FFinTech

Cloud-Computing und Cloud-Dienste – Auslagerungen in die „Wolke“

0
Shares
0
0
0
0
0
0

Cloud-Computing spielt im Zuge der fortschreitenden Digitalisierung auch im Finanzsektor eine immer wichtigere Rolle. Bei der Nutzung von Cloud-Diensten haben die beaufsichtigten Institute die regulatorischen Vorgaben für Auslagerungen einzuhalten. Grund genug für PayTechLaw, einige wichtige Aspekte der hierfür geltenden Rahmenbedingungen kurz vorzustellen. Schon an dieser Stelle sei gesagt, dass für die Praxis einige Unsicherheiten bei der Anwendung der regulatorischen Vorgaben verbleiben. Aber es gibt einen Hoffnungsschimmer – lesen Sie weiter!

Was ist Cloud-Computing?

Die europäische Bankaufsichtsbehörde (European Banking Authority, kurz EBA) definiert „Cloud-Dienste“ bzw. „Cloud-Computing“ in ihren Empfehlungen zur Auslagerung an Cloud-Anbieter wie folgt:

Dienste, die mithilfe von Cloud-Computing erbracht werden, d.h. ein Modell, das ortsunabhängigen, komfortablen und bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit einem Mindestmaß an Verwaltungsaufwand oder Interaktion des Dienstleisters implementieren und freischalten lässt.

Weitergehende Informationen zum Cloud-Computing finden Sie z.B. beim Bundesamt für Sicherheit in der Informationstechnik.

Regulatorischer Rahmen

Die Nutzung von Cloud-Diensten durch beaufsichtigte Zahlungsdienstleister und E-Geld-Emittenten wird regelmäßig eine Auslagerung im aufsichtsrechtlichen Sinne darstellen.

Die für wesentliche Auslagerungen geltenden regulatorischen Anforderungen sind im Wesentlichen in AT 9 des BaFin-Rundschreibens Mindestanforderungen an das Risikomanagement der Banken (MaRisk) dargestellt. In ihrem Rundschreiben Bankaufsichtsrechtliche Anforderungen an die IT (BAIT) stellt die BaFin unter Ziffer II. 8., Rz. 52 klar, dass die vorgenannten Anforderungen auch bei der Nutzung von Cloud-Diensten zu beachten sind.

Zudem sind seit dem 1. Juli 2018 bei der Nutzung von Cloud-Diensten die Empfehlungen der EBA zur Auslagerung an Cloud-Anbieter, kurz EBA-Empfehlungen (s.o.) zu beachten.

MaRisk, BAIT und die EBA-Empfehlungen gelten unmittelbar nur für Kreditinstitute und Finanzdienstleistungsinstitute. Für die Praxis ist aber davon auszugehen, dass die BaFin auch von Zahlungsinstituten und E-Geld-Instituten erwartet, dass sich diese bei der Nutzung von Cloud-Diensten an den vorgenannten regulatorischen Rahmenbedingungen orientieren.

Die regulatorischen Rahmenbedingungen gelten grundsätzlich unabhängig davon, ob es sich bei den genutzten Cloud-Diensten um eine öffentliche Cloud, eine private Cloud, eine Community-Cloud oder eine Hybrid-Cloud handelt (vgl. zur Definition der vorgenannten Begriffe Abschnitt 2, Rz. 3 der EBA-Empfehlungen).

Wesentlichkeitsbewertung

Beaufsichtigte Institute, die Cloud-Dienste nutzen wollen, haben vor Durchführung der Auslagerung zu prüfen, ob es sich bei der beabsichtigten Nutzung der Cloud-Dienste um eine unter Risikogesichtspunkten wesentliche Auslagerung handelt. Diese Prüfung ist insbesondere unter Berücksichtigung der in Abschnitt 4.1 der EBA-Empfehlungen aufgeführten Kriterien durchzuführen.

