Nun ist es soweit: Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat ihr Rundschreiben 09/2017 (BA) über die Mindestanforderungen an das Risikomanagement von Banken ("MaRisk - BA") überarbeitet. In diesem Zusammenhang hat sie am 26. Oktober 2020 eine Neufassung der MaRisk veröffentlicht und zur Konsultation gestellt (Konsultation 14/2020 - Mindestanforderungen an das Risikomanagement, Entwurf der Neufassung des Rundschreibens 09/2017 (BA)).
Die Überarbeitung ist zuvorderst auf Änderungen der internationalen Regelsetzung der Europäischen Bankenaufsichtsbehörde (EBA) zurückzuführen. So werden mit der Konsultationsfassung die Anforderungen aus verschiedenen aktuellen internationalen Regulierungsinitiativen in die nationale Aufsichtspraxis übernommen. Zu diesen Initiativen zählen etwa die Leitlinien der EBA zum "Management notleidender und gestundeter Risikopositionen" (EBA/GL/2018/06), zu "Auslagerungen" (EBA/GL/2019/02) und zum "Management von IKT- und Sicherheitsrisiken" (EBA/GL/2019/04).
Überarbeitete Neufassung
Der Schwerpunkt der Anpassungen liegt auf der Umsetzung dieser EBA-Leitlinien. Darüber hinaus werden in der 6. Novelle ergänzend Themen aufgegriffen, die sich aus weiteren Regulierungsinitiativen, wie der Überarbeitung des Leitfadens zur aufsichtlichen Beurteilung bankinterner Risikotragfähigkeitskonzepte (ICAAP), ableiten. Ferner sind - wie bei jeder Novelle - auch Klarstellungen aus Sicht der Aufsicht und Änderungen, die aus der laufenden Prüfungspraxis resultieren, in die Neufassung der MaRisk aufgenommen. Die BaFin führt mit der 6. MaRisk-Novelle die bisherige Aufsichtspraxis für die Regulierung der Säule-II-Anforderungen fort und formuliert in der Konsultationsfassung für diverse Themenkomplexe Konkretisierungen, Änderungen und Neuerungen.
Bezüglich des Anwenderkreises der neuen Reglungen ist seitens der BaFin noch keine endgültige Festlegung getroffen. Dies soll in der Konsultationsphase erfolgen und im ersten Quartal 2021 entschieden werden.
Im Zuge der Neufassung der MaRisk wurden auch die Anforderungen an Auslagerungen und das Auslagerungsmanagement gemäß Allgemeinem Teil (AT) 9 überarbeitet. Das Konsultationspapier sieht deutlich erhöhte Anforderungen vor. Diese Anforderungen sind wieder allgemein und prinzipienorientiert formuliert. Die wesentlichen Änderungen werden im vorliegenden Beitrag dargestellt und einer ersten Bewertung unterzogen. Die Änderungen im Konsultationspapier betreffen den gesamten Auslagerungszyklus.
Auslagerung (AT 9)
Nachdem die Anforderungen an Auslagerungen schon 2017 im Zuge der 5. MaRisk-Novelle konkretisiert und verschärft wurden, werden diese nun auf Basis der EBA-Leitlinie zu Auslagerungen (EBA/GL/2019/02) nochmals erweitert. Die vorliegende Konsultationsfassung ist ersichtlich geprägt vom Bemühen der deutschen Aufsicht, dem Erfordernis der Erfüllung der EBA-Leitlinie zu entsprechen, dabei aber den Instituten einen ausreichenden Spielraum bei der Umsetzung durch Anwendung des Proportionalitätsprinzips zu lassen.
Betrachtet man im Konsultationspapier den AT 9 genauer, dann wird deutlich, dass die Änderungen in Umfang und Detailgrad hinter der umfassenden EBA-Leitlinie zu Auslagerungen zurückbleiben. Es wird nur ein sehr überschaubarer Teil der EBA-Leitlinie in den AT 9 übernommen. Durch allgemeinere Formulierungen bleiben die MaRisk im AT 9 im Vergleich zu der EBA-Leitlinie ihrem abgeschwächt verordnenden Charakter treu. In den folgenden Abschnitten wird ein Überblick über die wesentlichen geplanten Änderungen im Konsultationsentwurf gegeben.
