Neue Outsourcing Regelungen in der MaRisk

Neue Outsourcing Regeln in der Ma Risk | Dr. Joerg Streißle | PayTechLaw | ra2 studio

Mit Veröffentlichung der Sechsten Novelle der Mindestanforderungen an das Risikomanagement (MaRisk) am 16.08.2021 mittels Rundschreiben RS 10/2021 (BA) setzt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unter AT 9 neue Standards für das Auslagerungswesen und überführt damit die Leitlinien zu Auslagerungen der European Banking Authority (EBA) in das nationale Aufsichtsregime.

 

Was gilt?

Die neuen Regelungen betreffen den gesamten Auslagerungszyklus beginnend mit der einer Auslagerung vorgelagerten Risikoanalyse bis hin zur Kündigung eines Auslagerungsvertrages.

  • Klarstellend ergänzt die BaFin den Katalog der nicht unter den Auslagerungsbegriff der MaRisk fallenden Dienstleistungen, unter anderem um verschiedene Rechtsdienstleistungen und die Verwendung von globalen Zahlungsverkehrsinfrastrukturen, wie z.B. Kartenzahlverfahren.
  • Die Aufzählung der im Rahmen einer Risikoanalyse zu beachtenden Aspekte erweitert die BaFin unter anderem um mögliche Interessenkonflikte, dem Schutzbedarf von Daten, die im Rahmen der Auslagerung an das Auslagerungsunternehmen übermittelt werden und um politische Risiken, ein Punkt, der im Rahmen des Konsultationsverfahrens besonders umstritten war.
    Ausdrücklich müssen nun auch die Risiken aus – gegebenfalls auch mehrstufigen – Weiterverlagerungen berücksichtigt werden.
  • Offenbar aus schlechten Erfahrungen in der Praxis sieht sich die BaFin veranlasst darauf hinzuweisen, dass die Wesentlichkeit einer Auslagerung auf Basis der Risikoanalyse zu bestimmen und demnach diese auch in einem ersten Schritt vor der Bestimmung der Wesentlichkeit vorzunehmen sei. Bei der Auslagerungs- und Risikosteuerung sind die Ergebnisse der Risikoanalyse zu beachten.
  • Die einzelnen Auslagerungen dürfen in ihrer Gesamtheit nicht dazu führen, dass das auslagernde Institut nur noch als leere Hülle (empty shell) existiert.
  • Bei der Auswahl von Auslagerungsunternehmen ist sicherzustellen, dass der jeweilige Outsourcing-Nehmer auch befugt ist, die ausgelagerte Tätigkeit zu erbringen und gegebenenfalls über die notwendige Erlaubnis verfügt.
    Auslagerungen von Leistungen, die innerhalb des EWR eine aufsichtliche Zulassung oder Registrierung erfordern würde, können an Unternehmen außerhalb des Europäischen Wirtschaftsraumes (EWR) nur dann erfolgen, wenn diese in ihrem Sitzstaat einer Aufsicht unterliegen. Um Prüfungsrechte der BaFin auch außerhalb des EWR sicherzustellen, müssen die entsprechenden Behörden mit der BaFin eine Kooperationsvereinbarung geschlossen haben.
  • Die vollständige Auslagerung der besonderen Funktionen Risikocontrolling-Funktion, Compliance-Funktion oder Interne Revision innerhalb einer Institutsgruppe kann nun nicht mehr nur an das Mutterunternehmen sondern auch an Schwesterinstitute
  • Ein Vertrag für wesentliche Auslagerungen bedarf nun zwingend der Textform. Von dem noch im Konsultationsverfahren vorgesehenen Schriftformerfordernis wurde wieder Abstand genommen.
    Der Katalog der Mindestinhalte eines solchen Auslagerungsvertrages wurde erheblich ausgeweitet. Unter anderem muss er nun Regelungen beinhalte, die die Länder bzw. Regionen der tatsächlichen Erbringung von Dienstleistungen und der Speicherung von maßgeblichen Daten festhalten. Standortwechsel müssen dem auslagernden Institut angezeigt werden. Für die einzelnen Leistungen müssen Service Levels mit eindeutig festgelegten Leistungszielen definiert werden.
    Regelungen zur Beendigungsunterstützung müssen sicherstellen, dass das auslagernde Institut im Falle eines Wechsels des Auslagerungsunternehmen oder einer Reintegration der bislang ausgelagerten Tätigkeit unterstützt wird und die entsprechende Leistungsfähigkeit des Instituts gewahrt ist.
  • Die Überwachung der Auslagerung ist anhand vordefinierter Kriterien, insbesondere Key Performance bzw. Key Risk Indicators (KPI / KRI), vorzunehmen. Diese müssen entsprechend bereits bei der Definition der Service Levels Niederschlag gefunden haben.
  • Nimmt ein Institut Auslagerungen vor, hat es einen zentralen Auslagerungsbeauftragten zu bestellen. Dieser muss in einer Einheit angesiedelt sein, die direkt an die Geschäftsleitung berichtet; eine unmittelbare Berichtslinie des Beauftragten selbst an die Geschäftsleitung ist entgegen der Konsultation nicht erforderlich. Für gemeinsame Auslagerungen mehrerer Gruppenunternehmen kann das zentrale Auslagerungsmanagement auf Gruppenebene gebündelt werden.
    Die Berichtspflichten zu wesentlichen Auslagerungen nach Tz 13, denen bislang nur Institute mit Verpflichtung zur Einrichtung eines zentralen Auslagerungsmanagements unterlagen, gelten nun für alle auslagernden Institute, ungeachtet von Art, Umfang und Komplexität der Auslagerungen.
  • Sämtliche ausgelagerten Aktivitäten mit Informationen zu den entsprechenden Vereinbarungen sind in einem zentralen Auslagerungsregister vorzuhalten. Die Ausgestaltung des Registers bestimmt sich nach den entsprechenden Festsetzungen der EBA Leitlinien.

