Am 25. Februar 2019 hat die European Banking Authority (EBA) den Final Report on EBA Guidelines on Outsourcing Arrangements (im Folgenden: EBA Outsourcing Guidelines) veröffentlicht. Diese Guidelines sollen einen harmonisierten Regelungsrahmen für Auslagerungen von Instituten, Investmentfirmen, Zahlungs- und E-Geldinstituten1) darstellen. Mit den EBA Outsourcing Guidelines liegt nun ein umfangreiches europäisches Regelungswerk vor. Die für den Anwender gute Nachricht: vieles wird unverändert bleiben.2) Die Geschäftsleitungsebene ist verantwortlich für die Einhaltung der Anforderungen an Auslagerungen.3) Aufgaben der Geschäftsleitung dürfen auch unter den EBA Outsourcing Guidelines nicht ausgelagert werden.4)
Für Auslagerungen durch Institute sind bislang die nationalen Regelungen zunächst der §§ 25a, 25b des Kreditwesengesetzes (KWG) einschlägig. Darüber hinaus gelten im deutschen Rechtsraum die seitens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingeführten MaRisk,5) deren AT 9 die Anforderungen an Auslagerungen im Sinne der §§ 25a, 25b KWG konkretisiert. Für Auslagerungen von IT-Dienstleistungen sind zudem die - ebenfalls aus der Feder der BaFin stammenden - BAIT,6) genauer: deren Modul 8, zu berücksichtigen. Im Kontext von Cloud Services ist schließlich das BaFin-Merkblatt Orientierungshilfe zu Auslagerungen an Cloud-Anbieter zu beachten. Diese Regelungen müssen nun aufgrund der EBA Outsourcing Guidelines angepasst werden.
Bestehende Vereinbarungen bis
Ende 2021 anpassen Die EBA Outsourcing Guidelines sind seit dem 30. September 2019 anzuwenden und gelten seit diesem Zeitpunkt für alle Auslagerungsvereinbarungen, die ab diesem Zeitpunkt geschlossen, verlängert, überprüft oder ergänzt werden. Bereits bestehende, unveränderte Auslagerungsvereinbarungen (mit Ausnahme von Auslagerungsvereinbarungen an Cloud-Service-Provider) sind spätestens bis zum 31. Dezember 2021 an die EBA Outsourcing Guidelines anzupassen. Die CEBS (Committee of European Banking Supervision) - Leitlinien vom 14. Dezember 2006 zur Auslagerung und die Empfehlung der EBA zum Outsourcing an Cloud Service Provider (EBA/REC/2017/03) vom 28. März 2018 werden zur gleichen Zeit aufgehoben.
Nicht auf Umsetzung in Deutschland warten
Bei den EBA Outsourcing Guidelines handelt es sich um eine europäische Verwaltungspraxis, die jedoch erst für Deutschland transformiert werden muss. Die BaFin hat dazu den Weg allerdings schon bereit gemacht, da sie erklärt hat, die EBA Outsourcing Guidelines bis zum 31. Dezember 2020 anzuwenden. Hierzu werden aller Voraussicht nach im nächsten Jahr Änderungen im KWG, in der Anzeigenverordnung und insbesondere in der MaRisk erfolgen.
Aus Instituten ist zu vernehmen, dass eine Überprüfung von Auslagerungsverträgen bereits jetzt am Maßstab der EBA Outsourcing Guidelines erfolgt. Vor diesem Hintergrund ist es ratsam, Auslagerungen bereits jetzt auf Basis der EBA Outsourcing Guidelines durchzuführen, zumal eine weitere Umsetzungsfrist nach Novellierung der MaRisk nicht zu erwarten ist.
Auslagerung weiter gefasst
Die EBA Outsourcing Guidelines gelten zum einen für Institute (im Sinne des Art. 4 Abs.1 Nr. 3 der Verordnung (EU) Nr. 575/2013 über Aufsichtsanforderungen an Kreditinstitute ("CRR-Verordnung"), der sowohl Kreditinstitute als auch Wertpapierfirmen umfasst). 7)
Zum anderen adressieren die EBA Outsourcing Guidelines auch Zahlungsinstitute (im Sinne des Art. 4 Abs. 4 der Richtlinie (EU) 2015/2366 über Zahlungsdienste im Binnenmarkt ("Zahlungsdiensterichtlinie") sowie E-Geld-Institute (im Sinne des Art. 2 Abs.1 der Richtlinie 2009/110/EG über die Aufnahme, Ausübung und Beaufsichtigung der Tätigkeit von E-Geld-Instituten), die von der MaRisk im Grundsatz nicht erfasst sind. Dabei sind die Anforderungen der EBA Outsourcing Guidelines nicht nur auf Einzelinstitutsebene, sondern auch auf konsolidierter, beziehungsweise subkonsolidierter Basis anzuwenden.