Abgrenzung zu sonstigem Fremdbezug
Der Begriff der Auslagerung wird im Konsultationspapier nicht verändert. In den Erläuterungen wird der Katalog von Aktivitäten und Prozessen zur Abgrenzung gegenüber dem sonstigen Fremdbezug aber um zusätzliche Beispiele ergänzt (Teilziffer - Tz. - 1). Durch den erweiterten Beispielkatalog für Dienstleistungen, die als sonstiger Fremdbezug von Dienstleistungen nicht unter die Definition des Auslagerungsbegriffs fallen, können zukünftig noch mehr Fremdbezüge auf Basis einer vorgegebenen aufsichtsrechtlichen Kategorisierung frühzeitig direkt ausgesteuert werden.
Ergänzend verdeutlicht das Konsultationspapier nun auch die Klassifizierung des Softwarebetriebs. Dieser wird analog zur "Risikosoftware" beziehungsweise zur Software, die für die Durchführung von bankgeschäftlichen Aufgaben von wesentlicher Bedeutung ist, behandelt. Das heißt, Unterstützungsleistungen hierfür sind als Auslagerung einzustufen. Das betrifft zum Beispiel die Software-Wartung (Fehlerbehebung). Allerdings ist diese Einstufung für die "Software-Wartung" nicht konform mit der Klarstellung im Protokoll des Fachgremiums MaRisk vom 15. März 2018. In diesem Protokoll wird dahingehend differenziert, ob die gelieferten Patches vor Einspielen in das System vom Institut oder von Dritten (etwa vom Auslagerungsunternehmen) getestet werden. Im erstgenannten Fall handelt es sich gemäß Protokoll nicht zwangsläufig um eine Auslagerung; im zweiten Fall dagegen liegt eine Auslagerung vor.
Risikoanalyse
Die Erläuterungen zu Tz. 2 erweitern und spezifizieren nun detaillierter die Bewertungskriterien, die bei einer Risikoanalyse (und Auslagerungssteuerung) als Mindestinhalte zu berücksichtigen sind. So muss die verpflichtende Risikoanalyse zukünftig unter anderem auch Konzentrationsrisiken aus mehreren Auslagerungsverträgen mit demselben Auslagerungsunternehmen, politische Risiken sowie Risiken aus möglichen Interessenkonflikten, Datenschutzbedarfsaspekte und Kosten umfassen. Die Beurteilung politischer Risiken wird insbesondere die kleineren Institute vor erhebliche Herausforderungen stellen.
Ergänzt wurde die Vorgabe, die Risikoanalyse - soweit sinnvoll - um eine angemessene Szenarioanalyse unter Nutzung interner und externer Verlustdaten - soweit verfügbar - zu erweitern. Mithilfe der Szenarioanalyse sollen die Auswirkungen möglicher Risikoereignisse durchgespielt werden. Die Ausgestaltung differenziert entsprechend des Proportionalitätsgrundsatzes. So sollen kleinere, weniger komplexe Institute auf qualitative Ansätze für die Risikobewertung - vermutlich versteht die Aufsicht Risikobewertung in diesem Kontext als Risikoanalyse - zurückgreifen können, während große und komplexe Institute einen komplexeren Ansatz wählen sollten. Was die Aufsicht in diesem Zusammenhang aber unter "komplexeren Ansatz" für die Risikobewertung versteht und welchen konkreten Inhalt eine Szenarioanalyse aufzuweisen hat, wird nicht weiter ausgeführt. Als Orientierung bietet sich eine Abstimmung mit adversen Szenarien oder Stresstests aus der Banksteuerung an.
Des Weiteren wird erstmals die zentrale Bedeutung der Ergebnisse der Risikoanalyse für die sonstige Auslagerungs- und Risikosteuerung betont und die Einbeziehung der Ergebnisse in diese Steuerung gefordert. Damit ist die essenzielle Verbindung zwischen der Risikobewertung und der Formulierung risikomitigierender Steuerungsmaßnahmen nun auch in den MaRisk explizit angesprochen.
Zulässigkeit von Auslagerungen
Als Leitmotiv für Auslagerungen wird nun in Tz. 4 aufgeführt, dass dadurch keine leeren (Unternehmens-)Hüllen verbleiben dürfen. Darüber hinaus geht die BaFin nun explizit auf die Frage der Erlaubnispflicht von Auslagerungsunternehmen, insbesondere im Ausland des Europä ischen Wirtschaftsraums (EWR) und in Drittstaaten, ein. So dürfen Auslagerungen nicht zu einer Einschränkung der Befugnisse des auslagernden Instituts oder der nationalen Aufsichtsbehörden führen. Des Weiteren muss das Auslagerungsunternehmen die Tätigkeit auch wirklich ausüben dürfen.
