Neue regulatorische Vorgaben für das Outsourcing

Hintergrund.

Im aktuellen Kontext der Digitalisierung und der zunehmenden Bedeutung von Informations- und Finanztechnologien auf der einen Seite und anhaltend niedrigen Zinsen und dem Streben nach Kosteneffizienz auf der anderen Seite ist das Outsourcing zu einem wichtigen Faktor in der Organisation von Finanzinstituten geworden. In diesem Zusammenhang hat die Europäische Bankenaufsichtsbehörde (EBA) die 2006 herausgegebenen CEBS-Richtlinien zum Outsourcing mit den am 25. Februar 2019 veröffentlichten Leitlinien zum Outsourcing (Leitlinien) aktualisiert.

Die Leitlinien wurden entwickelt, um gleiche Wettbewerbsbedingungen zu gewährleisten und einen stärker harmonisierten Rahmen für die Auslagerungs-vereinbarungen von Finanzinstituten zu schaffen. Darüber hinaus wurde die im Dezember 2017 veröffentlichte Empfehlung zum Outsourcing an Cloud Service Provider in die Leitlinien integriert.

Wer ist betroffen?

Im Vergleich zu ihrem Vorgänger, der ausschließlich für Kreditinstitute galt, gelten die Leitlinien für alle Finanzinstitute, die dem Mandat der EBA unterliegen, d.h. für Kreditinstitute und Wertpapierfirmen, die der Eigenkapitalrichtlinie (Richtlinie 2013/36/EU des Europäischen Parlaments und des Rates vom 26. Juni 2013) unterliegen, sowie für Zahlungsinstitute und E-Geld-Institute (Institute). Lediglich Zahlungsinstitute, die ausschließlich Kontoinformationsdienste anbieten, fallen nicht in den Anwendungsbereich der Leitlinien.

Was ist Outsourcing?

In den Leitlinien werden die internen Governance-Regelungen, einschließlich eines soliden Risikomanagements, festgelegt, die Institute einführen sollten, wenn sie Funktionen auslagern, insbesondere mit Blick auf das Outsourcing kritischer oder wesentlicher Funktionen.

Die Leitlinien implementieren zudem eine neue Definition für die Begriffe „Outsourcing“ und „kritische oder wesentliche Funktion“.

Diese neuen Definitionen wurden vollständig mit dem MiFID II-Regelwerk harmonisiert, um die Umsetzung eines einheitlichen Rahmens für das Outsourcing zu gewährleisten,

Gleichzeitig werden in den Leitlinien auch die regulatorischen Mindestanforderungen für das Outsourcing von unkritischen oder unwesentlichen Vereinbarungen festgelegt.

Outsourcing bezeichnet entsprechend der Leitlinien eine Vereinbarung gleich welcher Form zwischen einem Institut und einem Dienstleister, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut ansonsten selbst übernähme.

Was die Definition von kritischer oder wesentlicher Funktion anbelangt, so werden in den Leitlinien ausdrücklich die Situationen aufgeführt, in denen die Institute eine Funktion immer als kritisch oder wesentlich betrachten sollten, wobei sie sich auf das Konzept der wesentlichen Beeinträchtigung dieser Funktion aufgrund eines Mangels oder Versagens in ihrer Ausführung beziehen, wie es unter dem MiFID II-Regelwerk bekannt ist.

Welche wesentlichen Neuerungen gibt es?

Die Leitlinien enthalten Regelungen, die teilweise über die bisherigen Mindestanforderungen in Bezug auf das Outsourcing hinausgehen. Insbesondere sind folgende Änderungen hervorzuheben:

  • Erweiterung des Adressatenkreises: Die neuen Leitlinien gelten nicht nur für Kredit- und Finanzdienstleistungsinstitute, sondern nunmehr auch für Zahlungsinstitute und E-Geld-Institute (siehe oben).
  • Kritische und wesentliche Funktionen sind von den Instituten anhand der Vorgaben der Leitlinien zu identifizieren.
  • Die zuständige Aufsichtshörde soll vorab über die Auslagerung von kritischen oder wichtigen Funktionen sowie über wesentliche Änderungen hierzu benachrichtigt werden.
  • Vor dem Outsourcing muss eine fundierte Analyse vorgenommen werden. Dabei soll zunächst festgestellt werden, ob es sich bei der Vereinbarung mit dem Dienstleister überhaupt um Outsourcing im Sinne der Leitlinien handelt. Danach sollte geprüft werden, ob das Outsourcing eine kritische oder wesentliche Funktion betrifft. Außerdem ist eine umfassende Risikoanalyse vorzunehmen und der Dienstleister im Rahmen einer Due Diligence auf seine Geeignetheit zu überprüfen. Liegt Outsourcing einer kritischen oder wesentlichen Funktion vor, werden an die Due Diligence erhöhte Anforderungen gestellt.
  • Die Institute sind im Rahmen ihres Risikomanagements dazu verpflichtet, ein detailliertes Outsourcing-Register mit allen Auslagerungsverträgen zu führen, wobei es erneut differenzierte Anforderungen in Bezug auf das Outsourcing von kritischen oder wesentlichen Funktionen einerseits und dem Outsourcing von unkritischen oder unwesentlichen Funktionen andererseits gibt. Auf Aufforderung der zuständigen Aufsichtsbehörde müssen Institute entweder das vollständige Register oder Teile davon in einem verarbeitbaren elektronischen Format bereitstellen.
  • Die Geschäftsführung eines Instituts muss eine schriftliche Outsourcing-Richtlinie beschließen, diese regelmäßig überprüfen und ihre Umsetzung sicherstellen. Diese interne Outsourcing-Richtlinie sollte u.a. die Grundsätze, Zuständigkeiten und Prozesse bezüglich der Auslagerungen bestimmen.
  • Weiterhin sind Interessenskonflikte im Zusammenhang mit dem beabsichtigten Outsourcing zu identifizieren und angemessen im Risikomanagement zu berücksichtigen. Ferner sehen die Leitlinien Regelungen für Interessenskonflikte vor, die bei gruppeninternem Outsourcing entstehen.
  • Zudem sehen die Leitlinien vor, dass die Institute Ausstiegsstrategien für den Fall der Beendigung einer Auslagerungsvereinbarung über kritische oder wesentliche Funktionen erarbeiten. Die EBA gibt in den Leitlinien detailliert vor, welche Anforderungen die Institute dabei zu beachten haben.
  • Die neuen Leitlinien enthalten eine Negativliste über Sachverhalte, die nicht als Outsourcing zu qualifizieren sind. So wird zum Beispiel klargestellt, dass weder die Unterhaltung von Räumlichkeiten eines Instituts, noch der Bezug von Gütern und Versorgungsdienstleistungen (wie Strom, Telefon etc.) oder der Bezug von Marktinformationsdiensten wie Ratingagenturen ein Outsourcing darstellt.

Zeitplan und nationale Umsetzung

Die Leitlinien gelten für alle Auslagerungsvereinbarungen, die seit dem 30. September 2019

  • abgeschlossen,
  • überprüft, oder
  • geändert werden.

Eine Umsetzungsfrist bis zum 31. Dezember 2021 besteht grundsätzlich für

  • die Anforderungen an das Outsourcing-Register, sowie
  • die Überprüfung bestehender wesentlicher Auslagerungsvereinbarungen.

Dies bedeutet, dass die Institute ihre betrieblichen Strukturen, internen Prozesse und vertraglichen Dokumentation in Bezug auf Outsourcing umfassend überprüfen sollten.

Nach dem „Comply or Explain“-Prinzip sind die zuständigen nationalen Behörden dazu gehalten, ihre Absicht in Bezug auf die Einhaltung der Leitlinien gegenüber der EBA zu erklären.

Für Institute in Deutschland werden Leitlinien der EBA erst mit Bestätigung der BaFin bzw. einer Implementierung in nationale Regelungen verbindlich. Grundsätzlich übernimmt die BaFin die Leitlinien der EBA in ihre Verwaltungspraxis. Nach unseren Informationen erklärte die BaFin im Juli 2019 gegenüber der EBA ihre Absicht, die Leitlinien ab dem 31. Dezember 2020 einzuhalten. Es wird daher erwartet, dass die Leitlinien im Rahmen der anstehenden Novellierung der Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin umgesetzt werden.

Für Institute in Luxemburg ist eine Einführung der Leitlinien in Form eines Rundschreibens der Luxemburgischen Finanzaufsicht „Commission de Surveillance du Secteur Financier“ (CSSF) zu erwarten, da nach unseren Informationen auch die CSSF im August 2019 gegenüber der EBA ihre Absicht erklärt hat, die Leitlinien einzuhalten.

Handlungsbedarf

Institute sollten damit fortfahren, die Auswirkungen der Anforderungen der Leitlinien auf ihre bestehenden Prozesse, Richtlinien und Vertragsmuster zu prüfen. Dabei ist es insbesondere wichtig, den Umfang der erforderlichen Anpassungen im Hinblick auf die bestehenden Auslagerungsvereinbarungen einschätzen zu können um diese dann rechtzeitig vornehmen zu können.

Bei der Implementierung der Leitlinien in die Organisation der Institute gilt zudem der Grundsatz der Verhältnismäßigkeit. Gemäß diesem Prinzip sind die Anforderungen der Leitlinien unter Berücksichtigung der Komplexität der ausgelagerten Funktionen sowie der damit verbundenen Risiken anzuwenden.

 

Copyright © Adobe Stock / designer491



Indem Sie fortfahren, akzeptieren Sie unsere Datenschutzerklärung.
You May Also Like