Eine Auslagerung nach den MaRisk liegt vor, "wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden".8) Die Definition der Auslagerung nach EBA Outsourcing Guidelines bezieht den Adressatenkreis nunmehr ein und ist zunächst weiter gefasst: "Auslagerung bezeichnet eine Vereinbarung gleich welcher Form zwischen einem Institut, einem Zahlungsinstitut oder einem E-Geld-Institut und einem Dienstleister, in deren Rahmen der Dienstleister einen Prozess durchführt, eine Dienstleistung erbringt oder eine Tätigkeit ausführt, die das Institut, das Zahlungsinstitut oder das E-Geld-Institut ansonsten selbst übernähme." 9)
Eine Reihe von Ausnahmen
Die EBA Outsourcing Guidelines liefern katalogartig Beispiele für Dienstleistungen beziehungsweise Aktivitäten, die grundsätzlich nicht als Auslagerung zu betrachten sind.10)
- Dazu zählen Funktionen, deren Ausübung durch Dritte rechtlich vorgeschrieben ist (wie etwa die Jahresabschlussprüfung) sowie Marktinformationsdienstleistungen (etwa durch Bloomberg, Moody's und so weiter) und Visa- beziehungsweise Mastercard-Dienstleistungen (sogenannte "global network infrastructures").
- Auch Clearing- und Settlementvereinbarungen mit den relevanten Institutionen zählen nicht als Auslagerungen.
- Gleiches gilt für globale Nachrichtendienstleistungen im Finanzsektor, die unter behördlicher Aufsicht stehen (Swift wird nicht ausdrücklich genannt, ist aber gemeint).
- Auch Korrespondenzbank-Dienstleistungen sind nicht als Auslagerung zu werten.
- Schließlich findet sich eine Liste branchenfremder Dienstleistungen, zu denen rechtliche Vertretung ebenso zählt wie Aufgaben des Facility Managements, die Zurverfügungstellung von Büromaterial (einschließlich PCs), aber auch Sekretariatsdienstleistungen.
Kritische oder wesentliche Funktionen
Die Anforderungen der MaRisk beziehen sich auf das Management der für das Institut wesentlichen Risiken. Dabei legen die Institute auf Basis einer Risikoanalyse eigenverantwortlich fest, welche auszulagernden Aktivitäten und Prozesse unter Risikogesichtspunkten wesentlich sind.
Die EBA Outsourcing Guidelines sehen gestufte Anforderungen für Auslagerungen vor und knüpfen insoweit an kritische oder wesentliche Funktionen ("critical or important functions") 11) an. Diese Sprachregelung geht auf die RL 2014/65/EU ("MiFID II") 12) sowie insbesondere die Delegierte VO 2017/ 565/EU 13) zurück.14) Eine Unterscheidung zwischen kritischen Funktionen einerseits und wesentlichen Funktionen andererseits besteht allerdings nicht.
Warten auf die BaFin
In Frage steht, ob und inwieweit die BaFin die in den EBA Outsourcing Guide lines verwendeten Begriffe "kritisch" und "wesentlich" zukünftig in ihre Verwaltungspraxis übernimmt. Besondere praktische Relevanz kommt diesem Aspekt im Rahmen der Ausgestaltung von Auslagerungsvereinbarungen zu. Denn die EBA Outsourcing Guidelines treffen detaillierte inhaltliche Anforderungen an Auslagerungsverträge,15) die jedoch weitestgehend auf Auslagerungen kritischer und wesentlicher Funktionen beschränkt sind.