Bei der Auslagerung von erlaubnispflichtigen Bankgeschäften an ein Unternehmen mit Sitz außerhalb des EWR sind vom Institut Beaufsichtigungen durch zuständige Behörden im Drittland sowie entsprechende Kooperationsvereinbarungen zwischen den zuständigen Aufsichtsbehörden sicherzustellen. Damit werden Vorgaben der EBA umgesetzt, die die Auslagerung von erlaubnispflichtigen Bankgeschäften sowohl in die unregulierten Bereiche des EWR als auch in Drittstaaten ausschließen sollen. Eine derartige Verpflichtung der Insti tute wird in der Praxis allerdings nur schwer durchsetzbar sein.
Welche Kriterien nun für die Frage der Erlaubnispflicht von Auslagerungsunternehmen gelten sollen, lässt die Novelle offen. Eine Andeutung findet sich in der Passage, wonach das auslagernde Institut die Lizenzsituation des Auslagerungsunternehmens klären muss, "sofern es sich um ausgelagerte Aktivitäten oder Prozesse von Bankgeschäften in einem Umfang handelt, der innerhalb der EWR eine Zulassung oder Registrierung durch die zuständigen Aufsichtsbehörden erfordern würde". Allerdings ist der "Umfang" ein schwer handhabbares Kriterium. Es kommt weniger auf die Quantität als vielmehr auf die Qualität der Handlungen an. Diese einzuschätzen, ist häufig eine besondere Herausforderung.
Schließlich muss das Auslagerungsunternehmen nach dem Recht seines Sitzlandes zur Ausübung der ausgelagerten Aktivitäten und Prozesse befugt sein. Das bedeutet unter anderem, dass das Auslagerungsunternehmen gegebenenfalls über die dazu erforderlichen Erlaubnisse und Registrierungen verfügt. Auch dies muss das Institut jetzt sicherstellen.
Bezüglich der Auslagerung der besonderen Funktionen (Tz. 5) gilt Folgendes: Eine vollständige Auslagerung von Risikocontrolling, Interner Revision oder der Compliance-Funktion ist nun grundsätzlich auch an Schwesterinstitute innerhalb einer Institutsgruppe zulässig. Voraussetzung ist, dass das auslagernde Tochterinstitut hinsichtlich Größe, Komplexität und Risikogehalt seiner Geschäftsaktivitäten weder für den deutschen Finanzsektor noch innerhalb der Gruppe als wesentlich einzustufen ist.
Auslagerungsverträge
In Zusammenhang mit den zu erstellenden Auslagerungsverträgen konkretisiert Tz. 7, dass bei wesentlichen Auslagerungen diese Verträge zwingend schriftlich abzuschließen sind. Inhaltlich sind im Konsultationsentwurf weitere Anforderungen an den Auslagerungsvertrag gestellt. Das Merkblatt der BaFin zu Cloud-Auslagerungen ist nicht in die Novelle übernommen worden. Es behält weiter seine Gültigkeit als Orientierungshilfe.
Neben Informations- und Prüfungsrechten sollen jetzt bei allen Auslagerungen (wesentlich und nicht wesentlich) auch uneingeschränkte Zugangsrechte zu den für die Auslagerung relevanten Geschäftsräumen sowie für Zugriffsberechtigungen auf Daten und Informationen berücksichtigt werden. Dies gilt unabhängig von der konkreten Zusammenarbeit bei der Auslagerung im Auslagerungsvertrag und damit auch für Cloud-Dienste. Insbesondere bei Auslagerungen in die Cloud großer und international agierender Anbieter stellt sich bei diesen sonstigen Sicherheitsanforderungen, wie auch bei vielen weiteren (neuen) Anforderungen die Frage nach der praktischen Handhabung und der Durchsetzbarkeit.
Ohne dass der Begriff der Cloud in den MaRisk explizit erwähnt wird, gibt es jetzt auch die Vorgabe, Standorte, in denen die Durchführung der Dienstleistung erfolgt und/oder an denen kritische Daten gespeichert und verarbeitet werden, in den Auslagerungsvertrag aufzunehmen.