Anforderungen an Auslagerungsverträge

Sofern es sich bei der Nutzung des Cloud-Dienstes um eine wesentliche Auslagerung handelt, muss der mit dem Cloud-Anbieter geschlossene Auslagerungsvertrag u.a. die in AT 9 Tz. 7 und 8 der MaRisk genannten Regelungen enthalten. Hiernach sind im Rahmen des Auslagerungsvertrags insbesondere folgende Vereinbarungen zu treffen:

  • Spezifizierung und ggf. Abgrenzung der vom Cloud-Anbieter zu erbringenden Leistung;
  • Festlegung angemessener Informations- und Prüfungsrechte der Internen Revision sowie externer Prüfer des Instituts;
  • Festlegung uneingeschränkter Informations- und Prüfungsrechte für die zuständigen Aufsichtsbehörden (insbesondere BaFin);
  • Weisungsrechte für das Institut;
  • datenschutzrechtliche Regelungen und Regelungen zu sonstigen Sicherheitsanforderungen;
  • Regelungen zur Weiterverlagerung von Tätigkeiten durch den Cloud-Anbieter an Subunternehmer.

Insbesondere bei der Umsetzung der regulatorischen Vorgaben im Hinblick auf die Informations- und Prüfungsrechte der Institute und der zuständigen Aufsichtsbehörden in den Auslagerungsverträgen dürfte es regelmäßig zu Diskussionen mit Cloud-Anbietern (insbesondere mit solchen, die ihren Sitz in einem Staat außerhalb des Europäischen Wirtschaftsraums haben) kommen.

Informations- und Prüfungsrechte für die Institute

Die Informations- und Prüfungsrechte der Institute und der von den Instituten beauftragten Prüfer beim Cloud-Anbieter dürfen grundsätzlich nicht beschränkt werden. Es muss insbesondere die Möglichkeit von Vor-Ort-Prüfungen bestehen. Eine vertragliche Verpflichtung der Institute, zunächst auf standardisierte Prüfungsberichte der Cloud-Anbieter zurückzugreifen, würde die Informations- und Prüfungsrechte der Institute in unzulässiger Weise beschränken.

BaFin und EBA lassen jedoch gewisse Erleichterungen im Hinblick auf die tatsächliche Durchführung von Prüfungen durch das auslagernde Institut zu. Das auslagernde Institut muss nicht zwangsläufig eigene Prüfungsressourcen einsetzen. Als zulässig erachten BaFin und EBA Prüfungen im Rahmen von sog. „Pooled Audits“, bei denen gemeinsame Prüfungen von mehreren Kunden des Cloud-Anbieters durch einen Kunden oder durch einen von diesen Kunden beauftragten Dritten durchgeführt werden. Zudem kann unter bestimmten Voraussetzungen eine Zertifizierung des Cloud-Anbieters durch einen anerkannten Zertifizierer und externe oder interne Prüfungsberichte, die vom Cloud-Anbieter zur Verfügung gestellt werden, als Prüfungsverfahren ausreichend sein.

Informations- und Prüfungsrechte für die Aufsicht

Das auslagernde Institut hat mit dem Cloud-Anbieter uneingeschränkte Informations- und Prüfungsrechte der Aufsichtsbehörden bezüglich der ausgelagerten Aktivitäten und Prozesse vertraglich zu vereinbaren. Dies umfasst insbesondere auch die Möglichkeit von Vor-Ort-Prüfungen.

Pflicht zur Anzeige der Absicht einer wesentlichen Auslagerung an Cloud-Anbieter

Institute haben die Absicht der Auslagerung von wesentlichen Diensten an Cloud-Anbieter den zuständigen Aufsichtsbehörden anzuzeigen. Dies ergibt sich für Zahlungsinstitute und E-Geld-Institute aus § 26 Abs. 2 des Zahlungsdiensteaufsichtsgesetzes (ZAG). Eine entsprechende Anzeigepflicht für Kreditinstitute ist u.E. dem Abschnitt 4.2 der EBA-Empfehlungen zu entnehmen.

Unsicherheiten bei der Anwendung der regulatorischen Vorgaben – der Hoffnungsschimmer

Die regulatorischen Vorgaben für die Nutzung von Cloud-Diensten sind derzeit noch in einigen Punkten unklar. Es gibt jedoch einen Hoffnungsschimmer, dass die Unsicherheiten in absehbarer Zeit beseitigt sein werden. Die BaFin hat angekündigt, im Laufe dieses Jahres eine spezielle Orientierungshilfe zu veröffentlichen, in der die Institute detailliert über die aufsichtsrechtlichen Anforderungen an die Nutzung von Cloud-Diensten informiert werden sollen. Man darf gespannt sein. PayTechLaw wird Sie jedenfalls informiert halten.