Titel 2 der EBA Outsourcing Guidelines16) liefert detaillierte Konkretisierungen des Begriffs "Funktionen". Von kritischen oder wesentlichen Funktionen ist dementsprechend stets auszugehen, wenn die Auslagerung einer Funktion entweder die Einhaltung aufsichtsrechtlicher Vorgaben,17) die finanzielle Leistungsfähigkeit oder die Kontinuität der Bank- und Zahlungsdienstleistungen des auslagernden Unternehmens wesentlich beeinträchtigen würde.
Auch die Auslagerung von operationellen Aufgaben der internen Kontrolle ist grundsätzlich als kritisch oder wesentlich anzusehen, es sei denn die Auslagerungsanalyse ergibt, dass eine fehlerhafte Wahrnehmung dieser Aufgaben durch das Auslagerungsunternehmen eine effektive interne Kontrolle nicht beeinträchtigt. Begründet die Auslagerung von Bank- oder Zahlungsdienstleistungen eine eigenständige Erlaubnispflicht, so handelt es sich auch dabei grundsätzlich um die Auslagerung einer kritischen oder wesentlichen Funktion.
Neben diesen prinzipiell als kritische oder wesentliche Funktionen zu qualifizierenden Auslagerungen werden detaillierte Kriterien aufgestellt, unter denen eine ausgelagerte Funktion als wesentlich oder kritisch anzusehen ist.18) Diese Kriterien sind unter Berücksichtigung des Proportionalitätsgrundsatzes19) in die Auslagerungsanalyse einzubeziehen.
Kriterien zur Wesentlichkeit
Es ist zu erwarten, dass die BaFin Kriterien zur Wesentlichkeit im Rahmen der Novellierung in die MaRisk aufnehmen wird.
Wenn Institute beabsichtigen, kritische oder wesentliche Funktionen auszulagern, so müssen sie die Aufsichtsbehörde (BaFin) rechtzeig darüber informieren.20) Gleiches gilt für wesentliche Änderungen und/oder schwerwiegende Vorfälle bezüglich ihrer Auslagerungsvereinbarungen, die wesentliche Auswirkungen auf die Fortführung von Geschäftstätigkeiten der Institute oder Zahlungsinstitute aufweisen können.21) Dies stellt im Vergleich zu den MaRisk ein Novum dar.
Zu erwarten ist, dass diese Informationspflicht als Anzeigepflicht im Zuge einer Novellierung des KWG umgesetzt wird. Insoweit soll § 24 KWG erweitert werden, der bereits jetzt zahlreiche Anzeigepflichten für Institute regelt.
Auslagerungsregister und Dokumentationspflichten
Eine weitere wichtige Neuerung im Verhältnis zu den MaRisk stellt die Verpflichtung dar, ein Register über sämtliche Auslagerungen zu führen.22) Im Auslagerungsregister sollen auch bereits beendete Auslagerungen einbezogen werden. Aus dem Register muss hervorgehen, ob es sich bei den jeweiligen Auslagerungen um die Auslagerung einer kritischen oder wesentlichen Funktion oder aber um eine sonstige Funktion handelt.
Darüber hinaus sind im Auslagerungsregister zahlreiche weitere Informationen über die jeweilige Auslagerung zu erfassen, die neben Daten über das Auslagerungsunternehmen auch eine kurze Beschreibung der ausgelagerten Funktion, geordnet nach Funktionskategorien, enthalten soll.23)
Ebenso festzuhalten ist das Datum der letzten Analyse hinsichtlich der Einstufung der Funktion als kritisch oder wesentlich. Auch im Hinblick auf die Dokumentationspflichten stellen die EBA Outsourcing Guidelines erhöhte Voraussetzungen an die Auslagerung kritischer oder wesentlicher Funktionen.24)
Outsourcing-Analyse im Vorfeld
Vor jeder Auslagerung ist eine Analyse ("pre-outsourcing-analysis") vorzunehmen.25) Da zunächst festzustellen ist, ob eine Auslagerung vorliegt, dürfte eine solche Analyse grundsätzlich im Rahmen von Vertragsverhandlungen mit externen Dienstleistern erforderlich sein. Im Rahmen der pre-outsourcing analysis ist einzustufen, ob eine Auslagerung einer kritischen oder wesentlichen Funktion vorliegt. Auch ist eine umfassende Risikobewertung vorzunehmen, deren Umfang Ziff. 12.2 EBA Outsourcing Guidelines regelt.