Im Zuge der neuen Anforderungen an das Auslagerungsmanagement sind auch steigende Anforderungen an den Datenschutz (datenschutzrechtliche Bestimmungen) gestellt. So ist besonders hervorzuheben, dass nicht mehr nur wesentliche Auslagerungen unter dem Blickwinkel datenschutzrechtlicher Vertragsgestaltung zu beachten sind, sondern dies zukünftig für alle Auslagerungen gilt. Damit sind sämtliche Auslagerungsvereinbarungen nicht wesentlicher Auslagerungen in Bezug auf den Datenschutz auf MaRisk-Konformität auszurichten. Das Nachhalten datenschutzrechtlicher Anforderungen setzt sich darüber hinaus bei der laufenden Überwachung der Auslagerungen fort. Hier ist eine entsprechende Verzahnung von Dienstleistersteuerung und Datenschutzmanagement vonnöten.
Zudem werden - auch bei Cloud-Dienstleistungen - erhöhte Anforderungen an Datenschutz und Informationssicherheit durch die Vorgabe gestellt, einen risikobasierten Ansatz an den Datenspeicherungs- und -verarbeitungsstandort sowie hinsichtlich der Informationssicherheit zu wählen. Für den Notfall (beispielsweise Insolvenz oder Einstellung der Geschäftstätigkeit) muss vertraglich sichergestellt sein, dass der Zugriff auf die sich im Besitz des Instituts befindlichen Daten erhalten bleibt.
Neu aufgenommen wurde bei Kündigung der Auslagerungsvereinbarung die Notwendigkeit einer vertraglichen Vereinbarung zwischen Institut und Auslagerungsunternehmen über entsprechende Unterstützungsleistungen und Mitwirkungspflichten des Auslagerungsunternehmens bei einem Dienstleisterwechsel oder bei einer Reintegration von ausgelagerten Aktivitäten und Prozessen in das Institut.
Für bestimmte Risiken können Versicherungsverpflichtungen vereinbart werden. Zukünftig zwingend mit in Auslagerungsverträge aufzunehmen sind Regelungen bezüglich der Einhaltung der Werte und des Verhaltenskodexes des Instituts auch durch den Dienstleister. Problem: Für Mehrmandantendienstleister ist diese Anforderung vermutlich nicht praktikabel. Außerdem sind eindeutige quantitative und qualitative Leistungsziele (Service-Level-Agreements, SLA) und Aussagen (Umsetzung und Überprüfung) zu Notfallkonzepten in den Verträgen aufzurühren. Weitere neue und verbindliche Mindestvertragsbestandteile wie zum Beispiel Vertragsbeginn oder geltendes Recht - sofern von deutschem Recht abweichend - betreffen allerdings Klauseln, die ohnehin bereits Bestandteil eines jeden Auslagerungsvertrags sein sollten.
Schließlich sollten zukünftig gemäß Tz. 7 möglichst auch für nicht wesentliche Auslagerungen Informations- und Prüfungsrechte für die Interne Revision, externe Prüfer und zuständige Behörden vereinbart werden. Zumindest wenn absehbar ist, dass diese Auslagerungen in naher oder mittlerer Zukunft wesentlich werden könnten. Den Zeithorizont "nahe und mittlere Zukunft" muss jedes Institut für sich selbst festlegen, da eine (Legal-)Definition fehlt. Um den eventuellen Übergang zu einer wesentlichen Auslagerung besser abschätzen zu können, wäre dabei eher ein kürzerer Zeitraum (ein bis zwei Jahre) anzusetzen. Daneben sollten vom Institut in der schriftlich fixierten Ordnung auch konkrete Anlässe beschrieben werden, die eine solche Abschätzung erforderlich machen. Diese umfassen beispielsweise begonnene Verhandlungen über eine Ausweitung einer bereits existierenden nicht wesentlichen Auslagerung auf das betreffende Auslagerungsunternehmen.
Offen ist, ob die neuen Anforderungen an Auslagerungsverträge für wesentliche und im Einzelfall auch für nicht wesentliche Auslagerungen (Datenschutz sowie Informations- und Prüfungsrechte) ebenfalls bei bestehenden Verträgen ergänzt werden müssen oder ob sie nur für Neuverträge gelten. Unabhängig davon aber wird die notwendige Anpassung bei Cloud-Auslagerungen an große international agierende Anbieter vermutlich oft nicht erfolgreich sein.