 

Für wen gilt´s?

Die Anforderungen der MaRisk gelten unmittelbar für sämtliche Institute im Sinne des KWG, mithin für Kreditinstitute und solche Finanzdienstleistungsinstitute, auf die §§ 25a und b KWG auch nach Inkrafttreten des Wertpapierinstitutsgesetzes (WpIG) noch Anwendungen finden. Für alle anderen Wertpapierinstitute, Zahlungsinstitute und E-Geld-Institute gelten die neuen Anforderungen an das Outsourcing nicht unmittelbar, ungeachtet des weitergehenden Geltungsbereiches der EBA Leitlinien. Trotzdem stellen die neuen Anforderungen jedoch auch für nicht direkt betroffene Institute unter Berücksichtigung des Proportionalitätsprinzips klare Anhaltspunkte für eine ordnungsgemäße Organisation des Auslagerungswesens dar.

 

Ab wann gilt´s?

Die neue Fassung der MaRisk tritt mit Veröffentlichung in Kraft.

Änderungen von lediglich klarstellender Natur sind unmittelbar nach Veröffentlichung anzuwenden.

Für Änderungen, die neue materielle Anforderungen mit sich bringen, gilt eine Übergangsfrist bis zum 31.12.2021. Angesichts des Inkrafttretens des Finanzmarktintegritätsstärkungsgesetz (FISG) zum 01.01.2021 in Bezug auf die Verpflichtung zur Führung eines Auslagerungsregisters, gilt diese Frist auch für die damit verbundenen Dokumentationspflichten nach der Neufassung der MaRisk.

Für die Anpassung von bereits bestehenden oder gerade verhandelten Auslagerungsverträgen räumt die BaFin eine gesonderte Umsetzungsfrist bis zum 31.12.2022 ein.

 

Was gibt´s noch?

Erinnert sei an dieser Stelle nochmals an die Pflichten zur Anzeige u.a. von Absicht und Vollzug von wesentlicher Auslagerungen nach dem FISG bzw. dem Wertpapierinstitutsgesetz (WpIG). Hiervon betroffen sind sowohl Kredit- als auch Wertpapier- und Zahlungsinstitute.

 

 

Cover picture: Copyright © Adobe/ra2studio

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You May Also Like