufsichtsbehörden anzuzeigen. Dies ergibt sich für Zahlungsinstitute und E-Geld-Institute aus § 26 Abs. 2 des Zahlungsdiensteaufsichtsgesetzes (ZAG). Eine entsprechende Anzeigepflicht für Kreditinstitute ist u.E. dem Abschnitt 4.2 der EBA-Empfehlungen zu entnehmen.
Unsicherheiten bei der Anwendung der regulatorischen Vorgaben – der Hoffnungsschimmer
Die regulatorischen Vorgaben für die Nutzung von Cloud-Diensten sind derzeit noch in einigen Punkten unklar. Es gibt jedoch einen Hoffnungsschimmer, dass die Unsicherheiten in absehbarer Zeit beseitigt sein werden. Die BaFin hat angekündigt, im Laufe dieses Jahres eine spezielle Orientierungshilfe zu veröffentlichen, in der die Institute detailliert über die aufsichtsrechtlichen Anforderungen an die Nutzung von Cloud-Diensten informiert werden sollen. Man darf gespannt sein. PayTechLaw wird Sie jedenfalls informiert halten.
Titelbild / Cover picture: Copyright © fotolia