Steuerung und Überwachung
Explizit ist im neuen Entwurf des AT 9 herausgearbeitet, dass nun für alle (wesentlichen und nicht wesentlichen) Auslagerungen eine ordnungsgemäße Überwachung und angemessene Steuerung zu erfolgen hat (Tz. 9). Dies impliziert, auch für nicht wesentliche Auslagerungen entsprechende Prozesse zur Steuerung und Überwachung einzurichten. Basis dafür ist die Risikoanalyse anhand derer die relevanten Risiken identifiziert werden.
Bei wesentlichen Auslagerungen ist das Institut darüber hinaus angehalten, eine laufende Überwachung und Bewertung der mit der Auslagerung verbundenen Risiken und der Qualität der Leistungserbringung des Auslagerungsunternehmens anhand der in den SLAs vertraglich vereinbarten Leistungsindikatoren (etwa Key-Performance-Indikatoren, Key-Risk-Indikatoren) und weiterer ebenfalls vertraglich festgeschriebener Informationen des Auslagerungsunternehmens sicherzustellen.
Die laufende Überwachung korrespondiert konsequenterweise mit einer zusätzlichen Anforderung an die Berichterstattung. So soll für wesentliche Auslagerungen neben dem jährlichen bereits zu erstellenden zentralen Auslagerungsbericht zukünftig auch unterjährig ein anlassbezogenes Reporting umgesetzt werden. Hierfür sind dann unter anderem Trigger festzulegen, die ein solches ad-hoc Reporting auslösen.
Weiterverlagerungen
Ein besonderes Augenmerk in der Novelle liegt auch auf Weiterverlagerungen und den damit verbundenen Risiken (Tz. 11). So wird die schon aus der 5. Novelle bekannte Anforderung, dass die Vorgaben an die Auslagerung von Aktivitäten und Prozessen auch bei der Weiterverlagerung zu beachten sind, im Konsultationspapier durch eine Erläuterung ergänzt, die sich auf die Risikoanalyse gemäß AT 9 Tz. 2 bezieht. Sie besagt, dass die mit der Weiterverlagerung verbundenen Risiken im Rahmen der Risikoanalyse bewertet werden müssen. Diese Bewertung muss zudem auch eine Wesentlichkeitsbeurteilung der Weiterverlagerung einschließen. Des Weiteren sollte das Risiko bewertet werden, dass durch lange und komplexe Auslagerungsketten die Fähigkeit des Instituts zur Überwachung der ausgelagerten Aktivitäten und Prozesse deutlich eingeschränkt sein kann.
Inwieweit nun die Risiken aus Weiterverlagerungen nur im Rahmen der mit einer Auslagerung verbundenen Risiken nach Tz. 2 als ein Kriterium zu berücksichtigen sind oder aber Gegenstand einer eigenständigen Risikobewertung sein sollen, bleibt unklar. Grundlage für eine Bewertung der mit der Weiterverlagerung verbundenen Risiken ist in jedem Fall die Transparenz der gesamten Weiterverlagerungskette für das (erst)auslagernde Institut. Diese Transparenz ist über die vertragliche Informationspflicht des Auslagerungsunternehmens über Weiterverlagerungen sicherzustellen. Für die Bewertung der Wesentlichkeit einzelner Weiterverlagerungen könnten aus Vereinfachungsgründen pauschal alle Weiterverlagerungen von wesentlichen Auslagerungen als "wesentlich" bewertet werden.
Insgesamt sorgen die neuen Anforderungen an die Risikoanalyse in Verbindung mit Weiterverlagerungen für eine erhöhte Transparenz in der Auslagerungskette und schärfen damit in Instituten das Bewusstsein für Risiken, die mit der Weiterverlagerung verbunden sind. Allerdings sollten die Institute vor dem Hintergrund der neuen Anforderungen die Gelegenheit nutzen, die Notwendigkeit komplexer Auslagerungsbeziehungen zu überdenken. Dadurch könnten der regulatorische Aufwand reduziert und die Steuerung der Weiterverlagerungskette sichergestellt werden.