Auch das Auslagerungsunternehmen ist im Rahmen einer Sorgfaltsprüfung ("Due Diligence") gemäß Ziffer 12.3 EBA Outsourcing Guidelines auf seine Geeignetheit zu überprüfen. Zu den hierbei heranzuziehenden Kriterien gehört das Geschäftsmodell sowie Art, Umfang und Komplexität des Dienstleisters, dessen Eigentums- und Gruppenstruktur, Finanzlage sowie das Beziehungsgeflecht zu anderen Dienstleistern, die mit dem Institut in Verbindung stehen. Auch ist zu klären, ob der Dienstleister selbst unter (finanz-)behördlicher Aufsicht steht.
Mögliche Interessenkonflikte bewerten
Wird eine kritische oder wesentliche Funktion ausgelagert, so knüpfen die EBA Outsourcing Guidelines erhöhte Anforderungen an die Due Diligence, die unter anderem eine Überprüfung der ausreichenden Expertise und Ressourcen des Auslagerungsunternehmens, dessen Organisationsstruktur und das Vorliegen der jeweils notwendigen aufsichtlichen Erlaubnis erforderlich machen.26)
Auch sind im Rahmen der pre-outsourcing-analysis etwaige Interessenkonflikte zu identifizieren, die in Ziff. 8 EBA Outsourcing Guidelines genauer spezifiziert werden. Diese Anforderungen gehen deutlich weiter als die Regelungen der MaRisk zu Interessenkonflikten. Interessenkonflikte im Zusammenhang mit Auslagerungsvereinbarungen sollen identifiziert, bewertet und gemanagt werden.27) Gemäß MaRisk gilt es dagegen lediglich, bei einem Arbeitsplatzwechsel Interessenkonflikte zu vermeiden (AT 4.3.1 Nr. 1) sowie im Rahmen einer projektbegleitenden Tätigkeit als Mitarbeiter der internen Revision (BT 2 2 Tz. 2).
Eine Bewertung dieser Interessenkonflikte hat explizit nicht zu erfolgen, wobei dies in der Regel auch impliziert erfolgt, etwa bei einer Entscheidung über einen Wechsel von Verantwortlichkeiten aufgrund eines Interessenkonfliktes.
Die inhaltliche Ausgestaltung der Auslagerungsverträge unterliegt nach EBA Outsourcing Guidelines detaillierten Anforderungen, die sich auf dieser granularen Ebene in den MaRisk nicht wiederfinden. 28) Schriftlich zu fixieren sind beispielsweise
- eine klare Beschreibung der ausgelagerten Funktion, einschließlich einer vereinbarten Qualitätsgüte,
- die Angabe, ob eine Weiterverlagerung zulässig ist oder
- Bestimmungen über die Umsetzung und Erprobung von Notfallplänen.
- Insbesondere Weisungsrechte des auslagernden Unternehmens sind detailliert auszugestalten.
Gesondert sei auf Tz. 75. o. EBA Outsourcing Guidelines hingewiesen. Demnach ist in die Verträge aufzunehmen, dass die Aufsichtsbehörden in bestimmten Konstellationen (beispielsweise wenn Krisenpräventionsmaßnahmen erforderlich sind) befugt sind, Kündigungsrechte auszusetzen beziehungsweise bestimmte vertragliche Bedingungen auszuschließen.29)
Komplikationen könnten sich auch aus der Anforderung nach Tz. 75 m. ergeben, wonach in Auslagerungsverträgen Bestimmungen enthalten sein müssen, mit denen sichergestellt wird, dass auf die sich im Besitz des Instituts befindlichen Daten im Fall einer Insolvenz, Abwicklung oder Einstellung der Geschäftstätigkeit des Dienstleisters zugegriffen werden kann.
Teils erhebliche Rechtsänderungen
Diese Anforderungen sind jedoch weitestgehend auf die Auslagerung kritischer oder wesentlicher Funktionen beschränkt.30) Hiervon ausgenommen ist die für alle Auslagerungen geltende Pflicht, grundsätzlich einen schriftlichen Vertrag über die Auslagerung zu schließen.31) Auch bestimmte Voraussetzungen, unter denen eine Weiterverlagerung der ausgelagerten Funktion erfolgen kann, gelten für jedwede ausgelagerte Funktion.32)
Auch unter Anwendung der EBA Outsourcing Guidelines bleiben viele Aspekte von Auslagerungen durch Institute im Verhältnis zur Rechtslage unter den derzeitigen MaRisk unverändert. Dennoch zeigen sich teils erhebliche materielle Rechtsänderungen, insbesondere im Hinblick auf die Anzeigepflicht geplanter Auslagerungen kritischer oder wesentlicher Funktionen und die Pflicht, ein Auslagerungsregister zu führen.