Titelbild / Cover picture: Copyright © fotolia

0
0

Peter ist seit 2002 als Anwalt tätig. Der Rechtsanwalt und Partner der Kanzlei Annerton am Standort München berät schwerpunktmäßig und umfassend im Bank- und Bankaufsichtsrecht, im Zahlungsverkehrsrecht sowie im Bereich Asset Management.



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like
BBanking
Der EBA-Bericht zu White Labelling und was BaaS-Anbieter daraus lernen sollten
Weiterlesen
  • 5 Minuten

Der EBA-Bericht zu White Labelling und was BaaS-Anbieter daraus lernen sollten

Die Europäische Bankenaufsichtsbehörde (EBA) hat einen Bericht zum Thema White Labelling veröffentlicht, der sich mit dem zunehmenden Einsatz von White Labelling als Geschäftsmodell im EU-Finanzsektor beschäftigt. Diese Art von Geschäftsmodell entwickelte sich schnell und zieht nun die Aufmerksamkeit der Aufsichtsbehörden auf sich. Die EBA hat bestimmte Risiken dieses Geschäftsmodells identifiziert.
Weiterlesen
FFinTech
Zwischen Swipe und Aufsicht Social Commerce boomt – doch rechtlich ist nicht alles erlaubt. Wann Plattformen Zahlungsdienste erbringen und welche Ausnahmen greifen, erklärt der Beitrag.
Weiterlesen
  • 5 Minuten

Zwischen Swipe und Aufsicht

Social Commerce verspricht eine Revolution im Onlinehandel – direkt über soziale Netzwerke wie TikTok. Doch während das Geschäftsmodell noch jung ist, stellen sich bereits alte aufsichtsrechtliche Fragen: Darf eine Plattform überhaupt Zahlungsströme koordinieren, ohne selbst Zahlungsdienstleister zu sein? Der Beitrag zeigt, warum kreative Vertragsgestaltung gefragt ist, um Innovation rechtssicher umzusetzen.
Weiterlesen
FFinTech
Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement • Teil 1: Überblick über die wichtigsten Neuerungen
Weiterlesen
  • 4 Minuten

Von Outsourcing zu Third Party Arrangements: Die neuen EBA-Leitlinien zum Drittparteienmanagement 2/2

Die neuen EBA-Leitlinien erweitern das Verständnis von Drittparteienrisiken deutlich. Dieser zweite Teil zeigt, was dies konkret für Banken, Zahlungs- und E-Geldinstitute bedeutet – von neuen organisatorischen Anforderungen bis zur Integration mit DORA. Was sind die größten Herausforderungen und wo ergeben sich Chancen?
Weiterlesen
FFinTech
BaFin legt Turbo-Zertifikate an die Leine Allgemeinverfügung zur Beschränkung der Vermarktung, des Vertriebs und des Verkaufs von Turbo-Zertifikaten an Kleinanleger von Rechtsanwalt Dr. Jörg Streißle Mit Allgemeinverfügung vom 15. Oktober 2025 ordnete die BaFin eine Beschränkung der Vermarktung, des Vertriebs und des Verkaufs von Turbo-Zertifikaten an. Sie formuliert strenge Bedingungen für sämtliche Vertriebsaktivitäten von Turbo-Zertifikaten gegenüber Kleinanlegern.
Weiterlesen
  • 2 Minuten

BaFin legt Turbo-Zertifikate an die Leine

Allgemeinverfügung zur Beschränkung der Vermarktung, des Vertriebs und des Verkaufs von Turbo-Zertifikaten an Kleinanleger Die BaFin ordnet eine Beschränkung der Vermarktung, des Vertriebs und des Verkaufs von Turbo-Zertifikaten an. Sie formuliert strenge Bedingungen für sämtliche Vertriebsaktivitäten von Turbo-Zertifikaten gegenüber Kleinanlegern.
Weiterlesen