Auslagerungsbeauftragter
Um die bereits in Tz. 9 angesprochene zentrale Steuerung und Überwachung der Risiken von Auslagerungsvereinbarungen zu bündeln, ist als wesentliche Neuerung von jedem Institut die Funktion eines Auslagerungsbeauftragten mit einer klaren Verantwortung für bestimmte Aufgaben einzurichten. Dies gilt sobald Auslagerungssachverhalte vorliegen. Diese Verantwortung umfasst neben der Berichterstattung über die wesentlichen Auslagerungen insbesondere die vier Aufgabenbereiche, die in Tz. 12 aufgezählt werden und die bisher dem zentralen Auslagerungsmanagement zugeschrieben wurden.
Das zentrale Auslagerungsmanagement wird durch die Einrichtung eines zentralen Auslagerungsbeauftragten keineswegs zwingend überflüssig. Vielmehr ist vom Institut vor dem Hintergrund der Proportionalität zu entscheiden, ob zusätzlich ein zentrales Auslagerungsmanagement zur Unterstützung des Auslagerungsbeauftragten zu etablieren ist. Diese Sichtweise harmoniert mit den Bankenaufsichtlichen Anforderungen an die IT (BAIT). Denn diese wurden gemäß aktuellem Konsultationsentwurf um den Passus ergänzt, dass der Informationssicherheitsbeauftragte durch ein Informationssicherheitsmanagement-Team unterstützt werden kann.
Die aufbauorganisatorische Einordnung der neuen Funktion wird in den Erläuterungen zu Tz. 12 angesprochen. So ist der zentrale Auslagerungsbeauftragte entweder unmittelbar unterhalb der Geschäftsleitung anzusiedeln oder die Funktion ist einem Mitglied der Geschäftsleitung zu übertragen, sofern eine klare Trennung von Aufgaben und Zuständigkeiten für das Management der Auslagerungsvereinbarungen und deren Kontrolle sichergestellt ist. Letzteres ist als Öffnungsklausel für kleinere, weniger komplexe Institute zu verstehen. Das bedeutet, dass diese Kontrolltätigkeiten nicht innerhalb der Linienverantwortung des Geschäftsleiters angesiedelt sein dürfen, sondern einem anderen Geschäftsleitungsmitglied unterstellt werden müssen.
Mit der dargestellten Einordnung verfolgt die BaFin das Ziel, die Verantwortung und das Bewusstsein für Auslagerungen im Institut hoch aufzuhängen und die Bedeutung des zentralen Auslagerungsbeauftragten hervorzuheben. Ein zentraler Auslagerungsbeauftragte, der der Geschäftsleitung unmittelbar unterstellt ist, wird damit Teil der zweiten Verteidigungslinie. Auch der vom Institut zu benennende Revisionsbeauftragte für Auslagerungen muss im Falle einer Auslagerung der Internen Revision zukünftig zwingend der Geschäftsleitung unterstellt sein.
Die neue Funktion des zentralen Auslagerungsbeauftragten hat in ihrer Verantwortung für das Berichtswesen über die wesentlichen Auslagerungen regelmäßig (mindestens jährlich) einen Report zu erstellen und der Geschäftsleitung zur Verfügung zu stellen. Dieser Bericht ist - wie schon im Zusammenhang mit den neuen Anforderungen an die Steuerung und Überwachung erwähnt - jetzt unterjährig durch ein anlassbezogenes (ad-hoc) Reporting zu ergänzen. Das ergibt sich aus den Berichtspflichten in Tz. 13.
Zentrales Auslagerungsmanagement
Hinsichtlich gruppen- und verbundinterner Auslagerungen sind im Konsultationspapier alle Regelungen in Tz. 14 gebündelt. Neben der Ergänzung und Konkretisierung einer bereits bestehenden Regelung im Kontext der Risikoanalyse sind auch neue, im Wesentlichen auf Inhalte der EBA-Leitlinien basierende Erleichterungen dargestellt.
Hierzu gehören folgende Optionen: auf Gruppen- beziehungsweise Verbundebene ein zentrales Auslagerungsmanagement zu etablieren, auf zentraler Ebene Vorauswertungen bei der Risikoberichterstattung zu nutzen sowie unter einer bestimmten Bedingung ein zentrales Auslagerungsregister einzurichten. Eine weitere Erleichterung der Auslagerungssteuerung besteht darin, bei gruppen- beziehungsweise verbundinternen Auslagerungen auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen verzichten zu können. Wird - was zukünftig möglich ist - ein gemeinsamer Notfallplan innerhalb einer Gruppe beziehungsweise eines Verbundes für eine wesentliche Auslagerung konzipiert, ist die Bereitstellung des jeweils relevanten Teils des gemeinsamen Notfallplans für die einzelnen angeschlossenen Institute zwingend notwendig.