Auch detailliertere Konkretisierungen bereits bestehender Pflichten erfordern eine frühzeitige und sorgfältige Auseinandersetzung mit den EBA Outsourcing Guidelines. Da die BaFin ihre Absicht, die EBA Outsourcing Guidelines anzuwenden, beziehungsweise umzusetzen, bereits erklärt hat, sollte eine Anpassung der Auslagerungsprozesse und -vereinbarungen an die Anforderungen der EBA Outsourcing Guidelines zeitnah erfolgen.
Fußnoten
1) Zur besseren Übersicht wird im Folgenden nur von Instituten gesprochen.
2) So auch die Auffassung der BaFin, die sich im Rahmen des Praxisseminars "Auslagerung und Auslagerungsmanagement" beim Verband der Auslandsbanken e.V. am 13. November 2019 entsprechend äußerte.
3) Vgl. AT 9 Tz. 5 MaRisk.
4) Vgl. Tz. 35 EBA Outsourcing Guidelines.
5) Rundschreiben 09/2017 (BA) vom 27. Oktober 2017: Mindestanforderungen an das Risikomanagement.
6) Rundschreiben 10/2017 (BA) in der Fassung vom 14. September 2018: Bankaufsichtliche Anforderungen an die IT.
7) Vgl. Tz. 7 EBA Outsourcing Guidelines.
8) AT 9 Tz. 1 MaRisk.
9) Siehe unter Tz. 12 EBA Outsourcing Guidelines.
10) Vgl. Tz. 28 EBA Outsourcing Guidelines.
11) Siehe unter Tz. 12 EBA Outsourcing Guidelines.
12) Vgl. Art. 16 Abs. 5, Art. 40 lit. b) RL 2014/65/ EU ("critical"/"ausschlaggebend").
13) Vgl. ErwGr. 36, 43, 44, Art. 30 DelVO 2017/565/EU ("critical and important operational functions"/"kritische und wesentliche Aufgaben".
14) Vgl. Background Tz. 20 EBA Outsourcing Guidelines, die auch eine Abgrenzung vom Begriff der "kritischen Funktionen" i.S.d. Art. 2 Abs. 1 Nr. 35 RL 2014/59/EU ("BRRD") statuiert.
15) Vgl. Tz. 74 ff. EBA Outsourcing Guidelines.
16) Genauer: Tz. 29 ff. EBA Outsourcing Guidelines.
17) Konkret Bezug genommen wird insoweit auf die Vorgaben der RL 575/2013/EU, VO 2013/36/EU, VO 2014/65/EU, VO 2015/2366/EU, sowie VO 2009/110/EG.
18) Vgl. Tz. 31 EBA Outsourcing Guidelines.
19) Vgl. Titel 1 Ziff. 2 EBA Outsourcing Guidelines.
20) Vgl. Tz. 58 EBA Outsourcing Guidelines.
21) Vgl. Tz. 59 EBA Outsourcing Guidelines.
22) Vgl. Tz. 52 EBA Outsourcing Guidelines.
23) Zu den Details vgl. vgl. Tz. 54 EBA Outsourcing Guidelines.
24) Dazu näheres unter Tz. 55 EBA Outsourcing Guidelines.
25) Vgl. Tz. 61 EBA Outsourcing Guidelines.
26) Vgl. Tz. 70 EBA Outsourcing Guidelines.
27) Vgl. Tz. 45 EBA Outsourcing Guidelines.
28) Vgl. AT 9 Tz. 7 MaRisk.
29) Vgl. Art. 68, 71 Richtlinie 2014/59/EU.
30) Vgl. Tz. 75 ff. EBA Outsourcing Guidelines.
31) Vgl. Tz. 74 EBA Outsourcing Guidelines.
32) Vgl. Tz. 79 EBA Outsourcing Guidelines.