Die Erleichterungen bieten und fördern Möglichkeiten der Zentralisierung, Vereinheitlichung und Vereinfachung der Prozesse im Auslagerungsmanagement. Eine Umsetzung kann in Gruppen wie auch in Verbünden zu signifikanten Kosten- und Effizienzvorteilen führen und sollte im Kontext eines strategischen Zielbildes für das Auslagerungsmanagement besondere Aufmerksamkeit erfahren.
Dokumentationspflicht
Als neue Dokumentationsanforderung haben Institute jetzt ein aktuelles Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen inklusive gruppen- oder verbundinterner Auslagerungen vorzuhalten (Tz. 15). Durch den Entwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität wird diese Vorgabe über eine Änderung in § 25b Kreditwesengesetz auch zu einer gesetzlichen Anforderung.
Eine Konkretisierung des Inhalts und des Umfangs enthält das Konsultationspapier nicht. Als Orientierungshilfe hierfür bieten sich die EBA-Leitlinien an mit ihrer Auflistung der Mindestinhalte für alle Auslagerungen und mit einer Erweiterung der Pflichtinhalte für wesentliche Auslagerungen. Wesentliche Weiterverlagerungen sind nach internem Ermessen im Auslagerungsregister zu berücksichtigen.
Organisationsrichtlinien (AT 5)
Im AT 5 wird klargestellt, dass zukünftig für alle Auslagerungen und nicht mehr nur bei den wesentlichen Auslagerungen dokumentierte Regelungen zu Verfahrensweisen existieren müssen. Sie haben sich am Lebenszyklus der Auslagerungen zu orientieren und müssen Grundsätze, Zuständigkeiten und Prozesse enthalten. Damit sind die zentralen Vorgaben, also die Outsourcing Policy, im Institut entlang des Auslagerungszyklus zu definieren. Notwendig dafür ist allerdings eine Definition der Phasen der Auslagerung und der Grundsätze, Zuständigkeiten und Prozesse durch das Institut.
Im Übrigen wurden in der Novelle auch die Anforderungen an die mit dem Dienstleister zu vereinbarenden Notfallkonzepte umfassend erweitert. Diese sind im Detail in AT 7.3 des Konsultationspapiers nachzulesen.
Ergänzende Hinweise
Die vorgeschlagenen Änderungen für Auslagerungen im Konsultationspapier bleiben in Umfang und Detailgrad hinter der EBA-Leitlinie zu Auslagerungen zurück. Dennoch avisiert die Konsultationsfassung im AT 9 diverse Neuerungen und Klarstellungen mit einem im Vergleich zu den aktuellen MaRisk insbesondere für die weniger wichtigen Institute nicht zu unterschätzenden Umsetzungsaufwand durch erweiterte Anforderungen an die Aufbau- und Ablauforganisation des Auslagerungsmanagements. Dieser Aufwand wird, da die MaRisk weiterhin prinzipienorientiert ausgestaltet sind, in Abhängigkeit von Institutsgröße, Komplexität der Auslagerungsportfolios sowie der aktuellen Ausgestaltung des Auslagerungsmanagements unterschiedlich hoch ausfallen. Einfluss auf die Höhe des Handlungsbedarfs hat auch, ob und inwieweit die Institute sich bei ihrer bisherigen Umsetzung der MaRisk bereits an der EBA-Leitlinie zu Auslagerungen sowie an dem BaFin-Merkblatt zu Auslagerungen an Cloud-Anbieter und BAIT orientiert haben.
Um den erforderlichen Raum für eine betriebswirtschaftlich sinnvolle Umsetzung der novellierten Anforderungen zu nutzen, ist eine zeitnahe Adressierung der geänderten Anforderungen dringend zu empfehlen und frühzeitig in eine übergreifende Transformationsagenda zu integrieren. Die Erfahrung aus den letzten Konsultationen zeigt nämlich, dass sich in ihrem Rahmen kaum wesentliche Änderungen für die finale Fassung ergeben, sodass Institute sich nunmehr auf die neuen aufsichtsrechtlichen Anforderungen zu Auslagerungen einstellen können.
Die Institute sollten sich deshalb schon jetzt einen Überblick über notwendigen Handlungsbedarf und relevante Handlungsfelder verschaffen und prüfen, inwieweit sie die veränderten Vorgaben bereits sach- und situationsgerecht erfüllen. Auch sollten sie darüber nachdenken, wie sie mit möglichen Abweichungen von den veränderten Vorgaben umgehen und welche Chancen sich aus den aktualisierten Anforderungen ergeben. Beispielsweise durch die Möglichkeit von Erleichterungen für Gruppen oder Finanzverbünde gemäß Tz. 14. Insgesamt werden für die Überprüfung und Anpassung der Konformität mit den neuen MaRisk entsprechende Manpower, relevantes Know-how und ein adäquates Budget für 2021 vorhanden sein müssen.
Ein Veröffentlichungsdatum der 6. MaRisk-Novelle wurde bisher nicht genannt. Allerdings sollten sich die Institute auf eine Veröffentlichung ab Ende des ersten Quartals 2021 ein stellen. Welche Themenfelder im AT 9 dann unmittelbar in Kraft treten beziehungsweise welche Umsetzungszeiträume für einzelne Themenfelder eingeräumt werden, ist derzeit nicht publiziert. Die BaFin verspricht allerdings, für die neuen Anforderungen Übergangsfristen zu gewähren. Diese sollen mit Augenmaß festgelegt werden. Es gibt jedoch auch Einschätzungen, die davon ausgehen, dass vermutlich keine weiteren Übergangsfristen gewährt werden. Vor dem Hintergrund der Aussagen der BaFin zum zusätzlichen Erfüllungsaufwand in Instituten für die Umsetzung der 6. MaRisk-Novelle ist diese Einschätzung nachvollziehbar.
Fußnoten
1) Im Konsultationspapier werden die EBA-Leitlinien für die Kreditvergabe und Überwachung (EBA/GL/2020/06) sowie die jüngsten Entwicklungen im Bereich Nachhaltigkeit(srisiken) nicht berücksichtigt. Sie sind der nächsten Überarbeitung der MaRisk in einer 7. Novelle vorbehalten.
2) Flankierend mit der Überarbeitung der AT 9 Anforderungen der MaRisk sieht der Regierungsentwurf eines Gesetzes zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz - FISG) weitere verpflichtende Anforderungen an (wesentliche) Auslagerungen vor.
3) Vgl. Chrubasik/Schütz, Auslagerungen in der Kreditwirtschaft, Göttingen 2018.
4) Vgl. zu der EBA-Leitlinie zu Auslagerungen Chrubasik/Schütz, EBA Guidelines on Outsourcing Arrangements, FLF 6/2019.
5) zeb, 6. MaRisk-Novelle (Konsultation 14/2020) - Änderungen AT 9 Auslagerung, 10.11.2020.
6) Die Formulierung im Konsultationspapier wirft Abgrenzungsfragen auf, vgl. LSP, Die 6. MaRisk-Novelle, 4.1.2021.
7) Chrubasik/Schütz, Auslagerungen in der Kreditwirtschaft, Götting 2018, S. 262 ff.
8) Konsequenterweise sind korrespondierend die Aufgaben der Internen Revision in der Novelle im BT 2.1 Tz. 3 angepasst worden durch Streichung der Bezugnahme der Prüfungstätigkeit auf wesentliche Auslagerungen.
9) Konsultation 13/2020 des Rundschreibens "Bankaufsichtliche Anforderungen an die IT" (BAIT) vom 27.10.2020, Tz. 4.4.
10) EBA-Leitlinie zu Auslagerungen Tz. 52 ff.
11) zeb, Konsultation zur 6. MaRisk-Novelle eröffnet, 12.11.2020; auch Reuse, MaRisk 7.0 - Kritische Würdigung aus Sicht der Praxis und erste Umsetzungshinweise, Vortragsunterlagen, 13. Hamburger Bankenaufsichts-Tage, 4.11.2020.
12) BaFin, Covid-19-Lage - Neue Entwicklungen und wichtige Informationen der BaFin, 25.11.2020.
13) Barrus Consulting, Einschätzung zur neuen MaRisk-Novelle, 3.12.2020.
14) Vgl. das Anschreiben zur Konsultation 14/2020 vom 26.10.2020.
